第33(2)条规定了个人资料跨境传输的条件，资料使用者原则上不得将个人资料转移至香港以外的地方，除非符合以下条件：

(a)个人资料转移目的地是为本条的施行而在第(3)款下的公告中指明的；

(b)该使用者有合理理由相信个人资料转移目的地有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效；

(c)有关的资料当事人已书面同意该项移转；

(d)该使用者有合理理由相信：(i)该项移转是为避免针对资料当事人的不利行动或减轻该等行动的影响而作出的；(ii)获取资料当事人对该项移转的书面同意不是切实可行的；及(iii)如获取书面同意是切实可行的，则资料当事人是会给予上述同意的；

(e) 该资料凭借《私隐条例》第八部的规定获得豁免，而不受第3保障资料原则所管限；

(f)该使用者已采取所有合理的预防措施及已作出所有应作出的努力，以确保该资料不会在个人资料转移目的地以违反《私隐条例》的方式收集、持有、处理或使用。

第33(3)条及第33(4)条则对第33(2)(a)条项下的公告进行了说明，规定专员有合理理由相信个人资料转移目的地有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效，可进行宪报公告，并在该地区已不再有与本条例大体上相似或达致与本条例的目的相同的目的之法律正在生效时，废除或修订该公告。

为避免疑问，第33(5)条对何为主要业务地点是在香港的资料使用者、第33(3)条项下公告的性质以及第33条与第50条的关系进行了明确。

02

2014年《指引》对《私隐条例》

第33条的解析

2014年《指引》内容主要分为两部分：一是对第33条适用的相关问题进行解释；二是提供参考协议模板供资料使用者与境外资料接收方签署，以满足“已采取所有合理的预防措施及作出所有应作出的努力，以确保处理个人资料的方式不会违反条例的规定”的要求。本部分将主要针对2014年《指引》对第33条适用的相关问题解释进行介绍。

(一)适用主体

2014年《指引》进一步说明了第33条的适用主体仅限于资料使用者，即就个人资料而言，独自或连同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人（类似于《个人信息保护法》项下的个人信息处理者）。而《私隐条例》第2(12)条规定，不为其任何本身目的而纯粹代另一人持有、处理或使用个人资料的人不算该个人资料的资料使用者（即资料处理者，类似于《个人信息保护法》项下的受托人），故不适用第33条。2014年《指引》以电讯服务为例，强调了电讯服务提供者为其他资料使用者而跨境传输个人资料，不适用第33条，但是使用电讯服务的资料使用者须适用第33条。虽有上述分析，但2014年《指引》在对资料使用者聘用第三方处理个人资料涉及将资料转移至香港境外的分析中提到“管有个人资料的资料使用者须对资料当事人负责，确保第三方服务提供者的作为（如在香港境外储存及/或处理个人资料）符合第33条的规定”，因此，受资料使用者委托持有、处理或使用个人资料的主体虽然不直接适用第33条，但因资料使用者适用第33条，受委托的主体的行为也须符合第33条的规定。

(二)适用情况

第33条适用情况为：（1）将个人资料由香港转移至境外；（2）在两个其他司法区之间转移个人资料，但有关转移是由香港的资料使用者所控制。而个人资料在两个香港主体传输过程中中转境外，且未在传输中被查阅或储存，这种情况下的资料传输不受第33条的规制。

与中国大陆将“数据处理者收集和产生的数据存储在境内，境外的机构、组织或个人可以查询、调取、下载、导出”纳入数据出境行为类似，2014年《指引》特别强调，跨国企业将个人资料存储于香港的服务器中，其香港境外办事处的雇员可以下载相关个人资料，则上述个人资料的传输也须符合第33条的规定。

(三)第33(2)条项下禁止跨境转移个人资料的例外情况

1.第33(2)(a)条专员在公报指明的司法区——白名单

专员将评估其他司法区是否有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律正在生效，并根据第33（3）条公告司法区名单（白名单）。资料使用者可以将个人资料转移至白名单上的任何司法区。这种由个人资料主管机关评估其他司法区数据保护法律法规是否达到其保护标准，并对传输至达到标准的司法区的数据跨境传输免除限制的，类似于GDPR项下的充分性决定（adequacy decision）。

2.第33(2)(b)条资料使用者有合理理由相信该地方有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律正在生效

