新版《数据出境安全评估申报指南》和《个人信息出境标准合同备案指南》
前哨按语
3月22日,为配合《促进和规范数据跨境流动规定》落地实施,国家网信办发布了《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指南(第二版)》,关注前哨回复240322,可以下载这两个指南的word版。
国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》
附件:1.数据出境安全评估申报指南(第二版)
2.个人信息出境标准合同备案指南(第二版)
数据出境安全评估申报指南(第二版)
根据《数据出境安全评估办法》、《促进和规范数据跨境流动规定》,为指导和帮助数据处理者规范有序申报数据出境安全评估,特制定本指南。
一、适用范围
数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
二、申报方式及流程
数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
省级网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。
国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。
评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
三、申报材料
数据处理者申报数据出境安全评估,应当提交如下材料(材料要求见附件1):
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.数据出境安全评估申报书(模板见附件3)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件
7.数据出境风险自评估报告(模板见附件4)
8.其他相关证明材料
数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
四、咨询、举报联系方式
联系电话:010-55627135
电子邮箱:sjcj@cac.gov.cn
附件:1.数据出境安全评估申报材料要求
2.经办人授权委托书(模板)
3.数据出境安全评估申报书(模板)
4.数据出境风险自评估报告(模板)
附件1
数据出境安全评估申报材料要求
序号 | 材料名称 | 要求 | 备注 |
1 | 统一社会信用代码证件 | 影印件加盖公章 | |
2 | 法定代表人身份证件 | 影印件加盖公章 | |
3 | 经办人身份证件 | 影印件加盖公章 | |
4 | 经办人授权委托书 | ||
5 | 数据出境安全评估申报书 | ||
5.1 | 承诺书 | ||
5.2 | 数据出境安全评估申报表 | 使用中文填写 | |
6 | 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件 | 对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。 | |
7 | 数据出境风险自评估报告 | 使用中文撰写 | |
8 | 其他相关证明材料 |
注:采用线下方式提交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。
附件2
经办人授权委托书
本人 姓名(身份证件号码: )系 数据处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码: )为数据出境安全评估申报工作经办人。经办人代表我单位进行数据出境安全评估申报工作过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。
授权委托期限: 年 月 日至 年 月 日
经办人无转委托权。
单位名称(盖章):
法定代表人(签字):
经 办 人(签字):
年 月 日
附件3
数据出境安全评估申报书(模板)
填写说明:
一、由数据处理者法定代表人或其授权的数据出境安全评估申报工作经办人填写。
二、有选择的地方请勾选左侧“o”符号,有横线的部分应当填写相关信息。
三、承诺书和申报表严格按照模板填写。申报表必须使用中文填写,字体四号“仿宋”,数字、字母统一使用四号“Times New Roman”字体,行距固定值16磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。
四、所涉及的用语,可参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《数据出境安全评估办法》和《促进和规范数据跨境流动规定》等法律法规和部门规章。
五、由国家互联网信息办公室制定并负责解释。
一、承 诺 书
本单位郑重承诺:
一、申报出境数据的收集、使用符合中华人民共和国有关法律法规规定;
二、申报材料所有内容真实、完整、准确和有效;
三、为国家网信办组织实施的数据出境安全评估工作提供必要的配合和支持;
四、自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。
本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。
法定代表人(签字):
单位(盖章):
年 月 日
二、数据出境安全评估申报表
1数据处理者情况 | 单位名称 | |||
单位性质 | o政府部门 o事业单位 o企业 o社会组织 o其他 | |||
单位类型 | o内资 o外资 o中外合资 o港澳台资 o其他 | |||
单位注册地 | 办公所在地 | |||
员工数量 | 统一社会 信用代码 | |||
是否为关键信息基础设施运营者 | o是 o否 | 处理个人 信息规模 | 按自然人(去重)统计数量 | |
2法定代表人信息 | 姓名 | 职务/国籍 | ||
联系电话 | 电子邮箱 | |||
证件类型 | o居民身份证 o护照 o台湾居民来往大陆通行证 o港澳居民来往内地通行证 o其他 | |||
证件号码 | ||||
3数据安全负责人和管理机构信息 | 姓名 | 职务/国籍 | ||
联系电话 | 电子邮箱 | |||
证件类型 | o居民身份证 o护照 o台湾居民来往大陆通行证 o港澳居民来往内地通行证 o其他 | |||
证件号码 | ||||
管理机构 名称 | 管理机构 人数 | |||
4经办人信息 | 姓名 | 职务/国籍 | ||
联系电话 | 电子邮箱 | |||
证件类型 | o居民身份证 o护照 o台湾居民来往大陆通行证 o港澳居民来往内地通行证 o其他 | |||
证件号码 | ||||
5数据处理者遵守中国法律、行政法规、部门规章情况 | 简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况 | |||
6数据出境场景1
| 出境场景简述 | 据实填写此次申报的数据出境场景业务、数据出境目的、数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等) | ||
拟出境数据情况 | 数据类型 | o重要数据 | 重要数据认定 主管部门名称 | |
o个人信息 | 是否包含敏感 个人信息 | o是 o否 | ||
涉及行业/领域 | o工业 o电信 o交通 o金融 o自然资源 o卫生健康 o教育 o科技 o能源 o国防科工 o文旅 o跨境电商 o零售 o互联网 o其他 | |||
涉及自然人(去重)数量 | 包括当年已出境数量、未来三年出境数量以及两者的关系 | 涉及重要 数据规模 | MB/GB/TB | |
境外接收方情况 | 境外接收方名称 | |||
所在国家 或者地区 | ||||
所在地址 | ||||
主营业务 | ||||
负责人 姓名 | 负责人 职务 | |||
联系方式 | o电话: o邮箱: | |||
统计说明:(如需) | ||||
