國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》

IT之家 5 月 30 日消息，為了指導(dǎo)和幫助個人信息處理者規(guī)范、有序備案個人信息出境標(biāo)準(zhǔn)合同，國家互聯(lián)網(wǎng)信息辦公室編制了《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，對個人信息出境標(biāo)準(zhǔn)合同備案方式、備案流程、備案材料等具體要求作出了說明。

個人信息處理者通過與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同的方式向境外提供個人信息，應(yīng)當(dāng)根據(jù)《個人信息出境標(biāo)準(zhǔn)合同辦法》規(guī)定，按照備案指南向所在地省級網(wǎng)信部門備案。

IT之家附原文如下：

個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）

《個人信息出境標(biāo)準(zhǔn)合同辦法》自 2023 年 6 月 1 日起施行。為指導(dǎo)和幫助個人信息處理者規(guī)范、有序備案個人信息出境標(biāo)準(zhǔn)合同（以下簡稱標(biāo)準(zhǔn)合同），特制定本指南。

一、適用范圍

個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息的，應(yīng)當(dāng)同時(shí)符合下列情形：

（一）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者；

（二）處理個人信息不滿 100 萬人的；

（三）自上年 1 月 1 日起累計(jì)向境外提供個人信息不滿 10 萬人的；

（四）自上年 1 月 1 日起累計(jì)向境外提供敏感個人信息不滿 1 萬人的。

法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的，從其規(guī)定。

個人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。

以下情形屬于個人信息出境行為：

（一）個人信息處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息傳輸、存儲至境外；

（二）個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出；

（三）國家網(wǎng)信辦規(guī)定的其他個人信息出境行為。

二、備案方式

個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起 10 個工作日內(nèi)，通過送達(dá)書面材料并附帶材料電子版的方式，向所在地省級網(wǎng)信辦備案。

三、備案流程

標(biāo)準(zhǔn)合同備案流程包括材料提交、材料查驗(yàn)及反饋備案結(jié)果、補(bǔ)充或者重新備案等環(huán)節(jié)。

（一）材料提交

個人信息處理者備案標(biāo)準(zhǔn)合同，應(yīng)當(dāng)提交如下材料（要求見附件 1）：

1.統(tǒng)一社會信用代碼證件影印件

2.法定代表人身份證件影印件

3.經(jīng)辦人身份證件影印件

4.經(jīng)辦人授權(quán)委托書（模板見附件 2）

5.承諾書（模板見附件 3）

6.標(biāo)準(zhǔn)合同（范本見附件 4）

7.《個人信息保護(hù)影響評估報(bào)告》（模板見附件 5）

（二）材料查驗(yàn)及反饋備案結(jié)果

省級網(wǎng)信辦收到材料后，在 15 個工作日內(nèi)完成材料查驗(yàn)，并通知個人信息處理者備案結(jié)果。

備案結(jié)果分為通過、不通過。通過備案的，省級網(wǎng)信辦向個人信息處理者發(fā)放備案編號；不通過備案的，個人信息處理者將收到備案未成功通知及原因，要求補(bǔ)充完善材料的，個人信息處理者應(yīng)當(dāng)補(bǔ)充完善材料并于 10 個工作日內(nèi)再次提交。

（三）補(bǔ)充或者重新備案

在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的，個人信息處理者應(yīng)當(dāng)重新開展個人信息保護(hù)影響評估，補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同，并履行相應(yīng)備案手續(xù)：

1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；

2.境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的；

3.可能影響個人信息權(quán)益的其他情形。

個人信息處理者在標(biāo)準(zhǔn)合同有效期內(nèi)補(bǔ)充訂立標(biāo)準(zhǔn)合同的，應(yīng)當(dāng)向所在地省級網(wǎng)信辦提交補(bǔ)充材料；重新訂立標(biāo)準(zhǔn)合同的，應(yīng)當(dāng)重新備案。補(bǔ)充或者重新備案的材料查驗(yàn)時(shí)間為 15 個工作日。

個人信息處理者對所提交材料的真實(shí)性負(fù)責(zé)，提交虛假材料的，按照備案不通過處理，并依法追究相應(yīng)法律責(zé)任。

四、咨詢、舉報(bào)聯(lián)系方式

電子郵箱：bzht@cac.gov.cn

聯(lián)系電話：010-55627565

下文節(jié)選自附件合同條款：

第一條 定義

在本合同中，除上下文另有規(guī)定外：

（一）“個人信息處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的，向中華人民共和國境外提供個人信息的組織、個人。

