Skip to content

內地個人信息保護法規

內地《個人信息保護法》

I. 簡介

《個人信息保護法》於2021年8月20日經全國人大常委會通過,已於2021年11月1日起施行。這是內地首部針對個人信息保護而訂立的法律。

《個人信息保護法》規範個人訊息的處理活動,保護個人信息的權益,並規定處理個人信息須遵循合法、正當、誠信、最少必要以及公開透明的原則,並且須具有明確、合理的目的。

個人有權向個人信息處理者(相當於香港《個人資料(私隱)條例》下的「資料使用者」)查閱、複製、更正以及要求刪除其個人信息,亦有權要求個人信息處理者提供轉移其個人信息至其他處理者的途徑。

個人信息處理者在處理屬未滿十四周歲未成年人的個人信息時,須取得其父母或監護人的同意,及須制定專門的個人信息處理規則。

《個人信息保護法》禁止利用個人信息進行自動化決策以對個人在交易價格等交易條件上實施不合理的差別待遇(即俗稱「殺熟」行為)。此外,如果個人信息處理者通過自動化決策方式向個人進行信息推送或商業營銷,須向個人提供不針對其個人特徵的選項或便捷的拒絕方式。

個人信息處理者如要向境外提供個人信息,須取得個人的單獨同意,以及符合特定條件,例如通過國家網信部門組織的安全評估、取得規定的認證、或簽定國家網信部門制定的標準合同等。

《個人信息保護法》具境外效力。境外機構如為向境內自然人提供產品或者服務,或者為分析、評估境內自然人的行為等而處理境內自然人的個人信息,亦須遵守《個人信息保護法》的規定,及在境內設立專門機構或代表。

國家網信部門將負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門亦會在各自職責範圍內負責個人信息保護和監督管理工作。

違反《個人信息保護法》規定的個人信息處理者,最高可被罰款人民幣五千萬元,或上一年度營業額的百份之五,並可被責令停業整頓、吊銷相關業務許可或營業執照等。

有關《個人信息保護法》的全文,可參閱全國人大的網頁:
https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm


II. 内地《個人信息保護法》的重點


III. 公署出版與《個人信息保護法》相關的刊物及文章


IV. 內地與個人信息跨境提供相關的主要法規及文件 (節錄)


V. 促進粵港澳大灣區個人信息跨境流動的便利措施


VI. 内地其他與保障個人信息有關的主要監管發展


免責聲明

本網頁所載的資訊只作一般參考用途,並非為《個人信息保護法》及任何其他在本網頁提及的法規或文件的應用提供詳盡指引,亦不構成法律意見。個人資料私隱專員並沒有就本網頁內所載的資訊的準確性或個別目的或使用的適用性作出明示或隱含保證。個別機構或人士為符合《個人信息保護法》或其他内地法規或文件的規定,應尋求專業的法律意見。




II. 内地《個人信息保護法》的重點

以下是《個人信息保護法》的重點。

1. 立法目的 保護個人信息權益、規範個人信息處理活動及促進個人信息的合理利用1
2. 規管對象

《個人信息保護法》規管在境內處理自然人個人信息的活動2,包括國家機關處理個人信息的活動3

個人信息處理者是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人4

3. 境外效力

如在下列情形下在境外處理境内自然人個人信息,亦適用《個人信息保護法》5

(1) 為向境內自然人提供產品或者服務,
(2) 為分析、評估境內自然人的行為,
(3) 法律、行政法規規定的其他情形。

4. 個人信息的定義 個人信息是以電子或者其他方式記錄,並與已識別或者可識別的自然人有關的各種信息,但不包括匿名化處理後的信息6
5. 敏感個人信息的定義

敏感個人信息是指一旦洩露或者非法使用容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到嚴重危害的個人信息,包括︰生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及未滿十四周歲未成年人的個人信息7

6. 透明度

處理個人信息應當遵循公開、透明的原則,公開個人信息處理規則,明示處理目的、方式和範圍8

個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知 (1) 其名稱或者姓名和聯繫方式; (2) 處理目的、方式、個人信息種類及保存期限;以及 (3) 個人行使權利的方式和程序等事項9

個人信息處理者如透過制定個人信息處理規則的方式提供上述資料,處理規則應當公開,而且便於查閱和保存10

個人信息處理者如因合併、分立、解散、被宣告破產等原因需要轉移個人信息,應當向個人告知接收方的名稱或者姓名和聯繫方式11

個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意12

7. 收集、使用及披露等

個人信息的處理是指包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等13

處理個人信息應當遵循合法、正當、必要誠信原則,不得通過欺詐、誤導、脅迫等方式14

處理個人信息應當具有明確、合理的目的,並限於與處理目的直接相關,以及採取對個人權益影響最小的方式。收集個人信息應當限於實現處理目的的最小範圍,不得過度15

個人信息處理者只可在《個人信息保護法》列明的情況下處理個人信息,即(1) 取得個人的同意; (2)為訂立、履行合同,或者為實施人力資源管理所必需; (3)為履行法定職責或義務所必需; (4)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(5)為公共利益實施新聞報導、輿論監督等行為,在合理的範圍內處理個人信息;(6)在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;及(7)法律、行政法規規定的其他情形16

