国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知

  为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,依据《中华人民共和国个人信息保护法》,我办起草了《个人信息出境标准合同规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:  

1.登录中华人民共和国司法部中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。  

2.通过电子邮件将意见发送至:shujuju@cac.gov.cn。  

3.通过信函将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编:100048,并在信封上注明“个人信息出境标准合同规定征求意见”。  

意见反馈截止时间为2022年7月29日。  

附件:个人信息出境标准合同规定(征求意见稿)

国家互联网信息办公室

2022年6月30日

个人信息出境标准合同规定

(征求意见稿)  

第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。  

第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。  

个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。  

第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。  

第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:  (一)非关键信息基础设施运营者;  

(二)处理个人信息不满100万人的;  

(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;  

(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。  

第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:  

(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;  

(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;  

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;  

(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;  

(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;  

(六)其他可能影响个人信息出境安全的事项。  

第六条 标准合同包括以下主要内容:  

(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;  

(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;  

(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;  

(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;  

(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;  

(六)救济、合同解除、违约责任、争议解决等。  

第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:  

(一)标准合同;  

(二)个人信息保护影响评估报告。  

个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。  

第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:  

(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;  

(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;  

(三)可能影响个人信息权益的其他情况。  

第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。  

第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。  

第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。  

第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。

(一)未履行备案程序或者提交虚假材料进行备案的;  

(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;  

(三)出现影响个人信息权益的其他情形。  

第十三条 本规定自___年___月___日起施行。

来源:网信中国

前一篇登峰造极第八期-数字化时代下的敏捷安全(agile security)
后一篇《互联网用户账号信息管理规定》发布,8月1日施行