國家網信(xìn)辦公布《個人信息(xī)出境標準合同辦法(fǎ)》6月1日起施行(xínɡ)

發布時(shí)間 2023-02-25

2023年2月24日,國家互聯網信息辦公(ɡōnɡ)室公布《個人信息(xī)出境標準合同辦法(fǎ)》(以下(xià)簡稱《辦法》),自2023年6月(yuè)1日起施(shī)行。國家互(hù)聯網信息(xī)辦公室有(yǒu)關負責人(rén)表示,出臺《辦法》旨在落實(shí)《個人信(xìn)息保護法(fǎ)》的規定(dìnɡ),保護個人信息(xī)權益,規范個人信(xìn)息出境活(huó)動。


近年來,隨著數字經濟的蓬勃(bó)發展,個人信息(xī)出境需求(qiú)快速增長。為滿足日益(yì)增長的個(ɡè)人信息出(chū)境需要,保護個人信息(xī)權益,《辦法(fǎ)》規定了(le)個人信息(xī)出境標準合同(以(yǐ)下簡稱標準合同)的適用范(fàn)圍、訂立條件和(hé)備案要求(qiú),明確了標準合(hé)同范本,為向境(jìnɡ)外提供個(ɡè)人信息提(tí)供了具體指引。

《辦法》規定,個人(rén)信息處理(lǐ)者通過與境外接收(shōu)方訂立標準合同的(de)方式向中(zhōnɡ)華人民共(ɡònɡ)和國境外(wài)提供個人(rén)信息適用(yònɡ)本辦法。明確通過訂立標準合同的方(fānɡ)式開展個(ɡè)人信息出(chū)境活動,應當堅持自(zì)主締約與備案管理(lǐ)相結合、保護權益與防范(fàn)風險相結合,保障(zhànɡ)個人信息(xī)跨境安全(quán)、自由(yóu)流動。個人信息(xī)處理者通(tōnɡ)過訂立標準合同的(de)方式向境(jìnɡ)外提供個(ɡè)人信息應當同時符(fú)合下列情形:非關鍵信息基(jī)礎設施運營者、處理個人(rén)信息不滿(mǎn)100萬人的、自上年(nián)1月1日(rì)起累計向(xiànɡ)境外提供(ɡònɡ)個人信息(xī)不滿10萬人的、自上(shànɡ)年1月1日起累計向境外提(tí)供敏感個(ɡè)人信息不(bù)滿1萬人(rén)的。法(fǎ)律、行(xínɡ)政法規或(huò)者國家網信部門另(lìnɡ)有規定的(de),從其(qí)規定。要求(qiú)個人信息(xī)處理者不(bù)得采取數量拆分等(děnɡ)手段,將依法應當(dānɡ)通過出境(jìnɡ)安全評估(ɡū)的個人信(xìn)息通過訂立標準合(hé)同的方式(shì)向境外提(tí)供。

《辦法》明確,個人(rén)信息處理(lǐ)者向境外(wài)提供個人(rén)信息前,應當開展個人信(xìn)息保護影(yǐnɡ)響評估并(bìnɡ)明確了重(zhònɡ)點評估內容。規定個人(rén)信息處理(lǐ)者應當在(zài)標準合同(tónɡ)生效之日(rì)起10個(ɡè)工作日內向所在地(dì)省級網信(xìn)部門備案(àn)。提出(chū)在標準合(hé)同有效期(qī)內個人信(xìn)息處理者(zhě)應當重新(xīn)開展個人(rén)信息保護影響評估(ɡū),補充(chōnɡ)或者重新(xīn)訂立標準合同,并履行(xínɡ)相應備案(àn)手續的具(jù)體情形!掇(duō)k法》還對監督管(ɡuǎn)理、法律(lǜ)責任、合(hé)規整改要(yào)求等作出(chū)了規定。

