您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
《個人信息出境標準合同備案指南(第二版)》(全文)
為了指導和幫助數(shù)據(jù)處理者規(guī)范有序申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同,國家互聯(lián)網(wǎng)信息辦公室編制了《數(shù)據(jù)出境安全評估申報指南(第二版)》、《個人信息出境標準合同備案指南(第二版)》,對申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明,對數(shù)據(jù)處理者需要提交的相關材料進行了優(yōu)化簡化。
數(shù)據(jù)處理者因業(yè)務需要向境外提供重要數(shù)據(jù)和個人信息,應當遵守《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》和《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》有關規(guī)定。符合數(shù)據(jù)出境安全評估適用情形的,按照申報指南申報數(shù)據(jù)出境安全評估;通過與境外接收方訂立個人信息出境標準合同的方式向境外提供個人信息的,按照備案指南向所在地省級網(wǎng)信部門備案。
國家互聯(lián)網(wǎng)信息辦公室開通了“數(shù)據(jù)出境申報系統(tǒng)”,網(wǎng)址:https://sjcj.cac.gov.cn。數(shù)據(jù)處理者可以通過該系統(tǒng)申報數(shù)據(jù)出境安全評估、備案個人信息出境標準合同,具體使用說明見系統(tǒng)首頁《用戶手冊》。
附件:1.數(shù)據(jù)出境安全評估申報指南(第二版)
2.個人信息出境標準合同備案指南(第二版)
個人信息出境標準合同備案指南(第二版)
根據(jù)《個人信息出境標準合同辦法》、《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》,為指導和幫助個人信息處理者規(guī)范有序備案個人信息出境標準合同(以下簡稱標準合同),特制定本指南。
一、適用范圍
個人信息處理者通過訂立標準合同的方式向境外提供個人信息,同時符合下列情形的應當向所在地省級網(wǎng)信部門備案:
(一)關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者;
(二)自當年1月1日起,累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)的;
(三)自當年1月1日起,累計向境外提供不滿1萬人敏感個人信息的。
屬于《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
個人信息處理者不得采取數(shù)量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。
以下情形屬于個人信息出境行為:
(一)個人信息處理者將在境內運營中收集和產(chǎn)生的個人信息傳輸至境外;
(二)個人信息處理者收集和產(chǎn)生的個人信息存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;
(三)符合《個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他個人信息處理活動。
二、備案方式
個人信息處理者應當在標準合同生效之日起10個工作日內,通過數(shù)據(jù)出境申報系統(tǒng)備案,系統(tǒng)網(wǎng)址為https://sjcj.cac.gov.cn。
三、備案流程
標準合同備案流程包括材料提交、材料查驗及反饋備案結果、補充或者重新備案等環(huán)節(jié)。
(一)材料提交
個人信息處理者備案標準合同,應當提交如下材料(要求見附件1):
1.統(tǒng)一社會信用代碼證件影印件
2.法定代表人身份證件影印件
3.經(jīng)辦人身份證件影印件
4.經(jīng)辦人授權委托書(模板見附件2)
5.承諾書(模板見附件3)
6.標準合同(范本見附件4)
7.《個人信息保護影響評估報告》(模板見附件5)
(二)材料查驗及反饋備案結果
省級網(wǎng)信辦應當自個人信息處理者提交備案材料之日起15個工作日內完成材料查驗,并向符合備案要求的個人信息處理者發(fā)放備案編號。需要補充完善材料的,個人信息處理者應當在10個工作日內提交補充完善材料;逾期未補充完善材料的,可以終止本次備案程序。
(三)補充或者重新備案
在標準合同有效期內出現(xiàn)下列情形之一的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合同,并履行相應備案手續(xù):