任何組織、個人不得非法收集、使用、加工、傳輸、買賣、提供或公開他人的個人信息,以及不得從事危害國家安全、公共利益的個人信息處理活動17

在公共場所安裝圖像採集、個人身份識別設備,應當維護公共安全所必需,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他目的,除非取得個人單獨同意18

自然人因個人或者家庭交易處理個人信息的,不適用《個人信息保護法》19

另外,個人信息處理者須在具有特定的目的和充分的必要性,並採取嚴格保護措施的情況下,方可處理敏感個人信息20。處理敏感個人信息應當取得個人的單獨同意21。個人信息處理者應當在處理敏感個人信息前,進行個人信息保護影響評估,並將有關報告和記錄保存至少三年22。個人信息處理者處理敏感個人信息的,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響23

個人信息處理者如處理未滿十四周歲未成年人的個人信息,應當制定專門的個人信息處理規則24

8. 同意

個人的同意是指由個人在充分知情的前提下,自願、明確作出同意表示。法規規定應當取得個人單獨同意或者書面同意的,從其規定25。 取得個人的同意是其中一個合法處理個人信息的情況26

當處理目的、方式和個人信息種類有變更,應當重新取得個人同意27

如果個人信息處理者處理已公開的個人信息會對個人權益有重大影響,應當取得個人同意28

個人信息處理者於在特定情況下須取得個人的單獨同意,包括︰

  • 向其他個人信息處理者提供其處理的個人信息29;
  • 公開其處理的個人信息30;
  • 處理敏感個人信息31;
  • 把在公共場所收集的個人圖像、身份識別信息用於維護公共安全以外的其他目的32; 及
  • 向境外提供個人信息33

個人信息如屬未滿十四周歲的未成年人,個人信息處理者應當取得其父母或監護人的同意34

個人信息處理者不得以個人不同意處理或撤回同意為由,拒絕提供產品或者服務。處理個人信息屬於提供產品或者服務所必需的除外35

基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式36

9. 準確性 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響37
10. 保安

個人信息處理者應當對其個人信息處理活動負責,並採取必要措施保障所處理的個人信息的安全38

個人信息處理者如委託第三方處理個人信息,應當與受託人約定委託處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受託人的個人信息處理活動進行監督39

接受委託處理個人信息的受託人,亦應當採取必要措施保障所處理的個人信息的安全40

11. 保存期限

個人信息的保存期限應當為實現處理目的所必要的最短時間41

個人信息處理者應當在《個人信息保護法》列明的情況下主動或者根據個人的請求刪除個人信息,例如 (1) 當保存期限已屆滿、 (2) 處理目的已實現、無法實現或為實現處理目的不再必要、 (3) 個人撤回同意;或 (4) 個人信息處理者停止提供產品或服務等42

12. 問責與管治

個人信息處理者應當根據個人信息的處理目的、方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取下述措施確保個人信息處理活動符合法規,並防止未經授權的訪問以及個人信息洩露、篡改、丟失,措施包括︰ (1) 制定內部管理制度和操作規程; (2) 對個人信息實行分類管理;以及 (3) 採取加密和去標識化安全技術措施43

處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督44

受《個人信息保護法》規管的境外個人信息處理者,應當在境內設立專門機構或者指定代表,負責處理個人信息保護相關事務45

個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計46

個人信息處理者應當在下列情況進行個人信息保護影響評估︰ (1) 處理敏感個人信息; (2) 利用個人信息進行自動化決策; (3) 委託他人處理個人信息、向其他個人信息處理者提供或公開個人信息; (4) 向境外提供個人信息;或 (5) 進行對個人權益有重大影響的個人信息處理活動。有關評估報告和記錄須保存至少三年47

13. 互聯網平台的義務

提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行特定義務,包括 (1) 建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督;(2) 遵循公開、公平、公正的原則,制定平台規則,明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務; (3) 對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;以及 (4) 定期發佈個人信息保護社會責任報告,接受社會監督48

14. 外洩通報

當發生或可能發生個人信息洩露、篡改、丟失時,個人信息處理者應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人,通知應當包括 (1) 涉事的信息種類、事故原因和可能造成的危害;及 (2) 個人信息處理者已採取的補救措施和個人可以採取的減輕危害的措施等49

個人信息處理者如認為採取的措施能夠有效避免信息洩露、篡改、丟失造成的危害,可以不通知個人。但履行個人信息保護職責的部門如認為個人信息洩露可能對個人造成危害,有權要求個人信息處理者通知個人50

15. 跨境資料轉移

個人信息處理者如因業務等需要而需向境外提供個人信息,須先進行個人信息保護影響評估,並將有關報告和記錄保存至少三年51。此外,個人信息處理者亦應當取得個人的單獨同意,並且具備下列一項條件52:

  • 通過國家網信部門組織的安全評估;
  • 按照國家網信部門的規定經專業機構進行個人信息保護認證;
  • 按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
  • 法律、行政法規或者國家網信部門規定的其他條件。

如國家締結或者參加的國際條約、協定對境外提供個人信息的條件等有規定,可以按照其規定執行53

個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準54

此外,個人信息處理者亦應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、方式、個人信息的種類以及個人行使《個人信息保護法》規定權利的方式和程序等事項55

關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在境內收集和產生的個人信息儲存在境內。如確需向境外提供,應當通過國家網信部門組織的安全評估,除非法規或國家網信部門另有規定可以不進行安全評估56

16. 自動化決策

自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動57

個人信息處理者利用個人信息進行自動化決策時應當保證決策的透明度和結果的公平、公正,並且不得對個人在交易價格等交易條件上實行不合理的差別待遇58

通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,和拒絕個人信息處理者僅通過自動化決策的方式作出決定59

通過自動化決策方式進行信息推送、商業營銷時,應當同時提供不針對其個人特徵的選項,或向個人提供便捷的拒絕方式60

個人信息處理者應當在進行自動化決策前,進行個人信息保護影響評估,並將有關報告和記錄保存至少三年61

17. 查閱及更正權

個人有權向個人信息處理者查閱、複製其個人信息,個人信息處理者應當及時提供62

個人如發現其個人信息不準確或不完整,有權要求個人信息處理者更正、補充63

個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。在拒絕個人行使權利的請求時應當說明理由。個人信息處理者如拒絕請求,個人亦可向人民法院提起訴訟64

18. 個人信息可攜權

個人請求將個人信息轉移至其指定的個人信息處理者,如請求符合國家網信部門的規定條件,個人信息處理者應當提供轉移的途徑65

19. 刪除權、限制或拒絕個人信息處理

個人信息處理者應當主動或者根據個人的請求,在下列其中一種情況出現時刪除個人信息66:

  • 處理目的已實現、無法實現或者為實現處理目的不再必要;
  • 個人信息處理者停止提供產品或者服務;
  • 保存期限已屆滿;
  • 個人撤回同意;
  • 個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
  • 法律、行政法規規定的其他情形。

若刪除個人信息從技術上難以實現,個人信息處理者應當停止除了存儲和採取必要的安全保護措施以外的個人信息處理67

個人有權限制或拒絕他人對其個人信息進行處理,除非法律或行政法規另有規定68

已去世自然人的近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使查閱、複製、更正、刪除等權利69

20. 知情權

個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外70

個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明71

個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由72

個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟73

21. 執法機構

國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作,國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作74

上述部門統稱為履行個人信息保護職責的部門75

履行個人信息保護職責的部門在履行職責中,如發現違法處理個人信息涉嫌犯罪,應當及時移送公安機關依法處理76

22. 罰則

違反《個人信息保護法》規定處理個人信息,由履行個人信息保護職責的部門責令改正,給予警告沒收違法所得。拒不改正的可處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款77

如屬情節嚴重,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以禁止他們在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人78

違反《個人信息保護法》規定,構成違反治安管理行為,依法給予治安管理處罰。構成犯罪可被依法追究刑事責任79

此外,有關違反《個人信息保護法》的行為亦可被記入信用檔案,並予以公示80

23. 索償 / 訴訟

如處理個人信息侵害個人信息權益及造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定。如個人因此受到的損失和個人信息處理者因此獲得的利益難以確定,則根據實際情況確定賠償數額81

個人信息處理者如違反《個人信息保護法》規定處理個人信息,並侵害眾多個人的權益,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟82


III. 公署出版與《個人信息保護法》相關的刊物及文章

日期 刊物/文章
每月(由2021年4月起) 公署每月電子通訊
  • 由2021年4月起,專欄「Mainland Corner」每月向讀者簡介內地個人信息保護方面的最新發展。
18/11/2021 《內地〈個人信息保護法〉簡介》
  • 《內地〈個人信息保護法〉簡介》(《簡介》)共分三部份。首兩部份分別介紹《個人信息保護法》的制定背景及主要規定,並加插了相關法規的規定以及案例,以加深讀者對有關規定的理解。《簡介》的第三部份介紹其他與保護個人信息相關的法規,例如數據安全、消費者權益、電子商務、應用程式、網絡平台、金融業等方面的規定。此外,《簡介》亦附上香港《個人資料(私隱)條例》與內地《個人信息保護法》的比較,讓讀者更容易了解兩套法例的相近及相異之處。

IV. 內地與個人信息跨境提供相關的主要法規及文件 (節錄)

《個人信息保護法》實施後,由內地不同部門發布與個人信息跨境提供相關的主要法規及文件包括︰


由内地不同部門發布與個人信息跨境提供相關的徵求意見稿則包括︰

《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》83

全國信息安全標準化技術委員會(信安標委)於2022年12月16日發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》(《規範》)。新版本就同年6月24日發布的《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》84 作出修訂,提高了對個人信息處理者和境外接收方的要求。