《辦法》附件為標準合同范(fàn)本,主要內容包(bāo)括合同相(xiānɡ)關定義和(hé)基本要素(sù)、個人(rén)信息處理(lǐ)者和境外(wài)接收方的(de)合同義務、境外(wài)接收方所(suǒ)在國家或(huò)者地區個(ɡè)人信息保(bǎo)護政策和(hé)法規對合(hé)同履行的(de)影響、個人信息(xī)主體的權利和相關救濟,以及合(hé)同解除、違約責任、爭議解決等事(shì)項,并(bìnɡ)設計了個(ɡè)人信息出(chū)境說明、雙方約定的其他(tā)條款等兩個附錄。

個人信息(xī)出境標準合同辦法(fǎ)

第一條 為了(le)保護個人(rén)信息權益(yì),規范個人信(xìn)息出境活(huó)動,根據《中華人(rén)民共和國個人信息(xī)保護法》等法律法(fǎ)規,制定本辦法。

第二條 個人(rén)信息處理(lǐ)者通過與境外接收(shōu)方訂立個(ɡè)人信息出(chū)境標準合(hé)同(以下(xià)簡稱標準合同)的(de)方式向中(zhōnɡ)華人民共(ɡònɡ)和國境外(wài)提供個人(rén)信息,適用本辦法。

第三條 通過訂立標準合同的方(fānɡ)式開展個(ɡè)人信息出(chū)境活動,應當堅持(chí)自主締約與備案管(ɡuǎn)理相結合(hé)、保護權益與防范(fàn)風險相結合,保障個人(rén)信息跨境(jìnɡ)安全、自由(yóu)流動。

第四條 個人(rén)信息處理(lǐ)者通過訂立標準合(hé)同的方式(shì)向境外提(tí)供個人信(xìn)息的,應當同(tónɡ)時符合下(xià)列情形:

(一)非(fēi)關鍵信息(xī)基礎設施(shī)運營者;

(二)處理個人信(xìn)息不滿100萬人(rén)的;

(三)自(zì)上年1月(yuè)1日起累(lèi)計向境外(wài)提供個人(rén)信息不滿(mǎn)10萬人(rén)的;

(四)自(zì)上年1月(yuè)1日起累(lèi)計向境外(wài)提供敏感(ɡǎn)個人信息(xī)不滿1萬人的。

法律、行政法規或者國家(jiā)網信部門另有規定(dìnɡ)的,從其規定。

個人信息(xī)處理者不(bù)得采取數量拆分等(děnɡ)手段,將依(yī)法應當通(tōnɡ)過出境安(ān)全評估的(de)個人信息(xī)通過訂立(lì)標準合同(tónɡ)的方式向(xiànɡ)境外提供(ɡònɡ)。

第五條 個人(rén)信息處理(lǐ)者向境外(wài)提供個人(rén)信息前,應當開展個人信(xìn)息保護影(yǐnɡ)響評估,重點評估(ɡū)以下內容(rónɡ):

(一)個(ɡè)人信息處理者和境(jìnɡ)外接收方(fānɡ)處理個人(rén)信息的目(mù)的、范圍、方式(shì)等的合法(fǎ)性、正(zhènɡ)當性、必要性;

(二)出(chū)境個人信(xìn)息的規模(mó)、范圍、種類、敏感程(chénɡ)度,個人信息(xī)出境可能(nénɡ)對個人信(xìn)息權益帶來的風險;

(三)境(jìnɡ)外接收方(fānɡ)承諾承擔的義務,以及履(lǚ)行義務的(de)管理和技(jì)術措施、能力等(děnɡ)能否保障(zhànɡ)出境個人(rén)信息的安(ān)全;

(四)個(ɡè)人信息出(chū)境后遭到(dào)篡改、破壞、泄露、丟(diu1)失、非法利(lì)用等的風險,個人信息(xī)權益維護的渠道是(shì)否通暢等(děnɡ);

(五)境(jìnɡ)外接收方(fānɡ)所在國家(jiā)或者地區(qū)的個人信(xìn)息保護政(zhènɡ)策和法規對標準合(hé)同履行的(de)影響;

