《粵港澳大灣區 (內地、香港) 個人信息跨境流動標準合同實施指引》發布
責編:gltian |2023-12-13 14:18:18國家互聯網信息辦公室
香港創新科技及工業局
公 告
2023年3號
落實《中華人民共和國國家互聯網信息辦公室與香港特別行政區政府創新科技及工業局 關于促進粵港澳大灣區數據跨境流動的合作備忘錄》關于“共同制定粵港澳大灣區個人信息跨境標準合同并組織實施,加強個人信息跨境標準合同備案管理”的合作措施,國家互聯網信息辦公室與香港創新科技及工業局共同制定《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》,現予公布。
特此公告。
附件:《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》
國家互聯網信息辦公室 王京濤
香港特區政府創新科技及工業局 孫 東
2023年12月10日
粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引
第一條?為促進粵港澳大灣區個人信息跨境安全有序流動,推動粵港澳大灣區高質量發展,落實《中華人民共和國國家互聯網信息辦公室與香港特別行政區政府創新科技及工業局 關于促進粵港澳大灣區數據跨境流動的合作備忘錄》(以下簡稱備忘錄),國家互聯網信息辦公室、香港特別行政區政府創新科技及工業局共同制定本實施指引。
第二條?《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(以下簡稱標準合同,見附件1)為備忘錄下有關促進粵港澳大灣區個人信息跨境流動的便利措施。粵港澳大灣區個人信息處理者及接收方可以按照本實施指引要求,通過訂立標準合同的方式進行粵港澳大灣區內內地和香港之間的個人信息跨境流動。被相關部門、地區告知或者公開發布為重要數據的個人信息除外。
個人信息處理者及接收方應注冊于(適用于組織)/位于(適用于個人)粵港澳大灣區內地部分,即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市,或者香港特別行政區。
第三條?通過訂立標準合同的方式開展個人信息跨境提供的,應當堅持自主締約與備案管理相結合、保護個人信息權益與防范風險相結合,保障個人信息跨境安全、自由流動。
第四條?按照本實施指引,通過訂立標準合同跨境提供個人信息的,應當履行標準合同列明的義務和責任,包括滿足以下條件:
(一)個人信息處理者跨境提供個人信息前,應當按照個人信息處理者屬地法律法規要求告知個人信息主體或者取得個人信息主體的同意;
(二)不得向粵港澳大灣區以外的組織、個人提供。
第五條?個人信息處理者按照本實施指引,通過訂立標準合同跨境提供個人信息前,應當開展個人信息保護影響評估,重點評估以下內容:
(一)個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性;
(二)對個人信息主體權益的影響及安全風險;
(三)接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。
第六條?標準合同應當嚴格按照本實施指引附件訂立,合同生效后方可開展個人信息跨境提供。
個人信息處理者可以與接收方約定其他條款,但不得與標準合同相沖突。
第七條?跨境提供個人信息的目的、范圍、種類、方式,或者接收方處理個人信息的用途、方式發生變化,延長保存期限,以及發生影響或者可能影響個人信息權益其他情況的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合同,并履行相應備案手續。
第八條?個人信息處理者及接收方應在標準合同生效之日起10個工作日內按照屬地向廣東省互聯網信息辦公室或者香港特別行政區政府政府資訊科技總監辦公室進行標準合同備案,提交如下材料:
(一)法定代表人身份證件影印件;
(二)承諾書(模板見附件2);
(三)標準合同。
個人信息處理者及接收方應當對所備案材料的真實性負責。
第九條?個人信息處理者及接收方接受屬地監管機構的監督管理,包括但不限于:
(一)根據標準合同第二條第七項及第十項,個人信息處理者答復監管機構的詢問及對合同的義務和責任的履行承擔舉證責任;
(二)根據標準合同第三條第十二項,接收方應接受監管機構的監督管理,包括服從監管機構作出的決定以及提供已采取必要行動的證明等;
(三)根據標準合同第六條第二項,個人信息處理者解除標準合同時,通知監管機構。
第十條?任何組織和個人發現個人信息處理者或接收方按照本實施指引進行粵港澳大灣區內的個人信息跨境流動,但不履行本實施指引及標準合同要求的義務和責任的,可以向國家互聯網信息辦公室、廣東省互聯網信息辦公室或者香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署投訴、舉報。
收到投訴、舉報的部門發現個人信息跨境活動存在較大安全風險或者發生個人信息安全事件的,可以要求個人信息處理者或者接收方整改;需要交由其他執法部門處置的,交由相關部門依法處置。
第十一條?個人信息處理者或接收方在處理個人信息時發生個人信息泄露等安全事件的,應立即采取補救措施,按照屬地通知國家互聯網信息辦公室、廣東省互聯網信息辦公室,或者香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署。
第十二條?以上規定并不影響內地履行個人信息保護職責的部門和香港個人資料私隱專員公署在職責范圍內依法加強個人信息保護和監督管理工作,包括處理與個人信息保護有關的投訴、舉報,調查、處理違法個人信息處理活動等。
第十三條?有關部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十四條?國家互聯網信息辦公室和香港特別行政區政府創新科技及工業局可以根據實際情況,經協商一致后對本實施指引及附件進行修訂。
第十五條?本實施指引自發布之日起生效。
附件2:承諾書
來源:網信中國