6数据出境场景2 | 出境场景简述 | 据实填写此次申报的数据出境场景业务、数据出境目的、数据出境方式等,应与法律文件中涉及业务名称一致,不超过100字(数据出境方式参考:公共互联网传输、跨境专线传输、公共互联网远程访问、跨境专线远程访问等) | ||
拟出境数据情况 | 数据类型 | o重要数据 | 重要数据认定 主管部门名称 | |
o个人信息 | 是否包含敏感 个人信息 | o是 o否 | ||
涉及行业/领域 | o工业 o电信 o交通 o金融 o自然资源 o卫生健康 o教育 o科技 o能源 o国防科工 o文旅 o跨境电商 o零售 o互联网 o其他 | |||
涉及自然人(去重)数量 | 包括当年已出境数量、未来三年出境数量以及两者的关系 | 涉及重要 数据规模 | MB/GB/TB | |
境外接收方情况 | 境外接收方名称 | |||
所在国家 或者地区 | ||||
所在地址 | ||||
主营业务 | ||||
负责人 姓名 | 负责人 职务 | |||
联系方式 | o电话: o邮箱: | |||
统计说明:(如需) | ||||
6数据出境场景3 | ...... |
注:1.其他申报材料内容应与申报表内容保持一致。
2.申报表第6项应按场景分项描述,可根据实际申报的出境场景
数量增加申报表第6项。出境个人信息涉及自然人范围一致的
场景应当合并。
3.境外接收方数量众多、范围不确定、无法逐一列举的,申报表
第6项境外接收方情况可填写统计数据。
附件4
数据出境风险自评估报告(模板)
数据处理者名称: (盖章)
年 月 日
说明:
(一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责;
(二)报告所述自评估活动为本次申报前3个月内完成;
(三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况;
(四)自评估报告严格按照模板撰写。自评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值26磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。
一、自评估工作情况
简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。
二、出境活动整体情况
简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于:
(一)数据处理者基本情况
1.基本情况简介,包括股权结构、实际控制人、境内外投资情况等;
2.组织架构和数据安全管理机构信息;
3.整体业务与数据资产情况。
(二)拟出境数据情况
1.数据出境涉及业务、数据资产等情况;
2.数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;
3.按照申报业务场景梳理对应的出境数据项情况,以列表形式呈现数据项清单并逐一说明(如下表所示),同一场景下的数据项需去重;
序号 | 数据项名称 | 内容描述 | 出境必要性 | 示例 | 备注 |
1 | |||||
2 | |||||
...... |
4.拟出境数据在境内存储的系统平台、数据中心(包含云服务)等情况,数据出境链路相关情况,计划出境后存储的系统平台、数据中心等;
5.数据出境后向境外其他接收方提供的情况;
6.涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来3年的出境数量。
(三)数据处理者数据安全保障能力情况
1.数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;
(涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意)
2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
3.数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;
4.遵守数据和网络安全相关法律法规的情况。
(如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料)
(四)境外接收方情况
1.境外接收方基本情况;
2.境外接收方处理数据的用途、方式等;
3.境外接收方履行责任义务的管理和技术措施、能力等。
(五)法律文件约定数据安全保护责任义务的情况
1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
4.境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施;
5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
(六)数据处理者认为需要说明的其他情况
三、出境活动的风险自评估情况及结论
对照《数据出境安全评估办法》第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。
综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由。
个人信息出境标准合同备案指南(第二版)
根据《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》,为指导和帮助个人信息处理者规范有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。
一、适用范围
个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案:
(一)关键信息基础设施运营者以外的数据处理者;
(二)自当年1月1日起,累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的;
(三)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
以下情形属于个人信息出境行为:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。
二、备案方式
个人信息处理者应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案,系统网址为https://sjcj.cac.gov.cn。
三、备案流程
标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。
(一)材料提交
个人信息处理者备案标准合同,应当提交如下材料(要求见附件1):
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.承诺书(模板见附件3)
6.标准合同(范本见附件4)
7.《个人信息保护影响评估报告》(模板见附件5)
(二)材料查验及反馈备案结果
省级网信办应当自个人信息处理者提交备案材料之日起15个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在10个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。
(三)补充或者重新备案
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
3.可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,注销备案编号,并依法追究相应法律责任。
四、咨询、举报联系方式
联系电话:010-55627565
电子邮箱:bzht@cac.gov.cn
附件:1.个人信息出境标准合同备案材料要求
2.经办人授权委托书(模板)
3.承诺书(模板)
4.个人信息出境标准合同(范本)
5.个人信息保护影响评估报告(模板)
附件1
个人信息出境标准合同备案材料要求
序号 | 材料名称 | 要求 |
1 | 统一社会信用代码证件 | 影印件加盖公章 |