1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限的;
2.境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等可能影響個人信息權益的;
3.可能影響個人信息權益的其他情形。
個人信息處理者在標準合同有效期內補充訂立標準合同的,應當向所在地省級網(wǎng)信辦提交補充材料;重新訂立標準合同的,應當重新備案。補充或者重新備案的材料查驗時間為15個工作日。
個人信息處理者對所提交材料的真實性負責,提交虛假材料的,注銷備案編號,并依法追究相應法律責任。
四、咨詢、舉報聯(lián)系方式
聯(lián)系電話:010-55627565
電子郵箱:bzht@cac.gov.cn
附件:
1.個人信息出境標準合同備案材料要求
2.經(jīng)辦人授權委托書(模板)
3.承諾書(模板)
4.個人信息出境標準合同(范本)
5.個人信息保護影響評估報告(模板)
附件1
個人信息出境標準合同備案材料要求
附件2
經(jīng)辦人授權委托書(模板)
本人 姓名(身份證件號碼: )系 個人信息處理者名稱 的法定代表人,現(xiàn)授權我單位 姓名(身份證件號碼: )為個人信息出境標準合同備案經(jīng)辦人。經(jīng)辦人代表我單位進行個人信息出境標準合同備案過程中的一切行為,包括所簽署和上傳的資料,我單位均予以承認,并將承擔相應的法律責任。
授權委托期限: 年 月 日至 年 月 日
經(jīng)辦人無轉委托權。
單位名稱(蓋章):
法定代表人(簽字):
經(jīng) 辦 人(簽字):
年 月 日
附件3
承 諾 書(模板)
本單位鄭重承諾:
一、出境個人信息的收集、使用符合中華人民共和國有關法律法規(guī)規(guī)定;
二、備案材料所有內容真實、完整、準確和有效;
三、未采取數(shù)量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供;
四、為國家網(wǎng)信辦組織實施的個人信息出境標準合同備案工作提供必要的配合和支持;
五、個人信息保護影響評估工作為備案之日前3個月內完成,且至備案之日未發(fā)生重大變化。
本單位知曉并充分理解上述承諾內容,若承諾不實或者違背承諾,愿意承擔相應法律責任。
法定代表人(簽字):
單位(蓋章):
年 月 日
附件4
個人信息出境標準合同
國家互聯(lián)網(wǎng)信息辦公室 制定
為了確保境外接收方處理個人信息的活動達到中華人民共和國相關法律法規(guī)規(guī)定的個人信息保護標準,明確個人信息處理者和境外接收方個人信息保護的權利和義務,經(jīng)雙方協(xié)商一致,訂立本合同。
個人信息處理者:
地址:
聯(lián)系方式:
聯(lián)系人: 職務:
境外接收方:
地址:
聯(lián)系方式:
聯(lián)系人: 職務:
個人信息處理者與境外接收方依據(jù)本合同約定開展個人信息出境活動,與此活動相關的商業(yè)行為,雙方【已】/【約定】于 年 月 日訂立 (商業(yè)合同,如有)。
本合同正文根據(jù)《個人信息出境標準合同辦法》的要求擬定,在不與本合同正文內容相沖突的前提下,雙方如有其他約定可在附錄二中詳述,附錄構成本合同的組成部分。
第一條 定義
在本合同中,除上下文另有規(guī)定外:
(一)“個人信息處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的,向中華人民共和國境外提供個人信息的組織、個人。
(二)“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。
(三)個人信息處理者或者境外接收方單稱“一方”,合稱“雙方”。
(四)“個人信息主體”是指個人信息所識別或者關聯(lián)的自然人。
(五)“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
(六)“敏感個人信息”是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
(七)“監(jiān)管機構”是指中華人民共和國省級以上網(wǎng)信部門。
(八)“相關法律法規(guī)”是指《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國民法典》《中華人民共和國民事訴訟法》《個人信息出境標準合同辦法》等中華人民共和國法律法規(guī)。
(九)本合同其他未定義術語的含義與相關法律法規(guī)規(guī)定的含義一致。
第二條 個人信息處理者的義務
個人信息處理者應當履行下列義務:
(一)按照相關法律法規(guī)規(guī)定處理個人信息,向境外提供的個人信息僅限于實現(xiàn)處理目的所需的最小范圍。
(二)向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、附錄一“個人信息出境說明”中處理目的、處理方式、個人信息的種類、保存期限,以及行使個人信息主體權利的方式和程序等事項。向境外提供敏感個人信息的,還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
