对比版 |《个人信息出境标准合同办法》正文及附件
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(点击阅读),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。
以下是对比稿 |《个人信息出境标准合同办法》正式稿与征求意见稿
蓝色:修改 红色:删除 黄色:新增
《个人信息出境标准合同办法》对比版 | |
《个人信息出境标准合同规定(征求意见稿)》 | 《个人信息出境标准合同办法》 |
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 | 第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。 |
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 | 第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。 |
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 | 第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。 |
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 | 第四条个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 | 第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容: (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 |
第六条 标准合同包括以下主要内容: (一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (六)救济、合同解除、违约责任、争议解决等。 | 第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。 个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。 标准合同生效后方可开展个人信息出境活动。 |
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: (一)标准合同; (二)个人信息保护影响评估报告。 个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 | 第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料: (一)标准合同; (二)个人信息保护影响评估报告。 个人信息处理者应当对所备案材料的真实性负责。 |
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: (一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (三)可能影响个人信息权益的其他情况。 | 第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: (一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的; (三)可能影响个人信息权益的其他情形。 |
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 | 第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 |
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 | 第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。 |
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 | 第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。 |
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 (一)未履行备案程序或者提交虚假材料进行备案的; (二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (三)出现影响个人信息权益的其他情形。 | 第十二条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 |
第十三条 本规定自___年___月___日起施行。 | 第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 |
附件《个人信息出境标准合同》对比版 | |||
《个人信息出境标准合同》(征求意见稿) | 《个人信息出境标准合同》 | ||
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的义务和责任,双方经协商一致,特签订本合同,以便共同遵守。 个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动,与此活动相关的商业行为,双方【已】/【约定】于年月日签署关于 XX的商业合同,如有。 本合同正文系根据《个人信息出境标准合同规定》的要求拟定,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。 | 为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。 个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于年月日订立 (商业合同,如有)。 本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。 | ||
第一条定义 在本合同中,除上下文另有规定外: (一)个人信息处理者或境外接收方单称“一方”,合称“双方”。 (二)“个人信息”和“敏感个人信息”与《中华人民共和国个人信息保护法》所规定的含义相同。 (三)“个人信息主体”是指个人信息所标识或者关联的自然人。 (四)“个人信息处理者”与《中华人民共和国个人信息保护法》所规定的含义相同。 (五)“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。 (六)“监管机构”是指中华人民共和国省级以上网信部门。 (七)“相关法律法规”是指《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《个人信息出境标准合同规定》等中华人民共和国法律法规和部门规章,以及对前述法律法规和部门规章作出修订、修改或补充的法律法规和部门规章,包括取代原法律法规和部门规章的后续法律法规和部门规章。 (八)本合同其他未定义术语的含义应与相关法律法规规定的含义保持一致。 | 第一条定义 在本合同中,除上下文另有规定外: (一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。 (二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。 (三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。 (四)“个人信息主体”是指个人信息所识别或者关联的自然人。 (五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 (六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 (七)“监管机构”是指中华人民共和国省级以上网信部门。 (八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。 (九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。 | ||
第二条个人信息处理者的义务 个人信息处理者在此陈述、保证、承诺如下: | 第二条个人信息处理者的义务 个人信息处理者应当履行下列义务: | ||
(一)个人信息系按照相关法律法规进行收集、使用等处理;出境个人信息范围仅限于实现处理目的所需的最小范围。 | (一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。 | ||
(二)已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一“个人信息出境说明”中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,但相关法律法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息,已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,已取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,已取得书面同意,相关法律法规规定无需取得书面同意的除外。 | (二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 | ||