（二）“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。

（三）個人信息處理者或者境外接收方單稱“一方”，合稱“雙方”。

（四）“個人信息主體”是指個人信息所識別或者關(guān)聯(lián)的自然人。

（五）“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

（六）“敏感個人信息”是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個人信息，包括生物識別、宗 教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

（七）“監(jiān)管機(jī)構(gòu)”是指中華人民共和國省級以上網(wǎng)信部門。

（八）“相關(guān)法律法規(guī)”是指《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國民法典》《中華人民共和國民事訴訟法》《個人信息出境標(biāo)準(zhǔn)合同辦法》等中華人民共和國法律法規(guī)。

（九）本合同其他未定義術(shù)語的含義與相關(guān)法律法規(guī)規(guī)定的含義一致。

第二條 個人信息處理者的義務(wù)

個人信息處理者應(yīng)當(dāng)履行下列義務(wù)：

（一）按照相關(guān)法律法規(guī)規(guī)定處理個人信息，向境外提供的個人信息僅限于實(shí)現(xiàn)處理目的所需的最小范圍。

（二）向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、附錄一“個人信息出境說明”中處理目的、處理方式、個人信息的種類、保存期限，以及行使個人信息主體權(quán)利的方式和程序等事項(xiàng)。向境外提供敏感個人信息的，還應(yīng)當(dāng)向個人信息主體告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

（三）基于個人同意向境外提供個人信息的，應(yīng)當(dāng)取得個人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，應(yīng)當(dāng)取得書面同意。

（四）向個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人，如個人信息主體未在 30 日內(nèi)明確拒絕，則可以依據(jù)本合同享有第三方受益人的權(quán)利。

（五）盡合理地努力確保境外接收方采取如下技術(shù)和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風(fēng)險(xiǎn)），以履行本合同約定的義務(wù)：

（如加密、匿名化、去標(biāo)識化、訪問控制等技術(shù)和管理措施）                                                            

（六）根據(jù)境外接收方的要求向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本。

（七）答復(fù)監(jiān)管機(jī)構(gòu)關(guān)于境外接收方的個人信息處理活動的詢問。

（八）按照相關(guān)法律法規(guī)對擬向境外接收方提供個人信息的活動開展個人信息保護(hù)影響評估。重點(diǎn)評估以下內(nèi)容：

1.個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性。

2.出境個人信息的規(guī)模、范圍、種類、敏感程度，個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險(xiǎn)。

3.境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全。

4.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn)，個人信息權(quán)益維護(hù)的渠道是否通暢等。

5.按照本合同第四條評估當(dāng)?shù)貍€人信息保護(hù)政策和法規(guī)對合同履行的影響。

6.其他可能影響個人信息出境安全的事項(xiàng)。

保存?zhèn)€人信息保護(hù)影響評估報(bào)告至少 3 年。

（九）根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息，在不影響個人信息主體理解的前提下，可對本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。

（十）對本合同義務(wù)的履行承擔(dān)舉證責(zé)任。

（十一）根據(jù)相關(guān)法律法規(guī)要求，向監(jiān)管機(jī)構(gòu)提供本合同第三條第十一項(xiàng)所述的信息，包括所有合規(guī)審計(jì)結(jié)果。

第三條 境外接收方的義務(wù)

境外接收方應(yīng)當(dāng)履行下列義務(wù)：

（一）按照附錄一“個人信息出境說明”所列約定處理個人信息。如超出約定的處理目的、處理方式和處理的個人信息種類，基于個人同意處理個人信息的，應(yīng)當(dāng)事先取得個人信息主體的單獨(dú)同意；涉及不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。

（二）受個人信息處理者委托處理個人信息的，應(yīng)當(dāng)按照與個人信息處理者的約定處理個人信息，不得超出與個人信息處理者約定的處理目的、處理方式等處理個人信息。

（三）根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務(wù)信息，在不影響個人信息主體理解的前提下，可對本合同副本相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。

（四）采取對個人權(quán)益影響最小的方式處理個人信息。

（五）個人信息的保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間，保存期限屆滿的，應(yīng)當(dāng)刪除個人信息（包括所有備份）。受個人信息處理者委托處理個人信息，委托合同未生效、無效、被撤銷或者終止的，應(yīng)當(dāng)將個人信息返還個人信息處理者或者予以刪除，并向個人信息處理者提供書面說明。刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的，應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。

