2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室相关负责人表示,《办法》的出台旨在落实个人信息保护法的规定,保护个人信息权益,规范个人信息出境活动。
近年来,随着数字经济的蓬勃发展,个人信息出境需求迅速增加。为满足日益增长的个人信息出境需求,保护个人信息权益,《办法》规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了示范合同,为境外提供个人信息提供了具体指导。
《办法》规定,本办法适用于个人信息处理者通过与境外接收方的标准合同在中华人民共和国(中国)境外提供个人信息。明确以订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,确保个人信息安全自由跨境流动。通过订立标准合同在境外提供个人信息的个人信息处理者,应当同时符合以下条件:非关键信息基础设施运营者、处理个人信息100万条以下的个人信息处理者、自去年1月1日起在境外提供个人信息10万条以下的个人信息处理者、提供10条以下的个人信息处理者、从去年1月1日起,海外的10000多条敏感个人信息。法律、行政法规或者国家网信办另有规定的,从其规定。要求个人信息处理者不得采取数量分割等措施,通过订立标准合同的方式向境外提供依法应当通过出境安全评估的个人信息。
《办法》明确,个人信息处理者在境外提供个人信息前,应当开展个人信息保护影响评估,明确重点评估内容。规定个人信息处理者应当自标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出个人信息处理者应当在标准合同有效期内,重新评估个人信息保护的影响,补充或者重新订立标准合同,并履行相应的备案手续。《办法》还规定了监督管理、法律责任、合规整改要求等。
《办法》附件为标准合同范本,主要包括合同的相关定义和基本要素、个人信息处理者与境外接收方的合同义务、境外接收方所在国家或者地区的个人信息保护政策法规对合同履行的影响、个人信息主体的权利和相关救济以及合同解除、违约责任、争议解决等事项。设计了两个附录,包括个人信息出境须知和双方约定的其他条款。
国家互联网信息办公室令
十三号
《个人信息出境标准合同办法》已经2023年2月3日国家互联网信息办公室2023年第2次办公会议审议通过,现予公布,自2023年6月1日起施行。
庄国家互联网信息办公室主任
2023年2月22日
个人信息出口的标准合同措施
第一条为保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条本办法适用于个人信息处理者通过与境外接受者签订个人信息出境标准合同(以下简称标准合同)向境外提供个人信息的行为。
第三条通过订立格式合同开展个人信息出境活动,应当坚持自主签约与备案管理相结合、保护权益与防范风险相结合,确保个人信息安全自由跨境流动。
第四条个人信息处理者通过订立格式合同向境外提供个人信息的,应当同时符合下列条件:
(1)非关键信息基础设施的运营商;
(2)处理个人信息不满100万人的;
(3)自去年1月1日起,在境外提供个人信息不足10万人;
(4)自去年1月1日以来,在海外提供敏感个人信息的不到1万人。
法律、行政法规或者国家网信办另有规定的,从其规定。
个人信息处理者不得采取数量分割等措施,通过订立标准合同的方式向境外提供依法应当通过出境安全评估的个人信息。
第五条个人信息处理者在向境外提供个人信息前,应当进行个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和境外接受者处理个人信息的目的、范围和方式的合法性、正当性和必要性;
(二)个人信息出境的规模、范围、类型和敏感程度,以及个人信息可能给个人信息权益带来的风险;
(三)境外接收人承诺的义务以及履行义务的管理和技术措施及能力是否能够保障个人信息出境安全;
(四)个人信息出境后被篡改、销毁、泄露、丢失或者被非法使用的风险,维护个人信息权益的渠道是否畅通;
(五)境外收件人所在国家或者地区的个人信息保护政策法规对格式合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
第六条格式合同应当严格按照本办法附件的规定订立。国家网信部门可根据实际情况调整附件。
个人信息处理者可以与海外接收者就其他条款达成一致,但不得与标准合同相冲突。
个人信息只有在标准合同生效后才能进行。
第七条个人信息加工者应当自格式合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交下列材料:
(1)标准合同;
(二)个人信息保护影响评估报告。
个人信息处理人员应当对备案材料的真实性负责。
第八条在格式合同有效期内,有下列情形之一的,个人信息处理者应当重新评估个人信息保护的影响,补充或者重新订立格式合同,并办理相应的备案手续:
(一)境外提供个人信息的目的、范围、类型、敏感程度、方式、存储地点或者境外接收人处理个人信息的用途和方式发生变化,或者个人信息境外存储期限延长的;
(二)境外收件人所在国家或者地区的个人信息保护政策法规发生变化,可能影响个人信息权益的;
(三)其他可能影响个人信息权益的情形。
第九条网信部门及其工作人员应当对依法履行职责中知悉的个人隐私、个人信息、商业秘密和商业秘密信息予以保密,不得泄露或者非法提供给他人或者非法使用。
第十条任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。
第十一条省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改消除隐患。
第十二条违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十三条本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