《個人信息保護法》第三十八(二)條訂明,進行個人信息跨境處理活動的先決條件之一是經專業機構進行個人信息保護認證。《規範》作為認證機構對個人信息跨境處理活動進行個人信息保護認證的認證依據,也為個人信息處理者規範個人信息跨境處理活動提供參考85

《規範》列明多項跨境處理個人信息的基本原則,要求個人信息處理者和境外接收方兩者均需滿足法律法規的規定86;同時要求個人信息處理者和境外接收方簽訂有法律約束力的協議、指定個人信息保護負責人、及於事前進行「個人信息保護影響評估」等87。此外,《規範》亦包括對個人信息主體權益的保障88,包括撤回同意、查閱和删除其個人信息的權利等。修訂後的《規範》就各方面對個人信息處理者和境外接收方提出額外和更詳細的要求及義務,以配合《數據出境安全評估辦法》和《個人信息出境標準合同規定(徵求意見稿)》的相關規定。

《規範》的其他主要要求包括︰

  • 申請認證的個人信息處理者應取得合法的法人資格,正常經營且具有良好的信譽、商譽89
  • 個人信息處理者和境外接收方應設立個人信息保護機構,履行個人信息保護義務90;及
  • 客觀記錄開展的個人信息跨境處理活動,保存記錄至少3年並按照相關法律法規要求向國家部門提供相關記錄文件91

《規範》未有提及施行日期,因此可理解為於發布當日(即2022年12月16日)起生效。

《個人信息保護認證實施規則》92

國家巿場監督管理總局 (市監局) 和國家互聯網信息辦公室 (網信辦)於2022年11月18日聯合發布《個人信息保護認證實施規則》(《規則》)。《規則》根據《個人信息保護法》第三十八條第一款第(二)項93所提及的個人信息跨境處理活動保護認證提供更明確的指引,規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。

認證制度屬自願性質。《規則》訂明如需開展信息跨境處理活動的個人信息處理者想要取得認證,除了需要符合國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》94的要求外,還需額外符合規範文件TC260-PG-20222A《規範》的要求。

《規則》亦公布兩個不同的個人信息保護認證標誌85

(一) 不含跨境處理活動的個人信息保護認證標誌如下:
個人信息保護認證標誌
(二) 包含跨境處理活動的個人信息保護認證標誌如下:
ABCD代表認證機構識別信息
“ABCD”代表認證機構識別信息。

根據《規則》,個人信息保護認證的認證模式96為:

  • 技術驗證
  • 現場審核
  • 獲證後持續監督

認證機構所頒發的證書有效期為3年。在有效期內,需要通過認證機構的獲證後監督才可保持認證證書的有效性。證書到期而需要延續使用的個人信息處理者應在證書有效期屆滿前6個月內提出認證委託,通過認證機構的獲證後監督,如符合認證要求就可換發新證書97

《規則》未有提及施行日期,因此可理解為於發布當日(即2022年11月18日)起生效。

《數據出境安全評估辦法》98

網信辦於2022年7月7日發布《數據出境安全評估辦法》(《辦法》),並於2022年9月1日起實施。《辦法》乃根據内地的《網絡安全法》、《數據安全法》及《個人信息保護法》等法規而制定,以規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。

《辦法》適用於數據處理者向境外提供在境內運營中收集和産生的重要數據和個人信息的安全評估99,而「重要數據」是指「一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據」。100值得注意的是,信安標委於2022年1月7日發布的《信息安全技術 重要數據識別指南》(徵求意見稿)提到,「重要數據不包括國家秘密和個人信息,但基於海量個人信息形成的統計數據、衍生數據有可能屬於重要數據。101

根據《辦法》,數據處理者向境外提供數據,如有以下情形之一,須通過所在地省級網信部門向國家網信部門申報數據出境安全評估102

  • 數據處理者向境外提供重要數據;
  • 關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
  • 自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息;
  • 國家網信部門規定的其他需要申報數據出境安全評估的情形。

就《辦法》的適用範圍,應與網信辦於2024年3月22日發布的《促進和規範數據跨境流動規定》(詳見下文)一併閱讀。

《辦法》要求數據處理者在申報數據出境安全評估前,須開展數據出境風險自評估,重點評估以下事項103

  • 數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
  • 出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
  • 境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
  • 數據出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
  • 與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等(統稱法律文件)是否充分約定了數據安全保護責任義務;及
  • 其他可能影響數據出境安全的事項。

