感谢IT之家网友 天堂男孩 的线索投递!
IT之家 5 月 30 日消息,为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。
个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
IT之家附原文如下:
个人信息出境标准合同备案指南(第一版)
《个人信息出境标准合同办法》自 2023 年 6 月 1 日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。
个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满 100 万人的;
(三)自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;
(四)自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
以下情形属于个人信息出境行为:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他个人信息出境行为。
个人信息处理者应当在标准合同生效之日起 10 个工作日内,通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案。
标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。
(一)材料提交
个人信息处理者备案标准合同,应当提交如下材料(要求见附件 1):
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件 2)
5.承诺书(模板见附件 3)
6.标准合同(范本见附件 4)
7.《个人信息保护影响评估报告》(模板见附件 5)
(二)材料查验及反馈备案结果
省级网信办收到材料后,在 15 个工作日内完成材料查验,并通知个人信息处理者备案结果。
备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于 10 个工作日内再次提交。
(三)补充或者重新备案
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
3.可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为 15 个工作日。
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。
电子邮箱:bzht@cac.gov.cn
联系电话:010-55627565
下文节选自附件合同条款:
在本合同中,除上下文另有规定外:
(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。
(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。
(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。
(四)“个人信息主体”是指个人信息所识别或者关联的自然人。
(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗 教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(七)“监管机构”是指中华人民共和国省级以上网信部门。
(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。
(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。
个人信息处理者应当履行下列义务:
(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在 30 日内明确拒绝,则可以依据本合同享有第三方受益人的权利。
(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:
(如加密、匿名化、去标识化、访问控制等技术和管理措施)
(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。
(七)答复监管机构关于境外接收方的个人信息处理活动的询问。
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。
2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。
3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。
4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少 3 年。
(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(十)对本合同义务的履行承担举证责任。
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。
境外接收方应当履行下列义务:
(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。
(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。
(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(四)采取对个人权益影响最小的方式处理个人信息。
(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
(六)按下列方式保障个人信息处理安全:
1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。
2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:
1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。
2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项:
(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。
(2)已采取的补救措施。
(3)个人信息主体可以采取的减轻危害的措施。
(4)负责处理相关情况的负责人或者负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第 2 目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。
4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:
1.确有业务需要。
2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。
5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
(十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。
(十二)对开展的个人信息处理活动进行客观记录,保存记录至少 3 年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。
(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。
(一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。
(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估:
1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。
2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。
(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。
(四)双方应当记录根据本条第二项进行评估的过程和结果。
(五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。
(六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。
双方约定个人信息主体作为本合同第三方受益人享有以下权利:
(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。
(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。
境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。
(四)境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。
(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:
1.第二条,但第二条第五项、第六项、第七项、第十一项除外。
2.第三条,但第三条第七项第 2 目和第 4 目、第九项、第十一项、第十二项、第十三项除外。
3.第四条,但第四条第五项、第六项除外。
4.第五条。
5.第六条。
6.第八条第二项、第三项。
7.第九条第五项。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。