您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)》(全文)
為了指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范有序申報(bào)數(shù)據(jù)出境安全評(píng)估、備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同,國家互聯(lián)網(wǎng)信息辦公室編制了《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第二版)》、《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)》,對(duì)申報(bào)數(shù)據(jù)出境安全評(píng)估、備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同的方式、流程和材料等具體要求作出了說明,對(duì)數(shù)據(jù)處理者需要提交的相關(guān)材料進(jìn)行了優(yōu)化簡化。
數(shù)據(jù)處理者因業(yè)務(wù)需要向境外提供重要數(shù)據(jù)和個(gè)人信息,應(yīng)當(dāng)遵守《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》有關(guān)規(guī)定。符合數(shù)據(jù)出境安全評(píng)估適用情形的,按照申報(bào)指南申報(bào)數(shù)據(jù)出境安全評(píng)估;通過與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的,按照備案指南向所在地省級(jí)網(wǎng)信部門備案。
國家互聯(lián)網(wǎng)信息辦公室開通了“數(shù)據(jù)出境申報(bào)系統(tǒng)”,網(wǎng)址:https://sjcj.cac.gov.cn。數(shù)據(jù)處理者可以通過該系統(tǒng)申報(bào)數(shù)據(jù)出境安全評(píng)估、備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同,具體使用說明見系統(tǒng)首頁《用戶手冊(cè)》。
附件:1.數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第二版)
2.個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)
個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)
根據(jù)《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》、《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》,為指導(dǎo)和幫助個(gè)人信息處理者規(guī)范有序備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同(以下簡稱標(biāo)準(zhǔn)合同),特制定本指南。
一、適用范圍
個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息,同時(shí)符合下列情形的應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門備案:
(一)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者;
(二)自當(dāng)年1月1日起,累計(jì)向境外提供10萬人以上、不滿100萬人個(gè)人信息(不含敏感個(gè)人信息)的;
(三)自當(dāng)年1月1日起,累計(jì)向境外提供不滿1萬人敏感個(gè)人信息的。
屬于《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
個(gè)人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過出境安全評(píng)估的個(gè)人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。
以下情形屬于個(gè)人信息出境行為:
(一)個(gè)人信息處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息傳輸至境外;
(二)個(gè)人信息處理者收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出;
(三)符合《個(gè)人信息保護(hù)法》第三條第二款情形,在境外處理境內(nèi)自然人個(gè)人信息等其他個(gè)人信息處理活動(dòng)。
二、備案方式
個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi),通過數(shù)據(jù)出境申報(bào)系統(tǒng)備案,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn。
