2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。
近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定,按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措,目的是为了保护个人信息权益,规范个人信息出境活动。
《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。
《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。
《办法》明确了在标准合同有效期内,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续的3种情形:一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;三是可能影响个人信息权益的其他情形。
《办法》规定了网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。
《办法》规定标准合同应当严格按照本办法附件的标准合同范本订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。《办法》明确标准合同生效后方可开展个人信息出境活动。
《办法》提出个人信息处理者违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
《办法》明确本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
文章来源:国家网信办官网
附标准合同范本:《个人信息出境标准合同办法》