来源: 中国网信网
为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。
个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
个人信息出境标准合同备案指南(第一版)
《个人信息出境标准合同办法》自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。
个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
以下情形属于个人信息出境行为:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他个人信息出境行为。
个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案。
标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。
(一)材料提交
个人信息处理者备案标准合同,应当提交如下材料(要求见附件1):
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.承诺书(模板见附件3)
6.标准合同(范本见附件4)
7.《个人信息保护影响评估报告》(模板见附件5)
(二)材料查验及反馈备案结果
省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。
备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
(三)补充或者重新备案
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
3.可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。
电子邮箱:bzht@cac.gov.cn
联系电话:010-55627565
附件:1.个人信息出境标准合同备案材料要求
2.经办人授权委托书(模板)
3.承诺书(模板)
4.个人信息出境标准合同(范本)
5.个人信息保护影响评估报告(模板)
个人信息出境标准合同备案材料要求
| 序号 | 材料名称 | 要求 |
| 1 | 统一社会信用代码证件 | 影印件加盖公章 |
| 2 | 法定代表人身份证件 | 影印件加盖公章 |
| 3 | 经办人身份证件 | 影印件加盖公章 |
| 4 | 经办人授权委托书 | 原件 |
| 5 | 承诺书 | 原件 |
| 6 | 个人信息出境标准合同 | 原件 |
| 7 | 个人信息保护影响评估报告 | 原件 |
附件2
经办人授权委托书(模板)
本人 姓名(身份证件号码: )系 个人信息处理者名称 的法定代表人,现授权我单位 姓名(身份证件号码: )为个人信息出境标准合同备案经办人。经办人代表我单位进行个人信息出境标准合同备案过程中的一切行为,包括所签署和上传的资料,我单位均予以承认,并将承担相应的法律责任。
授权委托期限: 年 月 日至 年 月 日
经办人无转委托权。
单位名称(盖章):
法定代表人(签字):
经 办 人(签字):
年 月 日
附件3
承 诺 书(模板)
本单位郑重承诺:
一、出境个人信息的收集、使用符合中华人民共和国有关法律法规规定;
二、备案材料所有内容真实、完整、准确和有效;
三、未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供;
四、为国家网信办组织实施的个人信息出境标准合同备案工作提供必要的配合和支持;
五、个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化。
本单位知晓并充分理解上述承诺内容,若承诺不实或者违背承诺,愿意承担相应法律责任。
法定代表人(签字):
单位(盖章):
年 月 日
附件4
个人信息出境标准合同
国家互联网信息办公室 制定
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。
个人信息处理者:
地址:
联系方式:
联系人: 职务:
境外接收方:
地址:
联系方式:
联系人: 职务:
个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立 (商业合同,如有)。
本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。
第一条 定义
在本合同中,除上下文另有规定外:
(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。
(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。
(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。
(四)“个人信息主体”是指个人信息所识别或者关联的自然人。
(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(七)“监管机构”是指中华人民共和国省级以上网信部门。
(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。
(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。
第二条 个人信息处理者的义务
个人信息处理者应当履行下列义务:
(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据本合同享有第三方受益人的权利。
(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:
(如加密、匿名化、去标识化、访问控制等技术和管理措施)
(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。
(七)答复监管机构关于境外接收方的个人信息处理活动的询问。
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。
2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。
3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。
4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少3年。
(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(十)对本合同义务的履行承担举证责任。
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。
第三条 境外接收方的义务
境外接收方应当履行下列义务:
(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。
(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。
(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(四)采取对个人权益影响最小的方式处理个人信息。
(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
(六)按下列方式保障个人信息处理安全:
1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。
2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:
1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。
2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项:
(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。
(2)已采取的补救措施。
(3)个人信息主体可以采取的减轻危害的措施。
(4)负责处理相关情况的负责人或者负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第2目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。
4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:
1.确有业务需要。
2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。
5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
(十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。
(十二)对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。
(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。
第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响