就申報數據出境安全評估的程序上,《辦法》要求數據處理者須先向省級網信部門提交申報材料。省級網信部門須於收到申報材料當日起5個工作日內完成查驗,並將申報材料齊全的申請報送國家網信部門104。國家網信部門須於收到申報材料當日起7個工作日內,確定是否受理並透過書面通知數據處理者105,以及在發出書面受理通知書當日起45個工作日內完成數據出境安全評估106。情况複雜或需要補充、更正材料的申請,國家網信部門可以適當延長並告知數據處理者預計延長的時間107。《辦法》亦設立申請複評的機制,讓對評估結果有異議的數據處理者可在收到結果後15個工作日內申請複評,惟複評結果會是最終結論108。《辦法》同時賦予有關部門可對故意提交虛假材料的數據處理者依法追究法律責任的權力109

為了指導和幫助數據處理者規範、有序申報數據出境安全評估,網信辦先後於2022年8月31日及2024年3月22日發布了《數據出境安全評估申報指南(第一版)》110及《數據出境安全評估申報指南(第二版)》111,對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明。

根據《辦法》,通過數據出境安全評估的結果有效期為2年,有關期限由評估結果發出當日起計算。《辦法》列明數據處理者在有效期內須重新申報評估的情形112

  • 如向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全,或者延長個人信息和重要數據境外保存期限;
  • 境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的情形;
  • 出現影響出境數據安全的其他情形。

就數據出境安全評估的結果有效期,應與網信辦於2024年3月22日發布的《促進和規範數據跨境流動規定》(詳見下文)一併閱讀。

《辦法》規定數據處理者須在有效期屆滿前60個工作日重新申報評估,以繼續開展數據出境活動113

最後,《辦法》要求在2022年9月1日前(即《辦法》實施前)已經開展的數據出境活動如未符合《辦法》規定,須由9月1日起計6個月內完成整改114

《個人信息出境標準合同辦法》115

網信辦於2023年2月24日發布《個人信息出境標準合同辦法》(《標準合同辦法》),並將於2023年6月1日起實施。《標準合同辦法》共有十三條規定,並附有個人信息出境標準合同的範本。

《標準合同辦法》根據《個人信息保護法》等法律法規而制定116。個人信息處理者如根據《個人信息保護法》第三十八條第(三)項117,透過與境外接收方訂立合同以向境外提供個人信息,須按照《標準合同辦法》規定訂立個人信息出境標準合同(標準合同)118。此外,《標準合同辦法》亦訂明個人信息處理者可以與境外接收方約定其他條款,但不能與標準合同相衝突119

《標準合同辦法》列明個人信息處理者如同時符合下列情況,可以通過訂立標準合同的方式向境外提供個人信息120

  • 非關鍵信息基礎設施運營者;
  • 處理個人信息未滿100萬人的;
  • 自上年1月1日起累計向境外提供個人信息不滿10萬人的;
  • 自上年1月1日起累計向境外提供敏感個人信息不滿一萬人的。

就《標準合同辦法》的適用範圍,應與網信辦於2024年3月22日發布的《促進和規範數據跨境流動規定》(詳見下文)一併閱讀。

根據《標準合同辦法》,個人信息處理者應當嚴格按照標準合同範本訂立121,於向境外提供個人信息前開展個人信息保護影響評估122,並將評估報告連同標準合同於合同生效日起計10個工作天內向所在地省級網信部門備案123。標準合同生效後方可開展個人信息出境活動124

爲了指導和幫助個人信息處理者規範 ˴ 有序備案個人信息出境標準合同,網信辦先後於2023年5月30日及2024年3月22日發布了《個人信息出境標準合同備案指南(第一版)》125及《個人信息出境標準合同備案指南(第二版)》126,就個人信息出境標準合同的備案方式、備案流程、備案材料等具體要求作出了說明。

此外,值得注意的是,《標準合同辦法》清楚指明個人信息處理者不得採取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供127

就個人信息保護影響評估,《標準合同辦法》列明須重點評估的內容如下128

  • 個人信息處理者和境外接收方處理個人信息的目的、範圍、方式等的合法性、正當性、必要性;
  • 出境個人信息的規模、範圍、種類、敏感程度,個人信息出境可能對個人信息權益帶來的風險;
  • 境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
  • 個人信息出境後遭到篡改、破壞、洩露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
  • 境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響;
  • 其他可能影響個人信息出境安全的事項。

在標準合同有效期內出現下列情形之一的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合同,並履行相應備案手續:

  • 向境外提供個人信息的目的、範圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;
  • 境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的;
  • 可能影響個人信息權益的其他情形129

至於標準合同方面,標準合同範本的內容涵蓋個人信息處理者和境外接收方的義務130、境外接收方所在地的個人信息保護政策和法規對合同履行的影響131、個人信息主體的權利132、個人信息主體尋求救濟的方式133、違約責任134等。個人信息處理者和境外接收方亦可按需要加入其他條款。

最後,在《標準合同辦法》實施前(即2023年6月1日前)已經開展的個人信息出境活動,不符合規定的,應在《標準合同辦法》實施之日起6個月內(即2023年11月30日前)完成整改135

