個人信息出境标準合同辦法
2023-02-25
國(guó)家互聯網信息辦公室令
第13号
《個人信息出境标準合同辦法》已經(jīng)2023年2月3日國(guó)家互聯網信息辦公室2023年第2次室務會議審議通過(guò),現予公布,自2023年6月1日起(qǐ)施行。
國(guó)家互聯網信息辦公室主任 莊榮文
2023年2月22日
個人信息出境标準合同辦法
第一條 爲了保護個人信息權益,規範個人信息出境活動,根據《中華人民共和國(guó)個人信息保護法》等法律法規,制定本辦法。
第二條 個人信息處理者通過(guò)與境外接收方訂立個人信息出境标準合同(以下簡稱标準合同)的方式向(xiàng)中華人民共和國(guó)境外提供個人信息,适用本辦法。
第三條 通過(guò)訂立标準合同的方式開(kāi)展個人信息出境活動,應當堅持自主締約與備案管理相結合、保護權益與防範風險相結合,保障個人信息跨境安全、自由流動。
第四條 個人信息處理者通過(guò)訂立标準合同的方式向(xiàng)境外提供個人信息的,應當同時符合下列情形:
(一)非關鍵信息基礎設施運營者;
(二)處理個人信息不滿100萬人的;
(三)自上年1月1日起(qǐ)累計向(xiàng)境外提供個人信息不滿10萬人的;
(四)自上年1月1日起(qǐ)累計向(xiàng)境外提供敏感個人信息不滿1萬人的。
法律、行政法規或者國(guó)家網信部門另有規定的,從其規定。
個人信息處理者不得采取數量拆分等手段,將(jiāng)依法應當通過(guò)出境安全評估的個人信息通過(guò)訂立标準合同的方式向(xiàng)境外提供。
第五條 個人信息處理者向(xiàng)境外提供個人信息前,應當開(kāi)展個人信息保護影響評估,重點評估以下内容:
(一)個人信息處理者和境外接收方處理個人信息的目的、範圍、方式等的合法性、正當性、必要性;
(二)出境個人信息的規模、範圍、種(zhǒng)類、敏感程度,個人信息出境可能(néng)對(duì)個人信息權益帶來的風險;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能(néng)力等能(néng)否保障出境個人信息的安全;
(四)個人信息出境後(hòu)遭到篡改、破壞、洩露、丢失、非法利用等的風險,個人信息權益維護的渠道(dào)是否通暢等;
(五)境外接收方所在國(guó)家或者地區的個人信息保護政策和法規對(duì)标準合同履行的影響;
(六)其他可能(néng)影響個人信息出境安全的事(shì)項。
第六條 标準合同應當嚴格按照本辦法附件訂立。國(guó)家網信部門可以根據實際情況對(duì)附件進(jìn)行調整。
個人信息處理者可以與境外接收方約定其他條款,但不得與标準合同相沖突。
标準合同生效後(hòu)方可開(kāi)展個人信息出境活動。
第七條 個人信息處理者應當在标準合同生效之日起(qǐ)10個工作日内向(xiàng)所在地省級網信部門備案。備案應當提交以下材料:
(一)标準合同;
(二)個人信息保護影響評估報告。
個人信息處理者應當對(duì)所備案材料的真實性負責。
第八條 在标準合同有效期内出現下列情形之一的,個人信息處理者應當重新開(kāi)展個人信息保護影響評估,補充或者重新訂立标準合同,并履行相應備案手續:
(一)向(xiàng)境外提供個人信息的目的、範圍、種(zhǒng)類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長(cháng)個人信息境外保存期限的;
(二)境外接收方所在國(guó)家或者地區的個人信息保護政策和法規發(fā)生變化等可能(néng)影響個人信息權益的;
(三)可能(néng)影響個人信息權益的其他情形。
第九條 網信部門及其工作人員對(duì)在履行職責中知悉的個人隐私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得洩露或者非法向(xiàng)他人提供、非法使用。
第十條 任何組織和個人發(fā)現個人信息處理者違反本辦法向(xiàng)境外提供個人信息的,可以向(xiàng)省級以上網信部門舉報。
第十一條 省級以上網信部門發(fā)現個人信息出境活動存在較大風險或者發(fā)生個人信息安全事(shì)件的,可以依法對(duì)個人信息處理者進(jìn)行約談。個人信息處理者應當按照要求整改,消除隐患。
第十二條 違反本辦法規定的,依據《中華人民共和國(guó)個人信息保護法》等法律法規處理;構成(chéng)犯罪的,依法追究刑事(shì)責任。
第十三條 本辦法自2023年6月1日起(qǐ)施行。本辦法施行前已經(jīng)開(kāi)展的個人信息出境活動,不符合本辦法規定的,應當自本辦法施行之日起(qǐ)6個月内完成(chéng)整改。