该条同样要求对个人资料传输目的地司法区是否有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律正在生效进行评估，但是此条的评估主体为资料使用者，且针对的是没有被专员评估的司法区。已被专员检阅但评定为不足以纳入白名单的司法区，资料使用者的评估与专员的决定相反，则很大概率不会被认为合理，除非有关司法区的资料保障机制在专员做出决定之后有所变更。

2014年《指引》指出，依据此条做出的评估必须是有合理理由支持的，不能是纯粹主观的相信，建议资料使用者咨询专业人士、征询法律意见。

3.第33(2)(c)条资料当事人以书面同意转移

如资料使用者依据此条进行个人资料跨境传输，则资料当事人必须以书面明确、自愿的方式进行同意，且该项同意没有被撤回。

2014年《指引》提供了有效的书面同意例子，在示例中，资料使用者须向资料当事人告知传输资料的目的、种类、资料传输的目的地，特别说明该司法区可能没有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律，并提示资料使用者的个人资料未必可以获得与在香港相同或类似程度的保障。除上述告知事项外，资料使用者须提供空格让资料当事人签署表示明白及以书面表示同意有关的安排。

4.第33(2)(d)条避免针对资料当事人的不利行动或减轻该等行动所造成的影响

此项例外的适用局限性较大，个人资料出境是为保障资料当事人的利益所必需，须满足如下全部条件：（1）资料使用者有合理理由相信该项移转是为避免针对资料当事人的不利行动或减轻该等行动的影响而作出的；（2）获取资料当事人对该项移转的书面同意不是切实可行的；及（3）如获取书面同意是切实可行的，则资料当事人是会给予上述同意的。例如，在必需转移个人资料以履行合约，如不进行转移，作为合约一方的资料当事人会遭受巨大财务损失。

5.第33(2)(e)条《私隐条例》第八部的豁免

《私隐条例》第八部规定的情况可豁免《私隐条例》或六项保障资料原则的适用，其中可豁免第33条适用的情况包括：个人持有与其家庭事务、消闲相关的个人资料（第52条）、为防止罪行（第58条）、为资料当事人的健康（第59条）、香港法律规定（第60B条）、新闻活动（第61条）、统计及研究（第62条）、紧急情况（第63C条）。

6.第33(2)(f)条已采取所有合理的预防措施及作出所有应作出的努力，以确保处理个人资料的方式不会违反条例的规定

资料使用者可通过与资料接收方签订协议对个人资料出境进行约束，如使用2014年《指引》和2022年《指引》所附合同范本。此外，资料使用者还可以通过监督和审核机制达到本条的要求，境外资料接收者须遵从第2至6保障资料原则的规定，如境外资料接收者须有足够的技术能力及组织措施处理个人资料、有健全的政策及程序、定期对境外资料接收者进行审计等。

(四)总结

1.建议采取多种措施保护出境的个人资料

虽然适用上述任一例外，资料使用者即可将个人资料跨境传输至香港以外，但采取多种措施保障个人资料跨境传输的安全则是更好的实践做法。如资料当事人以书面的方式已同意其个人资料的跨境传输，资料使用者与境外资料接收方签署个人资料跨境传输相关协议可以更好地规范双方在个人资料跨境传输中的行为，更好地保护资料当事人的合法权益，保障个人资料安全。

2.建议留存履行相关义务的证据

除向专员公布的“白名单”地区的资料接收方传输个人资料外，资料使用者适用第33(2)条的其他例外条件实现个人资料跨境传输，对其适用的例外条件具有举证责任。

对于自行评估资料接收方所在地是否有与《私隐条例》大体上相似或达致与《私隐条例》的目的相同的目的之法律正在生效（第33(2)(b)条），资料使用者应保留其做出评估结论的依据作为证据，如专业人士出具的法律意见。

针对资料当事人以书面同意转移，资料使用者须保留资料当事人的书面同意，如该同意是由其他人取得的，资料使用者须索取书面同意的副本。

对避免针对资料当事人的不利行动或减轻该等行动所造成的影响，2014年《指引》未对此种情况下所要求的具体证明材料进行列举，但强调资料使用者须以事实证明其信念的合理性。