2 | 法定代表人身份证件 | 影印件加盖公章 |
3 | 经办人身份证件 | 影印件加盖公章 |
4 | 经办人授权委托书 | |
5 | 承诺书 | |
6 | 个人信息出境标准合同 | |
7 | 个人信息保护影响评估报告 | 使用中文撰写 |
附件2
经办人授权委托书(模板)
本人 姓名(身份证件号码: )系 个人信息处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码: )为个人信息出境标准合同备案经办人。经办人代表我单位进行个人信息出境标准合同备案过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。
授权委托期限: 年 月 日至 年 月 日
经办人无转委托权。
单位名称(盖章):
法定代表人(签字):
经 办 人(签字):
年 月 日
附件3
承 诺 书(模板)
本单位郑重承诺:
一、出境个人信息的收集、使用符合中华人民共和国有关法律法规规定;
二、备案材料所有内容真实、完整、准确和有效;
三、未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供;
四、为国家网信办组织实施的个人信息出境标准合同备案工作提供必要的配合和支持;
五、个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化。
本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。
法定代表人(签字):
单位(盖章):
年 月 日
附件4
个人信息出境标准合同
国家互联网信息办公室 制定
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。
个人信息处理者:
地址:
联系方式:
联系人: 职务:
境外接收方:
地址:
联系方式:
联系人: 职务:
个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立 (商业合同,如有)。
本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。
第一条 定义
在本合同中,除上下文另有规定外:
(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。
(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。
(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。
(四)“个人信息主体”是指个人信息所识别或者关联的自然人。
(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(七)“监管机构”是指中华人民共和国省级以上网信部门。
(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。
(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。
第二条 个人信息处理者的义务
个人信息处理者应当履行下列义务:
(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据本合同享有第三方受益人的权利。
(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:
(如加密、匿名化、去标识化、访问控制等技术和管理措施)
(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。
(七)答复监管机构关于境外接收方的个人信息处理活动的询问。
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。
2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。
3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。
4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少3年。
(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(十)对本合同义务的履行承担举证责任。
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。
第三条 境外接收方的义务
境外接收方应当履行下列义务:
(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。
(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。
(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(四)采取对个人权益影响最小的方式处理个人信息。
(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
(六)按下列方式保障个人信息处理安全:
1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。
2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:
1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。
2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项:
(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。
(2)已采取的补救措施。
(3)个人信息主体可以采取的减轻危害的措施。
(4)负责处理相关情况的负责人或者负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第2目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。
4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:
1.确有业务需要。
2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。
5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
(十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。
(十二)对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。
(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。
第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响
(一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。
(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估:
1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。
2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。
(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。
(四)双方应当记录根据本条第二项进行评估的过程和结果。
(五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。
