观察发现,此次意见稿的发布是对应《个人信息保护法》第三十八条细则要求的具体落实:
《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
随着我国对数字经济建设进程的不断加快,相关法律法规正加速完善,三法一条例的陆续推出,在具体落实上也需要不断的适配条款的推出,用来为企业遵法守法提供具体抓手。该意见稿进入征求意见阶段,到具体规定的推出,也将标志着企业在跨境商业合作涉及个人信息出境上有了进一步的合规标准。
个人信息出境标准合同规定(征求意见稿)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
第六条 标准合同包括以下主要内容:
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;
(六)救济、合同解除、违约责任、争议解决等。
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:
(一)标准合同;
(二)个人信息保护影响评估报告。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情况。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。
(一)未履行备案程序或者提交虚假材料进行备案的;
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;
(三)出现影响个人信息权益的其他情形。
第十三条 本规定自___年___月___日起施行。