（六）按下列方式保障個人信息處理安全：

1.采取包括但不限于本合同第二條第五項(xiàng)的技術(shù)和管理措施，并定期進(jìn)行檢查，確保個人信息安全。

2.確保授權(quán)處理個人信息的人員履行保密義務(wù)，并建立最小授權(quán)的訪問控制權(quán)限。

（七）如處理的個人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問，應(yīng)當(dāng)開展下列工作：

1.及時(shí)采取適當(dāng)補(bǔ)救措施，減輕對個人信息主體造成的不利影響。

2.立即通知個人信息處理者，并根據(jù)相關(guān)法律法規(guī)要求報(bào)告監(jiān)管機(jī)構(gòu)。通知應(yīng)當(dāng)包含下列事項(xiàng)：

（1）發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問的個人信息種類、原因和可能造成的危害。

（2）已采取的補(bǔ)救措施。

（3）個人信息主體可以采取的減輕危害的措施。

（4）負(fù)責(zé)處理相關(guān)情況的負(fù)責(zé)人或者負(fù)責(zé)團(tuán)隊(duì)的聯(lián)系方式。

3.相關(guān)法律法規(guī)要求通知個人信息主體的，通知的內(nèi)容包含本項(xiàng)第 2 目的事項(xiàng)。受個人信息處理者委托處理個人信息的，由個人信息處理者通知個人信息主體。

4.記錄并留存所有與發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權(quán)提供或者訪問有關(guān)的情況，包括采取的所有補(bǔ)救措施。

（八）同時(shí)符合下列條件的，方可向中華人民共和國境外的第三方提供個人信息：

1.確有業(yè)務(wù)需要。

2.已告知個人信息主體該第三方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權(quán)利的方式和程序等事項(xiàng)。向第三方提供敏感個人信息的，還應(yīng)當(dāng)向個人信息主體告知提供敏感個人信息的必要性以及對個人權(quán)益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。

3.基于個人同意處理個人信息的，應(yīng)當(dāng)取得個人信息主體的單獨(dú)同意。涉及不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，應(yīng)當(dāng)取得書面同意。

4.與第三方達(dá)成書面協(xié)議，確保第三方的個人信息處理活動達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)，并承擔(dān)因向中華人民共和國境外的第三方提供個人信息而侵害個人信息主體享有權(quán)利的法律責(zé)任。

5.根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務(wù)信息，在不影響個人信息主體理解的前提下，可對該書面協(xié)議相關(guān)內(nèi)容進(jìn)行適當(dāng)處理。

（九）受個人信息處理者委托處理個人信息，轉(zhuǎn)委托第三方處理的，應(yīng)當(dāng)事先征得個人信息處理者同意，要求該第三方不得超出本合同附錄一“個人信息出境說明”中約定的處理目的、處理方式等處理個人信息，并對該第三方的個人信息處理活動進(jìn)行監(jiān)督。

（十）利用個人信息進(jìn)行自動化決策的，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人信息主體在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過自動化決策方式向個人信息主體進(jìn)行信息推送、商業(yè)營銷的，應(yīng)當(dāng)同時(shí)提供不針對其個人特征的選項(xiàng)，或者向個人信息主體提供便捷的拒絕方式。

（十一）承諾向個人信息處理者提供已遵守本合同義務(wù)所需的必要信息，允許個人信息處理者對必要數(shù)據(jù)文件和文檔進(jìn)行查閱，或者對本合同涵蓋的處理活動進(jìn)行合規(guī)審計(jì)，并為個人信息處理者開展合規(guī)審計(jì)提供便利。

（十二）對開展的個人信息處理活動進(jìn)行客觀記錄，保存記錄至少 3 年，并按照相關(guān)法律法規(guī)要求直接或者通過個人信息處理者向監(jiān)管機(jī)構(gòu)提供相關(guān)記錄文件。

（十三）同意在監(jiān)督本合同實(shí)施的相關(guān)程序中接受監(jiān)管機(jī)構(gòu)的監(jiān)督管理，包括但不限于答復(fù)監(jiān)管機(jī)構(gòu)詢問、配合監(jiān)管機(jī)構(gòu)檢查、服從監(jiān)管機(jī)構(gòu)采取的措施或者作出的決定、提供已采取必要行動的書面證明等。

第四條 境外接收方所在國家或者地區(qū)個人信息保護(hù)政策和法規(guī)對合同履行的影響

（一）雙方應(yīng)當(dāng)保證在本合同訂立時(shí)已盡到合理注意義務(wù)，未發(fā)現(xiàn)境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)（包括任何提供個人信息的要求或者授權(quán)公共機(jī)關(guān)訪問個人信息的規(guī)定）影響境外接收方履行本合同約定的義務(wù)。

