您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
《個人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)》(全文)
為了指導(dǎo)和幫助數(shù)據(jù)處理者規(guī)范有序申報數(shù)據(jù)出境安全評估、備案個人信息出境標(biāo)準(zhǔn)合同,國家互聯(lián)網(wǎng)信息辦公室編制了《數(shù)據(jù)出境安全評估申報指南(第二版)》、《個人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)》,對申報數(shù)據(jù)出境安全評估、備案個人信息出境標(biāo)準(zhǔn)合同的方式、流程和材料等具體要求作出了說明,對數(shù)據(jù)處理者需要提交的相關(guān)材料進(jìn)行了優(yōu)化簡化。
數(shù)據(jù)處理者因業(yè)務(wù)需要向境外提供重要數(shù)據(jù)和個人信息,應(yīng)當(dāng)遵守《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標(biāo)準(zhǔn)合同辦法》和《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》有關(guān)規(guī)定。符合數(shù)據(jù)出境安全評估適用情形的,按照申報指南申報數(shù)據(jù)出境安全評估;通過與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同的方式向境外提供個人信息的,按照備案指南向所在地省級網(wǎng)信部門備案。
國家互聯(lián)網(wǎng)信息辦公室開通了“數(shù)據(jù)出境申報系統(tǒng)”,網(wǎng)址:https://sjcj.cac.gov.cn。數(shù)據(jù)處理者可以通過該系統(tǒng)申報數(shù)據(jù)出境安全評估、備案個人信息出境標(biāo)準(zhǔn)合同,具體使用說明見系統(tǒng)首頁《用戶手冊》。
附件:1.數(shù)據(jù)出境安全評估申報指南(第二版)
2.個人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)
個人信息出境標(biāo)準(zhǔn)合同備案指南(第二版)
根據(jù)《個人信息出境標(biāo)準(zhǔn)合同辦法》、《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》,為指導(dǎo)和幫助個人信息處理者規(guī)范有序備案個人信息出境標(biāo)準(zhǔn)合同(以下簡稱標(biāo)準(zhǔn)合同),特制定本指南。
一、適用范圍
個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息,同時符合下列情形的應(yīng)當(dāng)向所在地省級網(wǎng)信部門備案:
(一)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者;
(二)自當(dāng)年1月1日起,累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)的;
(三)自當(dāng)年1月1日起,累計向境外提供不滿1萬人敏感個人信息的。
屬于《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
個人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。
以下情形屬于個人信息出境行為:
(一)個人信息處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息傳輸至境外;
(二)個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi),境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出;
(三)符合《個人信息保護(hù)法》第三條第二款情形,在境外處理境內(nèi)自然人個人信息等其他個人信息處理活動。
二、備案方式
個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi),通過數(shù)據(jù)出境申報系統(tǒng)備案,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn。
三、備案流程
標(biāo)準(zhǔn)合同備案流程包括材料提交、材料查驗及反饋備案結(jié)果、補(bǔ)充或者重新備案等環(huán)節(jié)。
(一)材料提交
個人信息處理者備案標(biāo)準(zhǔn)合同,應(yīng)當(dāng)提交如下材料(要求見附件1):
1.統(tǒng)一社會信用代碼證件影印件
2.法定代表人身份證件影印件
3.經(jīng)辦人身份證件影印件
4.經(jīng)辦人授權(quán)委托書(模板見附件2)
