您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
個人信息出境標(biāo)準(zhǔn)合同辦法
國家互聯(lián)網(wǎng)信息辦公室令
第13號
《個人信息出境標(biāo)準(zhǔn)合同辦法》已經(jīng)2023年2月3日國家互聯(lián)網(wǎng)信息辦公室2023年第2次室務(wù)會議審議通過,現(xiàn)予公布,自2023年6月1日起施行。
國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文
2023年2月22日
個人信息出境標(biāo)準(zhǔn)合同辦法
第一條 為了保護(hù)個人信息權(quán)益,規(guī)范個人信息出境活動,根據(jù)《中華人民共和國個人信息保護(hù)法》等法律法規(guī),制定本辦法。
第二條 個人信息處理者通過與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同(以下簡稱標(biāo)準(zhǔn)合同)的方式向中華人民共和國境外提供個人信息,適用本辦法。
第三條 通過訂立標(biāo)準(zhǔn)合同的方式開展個人信息出境活動,應(yīng)當(dāng)堅持自主締約與備案管理相結(jié)合、保護(hù)權(quán)益與防范風(fēng)險相結(jié)合,保障個人信息跨境安全、自由流動。
第四條 個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息的,應(yīng)當(dāng)同時符合下列情形:
(一)非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者;
(二)處理個人信息不滿100萬人的;
(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的;
(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的,從其規(guī)定。個人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。
第五條 個人信息處理者向境外提供個人信息前,應(yīng)當(dāng)開展個人信息保護(hù)影響評估,重點評估以下內(nèi)容:
(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性;
(二)出境個人信息的規(guī)模、范圍、種類、敏感程度,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險;
(三)境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全;
(四)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險,個人信息權(quán)益維護(hù)的渠道是否通暢等;
(五)境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)對標(biāo)準(zhǔn)合同履行的影響;
(六)其他可能影響個人信息出境安全的事項。
第六條 標(biāo)準(zhǔn)合同應(yīng)當(dāng)嚴(yán)格按照本辦法附件訂立。國家網(wǎng)信部門可以根據(jù)實際情況對附件進(jìn)行調(diào)整。個人信息處理者可以與境外接收方約定其他條款,但不得與標(biāo)準(zhǔn)合同相沖突。標(biāo)準(zhǔn)合同生效后方可開展個人信息出境活動。
第七條 個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。備案應(yīng)當(dāng)提交以下材料:
(一)標(biāo)準(zhǔn)合同;
(二)個人信息保護(hù)影響評估報告。個人信息處理者應(yīng)當(dāng)對所備案材料的真實性負(fù)責(zé)。
第八條 在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的,個人信息處理者應(yīng)當(dāng)重新開展個人信息保護(hù)影響評估,補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同,并履行相應(yīng)備案手續(xù):
(一)向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限的;
(二)境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的;
(三)可能影響個人信息權(quán)益的其他情形。
第九條 網(wǎng)信部門及其工作人員對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十條 任何組織和個人發(fā)現(xiàn)個人信息處理者違反本辦法向境外提供個人信息的,可以向省級以上網(wǎng)信部門舉報。
第十一條 省級以上網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的,可以依法對個人信息處理者進(jìn)行約談。個人信息處理者應(yīng)當(dāng)按照要求整改,消除隱患。
第十二條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國個人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十三條 本辦法自2023年6月1日起施行。本辦法施行前已經(jīng)開展的個人信息出境活動,不符合本辦法規(guī)定的,應(yīng)當(dāng)自本辦法施行之日起6個月內(nèi)完成整改。
來源:網(wǎng)信中國