《个人信息出境标准合同规定-全文及合同模板.docx》由会员分享,可在线阅读,更多相关《个人信息出境标准合同规定-全文及合同模板.docx(21页珍藏版)》请在优知文库上搜索。
1、个人信息出境标准合同规定(征求意见稿)第一条为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据中华人民共和国个人信息保护法,制定本规定。第二条个人信息处理者依据中华人民共和国个人信息保护法第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。第三条依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。第四条个人信息处理者
2、同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。第五条个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措
3、施、能力等能否保障出境个人信息的安全;(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;(六)其他可能影响个人信息出境安全的事项。第六条标准合同包括以下主要内容:(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(四)境外接收方所在国家或
4、者地区的个人信息保护政策法规对遵守本合同条款的影响;(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;(六)救济、合同解除、违约责任、争议解决等。第七条个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告。个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。第八条在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人
5、信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况。第九条参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。第十条任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。第十一条省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者
6、应当在收到通知后立即终止个人信息出境活动。第十二条个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照中华人民共和国个人信息保护法的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。(一)未履行备案程序或者提交虚假材料进行备案的;(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;(三)出现影响个人信息权益的其他情形。第十三条本规定自_年月日起施行。附件:个人信息出境标准合同中华人民共和国国家互联网信息办公室制定为了确保境外接收方处理个人信息的活动达到中
7、华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的义务和责任,双方经协商一致,特签订本合同,以便共同遵守。个人信息处理者:地址:电话:邮箱:联系人:职务:国籍:境外接收方:地址:电话:邮箱:联系人:职务:国籍:个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动,与此活动相关的商业行为,双方【已】/【约定】于年月一日签署关于XX的商业合同,如有。本合同正文系根据个人信息出境标准合同规定的要求拟定,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。第一条定义在本合同中,除上下文另有规定外:(一)个人
8、信息处理者或境外接收方单称“一方”,合称“双方二(二)“个人信息”和“敏感个人信息”与中华人民共和国个人信息保护法所规定的含义相同。(三)“个人信息主体”是指个人信息所标识或者关联的自然人。(四)“个人信息处理者”与中华人民共和国个人信息保护法所规定的含义相同。(五)”境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。(六)“监管机构”是指中华人民共和国省级以上网信部门。(七)“相关法律法规”是指中华人民共和国民法典中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法个人信息出境标准合同规定等中华人民共和国法律法规和部门规章,以及对前述
9、法律法规和部门规章作出修订、修改或补充的法律法规和部门规章,包括取代原法律法规和部门规章的后续法律法规和部门规章。(八)本合同其他未定义术语的含义应与相关法律法规规定的含义保持一致。第二条个人信息处理者的义务个人信息处理者在此陈述、保证、承诺如下:(一)个人信息系按照相关法律法规进行收集、使用等处理;出境个人信息范围仅限于实现处理目的所需的最小范围。(二)已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一“个人信息出境说明”中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,但相关法律法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息,已向个人信息主
10、体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,已取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,已取得书面同意,相关法律法规规定无需取得书面同意的除外。(三)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。(四)已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施(综合考虑个人信息的类型、数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的等可能带来的个人信息安
11、全风险):(如加密、匿名化、去标识化、访问控制等技术和管理措施)(五)经境外接收方要求,向境外接收方提供相关法律规定和技术标准的副本。(六)将答复来自监管机构关于境外接收方的个人信息处理活动的询问,但双方均同意由境外接收方作出答复的除外;在此情况下,若境外接收方在要求答复的期限内未答复,个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。(七)已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。评估已考虑:1 .个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;2 .出境个人信息的数量、范围、类型、敏感程度,个人信息出境可
12、能对个人信息权益带来的风险;3 .境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;4 .个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;5 .按本合同第四条评估当地个人信息保护政策法规对遵守本合同条款可能造成的影响;6 .其他可能影响个人信息出境安全的事项。保存个人信息保护影响评估报告至少3年。(八)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助
13、其理解合同内容。(九)承担证明本合同义务已履行的举证责任。(十)根据相关法律法规要求向监管机构提供第三条第(十)款所述的信息,包括所有审计结果。第三条境外接收方的义务境外接收方在此陈述、保证、承诺如下:(一)按照附录一“个人信息出境说明”所列约定处理个人信息,除非取得个人信息主体的事先同意。(二)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。(三)出境个人信息范围仅限于实现处理目的所需的最小范围。(四)存储个人信息
14、的期限为实现处理目的所必要的最短时间;超出上述存储期限后,对个人信息(包括所有备份)进行删除或匿名化处理,除非取得个人信息主体关于存储期限的单独同意。受个人信息处理者委托处理个人信息时,在删除或匿名化后,向个人信息处理者提供相关审计报告。(五)按以下方式保障个人信息处理安全:1 .采取有效的技术和管理措施,以确保个人信息的安全,包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问(以下简称“数据泄露”)。为了履行这一义务,采取第二条第(四)款中规定的技术和管理措施。进行定期检查,以确保这些措施持续维持适当的安全水平;2 .确保授权处理个人信息的人员履行保密义务,并建立最小授权的访
15、问控制策略,使前述人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。(六)如果处理的个人信息发生了数据泄露,将:1 .及时采取适当补救措施,以减轻对个人信息主体造成的不利影响;2 .立即通知个人信息处理者,并根据相关法律法规要求报告中华人民共和国监管机构。通知包含以下内容:(1)个人信息泄露的原因;(2)泄露的个人信息种类和可能造成的危害;(3)已采取的补救措施;(4)个人可以采取的减轻危害的措施;(5)负责处理数据泄露的负责人或负责团队的联系方式。3 .相关法律法规要求通知个人信息主体的,通知的内容包含前述第2项的内容;4 .记录并留存所有与数据泄露有关的事实及其影响,包括采取的所有补救措施;5 .受个人信息处理者委托处理个人信息时,由个人信息处理者承担前述第3项所规定的向个人信息主体通知的义务。(七)不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下要求:1 .确有业务需要提供个人信息;2 .已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项