5.承諾書(模板見附件3)
6.標(biāo)準(zhǔn)合同(范本見附件4)
7.《個人信息保護(hù)影響評估報告》(模板見附件5)
(二)材料查驗及反饋備案結(jié)果
省級網(wǎng)信辦應(yīng)當(dāng)自個人信息處理者提交備案材料之日起15個工作日內(nèi)完成材料查驗,并向符合備案要求的個人信息處理者發(fā)放備案編號。需要補(bǔ)充完善材料的,個人信息處理者應(yīng)當(dāng)在10個工作日內(nèi)提交補(bǔ)充完善材料;逾期未補(bǔ)充完善材料的,可以終止本次備案程序。
(三)補(bǔ)充或者重新備案
在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的,個人信息處理者應(yīng)當(dāng)重新開展個人信息保護(hù)影響評估,補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同,并履行相應(yīng)備案手續(xù):
1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限的;
2.境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的;
3.可能影響個人信息權(quán)益的其他情形。
個人信息處理者在標(biāo)準(zhǔn)合同有效期內(nèi)補(bǔ)充訂立標(biāo)準(zhǔn)合同的,應(yīng)當(dāng)向所在地省級網(wǎng)信辦提交補(bǔ)充材料;重新訂立標(biāo)準(zhǔn)合同的,應(yīng)當(dāng)重新備案。補(bǔ)充或者重新備案的材料查驗時間為15個工作日。
個人信息處理者對所提交材料的真實(shí)性負(fù)責(zé),提交虛假材料的,注銷備案編號,并依法追究相應(yīng)法律責(zé)任。
四、咨詢、舉報聯(lián)系方式
聯(lián)系電話:010-55627565
電子郵箱:bzht@cac.gov.cn
附件:
1.個人信息出境標(biāo)準(zhǔn)合同備案材料要求
2.經(jīng)辦人授權(quán)委托書(模板)
3.承諾書(模板)
4.個人信息出境標(biāo)準(zhǔn)合同(范本)
5.個人信息保護(hù)影響評估報告(模板)
附件1
個人信息出境標(biāo)準(zhǔn)合同備案材料要求
附件2
經(jīng)辦人授權(quán)委托書(模板)
本人 姓名(身份證件號碼: )系 個人信息處理者名稱 的法定代表人,現(xiàn)授權(quán)我單位 姓名(身份證件號碼: )為個人信息出境標(biāo)準(zhǔn)合同備案經(jīng)辦人。經(jīng)辦人代表我單位進(jìn)行個人信息出境標(biāo)準(zhǔn)合同備案過程中的一切行為,包括所簽署和上傳的資料,我單位均予以承認(rèn),并將承擔(dān)相應(yīng)的法律責(zé)任。
授權(quán)委托期限: 年 月 日至 年 月 日
經(jīng)辦人無轉(zhuǎn)委托權(quán)。
單位名稱(蓋章):
法定代表人(簽字):
經(jīng) 辦 人(簽字):
年 月 日
附件3
承 諾 書(模板)
本單位鄭重承諾:
一、出境個人信息的收集、使用符合中華人民共和國有關(guān)法律法規(guī)規(guī)定;
二、備案材料所有內(nèi)容真實(shí)、完整、準(zhǔn)確和有效;
三、未采取數(shù)量拆分等手段,將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供;
四、為國家網(wǎng)信辦組織實(shí)施的個人信息出境標(biāo)準(zhǔn)合同備案工作提供必要的配合和支持;
五、個人信息保護(hù)影響評估工作為備案之日前3個月內(nèi)完成,且至備案之日未發(fā)生重大變化。
本單位知曉并充分理解上述承諾內(nèi)容,若承諾不實(shí)或者違背承諾,愿意承擔(dān)相應(yīng)法律責(zé)任。
法定代表人(簽字):
單位(蓋章):
年 月 日
附件4
個人信息出境標(biāo)準(zhǔn)合同
國家互聯(lián)網(wǎng)信息辦公室 制定
為了確保境外接收方處理個人信息的活動達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn),明確個人信息處理者和境外接收方個人信息保護(hù)的權(quán)利和義務(wù),經(jīng)雙方協(xié)商一致,訂立本合同。
個人信息處理者:
地址:
聯(lián)系方式:
聯(lián)系人: 職務(wù):
境外接收方:
地址:
聯(lián)系方式:
聯(lián)系人: 職務(wù):
個人信息處理者與境外接收方依據(jù)本合同約定開展個人信息出境活動,與此活動相關(guān)的商業(yè)行為,雙方【已】/【約定】于 年 月 日訂立 (商業(yè)合同,如有)。
本合同正文根據(jù)《個人信息出境標(biāo)準(zhǔn)合同辦法》的要求擬定,在不與本合同正文內(nèi)容相沖突的前提下,雙方如有其他約定可在附錄二中詳述,附錄構(gòu)成本合同的組成部分。
第一條 定義