(三)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。 | (三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 | ||
(四)已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施(综合考虑个人信息的类型、数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的等可能带来的个人信息安全风险):(如加密、匿名化、去标识化、访问控制等技术和管理措施) | (四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30 日内明确拒绝,则可以依据本合同享有第三方受益人的权利。 | ||
(五)经境外接收方要求,向境外接收方提供相关法律规定和技术标准的副本。 | (五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:(如加密、匿名化、去标识化、访问控制等技术和管理措施) | ||
(六)将答复来自监管机构关于境外接收方的个人信息处理活动的询问,但双方均同意由境外接收方作出答复的除外;在此情况下,若境外接收方在要求答复的期限内未答复,个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。 | (六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。 | ||
(七)已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。评估已考虑: 1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; 2.出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; 3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; 4.个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; 5.按本合同第四条评估当地个人信息保护政策法规对遵守本合同条款可能造成的影响; 6.其他可能影响个人信息出境安全的事项。 保存个人信息保护影响评估报告至少 3 年。 | (七)答复监管机构关于境外接收方的个人信息处理活动的询问。 | ||
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容: 1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。 2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。 3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。 4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。 5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。 6.其他可能影响个人信息出境安全的事项。 保存个人信息保护影响评估报告至少 3 年。 | |||
(八)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。 | |||
(九)承担证明本合同义务已履行的举证责任。 | (九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 | ||
(十)根据相关法律法规要求向监管机构提供第三条第(十)款所述的信息,包括所有审计结果。 | (十)对本合同义务的履行承担举证责任。 | ||
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。 | |||
第三条境外接收方的义务 | 第三条境外接收方的义务 | ||
境外接收方在此陈述、保证、承诺如下: | 境外接收方应当履行下列义务: | ||
(一)按照附录一“个人信息出境说明”所列约定处理个人信息,除非取得个人信息主体的事先同意。 | (一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。 | ||
(二)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。 | (二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。 | ||
(三)出境个人信息范围仅限于实现处理目的所需的最小范围。 | (三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 | ||
(四)存储个人信息的期限为实现处理目的所必要的最短时间;超出上述存储期限后,对个人信息(包括所有备份)进行删除或匿名化处理,除非取得个人信息主体关于存储期限的单独同意。受个人信息处理者委托处理个人信息时,在删除或匿名化后,向个人信息处理者提供相关审计报告。 | (四)采取对个人权益影响最小的方式处理个人信息。 | ||
(五)按以下方式保障个人信息处理安全: 1.采取有效的技术和管理措施,以确保个人信息的安全,包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问(以下简称“数据泄露”)。为了履行这一义务,采取第二条第(四)款中规定的技术和管理措施。进行定期检查,以确保这些措施持续维持适当的安全水平; 2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制策略,使前述人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。 | (五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 | ||
(六)按下列方式保障个人信息处理安全: 1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。 2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。 | |||
(六)如果处理的个人信息发生了数据泄露,将: 1.及时采取适当补救措施,以减轻对个人信息主体造成的不利影响; 2.立即通知个人信息处理者,并根据相关法律法规要求报告中华人民共和国监管机构。通知包含以下内容: (1)个人信息泄露的原因; (2)泄露的个人信息种类和可能造成的危害; (3)已采取的补救措施; (4)个人可以采取的减轻危害的措施; (5)负责处理数据泄露的负责人或负责团队的联系方式。 3.相关法律法规要求通知个人信息主体的,通知的内容包含前述第 2 项的内容; 4.记录并留存所有与数据泄露有关的事实及其影响,包括采取的所有补救措施; 5.受个人信息处理者委托处理个人信息时,由个人信息处理者承担前述第 3 项所规定的向个人信息主体通知的义务。 | |||
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作: 1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。 2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项: (1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。 (2)已采取的补救措施。 (3)个人信息主体可以采取的减轻危害的措施。 (4)负责处理相关情况的负责人或者负责团队的联系方式。 3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第 2 目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。 4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。 | |||
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息: 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。 5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。 | |||
