國(guó)家網(wǎng)信辦公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》6月1日起施行

發(fā)布時(shí)間 2023-02-25

2023年2月24日,國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(以下簡(jiǎn)稱《辦法》),自2023年6月1日起施行。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示,出臺(tái)《辦法》旨在落實(shí)《個(gè)人信息保護(hù)法》的規(guī)定,保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息出境活動(dòng)。


近年來(lái),隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,個(gè)人信息出境需求快速增長(zhǎng)。為滿足日益增長(zhǎng)的個(gè)人信息出境需要,保護(hù)個(gè)人信息權(quán)益,《辦法》規(guī)定了個(gè)人信息出境標(biāo)準(zhǔn)合同(以下簡(jiǎn)稱標(biāo)準(zhǔn)合同)的適用范圍、訂立條件和備案要求,明確了標(biāo)準(zhǔn)合同范本,為向境外提供個(gè)人信息提供了具體指引。

《辦法》規(guī)定,個(gè)人信息處理者通過(guò)與境外接收方訂立標(biāo)準(zhǔn)合同的方式向中華人民共和國(guó)境外提供個(gè)人信息適用本辦法。明確通過(guò)訂立標(biāo)準(zhǔn)合同的方式開展個(gè)人信息出境活動(dòng),應(yīng)當(dāng)堅(jiān)持自主締約與備案管理相結(jié)合、保護(hù)權(quán)益與防范風(fēng)險(xiǎn)相結(jié)合,保障個(gè)人信息跨境安全、自由流動(dòng)。個(gè)人信息處理者通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息應(yīng)當(dāng)同時(shí)符合下列情形:非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、處理個(gè)人信息不滿100萬(wàn)人的、自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬(wàn)人的、自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬(wàn)人的。法律、行政法規(guī)或者國(guó)家網(wǎng)信部門另有規(guī)定的,從其規(guī)定。要求個(gè)人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過(guò)出境安全評(píng)估的個(gè)人信息通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供。

《辦法》明確,個(gè)人信息處理者向境外提供個(gè)人信息前,應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評(píng)估并明確了重點(diǎn)評(píng)估內(nèi)容。規(guī)定個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備案。提出在標(biāo)準(zhǔn)合同有效期內(nèi)個(gè)人信息處理者應(yīng)當(dāng)重新開展個(gè)人信息保護(hù)影響評(píng)估,補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同,并履行相應(yīng)備案手續(xù)的具體情形?!掇k法》還對(duì)監(jiān)督管理、法律責(zé)任、合規(guī)整改要求等作出了規(guī)定。

《辦法》附件為標(biāo)準(zhǔn)合同范本,主要內(nèi)容包括合同相關(guān)定義和基本要素、個(gè)人信息處理者和境外接收方的合同義務(wù)、境外接收方所在國(guó)家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響、個(gè)人信息主體的權(quán)利和相關(guān)救濟(jì),以及合同解除、違約責(zé)任、爭(zhēng)議解決等事項(xiàng),并設(shè)計(jì)了個(gè)人信息出境說(shuō)明、雙方約定的其他條款等兩個(gè)附錄。

個(gè)人信息出境標(biāo)準(zhǔn)合同辦法

第一條 為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息出境活動(dòng),根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī),制定本辦法。

第二條 個(gè)人信息處理者通過(guò)與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同(以下簡(jiǎn)稱標(biāo)準(zhǔn)合同)的方式向中華人民共和國(guó)境外提供個(gè)人信息,適用本辦法。

第三條 通過(guò)訂立標(biāo)準(zhǔn)合同的方式開展個(gè)人信息出境活動(dòng),應(yīng)當(dāng)堅(jiān)持自主締約與備案管理相結(jié)合、保護(hù)權(quán)益與防范風(fēng)險(xiǎn)相結(jié)合,保障個(gè)人信息跨境安全、自由流動(dòng)。

第四條 個(gè)人信息處理者通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的,應(yīng)當(dāng)同時(shí)符合下列情形:

(一)非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者;

(二)處理個(gè)人信息不滿100萬(wàn)人的;

(三)自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬(wàn)人的;

(四)自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬(wàn)人的。

法律、行政法規(guī)或者國(guó)家網(wǎng)信部門另有規(guī)定的,從其規(guī)定。

個(gè)人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過(guò)出境安全評(píng)估的個(gè)人信息通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供。

第五條 個(gè)人信息處理者向境外提供個(gè)人信息前,應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評(píng)估,重點(diǎn)評(píng)估以下內(nèi)容:

(一)個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性;

(二)出境個(gè)人信息的規(guī)模、范圍、種類、敏感程度,個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn);

(三)境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全;

(四)個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等;

(五)境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響;

(六)其他可能影響個(gè)人信息出境安全的事項(xiàng)。

第六條 標(biāo)準(zhǔn)合同應(yīng)當(dāng)嚴(yán)格按照本辦法附件訂立。國(guó)家網(wǎng)信部門可以根據(jù)實(shí)際情況對(duì)附件進(jìn)行調(diào)整。

個(gè)人信息處理者可以與境外接收方約定其他條款,但不得與標(biāo)準(zhǔn)合同相沖突。

標(biāo)準(zhǔn)合同生效后方可開展個(gè)人信息出境活動(dòng)。

第七條 個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備案。備案應(yīng)當(dāng)提交以下材料:

(一)標(biāo)準(zhǔn)合同;

(二)個(gè)人信息保護(hù)影響評(píng)估報(bào)告。

個(gè)人信息處理者應(yīng)當(dāng)對(duì)所備案材料的真實(shí)性負(fù)責(zé)。

第八條 在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)重新開展個(gè)人信息保護(hù)影響評(píng)估,補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同,并履行相應(yīng)備案手續(xù):

(一)向境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化,或者延長(zhǎng)個(gè)人信息境外保存期限的;

(二)境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的;

(三)可能影響個(gè)人信息權(quán)益的其他情形。

第九條 網(wǎng)信部門及其工作人員對(duì)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供、非法使用。

第十條 任何組織和個(gè)人發(fā)現(xiàn)個(gè)人信息處理者違反本辦法向境外提供個(gè)人信息的,可以向省級(jí)以上網(wǎng)信部門舉報(bào)。

第十一條 省級(jí)以上網(wǎng)信部門發(fā)現(xiàn)個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以依法對(duì)個(gè)人信息處理者進(jìn)行約談。個(gè)人信息處理者應(yīng)當(dāng)按照要求整改,消除隱患。

第十二條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。

第十三條 本辦法自2023年6月1日起施行。本辦法施行前已經(jīng)開展的個(gè)人信息出境活動(dòng),不符合本辦法規(guī)定的,應(yīng)當(dāng)自本辦法施行之日起6個(gè)月內(nèi)完成整改。


來(lái)源:中國(guó)網(wǎng)信網(wǎng)