粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引发布

2024-09-10 15:45:55

今日,国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局发布公告:

落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》,现予公布。

特此公告。

国家互联网信息办公室 王京涛

澳门特别行政区政府经济及科技发展局 戴建业

澳门特别行政区政府个人资料保护局 杨崇蔚

2024年9月10日

粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引

第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定本实施指引。

第二条 《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》(以下简称标准合同,见附件1)为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。

个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者澳门特别行政区。

第三条 通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。

第四条 按照本实施指引,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:

(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意;

(二)不得向粤港澳大湾区以外的组织、个人提供。

第五条 个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:

(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;

(二)对个人信息主体权益的影响及安全风险;

(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。

个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。

第七条 个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案,提交如下材料:

(一)承诺书(模板见附件2);

(二)标准合同;

(三)属地监管机构要求的其他材料。

个人信息处理者及接收方应当对所备案材料的真实性负责。

第八条 跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并按照个人信息处理者属地法律法规要求履行备案手续和法定通知义务。

第九条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局投诉、举报。

收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门依法处置。

第十条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地规定通知国家互联网信息办公室、广东省互联网信息办公室,或者澳门特别行政区政府个人资料保护局等相关监管实体。

第十一条 以上规定并不影响内地履行个人信息保护职责的部门和澳门特别行政区政府个人资料保护局在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。

第十二条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。

第十三条 国家互联网信息办公室和澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局可以根据实际情况,经协商一致后对本实施指引及附件进行修订。

第十四条 本实施指引自公布之日起生效。

责任编辑:张茜楠

扫一扫分享本页