(三)基于個人同意向境外提供個人信息的,應當取得個人信息主體的單獨同意。涉及不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監(jiān)護人的單獨同意。法律、行政法規(guī)規(guī)定應當取得書面同意的,應當取得書面同意。
(四)向個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人,如個人信息主體未在30日內明確拒絕,則可以依據(jù)本合同享有第三方受益人的權利。
(五)盡合理地努力確保境外接收方采取如下技術和管理措施(綜合考慮個人信息處理目的、個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風險),以履行本合同約定的義務:
(如加密、匿名化、去標識化、訪問控制等技術和管理措施)
(六)根據(jù)境外接收方的要求向境外接收方提供相關法律規(guī)定和技術標準的副本。
(七)答復監(jiān)管機構關于境外接收方的個人信息處理活動的詢問。
(八)按照相關法律法規(guī)對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內容:
1.個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性。
2.出境個人信息的規(guī)模、范圍、種類、敏感程度,個人信息出境可能對個人信息權益帶來的風險。
3.境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全。
4.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等。
5.按照本合同第四條評估當?shù)貍€人信息保護政策和法規(guī)對合同履行的影響。
6.其他可能影響個人信息出境安全的事項。
保存?zhèn)€人信息保護影響評估報告至少3年。
(九)根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務信息,在不影響個人信息主體理解的前提下,可對本合同副本相關內容進行適當處理。
(十)對本合同義務的履行承擔舉證責任。
(十一)根據(jù)相關法律法規(guī)要求,向監(jiān)管機構提供本合同第三條第十一項所述的信息,包括所有合規(guī)審計結果。
第三條 境外接收方的義務
境外接收方應當履行下列義務:
(一)按照附錄一“個人信息出境說明”所列約定處理個人信息。如超出約定的處理目的、處理方式和處理的個人信息種類,基于個人同意處理個人信息的,應當事先取得個人信息主體的單獨同意;涉及不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監(jiān)護人的單獨同意。
(二)受個人信息處理者委托處理個人信息的,應當按照與個人信息處理者的約定處理個人信息,不得超出與個人信息處理者約定的處理目的、處理方式等處理個人信息。
(三)根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務信息,在不影響個人信息主體理解的前提下,可對本合同副本相關內容進行適當處理。
(四)采取對個人權益影響最小的方式處理個人信息。
(五)個人信息的保存期限為實現(xiàn)處理目的所必要的最短時間,保存期限屆滿的,應當刪除個人信息(包括所有備份)。受個人信息處理者委托處理個人信息,委托合同未生效、無效、被撤銷或者終止的,應當將個人信息返還個人信息處理者或者予以刪除,并向個人信息處理者提供書面說明。刪除個人信息從技術上難以實現(xiàn)的,應當停止除存儲和采取必要的安全保護措施之外的處理。
(六)按下列方式保障個人信息處理安全:
1.采取包括但不限于本合同第二條第五項的技術和管理措施,并定期進行檢查,確保個人信息安全。
2.確保授權處理個人信息的人員履行保密義務,并建立最小授權的訪問控制權限。
(七)如處理的個人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權提供或者訪問,應當開展下列工作:
1.及時采取適當補救措施,減輕對個人信息主體造成的不利影響。
2.立即通知個人信息處理者,并根據(jù)相關法律法規(guī)要求報告監(jiān)管機構。通知應當包含下列事項:
(1)發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權提供或者訪問的個人信息種類、原因和可能造成的危害。
(2)已采取的補救措施。
(3)個人信息主體可以采取的減輕危害的措施。
(4)負責處理相關情況的負責人或者負責團隊的聯(lián)系方式。
3.相關法律法規(guī)要求通知個人信息主體的,通知的內容包含本項第2目的事項。受個人信息處理者委托處理個人信息的,由個人信息處理者通知個人信息主體。