(六)其(qí)他可能影(yǐnɡ)響個人信(xìn)息出境安(ān)全的事項。

第六條 標準合同應當(dānɡ)嚴格按照(zhào)本辦法附(fù)件訂立。國家(jiā)網信部門可以根據實際情況(kuànɡ)對附件進行調整。

個人信息(xī)處理者可(kě)以與境外(wài)接收方約定其他條(tiáo)款,但不得(dé)與標準合(hé)同相沖突(tū)。

標準合同(tónɡ)生效后方(fānɡ)可開展個(ɡè)人信息出(chū)境活動。

第七條 個人(rén)信息處理(lǐ)者應當在(zài)標準合同(tónɡ)生效之日(rì)起10個(ɡè)工作日內向所在地(dì)省級網信(xìn)部門備案(àn)。備案(àn)應當提交(jiāo)以下材料(liào):

(一)標準合同;

(二)個(ɡè)人信息保(bǎo)護影響評估報告。

個人信息(xī)處理者應當對所備案材料的(de)真實性負責。

第八條 在標準合同有(yǒu)效期內出(chū)現下列情形之一的(de),個人(rén)信息處理(lǐ)者應當重(zhònɡ)新開展個(ɡè)人信息保(bǎo)護影響評估,補充或者(zhě)重新訂立(lì)標準合同(tónɡ),并(bìnɡ)履行相應備案手續:

(一)向(xiànɡ)境外提供(ɡònɡ)個人信息(xī)的目的、范(fàn)圍、種類、敏感(ɡǎn)程度、方式、保(bǎo)存地點或(huò)者境外接收方處理(lǐ)個人信息(xī)的用途、方(fānɡ)式發生變化,或者延(yán)長個人信(xìn)息境外保(bǎo)存期限的(de);

(二)境(jìnɡ)外接收方(fānɡ)所在國家(jiā)或者地區(qū)的個人信(xìn)息保護政(zhènɡ)策和法規發生變化(huà)等可能影(yǐnɡ)響個人信(xìn)息權益的(de);

(三)可(kě)能影響個(ɡè)人信息權益的其他(tā)情形。

第九條 網信(xìn)部門及其(qí)工作人員(yuán)對在履行(xínɡ)職責中知(zhī)悉的個人(rén)隱私、個人信息(xī)、商業(yè)秘密、保(bǎo)密商務信(xìn)息等應當(dānɡ)依法予以(yǐ)保密,不得泄(xiè)露或者非(fēi)法向他人(rén)提供、非法使用(yònɡ)。

第十條 任何(hé)組織和個(ɡè)人發現個(ɡè)人信息處理者違反(fǎn)本辦法向(xiànɡ)境外提供(ɡònɡ)個人信息(xī)的,可以向省(shěnɡ)級以上網信部門舉報。

第十一條(tiáo) 省級以上網信(xìn)部門發現(xiàn)個人信息(xī)出境活動存在較大(dà)風險或者(zhě)發生個人(rén)信息安全(quán)事件的,可以(yǐ)依法對個(ɡè)人信息處理者進行(xínɡ)約談。個人(rén)信息處理(lǐ)者應當按(àn)照要求整(zhěnɡ)改,消除隱患(huàn)。

第十二條(tiáo) 違反(fǎn)本辦法規定的,依據《中華人(rén)民共和國個人信息(xī)保護法》等法律法(fǎ)規處理;構成犯罪(zuì)的,依(yī)法追究刑(xínɡ)事責任。

第十三條(tiáo) 本辦法自2023年6月1日起(qǐ)施行。本辦法施(shī)行前已經開展的個(ɡè)人信息出(chū)境活動,不符合(hé)本辦法規定的,應當(dānɡ)自本辦法(fǎ)施行之日(rì)起6個月(yuè)內完成整(zhěnɡ)改。


來源:中(zhōnɡ)國網信網