《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》發(fā)布

發(fā)布時(shí)間 2022-12-20

為支撐個(gè)人信息保護(hù)認(rèn)證實(shí)施,指導(dǎo)個(gè)人信息處理者規(guī)范開(kāi)展個(gè)人信息跨境處理活動(dòng),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》(以下簡(jiǎn)稱《實(shí)踐指南》)。


《實(shí)踐指南》規(guī)定了跨境處理個(gè)人信息應(yīng)遵循的基本原則、個(gè)人信息處理者和境外接收方在個(gè)人信息跨境處理活動(dòng)的個(gè)人信息保護(hù)、個(gè)人信息主體權(quán)益保障等方面內(nèi)容。


《實(shí)踐指南》規(guī)定,申請(qǐng)認(rèn)證的個(gè)人信息處理者應(yīng)取得合法的法人資格,正常經(jīng)營(yíng)且具有良好的信譽(yù)、商譽(yù)??鐕?guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)可由境內(nèi)一方申請(qǐng)認(rèn)證,并承擔(dān)法律責(zé)任?!吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》第三條第二款規(guī)定的境外個(gè)人信息處理者,可由其在境內(nèi)設(shè)置的專(zhuān)門(mén)機(jī)構(gòu)或指定代表申請(qǐng)認(rèn)證,并承擔(dān)法律責(zé)任。


其中,個(gè)人信息跨境處理規(guī)則如下:


開(kāi)展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方應(yīng)約定并共同遵守同一個(gè)人信息跨境處理規(guī)則,規(guī)則應(yīng)至少包括下列事5項(xiàng):


  • 明確跨境處理個(gè)人信息的基本情況,包括個(gè)人信息數(shù)量、范圍、種類(lèi)、敏感程度等;

  • 明確跨境處理個(gè)人信息的目的、方式和范圍;

  • 明確個(gè)人信息境外存儲(chǔ)的起止時(shí)間及期滿后的處理方式;

  • 明確跨境處理個(gè)人信息需要中轉(zhuǎn)的國(guó)家或者地區(qū);

  • 明確保障個(gè)人信息主體權(quán)益所需資源和采取的措施;

  • 明確個(gè)人信息安全事件的賠償、處置規(guī)則。