对因适用《私隐条例》第八部的豁免而不适用第33条，资料使用者对具体适用的豁免情况具有举证责任。

资料使用者如选择采取合理的预防措施及作出所有应作出的努力以确保处理个人资料的方式不会违反条例的规定，须对其采取的有效方式进行记录。当专员收到投诉时，专员会就资料使用者采取的所有措施进行评估以判断资料使用者是否满足此项例外的适用。

03

2014年《指引》及2022年《指引》

项下的建议范本

不同于中国大陆出台的《个人信息出境标准合同》须严格按照国家网信办发布的版本签订，2014年《指引》及2022年《指引》所附建议条文范本（“建议条文”）更加灵活，建议条文可被修改，只要建议条文实质上可实现对个人资料提供与《私隐条例》所规定的相同保障水平，也可被纳入资料使用者与资料接收方签订的商业协议中。

本部分将分别介绍2014年《指引》及2022年《指引》所附建议条文的主要内容。

(一)2014年《指引》项下的建议范本主要内容

2014年《指引》项下的建议条文分为核心条文、额外条文及解释说明。2014年《指引》特别指出额外条文用于更详细说明双方的权利和义务，即使没有额外条文，协议也不会被视为不足以符合第33(2)(f)条的规定。

1.核心条款

核心条款包括五个条款及附表一。具体内容如下：

转移人的责任。转移人须保证个人资料是合法地转移至承转人，符合第3保障资料原则的规定，如合法收集个人资料、保证个人资料的准确性、转移个人资料与收集该个人资料时的目的相同、取得资料当事人明确自愿的同意（如将个人资料用于新目的）等。

承转人的义务。承转人须出于协议所列的目的使用个人资料、安全持有个人资料、确保资料当事人查阅及改正个人资料的权利、原则上不得再向香港以外的第三方传输个人资料等。

法律责任与补偿。转移人与承转人对资料当事人由此造成的损害负共同及各自的法律责任，违约方须补偿守约方的损害，承转人须补偿再承转人给转移人造成的损害等。

争议解决。协议受香港法律管辖。如资料当事人或执法机构就本协议项下个人资料的处理向一方提出争议时，须通知协议的另一方，并进行合作协商。

终止。转移人有权在承转人违约时终止本协议。协议终止后，承转人须归还被转移的个人资料及副本，或销毁全部个人资料。

附表一是关于转移的描述，须填写转移人、承转人、资料当事人类别、个人资料转移目的、接收者（包括再承转人）或其类别、承转人采取的安全措施、承转人拟采取的非合约措施及审核机制。

2.额外条款

在核心条款的基础上，资料使用者可在协议中加入额外条款。额外条款包括：

资料当事人的第三者权利。转移人须按资料当事人的要求提供协议副本、协议双方同意给予资料当事人第三者权利等。

承转人的额外责任。承转人具有行为能力及权限做出协议所涉承诺，须指明个人资料转移相关事宜的联系人、在发生信息安全事件时及时通知转移人等。

3.解释说明

此部分对承转人须遵守之保障资料原则、再转移、转移个人资料的审核要求、双方之法律责任、争议的解决及终止所涉及的条款内容进行了细化解释，便于双方更好地理解核心条款及额外条款。

(二)2022年《指引》项下的建议条文

2022年《指引》是对2014年《指引》（含后附建议条文）的补充，2022年《指引》根据不同的资料跨境转移情况，提供了两套不同版本的建议条文：一套为用于资料使用者转移个人资料至资料使用者的建议条文，资料转移者和资料接收者分别使用有关个人资料用于其业务用途；另一套为用于资料使用者转移个人资料至资料处理者的建议条文，资料接收者仅为资料转移者指定的用途处理个人资料。

1.用于资料使用者转移个人资料至资料使用者的建议条文

定义。对《私隐条例》没有定义的继续转移的接收者、准许司法管辖区、转移的个人资料、转移目的、保留时期等进行了定义。

释义。明确本条文参照《私隐条例》进行解释。

资料转移者的责任。资料转移者承诺会根据《私隐条例》为转移目的将个人资料转移至准许司法管辖区的资料接收者。

资料接收者的责任。资料接收者向资料转移者做出的保证及承诺共11项，主要包括：仅为转移目的使用个人资料；个人资料足够满足转移目的，且未超过必要限度；采取资料转移一览表所列安全措施使用个人资料；仅在达成转移目的所需的时间或双方约定的保留时期内，保留个人资料，保留时期届满时，删除个人资料；采取可行的措施，兼顾转移目的，确保转移的个人资料的准确性；对继续转移的接收者行为进行约束等。