(一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。
(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估:
1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。
2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。
(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。
(四)双方应当记录根据本条第二项进行评估的过程和结果。
- 因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。
- 境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。
第五条 个人信息主体的权利
双方约定个人信息主体作为本合同第三方受益人享有以下权利:
(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。
(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。
境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。
- 境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。
(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:
1.第二条,但第二条第五项、第六项、第七项、第十一项除外。
2.第三条,但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项除外。
3.第四条,但第四条第五项、第六项除外。
4.第五条。
5.第六条。
6.第八条第二项、第三项。
7.第九条第五项。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。
第六条 救济
(一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为:
联系人及联系方式(办公电话或电子邮箱)
- 一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。
(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利:
1.向监管机构投诉。
2.向本条第五项约定的法院提起诉讼。
(四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。
(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。
(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。
第七条 合同解除
(一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。
(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:
1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过1个月。
2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。
3.境外接收方严重或者持续违反本合同约定的义务。
4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。
在本项第1目、第2目、第4目的情况下,境外接收方可以解除本合同。
(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。
(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
第八条 违约责任
(一)双方应就其违反本合同而给对方造成的损失承担责任。
(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。
(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。
第九条 其他
(一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。
(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。
(三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或者航空挂号信发往(具体地址) 或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的 天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。
(四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构):
1.仲裁。将该争议提交
□中国国际经济贸易仲裁委员会
□中国海事仲裁委员会
□北京仲裁委员会(北京国际仲裁中心)
□上海国际仲裁中心
□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构
按其届时有效的仲裁规则在 (仲裁地点) 进行仲裁;
2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。
(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。
(六)本合同正本一式 份,双方各执 份,其法律效力相同。
本合同在(地点) 签订
个人信息处理者:
年 月 日
境外接收方:
年 月 日
附录一
个人信息出境说明
根据本合同向境外提供个人信息的详情约定如下:
(一)处理目的:
(二)处理方式:
(三)出境个人信息的规模:
(四)出境个人信息种类(参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(五)出境敏感个人信息种类(如适用,参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用):
(七)传输方式:
(八)出境后保存期限:
( 年 月 日至 年 月 日)
(九)出境后保存地点:
(十)其他事项(视情况填写):
附录二
双方约定的其他条款(如需要)
附件5
个人信息保护影响评估报告(模板)
(出境版)
个人信息处理者名称: (盖章)
年 月 日
评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。如有第三方机构参与评估,需说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
二、出境活动整体情况
详细说明个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。包括不限于:
(一)个人信息处理者基本情况
1.组织或者个人基本信息;
2.股权结构和实际控制人信息;
3.组织架构信息;
4.个人信息保护机构信息;
5.整体业务与个人信息情况;
6.境内外投资情况。
(二)个人信息出境涉及业务和信息系统情况
1.个人信息出境涉及业务的基本情况;
2.个人信息出境涉及业务的个人信息收集使用情况;
3.个人信息出境涉及业务的信息系统情况;
4.个人信息出境涉及的数据中心(包含云服务)情况;
5.个人信息出境链路相关情况。
(三)拟出境个人信息情况
1.说明个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性;
2.说明出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息和利用个人信息进行自动化决策情况;
3.拟出境个人信息在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等;
4.个人信息出境后向境外其他接收方提供的情况。
(四)个人信息处理者个人信息保护能力情况
1.个人信息安全管理能力,包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况;
2.个人信息安全技术能力,包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
3.个人信息保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况;
4.遵守个人信息保护相关法律法规的情况。
(五)境外接收方情况
1.境外接收方基本情况;
2.境外接收方处理个人信息的用途、方式等;
3.境外接收方的个人信息保护能力;
4.境外接收方所在国家或地区个人信息保护政策法规情况;
5.境外接收方处理个人信息的全流程过程描述。
(六)个人信息处理者认为需要说明的其他情况
三、拟出境活动的影响评估情况
就下列事项逐项说明影响评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
四、出境活动影响评估结论
综合上述影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。
