粤港澳大湾区（内地、香港）个人信息跨境流动标准合同.docx

《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同.docx》由会员分享，可在线阅读，更多相关《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同.docx（15页珍藏版）》请在第一文库网上搜索。

1、附件1粤港澳大湾区（内地、香港）个人信息跨境流动标准合同国家互联网信息办公室香港特别行政区政府创新科技及工业局制定香港个人资料私隐专员公署为促进粤港澳大湾区个人信息跨境安全有序流动，明确个人信息处理者和接收方个人信息保护的权利、义务和责任，经双方协商一致，订立本合同。个人信息处理者：联系方式：联系人：务：接“妨：t1t:联系方式：蟀人：职务：（注：个人信息处理者及接收方应注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区）个人信息处理者与接收方依据本合同约定开展个人信息跨境活动，与此活

2、动相关的商业行为，双方【已】/【约定】于一年月日订立（商业合同，如有）。本合同正文根据中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录而拟定，在不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二中详述，附录构成本合同的组成部分。第一条定义在本合同中，除上下文另有规定外：（一）“个人信息处理者”，就内地而言，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人；就香港特别行政区而言，亦涵盖“资料使用者“，即就个人资料而言，指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人。本合同所称个人信息

3、处理者为个人信息跨境提供方。（二）“接收方”是指自个人信息处理者处跨境接收个人信息的组织、个人。（三）个人信息处理者或者接收方单称“一方”，合称“双方”。（四）粤港澳大湾区内地个人信息处理者处理的个人信息，按照中华人民共和国个人信息保护法确定；香港特别行政区内个人信息处理者处理的个人信息，按照香港特别行政区个人资料（私隐）条例的“个人资料”确定。（五）“个人信息主体”，就内地而言，是指个人信息所识别或者关联的自然人；就香港特别行政区而言，亦涵盖“资料当事人“，即就个人资料而言，指属该资料的当事人的个人。（六）“监管机构”，就内地而言，是指国家互联网信息办公室及广东省互联网信息办公室；就香港特别

4、行政区而言，是指香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室及香港个人资料私隐专员公署。（七）“相关法律法规”，就内地而言，是指中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规；就香港特别行政区而言，是指个人资料（私隐）条例等法律法规。第二条个人信息处理者的义务和责任个人信息处理者应当履行下列义务和责任：（-）按照属地相关法律法规及本合同要求处理个人信息，向接收方提供的个人信息仅限于实现处理目的所需的最小范围。（-）向个人信息主体告知接收方的名称或者姓名、联系方式，附录一“个人信息跨境提供说明”中处理目的、处理方式、个人信息的种类、保存期限、

5、个人信息向同辖区第三方提供的情况，以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的，从其规定。（三）向接收方跨境提供个人信息前，应当按照属地法律法规要求取得个人信息主体同意。（四）向个人信息主体告知其与接收方通过本合同约定个人信息主体为第三方受益人，如个人信息主体未在30日内明确拒绝，则可以依据本合同享有第三方受益人的权利。（五）尽合理的努力确保接收方采取如下技术和管理措施（综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险），以履行本合同约定的义务和责任。（如加密、匿名化、去标识化、访

6、问控制等技术和管理措施）（六）根据接收方的要求向接收方提供属地相关法律法规规定和技术标准的副本。（七）答复属地监管机构关于接收方的个人信息处理活动的询问。（八）对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容：1 .个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；2 .对个人信息主体权益的影响及安全风险；3 .接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。4 存个人信息保护影响评估报告至少3年。（九）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息

7、主体理解的前提下，可对本合同副本相关内容进行适当处理。（十）对本合同义务和责任的履行承担举证责任。（十一）根据属地相关法律法规及本合同要求，向属地监管机构提供本合同第三条第十项所述的信息，包括所有合规审计结果。第三条接收方的义务和责任接收方应当履行下列义务和责任：（一）按照附录一“个人信息跨境提供说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类，应当事先告知个人信息处理者，补充或者重新订立标准合同，并履行相应备案手续。个人信息处理者属地相关法律法规要求不需要告知的，从其规定。（二）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息

8、，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。（三）采取对个人权益影响最小的方式处理个人信息。（四）个人信息的保存期限为实现处理目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息处理者委托处理个人信息，委托合同未生效、无效、被撤销、终止或者按个人信息处理者要求，应当将个人信息予以删除，并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。（五）按下列方式保障个人信息处理安全：1 .采取包括但不限于本合同第二条第五项的技术和管理措施，并定期进行检查，确保个人信息安全。2 .确保授