在本合同中,除上下文另有規(guī)定外:
(一)“個人信息處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的,向中華人民共和國境外提供個人信息的組織、個人。
(二)“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。
(三)個人信息處理者或者境外接收方單稱“一方”,合稱“雙方”。
(四)“個人信息主體”是指個人信息所識別或者關(guān)聯(lián)的自然人。
(五)“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
(六)“敏感個人信息”是指一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
(七)“監(jiān)管機(jī)構(gòu)”是指中華人民共和國省級以上網(wǎng)信部門。
(八)“相關(guān)法律法規(guī)”是指《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國民法典》《中華人民共和國民事訴訟法》《個人信息出境標(biāo)準(zhǔn)合同辦法》等中華人民共和國法律法規(guī)。
(九)本合同其他未定義術(shù)語的含義與相關(guān)法律法規(guī)規(guī)定的含義一致。
第二條 個人信息處理者的義務(wù)
個人信息處理者應(yīng)當(dāng)履行下列義務(wù):
(一)按照相關(guān)法律法規(guī)規(guī)定處理個人信息,向境外提供的個人信息僅限于實(shí)現(xiàn)處理目的所需的最小范圍。
(二)向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、附錄一“個人信息出境說明”中處理目的、處理方式、個人信息的種類、保存期限,以及行使個人信息主體權(quán)利的方式和程序等事項。向境外提供敏感個人信息的,還應(yīng)當(dāng)向個人信息主體告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
(三)基于個人同意向境外提供個人信息的,應(yīng)當(dāng)取得個人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,應(yīng)當(dāng)取得書面同意。
(四)向個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人,如個人信息主體未在30日內(nèi)明確拒絕,則可以依據(jù)本合同享有第三方受益人的權(quán)利。
(五)盡合理地努力確保境外接收方采取如下技術(shù)和管理措施(綜合考慮個人信息處理目的、個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風(fēng)險),以履行本合同約定的義務(wù):
(如加密、匿名化、去標(biāo)識化、訪問控制等技術(shù)和管理措施)
(六)根據(jù)境外接收方的要求向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本。
(七)答復(fù)監(jiān)管機(jī)構(gòu)關(guān)于境外接收方的個人信息處理活動的詢問。
(八)按照相關(guān)法律法規(guī)對擬向境外接收方提供個人信息的活動開展個人信息保護(hù)影響評估。重點(diǎn)評估以下內(nèi)容:
1.個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性。
2.出境個人信息的規(guī)模、范圍、種類、敏感程度,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險。
3.境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全。
4.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險,個人信息權(quán)益維護(hù)的渠道是否通暢等。
5.按照本合同第四條評估當(dāng)?shù)貍€人信息保護(hù)政策和法規(guī)對合同履行的影響。
6.其他可能影響個人信息出境安全的事項。
保存?zhèn)€人信息保護(hù)影響評估報告至少3年。
(九)根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個人信息主體理解的前提下,可對本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(十)對本合同義務(wù)的履行承擔(dān)舉證責(zé)任。
(十一)根據(jù)相關(guān)法律法規(guī)要求,向監(jiān)管機(jī)構(gòu)提供本合同第三條第十一項所述的信息,包括所有合規(guī)審計結(jié)果。
第三條 境外接收方的義務(wù)
境外接收方應(yīng)當(dāng)履行下列義務(wù):