4.記錄并留存所有與發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權提供或者訪問有關的情況,包括采取的所有補救措施。
(八)同時符合下列條件的,方可向中華人民共和國境外的第三方提供個人信息:
1.確有業(yè)務需要。
2.已告知個人信息主體該第三方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權利的方式和程序等事項。向第三方提供敏感個人信息的,還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外。
3.基于個人同意處理個人信息的,應當取得個人信息主體的單獨同意。涉及不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監(jiān)護人的單獨同意。法律、行政法規(guī)規(guī)定應當取得書面同意的,應當取得書面同意。
4.與第三方達成書面協(xié)議,確保第三方的個人信息處理活動達到中華人民共和國相關法律法規(guī)規(guī)定的個人信息保護標準,并承擔因向中華人民共和國境外的第三方提供個人信息而侵害個人信息主體享有權利的法律責任。
5.根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。如涉及商業(yè)秘密或者保密商務信息,在不影響個人信息主體理解的前提下,可對該書面協(xié)議相關內容進行適當處理。
(九)受個人信息處理者委托處理個人信息,轉委托第三方處理的,應當事先征得個人信息處理者同意,要求該第三方不得超出本合同附錄一“個人信息出境說明”中約定的處理目的、處理方式等處理個人信息,并對該第三方的個人信息處理活動進行監(jiān)督。
(十)利用個人信息進行自動化決策的,應當保證決策的透明度和結果公平、公正,不得對個人信息主體在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人信息主體進行信息推送、商業(yè)營銷的,應當同時提供不針對其個人特征的選項,或者向個人信息主體提供便捷的拒絕方式。
(十一)承諾向個人信息處理者提供已遵守本合同義務所需的必要信息,允許個人信息處理者對必要數(shù)據(jù)文件和文檔進行查閱,或者對本合同涵蓋的處理活動進行合規(guī)審計,并為個人信息處理者開展合規(guī)審計提供便利。
(十二)對開展的個人信息處理活動進行客觀記錄,保存記錄至少3年,并按照相關法律法規(guī)要求直接或者通過個人信息處理者向監(jiān)管機構提供相關記錄文件。
(十三)同意在監(jiān)督本合同實施的相關程序中接受監(jiān)管機構的監(jiān)督管理,包括但不限于答復監(jiān)管機構詢問、配合監(jiān)管機構檢查、服從監(jiān)管機構采取的措施或者作出的決定、提供已采取必要行動的書面證明等。
第四條 境外接收方所在國家或者地區(qū)個人信息保護政策和法規(guī)對合同履行的影響
(一)雙方應當保證在本合同訂立時已盡到合理注意義務,未發(fā)現(xiàn)境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)(包括任何提供個人信息的要求或者授權公共機關訪問個人信息的規(guī)定)影響境外接收方履行本合同約定的義務。
(二)雙方聲明,在作出本條第一項的保證時,已經(jīng)結合下列情形進行評估:
1.出境的具體情況,包括個人信息處理目的、傳輸個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)囊?guī)模和頻率、個人信息傳輸及境外接收方的保存期限、境外接收方此前類似的個人信息跨境傳輸和處理相關經(jīng)驗、境外接收方是否曾發(fā)生個人信息安全相關事件及是否進行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機關要求其提供個人信息的請求及境外接收方應對的情況。
2.境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī),包括下列要素:
(1)該國家或者地區(qū)現(xiàn)行的個人信息保護法律法規(guī)及普遍適用的標準。
(2)該國家或者地區(qū)加入的區(qū)域性或者全球性的個人信息保護方面的組織,以及所作出的具有約束力的國際承諾。
(3)該國家或者地區(qū)落實個人信息保護的機制,如是否具備個人信息保護的監(jiān)督執(zhí)法機構和相關司法機構等。
3.境外接收方安全管理制度和技術手段保障能力。
(三)境外接收方保證,在根據(jù)本條第二項進行評估時,已盡最大努力為個人信息處理者提供了必要的相關信息。
(四)雙方應當記錄根據(jù)本條第二項進行評估的過程和結果。