9、权处理个人信息的人员履行保密义务和责任，并建立最小授权的访问控制权限。(六)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅，应当开展下列工作:1 .及时采取适当补救措施，减轻对个人信息主体造成的不利影响。2 .立即通知个人信息处理者，并报告属地监管机构。通知应当包含下列事项：(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅的个人信息种类、原因和可能造成的危害。(2)已采取的补救措施。(3)个人信息主体可以采取的减轻危害的措施。(4)负责处理相关情况的负责人或者负责团队的联系方式。3 .相关法律法规要求通知个人信息主

10、体的，通知的内容包含本项第2目的事项。4 .记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅有关的情况，包括采取的所有补救措施。(七)不得向粤港澳大湾区以外的组织、个人提供据此合同接收的个人信息。（八）同时符合下列条件的，方可向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息：1 .确有业务需要。2 .已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知的，从其规定。3 .基于个人同意处理个人信息的，应当按照个

11、人信息处理者属地法律法规要求取得个人信息主体同意。4 .按照附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。（九）受个人信息处理者委托处理个人信息，转委托第三方处理的，应当事先征得个人信息处理者同意，要求该第三方不得超出本合同附录一“个人信息跨境提供说明“中约定的处理目的、处理方式等处理个人信息，并对该第三方的个人信息处理活动进行监督。（+）承诺向个人信息处理者提供已遵守本合同义务和责任所需的必要信息，允许个人信息处理者对本合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合规审计提供便利。（十一）对开展的个人信息处理活动进行客观记录，保存记录至少3年。（十二）同意在

12、本合同实施的相关监督程序中接受属地监管机构的监督管理，包括但不限于答复属地监管机构询问、配合属地监管机构检查、服从属地监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。（十三）接收方所在地的政府部门、司法机构要求接收方提供本合同项下的个人信息的，应当立即通知个人信息处理者。第四条个人信息主体的权利双方约定个人信息主体作为本合同第三方受益人享有以下权利：（一）个人信息主体依据个人信息处理者属地相关法律法规及本合同对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，有权要求查阅、复制、更正、补充、删除其个人信息，有权要求对其个人信息处理规则进行解释说明。

13、（二）当个人信息主体要求对依据本合同传输的个人信息行使上述权利时，个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向接收方提出请求。个人信息处理者无法实现的，应当通知并要求接收方协助实现。（三）接收方应当按照个人信息处理者的通知，或者根据个人信息主体的请求，在合理期限内实现个人信息主体依照个人信息处理者属地相关法律法规及本合同所享有的权利。接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。（四）接收方拒绝个人信息主体的请求的，应当告知个人信息主体其拒绝的原因，以及个人信息主体向个人信息处理者或者接收方属地相关监管机构提出投诉和寻求司法救济的途径。（五

14、）个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和接收方的一方或者双方主张要求履行本合同项下与个人信息主体权利相关的下列条款：1 .第二条，但第二条第五项、第六项、第七项、第十一项除外。2 .第三条，但第三条第六项第2目和第4目、第九项、第十项、第十一项、第十二项、第十三项除外。3 .第四条。4 .第五条。5 .第七条第二项、第三项。6 .第八条第五项。上述约定不影响个人信息主体依据个人信息处理者或者接收方属地相关法律法规享有的权益。第五条救济（-）接收方应当确定一个联系人，授权其答复有关个人信息处理的询问或者投诉，并应当及时处理个人信息主体的询问或者投诉。接收方应当将联

15、系人信息告知个人信息处理者，并以简洁易懂的方式，通过单独通知或者在其网站公告，告知个人信息主体该联系人信息，具体为：联系人及联系方式（办公电话或电子邮箱）（二）一方因履行本合同与个人信息主体发生争议的，应当通知另一方，双方应当合作解决争议。（三）争议未能友好解决，个人信息主体根据第四条行使第三方受益人的权利的，接收方接受个人信息主体通过下列形式维护权利：1 .向相关监管机构投诉。2 .向本条第五项约定的法院提起诉讼。（四）双方同意个人信息主体就本合同争议行使第三方受益人权利，个人信息主体选择适用个人信息处理者属地相关法律法规的，从其选择。（五）双方同意个人信息主体就本合同争议行使第三方受益人权利的，个人信息主体可以依据中华人民共和国民事诉讼法最高人民法院关于内地与香港特别行政区法院相互认可和执行当事人协议管辖的民商事案件判决的安排或香港法律法规向内地或者香港有管辖权的法院提起诉讼。（六）双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。第六条合同解除（-）接收方违反本合同约定的义务和责任，或者被采取强制性措施导致无法履行本合同的，个人信息处理者可以暂停向接收方提供个人信息，直到违约行为被改正或者合同被解除。（二）有下列情形之一的，个人信息处理者有权解除本合同，并通知个人信息处