（二）雙方聲明，在作出本條第一項(xiàng)的保證時(shí)，已經(jīng)結(jié)合下列情形進(jìn)行評估：

1.出境的具體情況，包括個人信息處理目的、傳輸個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)囊?guī)模和頻率、個人信息傳輸及境外接收方的保存期限、境外接收方此前類似的個人信息跨境傳輸和處理相關(guān)經(jīng)驗(yàn)、境外接收方是否曾發(fā)生個人信息安全相關(guān)事件及是否進(jìn)行了及時(shí)有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機(jī)關(guān)要求其提供個人信息的請求及境外接收方應(yīng)對的情況。

2.境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)，包括下列要素：

（1）該國家或者地區(qū)現(xiàn)行的個人信息保護(hù)法律法規(guī)及普遍適用的標(biāo)準(zhǔn)。

（2）該國家或者地區(qū)加入的區(qū)域性或者全球性的個人信息保護(hù)方面的組織，以及所作出的具有約束力的國際承諾。

（3）該國家或者地區(qū)落實(shí)個人信息保護(hù)的機(jī)制，如是否具備個人信息保護(hù)的監(jiān)督執(zhí)法機(jī)構(gòu)和相關(guān)司法機(jī)構(gòu)等。

3.境外接收方安全管理制度和技術(shù)手段保障能力。

（三）境外接收方保證，在根據(jù)本條第二項(xiàng)進(jìn)行評估時(shí)，已盡最大努力為個人信息處理者提供了必要的相關(guān)信息。

（四）雙方應(yīng)當(dāng)記錄根據(jù)本條第二項(xiàng)進(jìn)行評估的過程和結(jié)果。

（五）因境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化（包括境外接收方所在國家或者地區(qū)更改法律，或者采取強(qiáng)制性措施）導(dǎo)致境外接收方無法履行本合同的，境外接收方應(yīng)當(dāng)在知道該變化后立即通知個人信息處理者。

（六）境外接收方接到所在國家或者地區(qū)的政府部門、司法機(jī)構(gòu)關(guān)于提供本合同項(xiàng)下的個人信息要求的，應(yīng)當(dāng)立即通知個人信息處理者。

第五條 個人信息主體的權(quán)利

雙方約定個人信息主體作為本合同第三方受益人享有以下權(quán)利：

（一）個人信息主體依據(jù)相關(guān)法律法規(guī)，對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理，有權(quán)要求查閱、復(fù)制、更正、補(bǔ)充、刪除其個人信息，有權(quán)要求對其個人信息處理規(guī)則進(jìn)行解釋說明。

（二）當(dāng)個人信息主體要求對已經(jīng)出境的個人信息行使上述權(quán)利時(shí)，個人信息主體可以請求個人信息處理者采取適當(dāng)措施實(shí)現(xiàn)，或者直接向境外接收方提出請求。個人信息處理者無法實(shí)現(xiàn)的，應(yīng)當(dāng)通知并要求境外接收方協(xié)助實(shí)現(xiàn)。

（三）境外接收方應(yīng)當(dāng)按照個人信息處理者的通知，或者根據(jù)個人信息主體的請求，在合理期限內(nèi)實(shí)現(xiàn)個人信息主體依照相關(guān)法律法規(guī)所享有的權(quán)利。

境外接收方應(yīng)當(dāng)以顯著的方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個人信息主體相關(guān)信息。

（四）境外接收方拒絕個人信息主體的請求的，應(yīng)當(dāng)告知個人信息主體其拒絕的原因，以及個人信息主體向相關(guān)監(jiān)管機(jī)構(gòu)提出投訴和尋求司法救濟(jì)的途徑。

（五）個人信息主體作為本合同第三方受益人有權(quán)根據(jù)本合同條款向個人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項(xiàng)下與個人信息主體權(quán)利相關(guān)的下列條款：

1.第二條，但第二條第五項(xiàng)、第六項(xiàng)、第七項(xiàng)、第十一項(xiàng)除外。

2.第三條，但第三條第七項(xiàng)第 2 目和第 4 目、第九項(xiàng)、第十一項(xiàng)、第十二項(xiàng)、第十三項(xiàng)除外。

3.第四條，但第四條第五項(xiàng)、第六項(xiàng)除外。

4.第五條。

5.第六條。

6.第八條第二項(xiàng)、第三項(xiàng)。

7.第九條第五項(xiàng)。

上述約定不影響個人信息主體依據(jù)《中華人民共和國個人信息保護(hù)法》享有的權(quán)益。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。