三、備案流程
標(biāo)準(zhǔn)合同備案流程包括材料提交、材料查驗(yàn)及反饋備案結(jié)果、補(bǔ)充或者重新備案等環(huán)節(jié)。
(一)材料提交
個(gè)人信息處理者備案標(biāo)準(zhǔn)合同,應(yīng)當(dāng)提交如下材料(要求見附件1):
1.統(tǒng)一社會(huì)信用代碼證件影印件
2.法定代表人身份證件影印件
3.經(jīng)辦人身份證件影印件
4.經(jīng)辦人授權(quán)委托書(模板見附件2)
5.承諾書(模板見附件3)
6.標(biāo)準(zhǔn)合同(范本見附件4)
7.《個(gè)人信息保護(hù)影響評(píng)估報(bào)告》(模板見附件5)
(二)材料查驗(yàn)及反饋備案結(jié)果
省級(jí)網(wǎng)信辦應(yīng)當(dāng)自個(gè)人信息處理者提交備案材料之日起15個(gè)工作日內(nèi)完成材料查驗(yàn),并向符合備案要求的個(gè)人信息處理者發(fā)放備案編號(hào)。需要補(bǔ)充完善材料的,個(gè)人信息處理者應(yīng)當(dāng)在10個(gè)工作日內(nèi)提交補(bǔ)充完善材料;逾期未補(bǔ)充完善材料的,可以終止本次備案程序。
(三)補(bǔ)充或者重新備案
在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)重新開展個(gè)人信息保護(hù)影響評(píng)估,補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同,并履行相應(yīng)備案手續(xù):
1.向境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化,或者延長個(gè)人信息境外保存期限的;
2.境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的;
3.可能影響個(gè)人信息權(quán)益的其他情形。
個(gè)人信息處理者在標(biāo)準(zhǔn)合同有效期內(nèi)補(bǔ)充訂立標(biāo)準(zhǔn)合同的,應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信辦提交補(bǔ)充材料;重新訂立標(biāo)準(zhǔn)合同的,應(yīng)當(dāng)重新備案。補(bǔ)充或者重新備案的材料查驗(yàn)時(shí)間為15個(gè)工作日。
個(gè)人信息處理者對(duì)所提交材料的真實(shí)性負(fù)責(zé),提交虛假材料的,注銷備案編號(hào),并依法追究相應(yīng)法律責(zé)任。
四、咨詢、舉報(bào)聯(lián)系方式
聯(lián)系電話:010-55627565
電子郵箱:bzht@cac.gov.cn
附件:
1.個(gè)人信息出境標(biāo)準(zhǔn)合同備案材料要求
2.經(jīng)辦人授權(quán)委托書(模板)
3.承諾書(模板)
4.個(gè)人信息出境標(biāo)準(zhǔn)合同(范本)
5.個(gè)人信息保護(hù)影響評(píng)估報(bào)告(模板)
附件1
個(gè)人信息出境標(biāo)準(zhǔn)合同備案材料要求
附件2
經(jīng)辦人授權(quán)委托書(模板)
本人 姓名(身份證件號(hào)碼: )系 個(gè)人信息處理者名稱 的法定代表人,現(xiàn)授權(quán)我單位 姓名(身份證件號(hào)碼: )為個(gè)人信息出境標(biāo)準(zhǔn)合同備案經(jīng)辦人。經(jīng)辦人代表我單位進(jìn)行個(gè)人信息出境標(biāo)準(zhǔn)合同備案過程中的一切行為,包括所簽署和上傳的資料,我單位均予以承認(rèn),并將承擔(dān)相應(yīng)的法律責(zé)任。
授權(quán)委托期限: 年 月 日至 年 月 日
經(jīng)辦人無轉(zhuǎn)委托權(quán)。
單位名稱(蓋章):
法定代表人(簽字):
經(jīng) 辦 人(簽字):
年 月 日
附件3
承 諾 書(模板)
本單位鄭重承諾:
一、出境個(gè)人信息的收集、使用符合中華人民共和國有關(guān)法律法規(guī)規(guī)定;
二、備案材料所有內(nèi)容真實(shí)、完整、準(zhǔn)確和有效;
三、未采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過出境安全評(píng)估的個(gè)人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供;
四、為國家網(wǎng)信辦組織實(shí)施的個(gè)人信息出境標(biāo)準(zhǔn)合同備案工作提供必要的配合和支持;
五、個(gè)人信息保護(hù)影響評(píng)估工作為備案之日前3個(gè)月內(nèi)完成,且至備案之日未發(fā)生重大變化。
本單位知曉并充分理解上述承諾內(nèi)容,若承諾不實(shí)或者違背承諾,愿意承擔(dān)相應(yīng)法律責(zé)任。
法定代表人(簽字):
單位(蓋章):
年 月 日
附件4