(一)按照附錄一“個人信息出境說明”所列約定處理個人信息。如超出約定的處理目的、處理方式和處理的個人信息種類,基于個人同意處理個人信息的,應(yīng)當(dāng)事先取得個人信息主體的單獨(dú)同意;涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。
(二)受個人信息處理者委托處理個人信息的,應(yīng)當(dāng)按照與個人信息處理者的約定處理個人信息,不得超出與個人信息處理者約定的處理目的、處理方式等處理個人信息。
(三)根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個人信息主體理解的前提下,可對本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(四)采取對個人權(quán)益影響最小的方式處理個人信息。
(五)個人信息的保存期限為實(shí)現(xiàn)處理目的所必要的最短時間,保存期限屆滿的,應(yīng)當(dāng)刪除個人信息(包括所有備份)。受個人信息處理者委托處理個人信息,委托合同未生效、無效、被撤銷或者終止的,應(yīng)當(dāng)將個人信息返還個人信息處理者或者予以刪除,并向個人信息處理者提供書面說明。刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。
(六)按下列方式保障個人信息處理安全:
1.采取包括但不限于本合同第二條第五項的技術(shù)和管理措施,并定期進(jìn)行檢查,確保個人信息安全。
2.確保授權(quán)處理個人信息的人員履行保密義務(wù),并建立最小授權(quán)的訪問控制權(quán)限。
(七)如處理的個人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問,應(yīng)當(dāng)開展下列工作:
1.及時采取適當(dāng)補(bǔ)救措施,減輕對個人信息主體造成的不利影響。
2.立即通知個人信息處理者,并根據(jù)相關(guān)法律法規(guī)要求報告監(jiān)管機(jī)構(gòu)。通知應(yīng)當(dāng)包含下列事項:
(1)發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問的個人信息種類、原因和可能造成的危害。
(2)已采取的補(bǔ)救措施。
(3)個人信息主體可以采取的減輕危害的措施。
(4)負(fù)責(zé)處理相關(guān)情況的負(fù)責(zé)人或者負(fù)責(zé)團(tuán)隊的聯(lián)系方式。
3.相關(guān)法律法規(guī)要求通知個人信息主體的,通知的內(nèi)容包含本項第2目的事項。受個人信息處理者委托處理個人信息的,由個人信息處理者通知個人信息主體。
4.記錄并留存所有與發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問有關(guān)的情況,包括采取的所有補(bǔ)救措施。
(八)同時符合下列條件的,方可向中華人民共和國境外的第三方提供個人信息:
1.確有業(yè)務(wù)需要。
2.已告知個人信息主體該第三方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權(quán)利的方式和程序等事項。向第三方提供敏感個人信息的,還應(yīng)當(dāng)向個人信息主體告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
3.基于個人同意處理個人信息的,應(yīng)當(dāng)取得個人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,應(yīng)當(dāng)取得書面同意。
4.與第三方達(dá)成書面協(xié)議,確保第三方的個人信息處理活動達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn),并承擔(dān)因向中華人民共和國境外的第三方提供個人信息而侵害個人信息主體享有權(quán)利的法律責(zé)任。
5.根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務(wù)信息,在不影響個人信息主體理解的前提下,可對該書面協(xié)議相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。
(九)受個人信息處理者委托處理個人信息,轉(zhuǎn)委托第三方處理的,應(yīng)當(dāng)事先征得個人信息處理者同意,要求該第三方不得超出本合同附錄一“個人信息出境說明”中約定的處理目的、處理方式等處理個人信息,并對該第三方的個人信息處理活動進(jìn)行監(jiān)督。
(十)利用個人信息進(jìn)行自動化決策的,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人信息主體在交易價格等交易條件上實(shí)行不合理的差別待遇。通過自動化決策方式向個人信息主體進(jìn)行信息推送、商業(yè)營銷的,應(yīng)當(dāng)同時提供不針對其個人特征的選項,或者向個人信息主體提供便捷的拒絕方式。
