官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,近日,国家网信办公布《个人信息出境标准合同规定(征求意见稿)》(以下简称《征求意见稿》)。《征求意见稿》共计13条,文末附件为《个人信息出境标准合同》。
《征求意见稿》指出,个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。
《征求意见稿》明确,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
- 非关键信息基础设施运营者;
- 处理个人信息不满100万人的;
- 自上年1月1日起累计向境外提供未达到10万人个人信息的;
- 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
《征求意见稿》要求,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:
- 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
- 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
- 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
- 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
- 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
- 其他可能影响个人信息出境安全的事项。
《征求意见稿》明确,标准合同包括以下主要内容:
- 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;
- 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
- 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;
- 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;
- 个人信息主体的权利,以及保障个人信息主体权利的途径和方式;
- 救济、合同解除、违约责任、争议解决等。