政策解读:个人信息出境方式新规定

发布时间:2023-04-11 13:59:04 文章作者:理财教育网

2023年2月24日,国家互联网信息办公室公布了《个人信息出境标准合同办法》,对个人信息出境标准合同(以下简称《标准合同》)的适用条件和备案监管等作了具体规定,自2023年6月1日起施行。

解读:

在中国,《网络安全法》《个人信息保护法》《数据安全法》和配套规定共同构建了符合国情和国际大环境的重要数据和个人信息跨境流动的基本监管制度。

“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。通过个人信息所识别或者关联的自然人称为个人信息主体。

个人信息跨境是指个人信息处理者因业务等需要,确需向中华人民共和国境外接收方提供个人信息的情形。这里的“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。而“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。除了一般意义上的跨境组织和个人之间的信息活动外,也包括跨国公司或同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。意味着,只要信息跨境传输,就属于信息出境。

《个人信息保护法》明文规定,个人信息跨境流动可以采用的方式有三种,即专业认证、安全评估和标准合同。三种方式的适用范围是不同的。“专业认证”是以自愿为原则,可以依据个人信息保护认证规则自主选择是否申请认证;“安全评估”与“标准合同”方式则分别依据《数据出境安全评估办法》和《个人信息出境标准合同办法》从事相关行为。如下表所示,两种方式的适用对象主要以跨境处理的信息规模和关键性为区分标准。“非关键、小规模”的适用标准合同方式,否则,适用安全评估方式。

《个人信息出境标准合同》可从中华人民共和国国家互联网信息办公室官网上下载(网址:http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm)。合同分主文与附录两部分。主文是格式合同,且个人信息处理者和境外接收方不能对此内容进行调整或删减,否则将视为未签订。在《个人信息出境标准合同》中,写明了基本条款,包括:合同双方(个人信息处理者与境外接收方)各自的义务,针对境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响评估与承诺,对个人信息主体权利的承认与维护,争议救济与违约责任条款等。

合同双方除须签署主文合同外,还须填写完整的《个人信息出境说明》,并将其作为合同的必要附录文件。在此附录文件中,应参考GB/T 35273-2020《信息安全技术 个人信息安全规范》和相关标准对如下事项做详情约定,包括,处理目的,处理方式,出境个人信息以及敏感信息的种类和规模,境外接收方向中华人民共和国境外第三方提供个人信息的对象,传输方式,出境后保存期限,出境后保存地点,其他需要写明的事项等。

个人信息处理者应当在《标准合同》生效之日起10个工作日内,向所在地省级网信部门备案。备案时除应提交《标准合同》,还要提交《个人信息保护影响评估报告》。如果在合同有效期内发生重大的约定事项变化,个人信息处理者需要补充或者重新签订《标准合同》并备案。不备案,虽不影响合同的效力,但会产生违法的行政责任。

《个人信息出境标准合同办法》将于2023年6月1日起正式实施。届时,对于个人信息跨境的三种方式(专业认证、安全评估与标准合同)均有了可遵循的操作规则。意味着,即便不选用认证方式,后两种方式也必用其一,而后两种方式适用范围互为补集、互相衔接,使得各类个人信息跨境流动均将受到法治的规制。这对于掌握有大量个人信息的金融服务以及国际培训服务机构来说,在开展国际合作时,需要依法合规地保障消费者和学员的个人信息权益,维护国家安全。

以上就是“政策解读:个人信息出境方式新规定”的介绍,希望对您有所帮助。

个人专业理财工具
  • 热门证书盘点

  • 家庭财务报表

  • 52周存钱计划

  • 常用金融网站

  • 还款计划

  • 风险测试

京ICP备07501411号 | 京ICP证070593号 | 京公网安备11010502040567 Copyright © All Rights Reserved 北京第五象限网络科技有限公司版权所有