(七)不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下要求: 1.确有业务需要提供个人信息; 2.已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,相关法律法规规定无需取得个人单独同意的除外;涉及敏感个人信息的,向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,取得书面同意,相关法律法规规定无需取得书面同意的除外。在难以告知或者难以取得个人信息主体单独同意时,及时告知个人信息处理者,并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意; 3.与第三方达成书面协议,以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任; 4.向个人信息处理者提供该协议副本。 | |||
(八)受个人信息处理者委托处理个人信息,转委托第三方处理时,事先征得个人信息处理者同意;确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。 | (九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。 | ||
(九)利用个人信息进行自动化决策,保证决策的透明度和结果公平、公正,不对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,同时提供不针对其个人特征的选项,或者提供便捷的拒绝方式。 | (十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。 | ||
(十)承诺向个人信息处理者提供所有必要的信息,用以证明遵守本合同中规定的义务,允许个人信息处理者对数据文件和文档进行查阅,或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计时,为个人信息处理者自行开展或者委托第三方开展的审计提供便利,并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。 | (十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 | ||
(十一)对开展的个人信息处理活动进行客观记录,保存记录至少 3 年;按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。 | (十二)对开展的个人信息处理活动进行客观记录,保存记录至少 3 年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。 | ||
(十二)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明。 | (十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。 | ||
第四条 当地个人信息保护政策法规对遵守本合同条款的影响 (一)双方在此保证,经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),会阻止境外接收方履行本合同规定的义务。 (二)双方在此声明,在提供第四条第(一)款中的保证时,已经考虑了以下要素: 1.出境的具体情况,包括涉及传输的个人信息的类型、数量、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况; 2.境外接收方所在国家或者地区的个人信息保护政策法规,包括以下要素: (1)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况; (2)该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺; (3)该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。 3.境外接收方安全管理制度和技术手段保障能力。 (三)境外接收方保证,在根据第四条第(二)款进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。 (四)双方应记录根据第四条第(二)款进行的评估过程和结果。 (五)因境外接收方所在国家或地区的个人信息保护政策法规发生变化(包括境外接收方所在国家或地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应在知道前述变化后立即通知个人信息处理者。 | 第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响 (一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。 (二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估: 1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。 2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素: (1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。 (2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。 (3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。 3.境外接收方安全管理制度和技术手段保障能力。 (三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。 (四)双方应当记录根据本条第二项进行评估的过程和结果。 (五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。 (六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。 | ||
第五条个人信息主体的权利 | 第五条个人信息主体的权利 | ||
双方承认,按照相关法律法规赋予个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利。 | 双方约定个人信息主体作为本合同第三方受益人享有以下权利: | ||
(一)个人信息主体依据相关法律法规,拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,以及要求对其个人信息处理规则进行解释说明的权利。 | (一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。 | ||
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。 | (二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。 | ||
(三)境外接收方应当按照个人信息处理者的通知,或根据个人信息主体的请求,在合理时限内实现个人信息主体依照相关法律法规行使的权利。境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。 | (三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。 | ||
(四)如个人信息主体提出过多或不合理要求,尤其是具有重复性的要求,境外接收方可在考虑到要求获准的执行和操作成本后,可以收取合理的费用,或拒绝按其要求行事。 | (四)境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。 | ||
(五)如境外接收方拟拒绝个人信息主体的请求,应告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉、寻求司法救济的途径。 | (五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款: 1.第二条,但第二条第五项、第六项、第七项、第十一项除外。 2.第三条,但第三条第七项第 2 目和第 4 目、第九项、第十一项、第十二项、第十三项除外。 3.第四条,但第四条第五项、第六项除外。 4.第五条。 5.第六条。 6.第八条第二项、第三项。 7.第九条第五项。 上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。 | ||
(六)个人信息主体作为本合同第三方受益人有权向个人信息处理者和境外接收方任何一方主张并要求履行本合同项下与个人信息主体权利相关的下列条款: 1.第二条,但第二条第(四)款、第(五)款、第(六)款、第(十)款除外; 2.第三条,但第三条第(六)款第 2 项和第 4 项、第(八)款、第(十)款、第(十一)款、第(十二)款除外; 3.第四条; 4.第六条; 5.第七条; 6.第八条第(三)款、第(四)款、第(六)款; 7.第九条第(四)款、第(六)款。 | |||