個(gè)人信息出境標(biāo)準(zhǔn)合同
國家互聯(lián)網(wǎng)信息辦公室 制定
為了確保境外接收方處理個(gè)人信息的活動(dòng)達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn),明確個(gè)人信息處理者和境外接收方個(gè)人信息保護(hù)的權(quán)利和義務(wù),經(jīng)雙方協(xié)商一致,訂立本合同。
個(gè)人信息處理者:
地址:
聯(lián)系方式:
聯(lián)系人: 職務(wù):
境外接收方:
地址:
聯(lián)系方式:
聯(lián)系人: 職務(wù):
個(gè)人信息處理者與境外接收方依據(jù)本合同約定開展個(gè)人信息出境活動(dòng),與此活動(dòng)相關(guān)的商業(yè)行為,雙方【已】/【約定】于 年 月 日訂立 (商業(yè)合同,如有)。
本合同正文根據(jù)《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》的要求擬定,在不與本合同正文內(nèi)容相沖突的前提下,雙方如有其他約定可在附錄二中詳述,附錄構(gòu)成本合同的組成部分。
第一條 定義
在本合同中,除上下文另有規(guī)定外:
(一)“個(gè)人信息處理者”是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的,向中華人民共和國境外提供個(gè)人信息的組織、個(gè)人。
(二)“境外接收方”是指在中華人民共和國境外自個(gè)人信息處理者處接收個(gè)人信息的組織、個(gè)人。
(三)個(gè)人信息處理者或者境外接收方單稱“一方”,合稱“雙方”。
(四)“個(gè)人信息主體”是指?jìng)€(gè)人信息所識(shí)別或者關(guān)聯(lián)的自然人。
(五)“個(gè)人信息”是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
(六)“敏感個(gè)人信息”是指一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。
(七)“監(jiān)管機(jī)構(gòu)”是指中華人民共和國省級(jí)以上網(wǎng)信部門。
(八)“相關(guān)法律法規(guī)”是指《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國民法典》《中華人民共和國民事訴訟法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等中華人民共和國法律法規(guī)。
(九)本合同其他未定義術(shù)語的含義與相關(guān)法律法規(guī)規(guī)定的含義一致。
第二條 個(gè)人信息處理者的義務(wù)
個(gè)人信息處理者應(yīng)當(dāng)履行下列義務(wù):
(一)按照相關(guān)法律法規(guī)規(guī)定處理個(gè)人信息,向境外提供的個(gè)人信息僅限于實(shí)現(xiàn)處理目的所需的最小范圍。
(二)向個(gè)人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、附錄一“個(gè)人信息出境說明”中處理目的、處理方式、個(gè)人信息的種類、保存期限,以及行使個(gè)人信息主體權(quán)利的方式和程序等事項(xiàng)。向境外提供敏感個(gè)人信息的,還應(yīng)當(dāng)向個(gè)人信息主體告知提供敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
(三)基于個(gè)人同意向境外提供個(gè)人信息的,應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,應(yīng)當(dāng)取得書面同意。
(四)向個(gè)人信息主體告知其與境外接收方通過本合同約定個(gè)人信息主體為第三方受益人,如個(gè)人信息主體未在30日內(nèi)明確拒絕,則可以依據(jù)本合同享有第三方受益人的權(quán)利。
(五)盡合理地努力確保境外接收方采取如下技術(shù)和管理措施(綜合考慮個(gè)人信息處理目的、個(gè)人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個(gè)人信息傳輸及境外接收方的保存期限等可能帶來的個(gè)人信息安全風(fēng)險(xiǎn)),以履行本合同約定的義務(wù):
(如加密、匿名化、去標(biāo)識(shí)化、訪問控制等技術(shù)和管理措施)
(六)根據(jù)境外接收方的要求向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本。
(七)答復(fù)監(jiān)管機(jī)構(gòu)關(guān)于境外接收方的個(gè)人信息處理活動(dòng)的詢問。
(八)按照相關(guān)法律法規(guī)對(duì)擬向境外接收方提供個(gè)人信息的活動(dòng)開展個(gè)人信息保護(hù)影響評(píng)估。重點(diǎn)評(píng)估以下內(nèi)容:
1.個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性。
2.出境個(gè)人信息的規(guī)模、范圍、種類、敏感程度,個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來的風(fēng)險(xiǎn)。
3.境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全。
4.個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等。
5.按照本合同第四條評(píng)估當(dāng)?shù)貍€(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響。
6.其他可能影響個(gè)人信息出境安全的事項(xiàng)。
保存?zhèn)€人信息保護(hù)影響評(píng)估報(bào)告至少3年。
(九)根據(jù)個(gè)人信息主體的要求向個(gè)人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個(gè)人信息主體理解的前提下,可對(duì)本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(十)對(duì)本合同義務(wù)的履行承擔(dān)舉證責(zé)任。
(十一)根據(jù)相關(guān)法律法規(guī)要求,向監(jiān)管機(jī)構(gòu)提供本合同第三條第十一項(xiàng)所述的信息,包括所有合規(guī)審計(jì)結(jié)果。
第三條 境外接收方的義務(wù)
境外接收方應(yīng)當(dāng)履行下列義務(wù):
(一)按照附錄一“個(gè)人信息出境說明”所列約定處理個(gè)人信息。如超出約定的處理目的、處理方式和處理的個(gè)人信息種類,基于個(gè)人同意處理個(gè)人信息的,應(yīng)當(dāng)事先取得個(gè)人信息主體的單獨(dú)同意;涉及不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。
(二)受個(gè)人信息處理者委托處理個(gè)人信息的,應(yīng)當(dāng)按照與個(gè)人信息處理者的約定處理個(gè)人信息,不得超出與個(gè)人信息處理者約定的處理目的、處理方式等處理個(gè)人信息。
(三)根據(jù)個(gè)人信息主體的要求向個(gè)人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個(gè)人信息主體理解的前提下,可對(duì)本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(四)采取對(duì)個(gè)人權(quán)益影響最小的方式處理個(gè)人信息。
(五)個(gè)人信息的保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間,保存期限屆滿的,應(yīng)當(dāng)刪除個(gè)人信息(包括所有備份)。受個(gè)人信息處理者委托處理個(gè)人信息,委托合同未生效、無效、被撤銷或者終止的,應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除,并向個(gè)人信息處理者提供書面說明。刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
(六)按下列方式保障個(gè)人信息處理安全:
1.采取包括但不限于本合同第二條第五項(xiàng)的技術(shù)和管理措施,并定期進(jìn)行檢查,確保個(gè)人信息安全。
2.確保授權(quán)處理個(gè)人信息的人員履行保密義務(wù),并建立最小授權(quán)的訪問控制權(quán)限。
(七)如處理的個(gè)人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問,應(yīng)當(dāng)開展下列工作:
1.及時(shí)采取適當(dāng)補(bǔ)救措施,減輕對(duì)個(gè)人信息主體造成的不利影響。
2.立即通知個(gè)人信息處理者,并根據(jù)相關(guān)法律法規(guī)要求報(bào)告監(jiān)管機(jī)構(gòu)。通知應(yīng)當(dāng)包含下列事項(xiàng):
(1)發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問的個(gè)人信息種類、原因和可能造成的危害。
(2)已采取的補(bǔ)救措施。
(3)個(gè)人信息主體可以采取的減輕危害的措施。
(4)負(fù)責(zé)處理相關(guān)情況的負(fù)責(zé)人或者負(fù)責(zé)團(tuán)隊(duì)的聯(lián)系方式。
3.相關(guān)法律法規(guī)要求通知個(gè)人信息主體的,通知的內(nèi)容包含本項(xiàng)第2目的事項(xiàng)。受個(gè)人信息處理者委托處理個(gè)人信息的,由個(gè)人信息處理者通知個(gè)人信息主體。