《促進和規範數據跨境流動規定》136

網信辦於2024年3月22日發布《促進和規範數據跨境流動規定》(《規定》),並於公布之日起施行。《規定》共有十四條規定,透過列出豁免數據處理者申報數據出境安全評估、訂立個人信息出境標準合同、或通過個人信息保護認證的情形等,促進數據依法有序自由流動。

《規定》列明,未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估137。而免於申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的情形包括:

  • 國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據向境外提供,當中不包含個人信息或者重要數據138
  • 數據處理者在境外收集和產生的個人信息傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人信息或者重要數據139
  • 數據處理者向境外提供個人信息(當中不包括重要數據),符合下列條件之一140
    • 為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
    • 按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
    • 緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
    • 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。

《規定》指出符合下列條件之一的,應當透過所在地省級網信部門向國家網信部門申報數據出境安全評估141

  • 關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;
  • 關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。

關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證142

數據處理者向境外提供個人信息的,應當履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務143。通過數據出境安全評估的結果有效期為3年。若數據處理者需要繼續進行數據出境活動且未發生需要重新申報數據出境安全評估情形的,可以在有效期屆滿前60個工作日内,向國家網信部門提出延長評估結果的有效期申請。如獲批准,有關評估結果可延長有效期3年145

在國家數據分類分級的保護制度框架下,自由貿易試驗區可自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理範圍的數據清單(亦即負面清單)145。有關負面清單經省級網路安全和信息化委員會批准後,應報送國家網信部門、國家數據管理部門作備案。負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

最後,《數據出境安全評估辦法》和《個人信息出境標準合同辦法》等相關規定若與《規定》不一致,《規定》的條文將作準146

V. 促進粵港澳大灣區個人信息跨境流動的便利措施

國家互聯網信息辦公室(網信辦)與香港特別行政區政府創新科技及工業局(創科局)於2023年6月29日簽署《促進粵港澳大灣區數據跨境流動的合作備忘錄》(《合作備忘錄》),共同推動粵港澳大灣區數據跨境流動的工作。《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同》(《大灣區標準合同》) 是《合作備忘錄》下有關促進粵港澳大灣區個人信息147跨境流動的便利措施,由網信辦、創科局及香港個人資料私隱專員公署 (私隱專員公署) 制定。

《大灣區標準合同》適用於註冊於(適用於組織)/位於(適用於個人)粵港澳大灣區内内地城市(即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市及肇慶市)和香港的個人信息處理者148及接收方之間的個人信息跨境流動,即包括由粵港澳大灣區内地城市至香港的個人信息跨境流動,及由香港至粵港澳大灣區内地城市的個人資料跨境流動。

《大灣區標準合同》包括以下八個部分:

第一條 定義
第二條 個人信息處理者(即包括資料使用者)的義務和責任
第三條 接收方的義務和責任
第四條 個人信息主體(即包括資料當事人)的權利
第五條 救濟
第六條 合同解除
第七條 違約責任
第八條 其他


根據《大灣區標準合同》,個人信息處理者(涵蓋資料使用者)需遵守當中列明的條款。舉例來説,個人信息處理者的義務和責任包括但不限於:

  • 向個人信息主體(涵蓋資料當事人149)告知接收方的名稱或者姓名、聯繫方式、個人信息跨境提供的處理目的、處理方式、個人信息的種類、保存期限、個人信息向接收方的同轄區第三方(如接收方註冊於(適用於組織)/位於(適用於個人)粵港澳大灣區内地城市,同轄區即粵港澳大灣區内所有内地城市;如接收方註冊於(適用於組織)/位於(適用於個人)香港,同轄區只限於香港)提供的情況,以及行使個人信息主體權利的方式和程序等事項。屬地相關法律法規要求不需要告知的,從其規定(參考《大灣區標準合同》第二條第(二)項)。
  • 向接收方跨境提供個人信息前,應當按照屬地法律法規要求取得個人信息主體同意(參考《大灣區標準合同》第二條第(三)項)。
  • 向個人信息主體告知其與接收方通過《大灣區標準合同》約定個人信息主體為第三方受益人,如個人信息主體未在30日內明確拒絕,則可以依據《大灣區標準合同》享有第三方受益人的權利(參考《大灣區標準合同》第二條第(四)項)。
  • 對擬向接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內容,並保存個人信息保護影響評估報告至少3年:
    • 個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性﹔
    • 對個人信息主體權益的影響及安全風險﹔
    • 接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。
    (參考《大灣區標準合同》第二條第(八)項)

至於接收方,根據《大灣區標準合同》,其義務和責任包括但不限於:

  • 不得向粵港澳大灣區以外的組織、個人提供據《大灣區標準合同》接收的個人信息(參考《大灣區標準合同》第三條第(七)項) 。
  • 同時符合下列條件的,方可向粵港澳大灣區内地或香港特別行政區同轄區內的第三方提供個人信息(如接收方註冊於(適用於組織)/位於(適用於個人)粵港澳大灣區内地城市,同轄區即粵港澳大灣區内所有内地城市;如接收方註冊於(適用於組織)/位於(適用於個人)香港,同轄區只限於香港):
    • 確有業務需要。
    • 已告知個人信息主體該第三方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權利的方式和程序等事項。個人信息處理者屬地相關法律法規要求不需要告知的,從其規定。
    • 基於個人同意處理個人信息的,應當按照個人信息處理者屬地法律法規要求取得個人信息主體同意。
    • 按照《大灣區標準合同》附錄一“個人信息跨境提供說明”所列約定向同轄區内的第三方提供個人信息。
    (參考《大灣區標準合同》第三條第(八)項)
  • 接收方所在地的政府部門、司法機構要求接收方提供《大灣區標準合同》下的個人信息的,應當立即通知個人信息處理者(參考《大灣區標準合同》第三條第(十三)項)。

按此下載《大灣區標準合同》。

為實施《大灣區標準合同》,兩地政府訂立了《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同實施指引》(《大灣區標準合同實施指引》),由2023年12月13日起生效。粵港澳大灣區個人信息處理者及接收方可以按照《大灣區標準合同實施指引》要求,通過訂立標準合同的方式進行粵港澳大灣區內地和香港之間的個人信息跨境流動150

按此下載《大灣區標準合同實施指引》。

為幫助香港機構理解《大灣區標準合同》的適用性及它與私隱專員公署發出的其它跨境資料轉移建議合約條文範本的關係,私隱專員公署亦發出了「跨境資料轉移指引:《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同》」。

按此下載「跨境資料轉移指引:《粵港澳大灣區(内地、香港)個人信息跨境流動標準合同》」。

按此閲覽香港特別行政區政府數字政策辦公室(即前政府資訊科技總監辦公室(資科辦))的專題網頁,以獲取進一步資料。

此外,請按以下連結參閲由《大灣區標準合同》下各監管機構發出的參考資料:

VI. 内地其他與保障個人信息有關的主要監管發展

發布日期 實施日期 監管文件 涉及領域 簡介
2024年3月21日 2024年10月1日 《數據安全技術 數據分類分級規則》 數據安全 為落實《數據安全法》提出的國家數據分類分級保護制度,《數據安全技術 數據分類分級規則》為數據分類分級的原則、框架、方法和流程,提出識別指南。

全文
2024年2月29日 未有註明 《生成式人工智能服務安全基本要求》 人工智能 為支撐《生成式人工智能服務管理暫行辦法》的具體落實,《安全基本要求》向提供生成式人工智能服務的服務提供者從語料安全、模型安全、安全措施,和安全評估要求方面提出基本要求。

 

全文
Mainland Corner 2024 年3月專欄

2023年12月8日

徵求期於2024年1月7日完結
尚未實施 《網絡安全事件報告管理辦法(徵求意見稿)》 網絡安全 為規範網絡安全事件的報告和減少網絡安全事件所造成的損失和危害,《管理辦法》的徵求意見稿就網絡安全事件的報告程序和各主管部門的職責作出明確規定。

全文
2023年10月16日 2024年1月1日 《未成年人網絡保護條例》 兒童私隱

根據《未成年人保護法》、《個人信息保護法》及《網絡安全法》等法規而制定,當中的規定除保護未成年人的個人信息外,亦涵蓋網絡素養培育、網絡信息內容規範及網絡沉迷防止等方面。

全文
Mainland Corner 2024 年1月專欄
2023年8月25日 未有註明 《網絡安全標準實踐指南 – 生成式人工智能服務内容標識方法》 人工智能

指南圍繞文本、圖片、音訊、視頻四類生成內容,給出了標識的實踐指引。指南可用於指導生成式人工智能提供者提高內容標識水準,也可為主管監管部門提供參考。

全文
Mainland Corner 2023 年9月專欄

2023年8月9日

徵求期於2023年10月8日完結
尚未實施 《信息安全技術 敏感個人信息處理安全要求(徵求意見稿)》 個人信息處理

適用於規範個人信息處理者的敏感個人信息處理活動,也可為監管部門、第三方評估機構對個人信息處理者開展敏感個人信息處理活動進行監督、管理、評估提供參考。

全文

2023年8月8日

徵求期於2023年9月7日完結
尚未實施 《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》 人臉識別技術

為規範人臉識別技術應用,保護個人信息權益及其他人身和財產權益,維護社會秩序和公共安全。適用於境內利用人臉識別技術處理人臉信息,提供人臉識別技術產品或者服務。

全文

2023年8月3日

徵求期已於2023年9月2日完結
尚未實施 《個人信息保護合規審計管理辦法 (徵求意見稿)》 個人信息處理

適用於定期開展個人信息保護合規審計的個人信息處理者,或者按照履行個人信息保護職責的部門要求委託專業機構對其個人信息處理活動進行合規審計,以及對個人信息保護合規審計活動的監督管理。