(十一)承諾向個人信息處理者提供已遵守本合同義務(wù)所需的必要信息,允許個人信息處理者對必要數(shù)據(jù)文件和文檔進(jìn)行查閱,或者對本合同涵蓋的處理活動進(jìn)行合規(guī)審計,并為個人信息處理者開展合規(guī)審計提供便利。
(十二)對開展的個人信息處理活動進(jìn)行客觀記錄,保存記錄至少3年,并按照相關(guān)法律法規(guī)要求直接或者通過個人信息處理者向監(jiān)管機(jī)構(gòu)提供相關(guān)記錄文件。
(十三)同意在監(jiān)督本合同實(shí)施的相關(guān)程序中接受監(jiān)管機(jī)構(gòu)的監(jiān)督管理,包括但不限于答復(fù)監(jiān)管機(jī)構(gòu)詢問、配合監(jiān)管機(jī)構(gòu)檢查、服從監(jiān)管機(jī)構(gòu)采取的措施或者作出的決定、提供已采取必要行動的書面證明等。
第四條 境外接收方所在國家或者地區(qū)個人信息保護(hù)政策和法規(guī)對合同履行的影響
(一)雙方應(yīng)當(dāng)保證在本合同訂立時已盡到合理注意義務(wù),未發(fā)現(xiàn)境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)(包括任何提供個人信息的要求或者授權(quán)公共機(jī)關(guān)訪問個人信息的規(guī)定)影響境外接收方履行本合同約定的義務(wù)。
(二)雙方聲明,在作出本條第一項的保證時,已經(jīng)結(jié)合下列情形進(jìn)行評估:
1.出境的具體情況,包括個人信息處理目的、傳輸個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)囊?guī)模和頻率、個人信息傳輸及境外接收方的保存期限、境外接收方此前類似的個人信息跨境傳輸和處理相關(guān)經(jīng)驗、境外接收方是否曾發(fā)生個人信息安全相關(guān)事件及是否進(jìn)行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機(jī)關(guān)要求其提供個人信息的請求及境外接收方應(yīng)對的情況。
2.境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī),包括下列要素:
(1)該國家或者地區(qū)現(xiàn)行的個人信息保護(hù)法律法規(guī)及普遍適用的標(biāo)準(zhǔn)。
(2)該國家或者地區(qū)加入的區(qū)域性或者全球性的個人信息保護(hù)方面的組織,以及所作出的具有約束力的國際承諾。
(3)該國家或者地區(qū)落實(shí)個人信息保護(hù)的機(jī)制,如是否具備個人信息保護(hù)的監(jiān)督執(zhí)法機(jī)構(gòu)和相關(guān)司法機(jī)構(gòu)等。
3.境外接收方安全管理制度和技術(shù)手段保障能力。
(三)境外接收方保證,在根據(jù)本條第二項進(jìn)行評估時,已盡最大努力為個人信息處理者提供了必要的相關(guān)信息。
(四)雙方應(yīng)當(dāng)記錄根據(jù)本條第二項進(jìn)行評估的過程和結(jié)果。
(五)因境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強(qiáng)制性措施)導(dǎo)致境外接收方無法履行本合同的,境外接收方應(yīng)當(dāng)在知道該變化后立即通知個人信息處理者。
(六)境外接收方接到所在國家或者地區(qū)的政府部門、司法機(jī)構(gòu)關(guān)于提供本合同項下的個人信息要求的,應(yīng)當(dāng)立即通知個人信息處理者。
第五條 個人信息主體的權(quán)利
雙方約定個人信息主體作為本合同第三方受益人享有以下權(quán)利:
(一)個人信息主體依據(jù)相關(guān)法律法規(guī),對其個人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理,有權(quán)要求查閱、復(fù)制、更正、補(bǔ)充、刪除其個人信息,有權(quán)要求對其個人信息處理規(guī)則進(jìn)行解釋說明。
(二)當(dāng)個人信息主體要求對已經(jīng)出境的個人信息行使上述權(quán)利時,個人信息主體可以請求個人信息處理者采取適當(dāng)措施實(shí)現(xiàn),或者直接向境外接收方提出請求。個人信息處理者無法實(shí)現(xiàn)的,應(yīng)當(dāng)通知并要求境外接收方協(xié)助實(shí)現(xiàn)。
(三)境外接收方應(yīng)當(dāng)按照個人信息處理者的通知,或者根據(jù)個人信息主體的請求,在合理期限內(nèi)實(shí)現(xiàn)個人信息主體依照相關(guān)法律法規(guī)所享有的權(quán)利。
境外接收方應(yīng)當(dāng)以顯著的方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個人信息主體相關(guān)信息。