(五)因境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強制性措施)導致境外接收方無法履行本合同的,境外接收方應當在知道該變化后立即通知個人信息處理者。
(六)境外接收方接到所在國家或者地區(qū)的政府部門、司法機構關于提供本合同項下的個人信息要求的,應當立即通知個人信息處理者。
第五條 個人信息主體的權利
雙方約定個人信息主體作為本合同第三方受益人享有以下權利:
(一)個人信息主體依據(jù)相關法律法規(guī),對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理,有權要求查閱、復制、更正、補充、刪除其個人信息,有權要求對其個人信息處理規(guī)則進行解釋說明。
(二)當個人信息主體要求對已經(jīng)出境的個人信息行使上述權利時,個人信息主體可以請求個人信息處理者采取適當措施實現(xiàn),或者直接向境外接收方提出請求。個人信息處理者無法實現(xiàn)的,應當通知并要求境外接收方協(xié)助實現(xiàn)。
(三)境外接收方應當按照個人信息處理者的通知,或者根據(jù)個人信息主體的請求,在合理期限內實現(xiàn)個人信息主體依照相關法律法規(guī)所享有的權利。
境外接收方應當以顯著的方式、清晰易懂的語言真實、準確、完整地告知個人信息主體相關信息。
(四)境外接收方拒絕個人信息主體的請求的,應當告知個人信息主體其拒絕的原因,以及個人信息主體向相關監(jiān)管機構提出投訴和尋求司法救濟的途徑。
(五)個人信息主體作為本合同第三方受益人有權根據(jù)本合同條款向個人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項下與個人信息主體權利相關的下列條款:
1.第二條,但第二條第五項、第六項、第七項、第十一項除外。
2.第三條,但第三條第七項第2目和第4目、第九項、第十一項、第十二項、第十三項除外。
3.第四條,但第四條第五項、第六項除外。
4.第五條。
5.第六條。
6.第八條第二項、第三項。
7.第九條第五項。
上述約定不影響個人信息主體依據(jù)《中華人民共和國個人信息保護法》享有的權益。
第六條 救濟
(一)境外接收方應當確定一個聯(lián)系人,授權其答復有關個人信息處理的詢問或者投訴,并應當及時處理個人信息主體的詢問或者投訴。境外接收方應當將聯(lián)系人信息告知個人信息處理者,并以簡潔易懂的方式,通過單獨通知或者在其網(wǎng)站公告,告知個人信息主體該聯(lián)系人信息,具體為:
聯(lián)系人及聯(lián)系方式(辦公電話或電子郵箱)
(二)一方因履行本合同與個人信息主體發(fā)生爭議的,應當通知另一方,雙方應當合作解決爭議。
(三)爭議未能友好解決,個人信息主體根據(jù)第五條行使第三方受益人的權利的,境外接收方接受個人信息主體通過下列形式維護權利:
1.向監(jiān)管機構投訴。
2.向本條第五項約定的法院提起訴訟。
(四)雙方同意個人信息主體就本合同爭議行使第三方受益人權利,個人信息主體選擇適用中華人民共和國相關法律法規(guī)的,從其選擇。
(五)雙方同意個人信息主體就本合同爭議行使第三方受益人權利的,個人信息主體可以依據(jù)《中華人民共和國民事訴訟法》向有管轄權的人民法院提起訴訟。
(六)雙方同意個人信息主體所作的維權選擇不會減損個人信息主體根據(jù)其他法律法規(guī)尋求救濟的權利。
第七條 合同解除
(一)境外接收方違反本合同約定的義務,或者境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化(包括境外接收方所在國家或者地區(qū)更改法律,或者采取強制性措施)導致境外接收方無法履行本合同的,個人信息處理者可以暫停向境外接收方提供個人信息,直到違約行為被改正或者合同被解除。
(二)有下列情形之一的,個人信息處理者有權解除本合同,并在必要時通知監(jiān)管機構:
1.個人信息處理者根據(jù)本條第一項的規(guī)定暫停向境外接收方提供個人信息的時間超過1個月。
2.境外接收方遵守本合同將違反其所在國家或者地區(qū)的法律規(guī)定。
3.境外接收方嚴重或者持續(xù)違反本合同約定的義務。
4.根據(jù)境外接收方的主管法院或者監(jiān)管機構作出的終局決定,境外接收方或者個人信息處理者違反了本合同約定的義務。
在本項第1目、第2目、第4目的情況下,境外接收方可以解除本合同。
(三)經(jīng)雙方同意解除本合同的,合同解除不免除其在個人信息處理過程中的個人信息保護義務。
(四)合同解除時,境外接收方應當及時返還或者刪除其根據(jù)本合同所接收到的個人信息(包括所有備份),并向個人信息處理者提供書面說明。刪除個人信息從技術上難以實現(xiàn)的,應當停止除存儲和采取必要的安全保護措施之外的處理。
第八條 違約責任
(一)雙方應就其違反本合同而給對方造成的損失承擔責任。
(二)任何一方因違反本合同而侵害個人信息主體享有的權利,應當對個人信息主體承擔民事法律責任,且不影響相關法律法規(guī)規(guī)定個人信息處理者應當承擔的行政、刑事等法律責任。
