粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引(1).docx

《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引(1).docx》由会员分享，可在线阅读，更多相关《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引(1).docx（18页珍藏版）》请在第一文库网上搜索。

1、落实中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理”的合作措施，国家互联网信息办公室与香港创新科技及工业局共同制定粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引，现予公布。特此公告。附件：零港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引国家互联网信息办公室王京涛香港特区政府创新科技及工业局孙东2023年12月IOF1粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引第一条为促进粤港澳大湾区个人信息跨境安全有序

2、流动，推动粤港澳大湾区高质量发展，落实中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录（以下简称备忘录），国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。第二条唐港澳大湾区（内地、香港）个人信息跨境流动标准合同（以下简称标准合同，见附件1）为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求，通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。个人信息处理者及接

3、收方应注册于（适用于组织）/位于（适用于个人）勇港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区。第三条通过订立标准合同的方式开展个人信息跨境提供的，应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合，保障个人信息跨境安全、自由流动。第四条按照本实施指引，通过订立标准合同跨境提供个人信息的，应当履行标准合同列明的义务和责任，包括满足以下条件：（一）个人信息处理者跨境提供个人信息前，应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意：（-）不得向粤港澳大湾区以外的组织、个人提供。第

4、五条个人信息处理者按照本实施指引，通过订立标准合同跨境提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：（-）个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性：（-）对个人信息主体权益的影响及安全风险；（三）接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。第六条标准合同应当严格按照本实施指引附件订立，合同生效后方可开展个人信息跨境提供。个人信息处理者可以与接收方约定其他条款，但不得与标准合同相冲突。第七条跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响

5、或者可能影响个人信息权益其他情况的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。第八条个人信息处理者及接收方应在标准合同生效之日起10个工作FI内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案，提交如下材料:（一）法定代表人身份证件影印件：（二）承诺书（模板见附件2）；（三）标准合同。个人信息处理者及接收方应当对所备案材料的真实性负责。第九条个人信息处理者及接收方接受属地监管机构的监督管理，包括但不限于：（一）根据标准合同第二条第七项及第十项，个人信息处理者答凭监管机构的询问及对合同的义务和责任的履

6、行承担举证责任；（二）根据标准合同第三条第十二项，接收方应接受监管机构的监督管理，包括服从监管机构作出的决定以及提供已采取必要行动的证明等：（）根据标准合同第六条第二项，个人信息处理者解除标准合同时，通知监管机构。第十条任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动，但不履行本实施指引及标准合同要求的义务和责任的，可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的，可以要

7、求个人信息处理者或者接收方整改：需要交由其他执法部门处置的，交由相关部门依法处置。第十一条个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的，应立即采取补救措施，按照属地通知国家互联网信息办公室、广东省互联网信息办公室，或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。第十二条以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作，包括处理与个人信息保护有关的投诉、举报，调查、处理违法个人信息处理活动等。第十三条有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业

8、秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。第十四条国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况，经协商一致后对本实施指引及附件进行修订。第十五条本实施指引自发布之日起生效。附件1：粤港澳大湾区（内地、香港）个人信息跨境流动标准合同附件2：承诺书附件1粤港澳大湾区（内地、香港）个人信息跨境流动标准合同国家互联网信息办公室香港特别行政区政府创新科技及工业局制定香港个人资料私隐专员公署为促进粤港澳大湾区个人信息跨境安全有序流动，明确个人信息处理者和接收方个人信息保护的权利、义务和责任，经双方协商一致，订立本合同。个人信息处理者：联系方式：

9、联系人：务：接“妨：t1t:联系方式：蟀人：职务：（注：个人信息处理者及接收方应注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者香港特别行政区）个人信息处理者与接收方依据本合同约定开展个人信息跨境活动，与此活动相关的商业行为，双方【已】/【约定】于一年月日订立（商业合同，如有）。本合同正文根据中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录而拟定，在不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二中详述，附录构成本合同的

10、组成部分。第一条定义在本合同中，除上下文另有规定外：（一）“个人信息处理者”，就内地而言，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人；就香港特别行政区而言，亦涵盖“资料使用者“，即就个人资料而言，指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人。本合同所称个人信息处理者为个人信息跨境提供方。（二）“接收方”是指自个人信息处理者处跨境接收个人信息的组织、个人。（三）个人信息处理者或者接收方单称“一方”，合称“双方”。（四）粤港澳大湾区内地个人信息处理者处理的个人信息，按照中华人民共和国个人信息保护法确定；香港特别行政区内个人信息处理者处理的个人信息，按照

11、香港特别行政区个人资料（私隐）条例的“个人资料”确定。（五）“个人信息主体”，就内地而言，是指个人信息所识别或者关联的自然人；就香港特别行政区而言，亦涵盖“资料当事人“，即就个人资料而言，指属该资料的当事人的个人。（六）“监管机构”，就内地而言，是指国家互联网信息办公室及广东省互联网信息办公室；就香港特别行政区而言，是指香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室及香港个人资料私隐专员公署。（七）“相关法律法规”，就内地而言，是指中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规；就香港特别行政区而言，是指个人资料（私隐）条例等法律法规。第二条

12、个人信息处理者的义务和责任个人信息处理者应当履行下列义务和责任：（-）按照属地相关法律法规及本合同要求处理个人信息，向接收方提供的个人信息仅限于实现处理目的所需的最小范围。（-）向个人信息主体告知接收方的名称或者姓名、联系方式，附录一“个人信息跨境提供说明”中处理目的、处理方式、个人信息的种类、保存期限、个人信息向同辖区第三方提供的情况，以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的，从其规定。（三）向接收方跨境提供个人信息前，应当按照属地法律法规要求取得个人信息主体同意。（四）向个人信息主体告知其与接收方通过本合同约定个人信息主体为第三方受益人，如个人信息主体未

13、在30日内明确拒绝，则可以依据本合同享有第三方受益人的权利。（五）尽合理的努力确保接收方采取如下技术和管理措施（综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险），以履行本合同约定的义务和责任。（如加密、匿名化、去标识化、访问控制等技术和管理措施）（六）根据接收方的要求向接收方提供属地相关法律法规规定和技术标准的副本。（七）答复属地监管机构关于接收方的个人信息处理活动的询问。（八）对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容：1 .个人信息处理者和接收方处理个人信息的目的、方式等的合法

14、性、正当性、必要性；2 .对个人信息主体权益的影响及安全风险；3 .接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。4 存个人信息保护影响评估报告至少3年。（九）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。（十）对本合同义务和责任的履行承担举证责任。（十一）根据属地相关法律法规及本合同要求，向属地监管机构提供本合同第三条第十项所述的信息，包括所有合规审计结果。第三条接收方的义务和责任接收方应当履行下列义务和责任：（一）按照附录一“个人信息跨境

15、提供说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类，应当事先告知个人信息处理者，补充或者重新订立标准合同，并履行相应备案手续。个人信息处理者属地相关法律法规要求不需要告知的，从其规定。（二）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。（三）采取对个人权益影响最小的方式处理个人信息。（四）个人信息的保存期限为实现处理目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息处理者委托处理个人信息，委托合同未生效、无效、被撤销、终止或者按个人信息处理者要求，应当将个人信息予以删除，并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。（五）按下列方式保障个人信息处理安全：1 .采取包括但不限于本合同第二条第五项的技术和管理措施，并定期进行检查，确保个人信息安全。2 .确保授权处理个人信息的人员履行保密义务和责任，并建立最小授权的访问控制权限。(六)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅，应当开展下列工作:1 .及时采取适当补救措施，减轻对个人信息主体造成的不利影响