(六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。
第五条 个人信息主体的权利
双方约定个人信息主体作为本合同第三方受益人享有以下权利:
(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。
(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。
境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。
(四)境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。
(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:
1.第二条,但第二条第五项、第六项、第七项、第十一项除外。
2.第三条,但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项除外。
3.第四条,但第四条第五项、第六项除外。
4.第五条。
5.第六条。
6.第八条第二项、第三项。
7.第九条第五项。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。
第六条 救济
(一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为:
联系人及联系方式(办公电话或电子邮箱)
(二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。
(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利:
1.向监管机构投诉。
2.向本条第五项约定的法院提起诉讼。
(四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。
(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。
(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。
第七条 合同解除
(一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。
(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:
1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过1个月。
2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。
3.境外接收方严重或者持续违反本合同约定的义务。
4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。
在本项第1目、第2目、第4目的情况下,境外接收方可以解除本合同。
(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。
(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
第八条 违约责任
(一)双方应就其违反本合同而给对方造成的损失承担责任。
(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。
(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。
第九条 其他
(一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。
(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。
(三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或者航空挂号信发往(具体地址) 或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的 天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。
(四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构):
1.仲裁。将该争议提交
□中国国际经济贸易仲裁委员会
□中国海事仲裁委员会
□北京仲裁委员会(北京国际仲裁中心)
□上海国际仲裁中心
□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构
按其届时有效的仲裁规则在 (仲裁地点) 进行仲裁;
2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。
(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。
(六)本合同正本一式 份,双方各执 份,其法律效力相同。
本合同在(地点) 签订
个人信息处理者:
年 月 日
境外接收方:
年 月 日
附录一
个人信息出境说明
根据本合同向境外提供个人信息的详情约定如下:
(一)处理目的:
(二)处理方式:
(三)出境个人信息的规模:
(四)出境个人信息种类(参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(五)出境敏感个人信息种类(如适用,参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用):
(七)传输方式:
(八)出境后保存期限:
( 年 月 日至 年 月 日)
(九)出境后保存地点:
(十)其他事项(视情况填写):
附录二
双方约定的其他条款(如需要)
附件5
个人信息保护影响评估报告(模板)
(出境版)
个人信息处理者名称: (盖章)
年 月 日
说明:
(一)个人信息处理者备案个人信息出境标准合同时需提供个人信息保护影响评估报告,并对所提交的评估报告真实性负责;
(二)报告所述评估工作为本次申报前3个月内完成;
(三)如有第三方机构参与评估,须在评估报告中说明第三方机构的基本情况及参与评估的情况;
(四)评估报告严格按照模板撰写。评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值26磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。
一、出境活动整体情况
(一)个人信息处理者基本情况
1.基本情况简介,包括股权结构、实际控制人、境内外投资情况、组织架构和个人信息保护机构信息等。
2.整体业务与处理个人信息情况。
3.拟出境个人信息情况。
(1)个人信息出境涉及业务、个人信息收集使用、信息系统等情况;
(2)个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性;
(3)出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息情况;
(4)拟出境个人信息在境内存储的系统平台、数据中心等情况,个人信息出境链路相关情况,计划出境后存储的系统平台、数据中心等;
(5)个人信息出境后向境外其他接收方提供的情况。
4.遵守个人信息保护相关法律法规的情况。
(二)境外接收方情况
1.境外接收方基本情况;
2.境外接收方处理个人信息的用途、方式等;
3.境外接收方履行责任义务的管理和技术措施、能力等。
(三)个人信息处理者认为需要说明的其他情况
二、拟出境活动的影响评估情况及结论
对照《个人信息出境标准合同办法》第五条规定事项,说明个人信息保护影响评估情况,重点说明评估发现的问题和整改情况。
综合影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。