资料当事人的查阅及改正资料权利。根据资料转移一览表关于收取及处理资料当事人的查阅及改正资料要求的安排，资料转移者及资料接收者履行各自的责任。

有关直接促销的条文。收到资料转移者有关停止使用个人资料用于直接促销的书面通知后，除《私隐条例》另有规定外，资料接收者须立即停止该行为。

资料转移一览表须填写转移的描述（转移的个人资料的类别、转移目的、准许司法管辖区、保留时期）、继续转移（转移的个人资料的类别、继续转移的接收者（具体说明或以类别表示）、继续转移的目的、准许司法管辖区、保留时期）、安全措施、资料当事人的查阅及改正资料要求。

2.用于资料使用者转移个人资料至资料处理者的建议条文

与资料使用者转移个人资料至资料使用者的建议条文相比，资料使用者转移个人资料至资料处理者的建议条文内容更为简洁，仅有三条：定义、释义、资料接收者的责任。其中，关于资料接收者的责任相关约定也更为简单。资料转移一览表须填写转移的描述（转移的个人资料的类别、转移目的、准许司法管辖区、保留时期）、分包处理（分包处理的个人资料的类别、分包处理者（具体说明或以类别表示）、准许司法管辖区、保留时期）以及安全措施。

04

合规建议

虽然《私隐条例》第33条尚未生效，但《2014指引》和《2022指引》均指明不论第33条何时生效，鼓励资料使用者采取建议的实务行事方式以保障及尊重当事人的个人资料。

具体而言，我们建议资料使用者密切关注第33条的生效情况以及香港个人资料私隐专员公署出台的相关指引。现阶段，我们建议资料使用者参考《2014指引》和《2022指引》所附建议条文，与境外资料接收者签署相关协议以对个人资料出境活动进行规范。尤其是当资料使用者聘用香港以外的资料处理者时，第2保障资料原则第（3）条规定，资料使用者须采取合约规范方式或其他方法，以防止转移予该资料处理者的个人资料的保存时间超过处理该资料所需的时间。资料使用者与境外资料处理者签订合约规范不仅是遵从第33条的良好行为方式，而且也履行了第2保障资料原则规定的合规义务。

···作者简介···

徐云飞

合伙人律师

[email protected]

中国人民大学法学硕士，北京市中伦文德律师事务所合伙人，EXIN认证数据保护官（DPO），中伦文德网络安全与数据合规专业委员会主任、人工智能法律专业委员会主任、东亚法律业务专业委员会主任。曾就职于北京市君合律师事务所（期间被外派至日本伊藤忠商事株式会社法务部工作）和信息产业部电子一所（已更名为国家工业信息安全发展研究中心）。

徐云飞律师入选了 2020 年度、2022年度LEGALBAND网络安全与数据合规领域中国律师特别推荐榜 15 强，2021年度、2022年度、2023年度（第一梯队） 、 2024年度（第一梯队） LEGALBAND网络安全与数据合规领域中国顶级律师排行榜，Exterro ACE 2021年度Top 15 Data Privacy Lawyers 、2022年度TOP 15 Legal Tech Lawyers 。

徐云飞律师擅长数据出境、数据合规尽职调查、数据合规体系搭建、数据合规法律文件起草制定、数据合规培训、数据泄露事件处理及应对调查，以及为业务运营中的数据保护疑难问题等提供法律意见及协助。徐云飞律师已为多家境内外公司提供了数据合规相关的法律服务，在数据合规领域具有丰富的经验。

苏世琦

律师

上海交通大学法学院获法学学士、经济学学士，英国伦敦政治经济学院法律与会计专业理学硕士，曾就职于竞天公诚律师事务所和某互联网上市公司从事法律工作。

具备数据合规、企业管理、投资并购、争议解决与诉讼等工作经验。擅长数据出境安全评估或标准合同备案、数据合规尽职调查及数据合规法律文件起草制定。

推荐阅读

法评 | 数据出境系列文章之四——中国版标准合同规则与实操要点简析

法评 | 数据出境系列文章之三——《促进和规范数据跨境流动规定》要点解读与合规建议

邀请函 | 诚邀莅临中伦文德华贸中心办公室乔迁庆典返回搜狐，查看更多