(四)境外接收方拒絕個人信息主體的請求的,應(yīng)當(dāng)告知個人信息主體其拒絕的原因,以及個人信息主體向相關(guān)監(jiān)管機(jī)構(gòu)提出投訴和尋求司法救濟(jì)的途徑。
(五)個人信息主體作為本合同第三方受益人有權(quán)根據(jù)本合同條款向個人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項下與個人信息主體權(quán)利相關(guān)的下列條款:
1.第二條,但第二條第五項、第六項、第七項、第十一項除外。
2.第三條,但第三條第七項第2目和第4目、第九項、第十一項、第十二項、第十三項除外。
3.第四條,但第四條第五項、第六項除外。
4.第五條。
5.第六條。
6.第八條第二項、第三項。
7.第九條第五項。
上述約定不影響個人信息主體依據(jù)《中華人民共和國個人信息保護(hù)法》享有的權(quán)益。
第六條 救濟(jì)
(一)境外接收方應(yīng)當(dāng)確定一個聯(lián)系人,授權(quán)其答復(fù)有關(guān)個人信息處理的詢問或者投訴,并應(yīng)當(dāng)及時處理個人信息主體的詢問或者投訴。境外接收方應(yīng)當(dāng)將聯(lián)系人信息告知個人信息處理者,并以簡潔易懂的方式,通過單獨(dú)通知或者在其網(wǎng)站公告,告知個人信息主體該聯(lián)系人信息,具體為:
聯(lián)系人及聯(lián)系方式(辦公電話或電子郵箱)
(二)一方因履行本合同與個人信息主體發(fā)生爭議的,應(yīng)當(dāng)通知另一方,雙方應(yīng)當(dāng)合作解決爭議。
(三)爭議未能友好解決,個人信息主體根據(jù)第五條行使第三方受益人的權(quán)利的,境外接收方接受個人信息主體通過下列形式維護(hù)權(quán)利:
1.向監(jiān)管機(jī)構(gòu)投訴。
2.向本條第五項約定的法院提起訴訟。
(四)雙方同意個人信息主體就本合同爭議行使第三方受益人權(quán)利,個人信息主體選擇適用中華人民共和國相關(guān)法律法規(guī)的,從其選擇。
(五)雙方同意個人信息主體就本合同爭議行使第三方受益人權(quán)利的,個人信息主體可以依據(jù)《中華人民共和國民事訴訟法》向有管轄權(quán)的人民法院提起訴訟。
(六)雙方同意個人信息主體所作的維權(quán)選擇不會減損個人信息主體根據(jù)其他法律法規(guī)尋求救濟(jì)的權(quán)利。
第七條 合同解除
(一)境外接收方違反本合同約定的義務(wù),或者境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強(qiáng)制性措施)導(dǎo)致境外接收方無法履行本合同的,個人信息處理者可以暫停向境外接收方提供個人信息,直到違約行為被改正或者合同被解除。
(二)有下列情形之一的,個人信息處理者有權(quán)解除本合同,并在必要時通知監(jiān)管機(jī)構(gòu):
1.個人信息處理者根據(jù)本條第一項的規(guī)定暫停向境外接收方提供個人信息的時間超過1個月。
2.境外接收方遵守本合同將違反其所在國家或者地區(qū)的法律規(guī)定。
3.境外接收方嚴(yán)重或者持續(xù)違反本合同約定的義務(wù)。
4.根據(jù)境外接收方的主管法院或者監(jiān)管機(jī)構(gòu)作出的終局決定,境外接收方或者個人信息處理者違反了本合同約定的義務(wù)。
在本項第1目、第2目、第4目的情況下,境外接收方可以解除本合同。
(三)經(jīng)雙方同意解除本合同的,合同解除不免除其在個人信息處理過程中的個人信息保護(hù)義務(wù)。
(四)合同解除時,境外接收方應(yīng)當(dāng)及時返還或者刪除其根據(jù)本合同所接收到的個人信息(包括所有備份),并向個人信息處理者提供書面說明。刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。
第八條 違約責(zé)任
(一)雙方應(yīng)就其違反本合同而給對方造成的損失承擔(dān)責(zé)任。
(二)任何一方因違反本合同而侵害個人信息主體享有的權(quán)利,應(yīng)當(dāng)對個人信息主體承擔(dān)民事法律責(zé)任,且不影響相關(guān)法律法規(guī)規(guī)定個人信息處理者應(yīng)當(dāng)承擔(dān)的行政、刑事等法律責(zé)任。
(三)雙方依法承擔(dān)連帶責(zé)任的,個人信息主體有權(quán)請求任何一方或者雙方承擔(dān)責(zé)任。一方承擔(dān)的責(zé)任超過其應(yīng)當(dāng)承擔(dān)的責(zé)任份額時,有權(quán)向另一方追償。
第九條 其他
(一)如本合同與雙方訂立的任何其他法律文件發(fā)生沖突,本合同的條款優(yōu)先適用。
(二)本合同的成立、效力、履行、解釋、因本合同引起的雙方間的任何爭議,適用中華人民共和國相關(guān)法律法規(guī)。
(三)發(fā)出的通知應(yīng)當(dāng)以電子郵件、電報、電傳、傳真(以航空信件寄送確認(rèn)副本)或者航空掛號信發(fā)往(具體地址) 或者書面通知取代該地址的其它地址。如以航空掛號信寄出本合同項下的通知,在郵戳日期后的 天應(yīng)當(dāng)視為收訖;如以電子郵件、電報、電傳或者傳真發(fā)出,在發(fā)出以后的 個工作日應(yīng)當(dāng)視為收訖。