4.記錄并留存所有與發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問有關(guān)的情況,包括采取的所有補(bǔ)救措施。
(八)同時(shí)符合下列條件的,方可向中華人民共和國境外的第三方提供個(gè)人信息:
1.確有業(yè)務(wù)需要。
2.已告知個(gè)人信息主體該第三方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息種類、保存期限以及行使個(gè)人信息主體權(quán)利的方式和程序等事項(xiàng)。向第三方提供敏感個(gè)人信息的,還應(yīng)當(dāng)向個(gè)人信息主體告知提供敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
3.基于個(gè)人同意處理個(gè)人信息的,應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,應(yīng)當(dāng)取得書面同意。
4.與第三方達(dá)成書面協(xié)議,確保第三方的個(gè)人信息處理活動(dòng)達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn),并承擔(dān)因向中華人民共和國境外的第三方提供個(gè)人信息而侵害個(gè)人信息主體享有權(quán)利的法律責(zé)任。
5.根據(jù)個(gè)人信息主體的要求向個(gè)人信息主體提供該書面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個(gè)人信息主體理解的前提下,可對(duì)該書面協(xié)議相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(九)受個(gè)人信息處理者委托處理個(gè)人信息,轉(zhuǎn)委托第三方處理的,應(yīng)當(dāng)事先征得個(gè)人信息處理者同意,要求該第三方不得超出本合同附錄一“個(gè)人信息出境說明”中約定的處理目的、處理方式等處理個(gè)人信息,并對(duì)該第三方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。
(十)利用個(gè)人信息進(jìn)行自動(dòng)化決策的,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對(duì)個(gè)人信息主體在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過自動(dòng)化決策方式向個(gè)人信息主體進(jìn)行信息推送、商業(yè)營銷的,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人信息主體提供便捷的拒絕方式。
(十一)承諾向個(gè)人信息處理者提供已遵守本合同義務(wù)所需的必要信息,允許個(gè)人信息處理者對(duì)必要數(shù)據(jù)文件和文檔進(jìn)行查閱,或者對(duì)本合同涵蓋的處理活動(dòng)進(jìn)行合規(guī)審計(jì),并為個(gè)人信息處理者開展合規(guī)審計(jì)提供便利。
(十二)對(duì)開展的個(gè)人信息處理活動(dòng)進(jìn)行客觀記錄,保存記錄至少3年,并按照相關(guān)法律法規(guī)要求直接或者通過個(gè)人信息處理者向監(jiān)管機(jī)構(gòu)提供相關(guān)記錄文件。
(十三)同意在監(jiān)督本合同實(shí)施的相關(guān)程序中接受監(jiān)管機(jī)構(gòu)的監(jiān)督管理,包括但不限于答復(fù)監(jiān)管機(jī)構(gòu)詢問、配合監(jiān)管機(jī)構(gòu)檢查、服從監(jiān)管機(jī)構(gòu)采取的措施或者作出的決定、提供已采取必要行動(dòng)的書面證明等。
第四條 境外接收方所在國家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響
(一)雙方應(yīng)當(dāng)保證在本合同訂立時(shí)已盡到合理注意義務(wù),未發(fā)現(xiàn)境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)(包括任何提供個(gè)人信息的要求或者授權(quán)公共機(jī)關(guān)訪問個(gè)人信息的規(guī)定)影響境外接收方履行本合同約定的義務(wù)。
(二)雙方聲明,在作出本條第一項(xiàng)的保證時(shí),已經(jīng)結(jié)合下列情形進(jìn)行評(píng)估:
1.出境的具體情況,包括個(gè)人信息處理目的、傳輸個(gè)人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)囊?guī)模和頻率、個(gè)人信息傳輸及境外接收方的保存期限、境外接收方此前類似的個(gè)人信息跨境傳輸和處理相關(guān)經(jīng)驗(yàn)、境外接收方是否曾發(fā)生個(gè)人信息安全相關(guān)事件及是否進(jìn)行了及時(shí)有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機(jī)關(guān)要求其提供個(gè)人信息的請(qǐng)求及境外接收方應(yīng)對(duì)的情況。
