除了上述提到的法律法规与中美的差异明显,在合同方面,香港的跨境数据传输标准合同条款仍不够成熟,与中美的衔接程度仍不够高。2022年5月12日,香港个人资料私隐专员公署(PCPD)发布了个人跨境数据传输的建议合同条款范本指引,香港的数据出境标准合同条款(RMCC)包括2014RMCC、2022RMCC等。虽然为企业提供了数据传输方和接收方之间的权利义务框架,但相较于美国或中国内地的标准合同条款,在法律效力、适用范围上仍不够具体明确。首先是合同条款的法律效力方面,香港遵循《个人资料(私隐)条例》,虽由香港个人资料私隐专员公署监管,但性质上属于推荐性合同条款,企业采纳与否全凭自愿。而中国内地的标准合同条款是数据出境的法定要求,具有强制性。其次是适用范围方面,香港的标准合同条款适用于香港机构向境外传输数据,以及境外机构间由香港控制的数据传输。中国内地的标准合同条款适用于个人信息处理者向境外提供个人信息的各种情形。在美国,企业根据需要制定跨境数据传输合同,适用范围更大。当企业在香港依据香港标准合同条款进行数据交换或处理活动,一旦出现合同条款在不同地区的标准不一致,可能会导致合同的执行存在不确定性,阻碍合同的顺利执行。
(二)缺乏与中美协商一致的监督机制
由上文可知,香港的数据跨境法律规定与中美仍存在较大差距。数据流通的监督依据与监管机制取决于法律法规效力的强大与否,而香港与中国内地及美国在数据流通监管机构设置与机构运行规则方面存在差异,在这种现实制约下,香港与中美建立协商一致的监督机制难度不小。当前统一监督机制缺失,不仅会使企业面临更高的合规风险,增加企业的发展成本,还会降低企业在全球范围共享和利用数据的效率。
香港设立了独立的个人资料私隐专员公署负责个人资料保护,主要基于《个人资料(私隐)条例》,目前第33条数据跨境传输的专门性规定尚未实施,因此现阶段个人资料从香港输出并无任何限制。内地由国家互联网信息办公室等机构负责相关监管工作,依据《网络安全法》《数据安全法》《个人信息保护法》等,确立了数据出境安全评估、个人信息保护认证、标准合同等监管机制。美国则由联邦贸易委员会(FTC)等机构监管,采取分散的监管策略。整体而言,美国以维护数字竞争优势和实施“长臂管辖”为主旨,执行限制数据跨境流动系列政策,并不断加强对数据隐私和网络安全的监管。三地数据流通监管机构的设置与运行规则以及立法和司法权限不一阻碍了制度的衔接。
此外,因香港缺乏与中美协商一致的监管机制,近年来很多企业在与美国进行数字贸易的过程中都会受到美国的制裁。2024年4月,美国参议院以“国家安全”为由通过了强制字节跳动剥离美国TikTok否则出具禁令的H.R.8038法案。同月,美国伊利诺伊州北区地方法院要求海能达必须在全球范围内停售涉及双向无线电通信技术的产品,并向法庭缴纳日罚金100万美元,直至海能达遵守法院命令。2024年5月,美国联邦通信委员会提出永久禁止华为、海能达、海康威视等被列入“受管制清单”的企业参与无线设备认证项目提案。 |
