《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—個人信息跨境處理活動安全認(rèn)證規(guī)范V2.0》發(fā)布

發(fā)布時間 2022-12-20

為支撐個人信息保護(hù)認(rèn)證實施,指導(dǎo)個人信息處理者規(guī)范開展個人信息跨境處理活動,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—個人信息跨境處理活動安全認(rèn)證規(guī)范V2.0》(以下簡稱《實踐指南》)。


《實踐指南》規(guī)定了跨境處理個人信息應(yīng)遵循的基本原則、個人信息處理者和境外接收方在個人信息跨境處理活動的個人信息保護(hù)、個人信息主體權(quán)益保障等方面內(nèi)容。


《實踐指南》規(guī)定,申請認(rèn)證的個人信息處理者應(yīng)取得合法的法人資格,正常經(jīng)營且具有良好的信譽(yù)、商譽(yù)。跨國公司或者同一經(jīng)濟(jì)、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的個人信息跨境處理活動可由境內(nèi)一方申請認(rèn)證,并承擔(dān)法律責(zé)任?!吨腥A人民共和國個人信息保護(hù)法》第三條第二款規(guī)定的境外個人信息處理者,可由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請認(rèn)證,并承擔(dān)法律責(zé)任。


其中,個人信息跨境處理規(guī)則如下:


開展個人信息跨境處理活動的個人信息處理者和境外接收方應(yīng)約定并共同遵守同一個人信息跨境處理規(guī)則,規(guī)則應(yīng)至少包括下列事5項:


  • 明確跨境處理個人信息的基本情況,包括個人信息數(shù)量、范圍、種類、敏感程度等;

  • 明確跨境處理個人信息的目的、方式和范圍;

  • 明確個人信息境外存儲的起止時間及期滿后的處理方式;

  • 明確跨境處理個人信息需要中轉(zhuǎn)的國家或者地區(qū);

  • 明確保障個人信息主體權(quán)益所需資源和采取的措施;

  • 明確個人信息安全事件的賠償、處置規(guī)則。