2.境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī),包括下列要素:
(1)該國家或者地區(qū)現(xiàn)行的個(gè)人信息保護(hù)法律法規(guī)及普遍適用的標(biāo)準(zhǔn)。
(2)該國家或者地區(qū)加入的區(qū)域性或者全球性的個(gè)人信息保護(hù)方面的組織,以及所作出的具有約束力的國際承諾。
(3)該國家或者地區(qū)落實(shí)個(gè)人信息保護(hù)的機(jī)制,如是否具備個(gè)人信息保護(hù)的監(jiān)督執(zhí)法機(jī)構(gòu)和相關(guān)司法機(jī)構(gòu)等。
3.境外接收方安全管理制度和技術(shù)手段保障能力。
(三)境外接收方保證,在根據(jù)本條第二項(xiàng)進(jìn)行評(píng)估時(shí),已盡最大努力為個(gè)人信息處理者提供了必要的相關(guān)信息。
(四)雙方應(yīng)當(dāng)記錄根據(jù)本條第二項(xiàng)進(jìn)行評(píng)估的過程和結(jié)果。
(五)因境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強(qiáng)制性措施)導(dǎo)致境外接收方無法履行本合同的,境外接收方應(yīng)當(dāng)在知道該變化后立即通知個(gè)人信息處理者。
(六)境外接收方接到所在國家或者地區(qū)的政府部門、司法機(jī)構(gòu)關(guān)于提供本合同項(xiàng)下的個(gè)人信息要求的,應(yīng)當(dāng)立即通知個(gè)人信息處理者。
第五條 個(gè)人信息主體的權(quán)利
雙方約定個(gè)人信息主體作為本合同第三方受益人享有以下權(quán)利:
(一)個(gè)人信息主體依據(jù)相關(guān)法律法規(guī),對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理,有權(quán)要求查閱、復(fù)制、更正、補(bǔ)充、刪除其個(gè)人信息,有權(quán)要求對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。
(二)當(dāng)個(gè)人信息主體要求對(duì)已經(jīng)出境的個(gè)人信息行使上述權(quán)利時(shí),個(gè)人信息主體可以請(qǐng)求個(gè)人信息處理者采取適當(dāng)措施實(shí)現(xiàn),或者直接向境外接收方提出請(qǐng)求。個(gè)人信息處理者無法實(shí)現(xiàn)的,應(yīng)當(dāng)通知并要求境外接收方協(xié)助實(shí)現(xiàn)。
(三)境外接收方應(yīng)當(dāng)按照個(gè)人信息處理者的通知,或者根據(jù)個(gè)人信息主體的請(qǐng)求,在合理期限內(nèi)實(shí)現(xiàn)個(gè)人信息主體依照相關(guān)法律法規(guī)所享有的權(quán)利。
境外接收方應(yīng)當(dāng)以顯著的方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個(gè)人信息主體相關(guān)信息。
(四)境外接收方拒絕個(gè)人信息主體的請(qǐng)求的,應(yīng)當(dāng)告知個(gè)人信息主體其拒絕的原因,以及個(gè)人信息主體向相關(guān)監(jiān)管機(jī)構(gòu)提出投訴和尋求司法救濟(jì)的途徑。
(五)個(gè)人信息主體作為本合同第三方受益人有權(quán)根據(jù)本合同條款向個(gè)人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項(xiàng)下與個(gè)人信息主體權(quán)利相關(guān)的下列條款:
1.第二條,但第二條第五項(xiàng)、第六項(xiàng)、第七項(xiàng)、第十一項(xiàng)除外。
2.第三條,但第三條第七項(xiàng)第2目和第4目、第九項(xiàng)、第十一項(xiàng)、第十二項(xiàng)、第十三項(xiàng)除外。
3.第四條,但第四條第五項(xiàng)、第六項(xiàng)除外。
4.第五條。
5.第六條。
6.第八條第二項(xiàng)、第三項(xiàng)。
7.第九條第五項(xiàng)。
上述約定不影響個(gè)人信息主體依據(jù)《中華人民共和國個(gè)人信息保護(hù)法》享有的權(quán)益。
第六條 救濟(jì)
(一)境外接收方應(yīng)當(dāng)確定一個(gè)聯(lián)系人,授權(quán)其答復(fù)有關(guān)個(gè)人信息處理的詢問或者投訴,并應(yīng)當(dāng)及時(shí)處理個(gè)人信息主體的詢問或者投訴。境外接收方應(yīng)當(dāng)將聯(lián)系人信息告知個(gè)人信息處理者,并以簡潔易懂的方式,通過單獨(dú)通知或者在其網(wǎng)站公告,告知個(gè)人信息主體該聯(lián)系人信息,具體為:
聯(lián)系人及聯(lián)系方式(辦公電話或電子郵箱)
(二)一方因履行本合同與個(gè)人信息主體發(fā)生爭(zhēng)議的,應(yīng)當(dāng)通知另一方,雙方應(yīng)當(dāng)合作解決爭(zhēng)議。
(三)爭(zhēng)議未能友好解決,個(gè)人信息主體根據(jù)第五條行使第三方受益人的權(quán)利的,境外接收方接受個(gè)人信息主體通過下列形式維護(hù)權(quán)利:
1.向監(jiān)管機(jī)構(gòu)投訴。
2.向本條第五項(xiàng)約定的法院提起訴訟。
(四)雙方同意個(gè)人信息主體就本合同爭(zhēng)議行使第三方受益人權(quán)利,個(gè)人信息主體選擇適用中華人民共和國相關(guān)法律法規(guī)的,從其選擇。
(五)雙方同意個(gè)人信息主體就本合同爭(zhēng)議行使第三方受益人權(quán)利的,個(gè)人信息主體可以依據(jù)《中華人民共和國民事訴訟法》向有管轄權(quán)的人民法院提起訴訟。
(六)雙方同意個(gè)人信息主體所作的維權(quán)選擇不會(huì)減損個(gè)人信息主體根據(jù)其他法律法規(guī)尋求救濟(jì)的權(quán)利。
第七條 合同解除
(一)境外接收方違反本合同約定的義務(wù),或者境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強(qiáng)制性措施)導(dǎo)致境外接收方無法履行本合同的,個(gè)人信息處理者可以暫停向境外接收方提供個(gè)人信息,直到違約行為被改正或者合同被解除。
(二)有下列情形之一的,個(gè)人信息處理者有權(quán)解除本合同,并在必要時(shí)通知監(jiān)管機(jī)構(gòu):
1.個(gè)人信息處理者根據(jù)本條第一項(xiàng)的規(guī)定暫停向境外接收方提供個(gè)人信息的時(shí)間超過1個(gè)月。
2.境外接收方遵守本合同將違反其所在國家或者地區(qū)的法律規(guī)定。
3.境外接收方嚴(yán)重或者持續(xù)違反本合同約定的義務(wù)。
4.根據(jù)境外接收方的主管法院或者監(jiān)管機(jī)構(gòu)作出的終局決定,境外接收方或者個(gè)人信息處理者違反了本合同約定的義務(wù)。
在本項(xiàng)第1目、第2目、第4目的情況下,境外接收方可以解除本合同。
(三)經(jīng)雙方同意解除本合同的,合同解除不免除其在個(gè)人信息處理過程中的個(gè)人信息保護(hù)義務(wù)。
(四)合同解除時(shí),境外接收方應(yīng)當(dāng)及時(shí)返還或者刪除其根據(jù)本合同所接收到的個(gè)人信息(包括所有備份),并向個(gè)人信息處理者提供書面說明。刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
第八條 違約責(zé)任
(一)雙方應(yīng)就其違反本合同而給對(duì)方造成的損失承擔(dān)責(zé)任。
(二)任何一方因違反本合同而侵害個(gè)人信息主體享有的權(quán)利,應(yīng)當(dāng)對(duì)個(gè)人信息主體承擔(dān)民事法律責(zé)任,且不影響相關(guān)法律法規(guī)規(guī)定個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)的行政、刑事等法律責(zé)任。
(三)雙方依法承擔(dān)連帶責(zé)任的,個(gè)人信息主體有權(quán)請(qǐng)求任何一方或者雙方承擔(dān)責(zé)任。一方承擔(dān)的責(zé)任超過其應(yīng)當(dāng)承擔(dān)的責(zé)任份額時(shí),有權(quán)向另一方追償。
第九條 其他
(一)如本合同與雙方訂立的任何其他法律文件發(fā)生沖突,本合同的條款優(yōu)先適用。
(二)本合同的成立、效力、履行、解釋、因本合同引起的雙方間的任何爭(zhēng)議,適用中華人民共和國相關(guān)法律法規(guī)。
(三)發(fā)出的通知應(yīng)當(dāng)以電子郵件、電報(bào)、電傳、傳真(以航空信件寄送確認(rèn)副本)或者航空掛號(hào)信發(fā)往(具體地址) 或者書面通知取代該地址的其它地址。如以航空掛號(hào)信寄出本合同項(xiàng)下的通知,在郵戳日期后的 天應(yīng)當(dāng)視為收訖;如以電子郵件、電報(bào)、電傳或者傳真發(fā)出,在發(fā)出以后的 個(gè)工作日應(yīng)當(dāng)視為收訖。
(四)雙方因本合同產(chǎn)生的爭(zhēng)議以及任何一方因先行賠償個(gè)人信息主體損害賠償責(zé)任而向另一方的追償,雙方應(yīng)當(dāng)協(xié)商解決;協(xié)商解決不成的,任何一方可以采取下列第 種方式加以解決(如選擇仲裁,請(qǐng)勾選仲裁機(jī)構(gòu)):
1.仲裁。將該爭(zhēng)議提交
□中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會(huì)
□中國海事仲裁委員會(huì)
□北京仲裁委員會(huì)(北京國際仲裁中心)
□上海國際仲裁中心
