近日，全國(guó)信安(ān)标委发布《网络安(ān)全标准实践指南—粤港澳大湾區(qū)跨境个人信息保护要求（征求意见稿）》（下文(wén)简称《实践指南》）。粤港澳三地对于“个人信息”的定义和划分(fēn)及处理(lǐ)规则等方面存在一定差异，《实践指南》分(fēn)指导范围、大湾區(qū)特殊性、基本原则、处理(lǐ)要求、权益保障要求、安(ān)全要求六大部分(fēn)给出了详细要求。為(wèi)协助更多(duō)企业理(lǐ)解标准核心要求，為(wèi)此小(xiǎo)编特邀请拥有(yǒu)20余年网络安(ān)全行业经验的爱加密网络安(ān)全专家韩云老师，為(wèi)大家解读《实践指南》，本文(wén)為(wèi)各位提炼了《实践指南》的六大部分(fēn)的核心要求及文(wén)件的三大亮点。第一部分(fēn)，《实践指南》的范围，描述了粤港澳大湾區(qū)跨境处理(lǐ)个人信息应遵守的基本原则和要求及大湾區(qū)范围，即广东省广州市、深圳市、珠海市、佛山(shān)市、惠州市、东莞市、中(zhōng)山(shān)市、江门市、肇庆市及香港特别行政區(qū)，未提及“澳门特别行政區(qū)”。特别定义了大湾區(qū)内个人信息处理(lǐ)者是指注册于（适用(yòng)于组织）／位于（适用(yòng)于个人）粤港澳大湾區(qū)内的个人信息处理(lǐ)者。重点强调了大湾區(qū)内个人信息处理(lǐ)者可(kě)依据“备忘录”以认证方式开展个人信息跨境处理(lǐ)活动。其中(zhōng)，备忘录指的是今年6月29日國(guó)家互联网信息办(bàn)公(gōng)室与香港特區(qū)政府创新(xīn)科(kē)技(jì )及工(gōng)业局签署的《关于促进粤港澳大湾區(qū)数据跨境流动的合作(zuò)备忘录》；而认证则是指《个人信息保护法》第38条要求的个人信息跨境处理(lǐ)活动安(ān)全认证。

第二部分(fēn)，為(wèi)了體(tǐ)现大湾區(qū)个人信息的特殊性，《实践指南》定义了五个术语，分(fēn)别是个人信息、个人信息处理(lǐ)者、个人信息处理(lǐ)、个人信息主體(tǐ)、属地法律法规。明确區(qū)分(fēn)大湾區(qū)个人信息和“内陆个人信息”，《实践指南》中(zhōng)个人信息是以電(diàn)子或者其他(tā)方式记录的与已识别或者可(kě)识别的自然人有(yǒu)关的各种信息，未提及“匿名(míng)化处理(lǐ)后的信息”。数据出境中(zhōng)不仅需注意原始数据性质(zhì)，更需注意企业属地（是否為(wèi)大湾區(qū)、自贸區(qū)）、是否可(kě)免审核出境，企业需要尽快借助数据出境合规治理(lǐ)平台，加强数据出境管理(lǐ)能(néng)力与管理(lǐ)精(jīng)细度，降低违规风险。

第三部分(fēn)，基本原则，共提出了六大原则即“合法、正当、诚信原则、最小(xiǎo)必要原则、公(gōng)开透明原则、质(zhì)量保障原则、确保安(ān)全原则、责任明确原则”与《个人信息安(ān)全保护规范》做了对应和调整。第四部分(fēn)，个人信息处理(lǐ)要求，透露了两大信息，第一、是香港内地法律法规逐渐靠拢。在遵循内地原则的基础上，同时强调了属地管理(lǐ)，就香港的个人信息处理(lǐ)者而言，处理(lǐ)个人信息应符合香港《个人资料(私隐)条例》相关规定（包括其附表一的保障资料原则）。第二，个人信息告知同意；个人信息存储、使用(yòng)、加工(gōng)；个人信息委托处理(lǐ)、提供、公(gōng)开；个人信息跨境等均按照内地法律法规执行。强调了接收方不得将接收的个人信息转移至粤港澳大湾區(qū)之外的第三方（比如“内地”）。

第五部分(fēn)，个人信息权益保障要求，这部分(fēn)内容遵循了《个人信息保护法》、《个人信息安(ān)全规范》的相关内容，同时兼顾属地特性。特别提出了日期限制：“在 40 日内或属地法律法规规定的期限内作(zuò)出答(dá)复及合理(lǐ)解释，拒绝个人行使权利请求的应说明理(lǐ)由”

第六部分(fēn)，个人信息安(ān)全要求，这部分(fēn)对跨境个人信息安(ān)全问题做了要求，强调了责任人、责任主體(tǐ)和安(ān)全管理(lǐ)等相关措施，在《个人信息安(ān)全规范》第十一章的基础上，强化了跨境个人信息保护的要求。

总體(tǐ)来说《实践指南》拥有(yǒu)三大亮点。

一、為(wèi)“一國(guó)两制三法系”的复杂环境下降低数据合规成本、促进跨境数据共享定义了规范基線(xiàn)，这不但对大湾區(qū)跨境数据共享的先行先试至关重要，而且為(wèi)未来实现“数字中(zhōng)國(guó)”跨领域的数据资源大循环體(tǐ)系和“数字丝路”的跨境数据资源大循环體(tǐ)系提供了重要参考。二、《实践指南》针对粤港澳大湾區(qū)范围内的10个城市完善个人信息跨境传输及处理(lǐ)的安(ān)全指引，这是大湾區(qū)数据跨境共享跨出的重要一步，是开始、是起点、更是尝试。三、《实践指南》為(wèi)数据跨境共享提供了统一、灵活、支持海量参与方平等参与的跨境数据网络。该数据网络不但必须做到支持辖區(qū)/领域隔离（随时切断）、辖區(qū)/领域合规（各自符合相关规范），而且还要具(jù)备普适通用(yòng)、高性能(néng)、强共识的特点。為(wèi)确保数据跨境各参与方采用(yòng)合理(lǐ)的安(ān)全技(jì )术手段，符合相关法律法规，需要建立科(kē)學(xué)的认证流程。爱加密持续跟进监管动态致力于数据流动安(ān)全的防护与治理(lǐ)，為(wèi)解决企业数据出境备案痛点，推出爱加密数据出境合规治理(lǐ)平台，产(chǎn)品遵循《规范和促进数据跨境流动规定》强调的“事前评估、事中(zhōng)监测、事后留档”的治理(lǐ)思路。可(kě)帮助企业持续有(yǒu)序地治理(lǐ)出境业務(wù)，提供出境资产(chǎn)管理(lǐ) 、出境前风险自评估 、风险治理(lǐ)以及持续监测等功能(néng)。拥有(yǒu)数据事实/数据安(ān)全监测能(néng)力，可(kě)识别新(xīn)增出境接口，监测出境接口风险、出境数据类型及出境國(guó)家范围、出境事件、敏感数据出境行為(wèi)等。

爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，将持续加强技(jì )术创新(xīn)与研究，持续关注数据安(ān)全领域最新(xīn)监管要求与企业痛点。从法律、技(jì )术、规则等角度继续提升数据流动治理(lǐ)能(néng)力，帮助企业有(yǒu)效防范化解风险，為(wèi)数字经济高质(zhì)量发展保驾护航。END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容