《个人信息出境标准合同办法》已经2023年2月3日国家互联网信息办公室2023年第2次室务会议审议通过,现予公布,自2023年6月1日起施行。
第一条为保护个人隐私信息权益,规范个人隐私信息出境活动,根据《中华人民共和国个人隐私信息保护法》等法律和法规,制定本办法。
第二条个人隐私信息处理者通过与境外接收方订立个人隐私信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人隐私信息,适用本办法。
第三条通过订立标准合同的方式开展个人隐私信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人隐私信息跨境安全、自由流动。
第四条个人隐私信息处理者通过订立标准合同的方式向境外提供个人隐私信息的,应当同时符合下列情形:
个人隐私信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人隐私信息通过订立标准合同的方式向境外提供。
第五条个人隐私信息处理者向境外提供个人隐私信息前,应当开展个人隐私信息保护影响评估,重点评估以下内容:
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人隐私信息的规模、范围、种类、敏感程度,个人隐私信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
第六条标准合同应当严格按照本办法附件订立。国家网信部门能够准确的通过真实的情况对附件进行调整。
第七条个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料:
第八条在标准合同有效期内出现以下情形之一的,个人隐私信息处理者应当重新开展个人隐私信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人隐私信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生明显的变化,或者延长个人隐私信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人隐私信息保护政策和法规发生明显的变化等可能会影响个人隐私信息权益的;
第九条网信部门及其工作人员对在履行职责中知悉的个人隐私、个人隐私信息、商业机密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十条任何组织和个人发现个人隐私信息处理者违反本办法向境外提供个人隐私信息的,可以向省级以上网信部门举报。
第十一条省级以上网信部门发现个人信息出境活动存在比较大风险或者发生个人隐私信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当根据相关要求整改,消除隐患。
第十二条违反本办法规定的,依据《中华人民共和国个人隐私信息保护法》等法律和法规处理;构成犯罪的,依照法律来追究刑事责任。
第十三条本办法自2023年6月1日起施行。本办法施行前已经开展的个人隐私信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。