□其他《承認(rèn)及執(zhí)行外國仲裁裁決公約》成員的仲裁機(jī)構(gòu)
按其屆時(shí)有效的仲裁規(guī)則在 (仲裁地點(diǎn)) 進(jìn)行仲裁;
2.訴訟。依法向中華人民共和國有管轄權(quán)的人民法院提起訴訟。
(五)本合同應(yīng)當(dāng)按照相關(guān)法律法規(guī)的規(guī)定進(jìn)行解釋,不得以與相關(guān)法律法規(guī)規(guī)定的權(quán)利、義務(wù)相抵觸的方式解釋本合同。
(六)本合同正本一式 份,雙方各執(zhí) 份,其法律效力相同。
本合同在(地點(diǎn)) 簽訂
個(gè)人信息處理者:
年 月 日
境外接收方:
年 月 日
附錄一
個(gè)人信息出境說明
根據(jù)本合同向境外提供個(gè)人信息的詳情約定如下:
(一)處理目的:
(二)處理方式:
(三)出境個(gè)人信息的規(guī)模:
(四)出境個(gè)人信息種類(參考GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(五)出境敏感個(gè)人信息種類(如適用,參考GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(六)境外接收方只向以下中華人民共和國境外第三方提供個(gè)人信息(如適用):
(七)傳輸方式:
(八)出境后保存期限:
( 年 月 日至 年 月 日)
(九)出境后保存地點(diǎn):
(十)其他事項(xiàng)(視情況填寫):
附錄二
雙方約定的其他條款(如需要)
附件5
個(gè)人信息保護(hù)影響評(píng)估報(bào)告(模板)
(出境版)
個(gè)人信息處理者名稱: (蓋章)
年 月 日
說明:
(一)個(gè)人信息處理者備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同時(shí)需提供個(gè)人信息保護(hù)影響評(píng)估報(bào)告,并對(duì)所提交的評(píng)估報(bào)告真實(shí)性負(fù)責(zé);
(二)報(bào)告所述評(píng)估工作為本次申報(bào)前3個(gè)月內(nèi)完成;
(三)如有第三方機(jī)構(gòu)參與評(píng)估,須在評(píng)估報(bào)告中說明第三方機(jī)構(gòu)的基本情況及參與評(píng)估的情況;
(四)評(píng)估報(bào)告嚴(yán)格按照模板撰寫。評(píng)估報(bào)告必須使用中文撰寫,正文字體四號(hào)“仿宋”(其中,正文一級(jí)標(biāo)題黑體、二級(jí)標(biāo)題楷體加黑、三級(jí)標(biāo)題仿宋加黑),數(shù)字、字母使用四號(hào)“Times New Roman”字體,行距固定值26磅,段落首行縮進(jìn)2字符。頁面設(shè)置:A4紙,上下頁邊距為2.54cm,左右頁邊距為3.18cm。
一、出境活動(dòng)整體情況
(一)個(gè)人信息處理者基本情況
1.基本情況簡介,包括股權(quán)結(jié)構(gòu)、實(shí)際控制人、境內(nèi)外投資情況、組織架構(gòu)和個(gè)人信息保護(hù)機(jī)構(gòu)信息等。
2.整體業(yè)務(wù)與處理個(gè)人信息情況。
3.擬出境個(gè)人信息情況。
(1)個(gè)人信息出境涉及業(yè)務(wù)、個(gè)人信息收集使用、信息系統(tǒng)等情況;
(2)個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式,及其合法性、正當(dāng)性、必要性;
(3)出境個(gè)人信息的規(guī)模、范圍、種類、敏感程度,處理敏感個(gè)人信息情況;
(4)擬出境個(gè)人信息在境內(nèi)存儲(chǔ)的系統(tǒng)平臺(tái)、數(shù)據(jù)中心等情況,個(gè)人信息出境鏈路相關(guān)情況,計(jì)劃出境后存儲(chǔ)的系統(tǒng)平臺(tái)、數(shù)據(jù)中心等;
(5)個(gè)人信息出境后向境外其他接收方提供的情況。
4.遵守個(gè)人信息保護(hù)相關(guān)法律法規(guī)的情況。
(二)境外接收方情況
1.境外接收方基本情況;
2.境外接收方處理個(gè)人信息的用途、方式等;
3.境外接收方履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等。
(三)個(gè)人信息處理者認(rèn)為需要說明的其他情況
二、擬出境活動(dòng)的影響評(píng)估情況及結(jié)論
對(duì)照《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第五條規(guī)定事項(xiàng),說明個(gè)人信息保護(hù)影響評(píng)估情況,重點(diǎn)說明評(píng)估發(fā)現(xiàn)的問題和整改情況。
綜合影響評(píng)估情況和相應(yīng)整改情況,對(duì)個(gè)人信息出境活動(dòng)作出客觀的影響評(píng)估結(jié)論,充分說明得出評(píng)估結(jié)論的理由和論據(jù)。
來源:“網(wǎng)信中國”微信公眾號(hào)