《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(下称《认证规范》)是我国探索个人信息跨境处理活动安全认证制度落地的首个正式官方实践指南,为落实《个人信息保护法》第三十八条提出的个人信息保护认证制度提供认证依据,是对既有法律规范的有益补充和落地指导。本文将《认证规范》与实务情况结合,提炼合规要点,梳理自查清单,以供存在个人信息跨境处理活动安全认证需求的企业参考。
合规要点
适用情形 | a)跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动; | b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。 |
认证主体 | 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。 | 《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可以由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。 |
基本原则 | a)合法、正当、必要和诚信原则 b)公开、透明原则 c)信息质量原则 d)同等保护原则 e)责任明确原则 f)自愿认证原则 | |
有法律约束力的协议 | 开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障。 文件应当至少明确下列内容: a)开展个人信息跨境处理活动的个人信息处理者和境外接收方; b)跨境处理个人信息的目的以及个人信息的类别、范围; c)个人信息主体权益保护措施; d)境外接收方承诺并遵守统一的个人信息处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准; e)境外接收方承诺接受认证机构监督; f)境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖; g)明确在中华人民共和国境内承担法律责任的组织机构; h)其他应当遵守的法律、行政法规规定的义务。 | |
组织管理 | 开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人; 开展个人信息跨境处理活动的个人信息处理者和境外接收方均应设立个人信息保护机构。 | |
个人信息跨境处理规则 | 开展个人信息处理的个人信息处理者和境外接收方遵守统一的个人信息跨境处理规则。 至少包括下列事项: a)跨境处理个人信息的基本情况,包括个人信息类型、敏感程度、数量等; b)跨境处理个人信息的目的、方式和范围; c)个人信息境外存储的起止时间及到期后的处理方式; d)跨境处理个人信息需要中转的国家或者地区; e)保障个人信息主体权益所需资源和采取的措施; f)个人信息安全事件的赔偿、处置规则。 | |
个人信息保护影响评估 | 开展个人信息跨境活动的个人信息处理者事前评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否与风险程度相适应并有效等。 至少包括下列事项: a)向境外提供个人信息是否符合法律、行政法规; b)对个人信息主体权益产生的影响,特别是境外国家和地区的法律环境、网络安全环境等对个人信息主体权益的影响; c)其他维护个人信息权益所必需的事项。 | |
个人信息主体权益保障 | 8类个人信息主体权利 | a)个人信息主体是个人信息处理者和境外接收方签订法律文件中个人信息权益相关条款的受益人,有权要求个人信息处理者和境外接收方提供法律文本中涉及个人信息主体权益部分的副本; b)个人信息主体对其个人信息的处理享有知情权、决定权,有权撤回对其个人信息跨境处理的同意,有权限制或者拒绝他人对其个人信息进行处理; c)个人信息主体有权向境外接收方查阅、复制、更正、补充、删除其个人信息; d)个人信息主体有权要求个人信息处理者和境外接收方对其个人信息处理规则进行解释说明; e)个人信息主体有权拒绝个人信息处理者仅通过自动化决策的方式作出决定; f)个人信息主体有权对违法个人信息处理活动向中华人民共和国履行个人信息保护职责的部门进行投诉、举报; g)个人信息主体有权在其经常居住地所在法院向开展个人信息跨境处理的个人信息处理者和境外接收方提起司法诉讼; h)其他法律、行政法规规定的权利等。 |
8类个人信息处理者和境外接收方的责任义务 | a)以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动的个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意; b)按照已签署的具有法律效力文件约定的处理目的、处理方式、保护措施等跨境处理个人信息,不得超出约定跨境处理个人信息; c)为个人信息主体提供查阅其个人信息的途径,个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时,应当及时予以响应,拒绝其请求的,应当说明理由; d)当出现难以保证跨境个人信息安全的情况时,应当及时中止跨境处理个人信息; e)发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人; f)应个人信息主体的请求,提供法律文本中涉及个人信息主体权益部分的副本; g)境内法律责任承担方承诺为个人信息主体行使权力提供便利条件,当发生个人信息跨境处理活动损害个人信息主体权益时,承担法律赔偿责任; g)承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监管,包括答复询问、例行检查等; h)承诺遵守中华人民共和国个人信息保护有关法律法规,接受中华人民共和国司法管辖。 | |
自查清单
签订具有法律约束力和执行力的文件 | 合规 评价 | |
是否列明开展个人信息跨境处理活动的个人信息处理者? | □是 □否 | |
是否列明开展个人信息跨境处理活动的境外接收方? | □是 □否 | |
是否列明跨境处理个人信息的目的? | □是 □否 | |
是否列明跨境处理个人信息的类别? | □是 □否 | |