(三)雙方依法承擔連帶責任的,個人信息主體有權請求任何一方或者雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時,有權向另一方追償。
第九條 其他
(一)如本合同與雙方訂立的任何其他法律文件發(fā)生沖突,本合同的條款優(yōu)先適用。
(二)本合同的成立、效力、履行、解釋、因本合同引起的雙方間的任何爭議,適用中華人民共和國相關法律法規(guī)。
(三)發(fā)出的通知應當以電子郵件、電報、電傳、傳真(以航空信件寄送確認副本)或者航空掛號信發(fā)往(具體地址) 或者書面通知取代該地址的其它地址。如以航空掛號信寄出本合同項下的通知,在郵戳日期后的 天應當視為收訖;如以電子郵件、電報、電傳或者傳真發(fā)出,在發(fā)出以后的 個工作日應當視為收訖。
(四)雙方因本合同產(chǎn)生的爭議以及任何一方因先行賠償個人信息主體損害賠償責任而向另一方的追償,雙方應當協(xié)商解決;協(xié)商解決不成的,任何一方可以采取下列第 種方式加以解決(如選擇仲裁,請勾選仲裁機構):
1.仲裁。將該爭議提交
□中國國際經(jīng)濟貿易仲裁委員會
□中國海事仲裁委員會
□北京仲裁委員會(北京國際仲裁中心)
□上海國際仲裁中心
□其他《承認及執(zhí)行外國仲裁裁決公約》成員的仲裁機構
按其屆時有效的仲裁規(guī)則在 (仲裁地點) 進行仲裁;
2.訴訟。依法向中華人民共和國有管轄權的人民法院提起訴訟。
(五)本合同應當按照相關法律法規(guī)的規(guī)定進行解釋,不得以與相關法律法規(guī)規(guī)定的權利、義務相抵觸的方式解釋本合同。
(六)本合同正本一式 份,雙方各執(zhí) 份,其法律效力相同。
本合同在(地點) 簽訂
個人信息處理者:
年 月 日
境外接收方:
年 月 日
附錄一
個人信息出境說明
根據(jù)本合同向境外提供個人信息的詳情約定如下:
(一)處理目的:
(二)處理方式:
(三)出境個人信息的規(guī)模:
(四)出境個人信息種類(參考GB/T 35273《信息安全技術 個人信息安全規(guī)范》和相關標準):
(五)出境敏感個人信息種類(如適用,參考GB/T 35273《信息安全技術 個人信息安全規(guī)范》和相關標準):
(六)境外接收方只向以下中華人民共和國境外第三方提供個人信息(如適用):
(七)傳輸方式:
(八)出境后保存期限:
( 年 月 日至 年 月 日)
(九)出境后保存地點:
(十)其他事項(視情況填寫):
附錄二
雙方約定的其他條款(如需要)
附件5
個人信息保護影響評估報告(模板)
(出境版)
個人信息處理者名稱: (蓋章)
年 月 日
說明:
(一)個人信息處理者備案個人信息出境標準合同時需提供個人信息保護影響評估報告,并對所提交的評估報告真實性負責;
(二)報告所述評估工作為本次申報前3個月內完成;
(三)如有第三方機構參與評估,須在評估報告中說明第三方機構的基本情況及參與評估的情況;
(四)評估報告嚴格按照模板撰寫。評估報告必須使用中文撰寫,正文字體四號“仿宋”(其中,正文一級標題黑體、二級標題楷體加黑、三級標題仿宋加黑),數(shù)字、字母使用四號“Times New Roman”字體,行距固定值26磅,段落首行縮進2字符。頁面設置:A4紙,上下頁邊距為2.54cm,左右頁邊距為3.18cm。
一、出境活動整體情況
(一)個人信息處理者基本情況
1.基本情況簡介,包括股權結構、實際控制人、境內外投資情況、組織架構和個人信息保護機構信息等。
2.整體業(yè)務與處理個人信息情況。
3.擬出境個人信息情況。
(1)個人信息出境涉及業(yè)務、個人信息收集使用、信息系統(tǒng)等情況;
(2)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式,及其合法性、正當性、必要性;
(3)出境個人信息的規(guī)模、范圍、種類、敏感程度,處理敏感個人信息情況;
(4)擬出境個人信息在境內存儲的系統(tǒng)平臺、數(shù)據(jù)中心等情況,個人信息出境鏈路相關情況,計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等;
(5)個人信息出境后向境外其他接收方提供的情況。
4.遵守個人信息保護相關法律法規(guī)的情況。
(二)境外接收方情況
1.境外接收方基本情況;
2.境外接收方處理個人信息的用途、方式等;
3.境外接收方履行責任義務的管理和技術措施、能力等。
(三)個人信息處理者認為需要說明的其他情況
二、擬出境活動的影響評估情況及結論
對照《個人信息出境標準合同辦法》第五條規(guī)定事項,說明個人信息保護影響評估情況,重點說明評估發(fā)現(xiàn)的問題和整改情況。
綜合影響評估情況和相應整改情況,對個人信息出境活動作出客觀的影響評估結論,充分說明得出評估結論的理由和論據(jù)。
來源:“網(wǎng)信中國”微信公眾號