(四)雙方因本合同產(chǎn)生的爭議以及任何一方因先行賠償個人信息主體損害賠償責(zé)任而向另一方的追償,雙方應(yīng)當(dāng)協(xié)商解決;協(xié)商解決不成的,任何一方可以采取下列第 種方式加以解決(如選擇仲裁,請勾選仲裁機(jī)構(gòu)):
1.仲裁。將該爭議提交
□中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會
□中國海事仲裁委員會
□北京仲裁委員會(北京國際仲裁中心)
□上海國際仲裁中心
□其他《承認(rèn)及執(zhí)行外國仲裁裁決公約》成員的仲裁機(jī)構(gòu)
按其屆時有效的仲裁規(guī)則在 (仲裁地點(diǎn)) 進(jìn)行仲裁;
2.訴訟。依法向中華人民共和國有管轄權(quán)的人民法院提起訴訟。
(五)本合同應(yīng)當(dāng)按照相關(guān)法律法規(guī)的規(guī)定進(jìn)行解釋,不得以與相關(guān)法律法規(guī)規(guī)定的權(quán)利、義務(wù)相抵觸的方式解釋本合同。
(六)本合同正本一式 份,雙方各執(zhí) 份,其法律效力相同。
本合同在(地點(diǎn)) 簽訂
個人信息處理者:
年 月 日
境外接收方:
年 月 日
附錄一
個人信息出境說明
根據(jù)本合同向境外提供個人信息的詳情約定如下:
(一)處理目的:
(二)處理方式:
(三)出境個人信息的規(guī)模:
(四)出境個人信息種類(參考GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(五)出境敏感個人信息種類(如適用,參考GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(六)境外接收方只向以下中華人民共和國境外第三方提供個人信息(如適用):
(七)傳輸方式:
(八)出境后保存期限:
( 年 月 日至 年 月 日)
(九)出境后保存地點(diǎn):
(十)其他事項(視情況填寫):
附錄二
雙方約定的其他條款(如需要)
附件5
個人信息保護(hù)影響評估報告(模板)
(出境版)
個人信息處理者名稱: (蓋章)
年 月 日
說明:
(一)個人信息處理者備案個人信息出境標(biāo)準(zhǔn)合同時需提供個人信息保護(hù)影響評估報告,并對所提交的評估報告真實(shí)性負(fù)責(zé);
(二)報告所述評估工作為本次申報前3個月內(nèi)完成;
(三)如有第三方機(jī)構(gòu)參與評估,須在評估報告中說明第三方機(jī)構(gòu)的基本情況及參與評估的情況;
(四)評估報告嚴(yán)格按照模板撰寫。評估報告必須使用中文撰寫,正文字體四號“仿宋”(其中,正文一級標(biāo)題黑體、二級標(biāo)題楷體加黑、三級標(biāo)題仿宋加黑),數(shù)字、字母使用四號“Times New Roman”字體,行距固定值26磅,段落首行縮進(jìn)2字符。頁面設(shè)置:A4紙,上下頁邊距為2.54cm,左右頁邊距為3.18cm。
一、出境活動整體情況
(一)個人信息處理者基本情況
1.基本情況簡介,包括股權(quán)結(jié)構(gòu)、實(shí)際控制人、境內(nèi)外投資情況、組織架構(gòu)和個人信息保護(hù)機(jī)構(gòu)信息等。
2.整體業(yè)務(wù)與處理個人信息情況。
3.擬出境個人信息情況。
(1)個人信息出境涉及業(yè)務(wù)、個人信息收集使用、信息系統(tǒng)等情況;
(2)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式,及其合法性、正當(dāng)性、必要性;
(3)出境個人信息的規(guī)模、范圍、種類、敏感程度,處理敏感個人信息情況;
(4)擬出境個人信息在境內(nèi)存儲的系統(tǒng)平臺、數(shù)據(jù)中心等情況,個人信息出境鏈路相關(guān)情況,計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等;
(5)個人信息出境后向境外其他接收方提供的情況。
4.遵守個人信息保護(hù)相關(guān)法律法規(guī)的情況。
(二)境外接收方情況
1.境外接收方基本情況;
2.境外接收方處理個人信息的用途、方式等;
3.境外接收方履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等。
(三)個人信息處理者認(rèn)為需要說明的其他情況
二、擬出境活動的影響評估情況及結(jié)論
對照《個人信息出境標(biāo)準(zhǔn)合同辦法》第五條規(guī)定事項,說明個人信息保護(hù)影響評估情況,重點(diǎn)說明評估發(fā)現(xiàn)的問題和整改情況。
綜合影響評估情況和相應(yīng)整改情況,對個人信息出境活動作出客觀的影響評估結(jié)論,充分說明得出評估結(jié)論的理由和論據(jù)。
來源:“網(wǎng)信中國”微信公眾號