正式版 |《个人信息跨境处理活动安全认证规范V2.0》

欢迎预约DPOHUB何谈第4期

12月16日，全国信息安全标准化技术委员会秘书处发布正式版《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。

起草目的

《网络安全标准实践指南》（以下简称《实践指南》）是全国信息安全标准化技术委员会（以下简称“信安标委”）秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。

主要内容

开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求。本《实践指南》包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容，为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。

适用情形

本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。

认证主体

申请认证的个人信息处理者应取得合法的法人资格，正常经营且具有良好的信誉、商誉。

跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证，并承担法律责任。

《个人信息保护法》第三条第二款规定的境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。

基本原则

a) 合法、正当、必要和诚信原则。

b) 公开、透明原则。

c) 信息质量保障原则。

d) 同等保护原则。

e) 责任明确原则。

f) 自愿认证原则。

基本要求

1.具有法律约束力的文件

开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件，确保个人信息主体权益得到充分的保障。

2.组织管理

个人信息保护负责人

开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人。个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历，由本组织的决策层成员担任。

个人信息保护机构

开展个人信息跨境处理活动的个人信息处理者和境外接收方均应设立个人信息保护机构，履行个人信息保护义务，防止未经授权的访问以及个人信息泄露、篡改、丢失等，并在个人信息跨境处理活动中承担相应职责。

3.个人信息跨境处理规则

开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则。

4.个人信息保护影响评估

个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成个人信息保护影响评估报告，评估报告至少保存 3 年。

个人信息主体权益保障要求

1.个人信息主体权利

个人信息主体对其个人信息的处理拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权，有权撤回对其个人信息跨境处理的同意

2.个人信息处理者和境外接收方的责任义务

以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动的个人信息处理者和境外接收方的基本情况，以及向境外提供个人信息的目的、类型和保存时间，并取得个人信息主体的单独同意

以下是全文：

每天两块钱，实时获取全球数据合规风险预警

如需个人信息跨境处理活动安全认证规范V2.0》PDF版，请加入圈子免费下载

👇

招募讲师：欢迎加入DPOHUB课程平台

• 平台介绍：数据合规权威平台之一，数据法盟和数据保护官的专业粉丝超过10万，学员超过2万。
• 讲师收益：权威平台的免费宣传，塑造讲师个人职业品牌及影响力；收益共享权。
• 申请条件：只要在数据隐私、安全及治理等方面具有落地经验或理论积累，都可以申请加入。
• 授课方式：既可以是体系性课程（每讲20-30分钟），也可以是一次在线讲座（60-90分钟）。
• 申请方式：请将“简历、课程名称及大纲”发送到微信：heguilvshi 或邮箱：[email protected]