第六条救济 (一)境外接收方应在组织内部确定一个联系人,授权其答复有关个人信息处理的询问或投诉,并应及时处理个人信息主体的任何询问或投诉。境外接收方应将联系人信息告知个人信息处理者,并以简单易懂的方式,通过单独通知或在其网站公告,告知个人信息主体该联系人信息,具体为: 联系人及联系方式(办公电话或电子邮箱) (二)双方同意,如个人信息主体与其中一方在遵守本合同方面发生争议,应互相通知对方有关情况,并合作以及时解决争议。 (三)如争议未能友好解决,而个人信息主体根据第六条第(二)款规定行使第三方受益人的权利,境外接收方接受个人信息主体的下列维权主张: 1.向监管机构提出投诉; 2.向第九条第(四)款中规定的法院提起诉讼。 (四)境外接收方同意有关个人信息主体就本合同争议的解决依据为中华人民共和国相关法律法规。 (五)境外接收方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的实体性或程序性权利。 | 第六条救济 (一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为: 联系人及联系方式(办公电话或电子邮箱) (二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。 (三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利: 1.向监管机构投诉。 2.向本条第五项约定的法院提起诉讼。 (四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。 (五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。 (六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。 | ||
第七条合同解除 | 第七条合同解除 | ||
(一)如果境外接收方违反本合同规定的义务,则个人信息处理者可以暂停向境外接收方传输个人信息,直到违约行为被更正或合同被解除。 | (一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。 | ||
(二)出现下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构: | (二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构: | ||
1.个人信息处理者根据第七条第(一)款的规定暂停向境外接收方传输个人信息的时间超过一个月; | 1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过 1 个月。 | ||
2.境外接收方遵守本合同将违反其所在国家的法律规定; | 2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。 | ||
3.境外接收方严重或持续违反本合同规定的义务; | 3.境外接收方严重或者持续违反本合同约定的义务。 | ||
4.根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定,境外接收方或个人信息处理者违反了本合同的规定; | 4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。 | ||
5.境外接收方破产、解散或清算:无论是以个人还是组织名义提出的有关境外接收方依法解散的请求未在法定期限内被驳回;境外接收方作出解散决定;境外接收方被指定破产管理人;境外接收方自行开展破产、解散或清算程序;境外接收方在其国家或地区出现类似情况; | 在本项第 1 目、第 2 目、第 4 目的情况下,境外接收方可以解除本合同。 | ||
在前述第 1、2 或 4 项的情况下,境外接收方也可以解除本合同。 | (三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。 | ||
(三)如果监管机构按照相关法律法规作出个人信息出境相关的决定,例如个人信息出境安全评估等导致本合同无法执行的,则任何一方均可解除本合同。 | (四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 | ||
(四)经双方当事人同意解除合同,但本合同的解除并不免除其在个人信息处理过程中的个人信息保护义务。 | |||
(五)合同解除时,境外接收方应及时返还、销毁或匿名化处理其根据本合同所接收到的个人信息,并提供已经销毁或者匿名化处理的审计报告。 | |||
第八条违约责任 | 第八条违约责任 | ||
(一)双方应就其因违反本合同而给对方造成的任何损害向另一方承担责任。 | (一)双方应就其违反本合同而给对方造成的损失承担责任。 | ||
(二)双方之间的责任限于非违约方所遭受的损失。 | (二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。 | ||
(三)每一方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利,应当对个人信息主体承担责任;个人信息主体有权获得赔偿。这不影响个人信息处理者在相关法律法规项下应承担的责任。 | (三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。 | ||
(四)个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的,个人信息处理者和境外接收方应对个人信息主体承担连带责任。 | |||
(五)双方同意,如果一方(“赔偿方”)因另一方(“被追偿方”)对违反本合同的行为对个人信息主体承担连带责任且赔偿方承担的连带责任超过其应承担的责任份额,则赔偿方有权向被追偿方追偿。 | |||
(六)尽管有第八条第(三)款和第八条第(四)款的规定,个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任。 | |||
(七)双方同意,个人信息处理者根据第八条第(六)款因境外接收方造成的损害承担责任的,有权向境外接收方追偿。 | |||
第九条其他 | 第九条其他 | ||
(一)如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用。 | (一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。 | ||
(二)本合同适用于中华人民共和国相关法律法规。 | (二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。 | ||
(三)由一方向其它方发出的所有通知以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或航空挂号信迅速发往或寄往(具体地址)或书面通知取代该地址的其它地址。如用航空挂号信寄出本合同项下的通知或通讯,则应在邮戳日期后的天视为收讫,如用电子邮件、电报、电传或传真发出,则应在发出以后的个工作日视为收讫。 | (三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或者航空挂号信发往(具体地址)或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的个工作日应当视为收讫。 | ||
(四)个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据《中华人民共和国民事诉讼法》的规定确定管辖。 | |||
(五)个人信息处理者和境外接收方对于双方因合同产生的纠纷以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,应由双方协商解决;协商解决不成的,任何一方可以采取下列第种方式加以解决(如选择仲裁,请勾选仲裁机构): | (四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第种方式加以解决(如选择仲裁,请勾选仲裁机构): | ||
1.仲裁。将该争议提交 □中国国际经济贸易仲裁委员会 □中国海事仲裁委员会 □北京仲裁委员会(北京国际仲裁中心) □其他《承认及执行外国仲裁裁决公约》成员的仲裁机构按其届时有效的仲裁规则在(仲裁地点)进行仲裁; | 1.仲裁。将该争议提交 □中国国际经济贸易仲裁委员会 □中国海事仲裁委员会 □北京仲裁委员会(北京国际仲裁中心) □上海国际仲裁中心 □其他《承认及执行外国仲裁裁决公约》成员的仲裁机构按其届时有效的仲裁规则在(仲裁地点)进行仲裁; | ||
2.诉讼。依法向中国有管辖权的人民法院提起诉讼。 | |||
(六)本合同应按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。 | 2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。 | ||
(七)本合同正本一式份,个人信息处理者和境外接收方各执份,其法律效力相同。 | (五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。 | ||
(八)本合同经双方正式签署后成立并立即生效。 | (六)本合同正本一式份,双方各执份,其法律效力相同。 | ||
本合同由个人信息处理者和境外接收方在签订。 | 本合同在(地点)签订 | ||
据统计,99%的大咖都关注了这个视频号
视频号“数据保护官”
今年计划100场免费直播
欢迎扫码关注我们
联系微信:heguilvshi领取优惠券,加入会员
每天两块钱,实时获取全球数据合规风险预警
👇
微信扫码关注该文公众号作者