是否列明跨境处理个人信息的范围? | □是 □否 | |
是否列明在中华人民共和国境内承担法律责任的组织? | □是 □否 | |
是否提供了必要的个人信息主体权益保护措施? | □是 □否 | |
境外接收方是否承诺遵守统一的个人信息处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准? | □是 □否 | |
境外接收方是否承诺接受认证机构监督? | □是 □否 | |
境外接收方是否承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖? | □是 □否 | |
组织管理 | 合规 评价 | |
个人信息处理者和境外接收方是否制定了统一遵守的个人信息跨境处理规则? | □是 □否 | |
该个人信息跨境处理规则是否包含跨境处理个人信息的基本情况,包括个人信息类型、敏感程度、数量等? | □是 □否 | |
该个人信息跨境处理规则是否包含跨境处理个人信息的目的、方式和范围? | □是 □否 | |
该个人信息跨境处理规则是否包含个人信息境外存储的起止时间及到期后的处理方式? | □是 □否 | |
该个人信息跨境处理规则是否包含跨境处理个人信息需要中转的国家或者地区? | □是 □否 | |
该个人信息跨境处理规则是否包含保障个人信息主体权益所需资源和采取的措施? | □是 □否 | |
该个人信息跨境处理规则是否包含个人信息安全事件的赔偿及处置规则? | □是 □否 | |
个人信息处理者是否指定个人信息保护负责人? | □是 □否 | |
个人信息处理者指定的个人信息保护负责人是否具备个人信息保护专业知识和相关管理工作经历,并为本组织的决策层成员? | □是 □否 | |
境外接收方是否指定个人信息保护负责人? | □是 □否 | |
境外接收方指定的个人信息保护负责人是否具备个人信息保护专业知识和相关管理工作经历,并为本组织的决策层成员? | □是 □否 | |
个人信息处理者是否设立个人信息保护机构? | □是 □否 | |
境外接收方是否设立个人信息保护机构? | □是 □否 | |
开展个人信息跨境活动前,个人信息处理者是否进行了个人信息保护影响评估? | □是 □否 | |
个人信息主体权益保障 | 合规 评价 | |
个人信息主体权利 | 个人信息主体是否享有获取法律文本中涉及个人信息主体权益部分副本的渠道? | □是 □否 |
个人信息主体是否对其个人信息的处理享有知情权、决定权? | □是 □否 | |
个人信息主体是否有权撤回对其个人信息跨境处理的同意? | □是 □否 | |
个人信息主体是否有权限制或者拒绝他人对其个人信息进行处理? | □是 □否 | |
个人信息主体是否有权向境外接收方查阅、复制、更正、补充、删除其个人信息? | □是 □否 | |
个人信息主体是否有权要求个人信息处理者和境外接收方对其个人信息处理规则进行解释说明? | □是 □否 | |
个人信息主体是否有权拒绝个人信息处理者仅通过自动化决策的方式作出决定? | □是 □否 | |
个人信息处理者的责任义务 | 个人信息处理者是否以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动中个人信息处理者的基本情况? | □是 □否 |
个人信息处理者是否以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动中向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意? | □是 □否 | |
个人信息处理者是否按照已签署的具有法律效力文件约定的处理目的、处理方式、保护措施等处理个人信息? | □是 □否 | |
个人信息处理者是否为个人信息主体提供查阅其个人信息的途径? | □是 □否 | |
个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时,个人信息处理者是否能够及时予以响应,或说明拒绝理由? | □是 □否 | |
当出现难以保证跨境个人信息安全的情况时,个人信息处理者是否能够及时中止跨境处理个人信息? | □是 □否 | |
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者是否能够立即采取补救措施,并通知履行个人信息保护职责的部门和个人? | □是 □否 | |
个人信息处理者是否能够应个人信息主体的请求,提供法律文本中涉及个人信息主体权益部分的副本? | □是 □否 | |
境内法律责任承担方是否承诺为个人信息主体行使权利提供便利条件? | □是 □否 | |
当发生个人信息跨境处理活动损害个人信息主体权益时,境内法律责任承担方是否能够承担法律赔偿责任? | □是 □否 | |
境外接收方的责任义务 | 是否以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动中境外接收方的基本情况? | □是 □否 |
是否按照已签署的具有法律效力文件约定的处理目的、处理方式、保护措施等处理个人信息? | □是 □否 | |
境外接收方是否为个人信息主体提供查阅其个人信息的途径? | □是 □否 | |
个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时,境外接收方是否能够及时予以响应,或说明拒绝理由? | □是 □否 | |
当出现难以保证跨境个人信息安全的情况时,境外接收方是否能够及时中止跨境处理个人信息? | □是 □否 | |
发生或者可能发生个人信息泄露、篡改、丢失的,境外接收方是否能够立即采取补救措施,并通知履行个人信息保护职责的部门和个人? | □是 □否 | |
境外接收方是否能够应个人信息主体的请求,提供法律文本中涉及个人信息主体权益部分的副本? | □是 □否 | |
境外接收方是否承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监管,包括答复询问、例行检查等? | □是 □否 | |
境外接收方是否承诺遵守中华人民共和国个人信息保护有关法律法规,接受中华人民共和国司法管辖? | □是 □否 | |