全文

2023年8月2日

徵求期已於2023年9月2日完結
尚未實施 《移動互聯網未成年人模式建設指南 (徵求意見稿)》 兒童私隱

旨在更好發揮互聯網積極作用,營造良好網絡環境,預防和干預未成年人網絡沉迷問題,引導未成年人形成良好的網絡使用習慣。規定了各類移動智能終端、移動互聯網應用程式,以及移動互聯網應用程式分發服務平台均需開展研發和應用未成年人模式,並滿足由國家網信部門所發布的基本要求、功能要求和管理要求。

全文

2023年7月10日 2023年8月15日 《生成式人工智能服務管理暫行辦法》   人工智能

適用於利用生成式人工智能向境內公眾提供生成文本、圖片、音頻、視頻等内容的服務,並要求有關服務提供者在向公眾提供具有輿論屬性或者社會動員能力的生成式人工智能服務時,應開展安全評估,並按照《互聯網信息服務算法推薦管理規定》履行算法備案和變更、注銷備案等手續。

全文
Mainland Corner 2023 年8月專欄

2023年7月7日

徵求期於2023年8月6日完結
尚未實施 《網絡暴力信息治理規定(徵求意見稿)》 網絡安全

適用於境内網絡暴力信息的治理活動,透過要求網絡信息服務提供者履行信息內容管理主體責任,建立完善網絡暴力信息的治理機制、健全帳號管理、信息發布審核、監測預警、舉報救助和網絡暴力信息處置等制度,以達到強化網絡暴力信息治理,並營造良好網絡生態的目標。

全文

2023年5月23日 2023年12月1日 《信息安全技術 個人信息處理中告知和同意的實施指南》 (GB/T 42574-2023) 個人信息處理

就個人信息處理者在不同場景下應向個人提出告知的具體方法和步驟,以及取得其同意的實施方法提供清晰的實務指引。由於《個人信息保護法》未曾就「告知」、「同意」及「單獨同意」等作出任何釋義,《實施指南》所提出的定義及詳細指引將具指導性參考價值。

全文
Mainland Corner 2023年7月專欄 

2022年11月25日 2023年1月10日 《互聯網信息服務深度合成管理規定》   人工智能

適用於在境內應用深度合成技術提供互聯網信息服務,並就全國深度合成服務的治理和相關監督管理工作作出明確規範。

全文
Mainland Corner 2023年2月專欄

2021年9月25日 2021年9月25日 《新一代人工智能倫理規範》 人工智能 《新一代人工智能倫理規範》旨在將倫理道德融入人工智能整個生命週期,為從事人工智能相關活動的自然人、法人和其他相關機構等提供倫理指引。

全文
2021年6月10日 2021年9月1日   《數據安全法》   數據安全

適用於在境內開展的數據處理活動及其安全監管,並確立了數據分類分級管理,建立了數據安全風險評估、監測預警、應急處置,數據安全審查等基本制度,由國家網信部門負責統籌協調網絡數據安全和相關監管工作。

全文
Mainland Corner 2021 年6月專欄

2016年11月7日 2017年6月1日 《網絡安全法》   網絡安全

内地第一部規管網絡安全的基本法例。適用於在境內建設、運營、維護和使用網絡,主要監管對象為「網絡運營者」及「關鍵信息基礎設施運營者」,並由國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。

全文



1 《個人信息保護法》第一條
2 《個人信息保護法》第三條
3 《個人信息保護法》第三十三條
4 《個人信息保護法》第七十三條(一)
5 《個人信息保護法》第三條
6 《個人信息保護法》第四條
7 《個人信息保護法》第二十八條
8 《個人信息保護法》 第七條
9 《個人信息保護法》第十七條
10 《個人信息保護法》第十七條
11 《個人信息保護法》第二十二條
12 《個人信息保護法》第二十三條
13 《個人信息保護法》第四條
14 《個人信息保護法》第五條
15 《個人信息保護法》第六條
16 《個人信息保護法》第十三條
17 《個人信息保護法》第十條
18 《個人信息保護法》第二十六條
19 《個人信息保護法》第七十二條
20 《個人信息保護法》第二十八條
21 《個人信息保護法》第二十九條
22 《個人信息保護法》第五十五至五十六條
23 《個人信息保護法》第三十條
24 《個人信息保護法》第三十一條
25 《個人信息保護法》第十四條
26 《個人信息保護法》第十三條
27 《個人信息保護法》第十四條及第二十三條
28 《個人信息保護法》第二十七條
29 《個人信息保護法》第二十三條
30 《個人信息保護法》第二十五條
31 《個人信息保護法》第二十九條
32 《個人信息保護法》第二十六條
33 《個人信息保護法》第三十九條
34 《個人信息保護法》第三十一條
35 《個人信息保護法》第十六條
36 《個人信息保護法》第十五條
37 《個人信息保護法》第八條
38 《個人信息保護法》第九條
39 《個人信息保護法》第二十一條
40 《個人信息保護法》第五十九條
41 《個人信息保護法》第十九條
42 《個人信息保護法》第四十七條
43 《個人信息保護法》第五十一條
44 《個人信息保護法》第五十二條
45 《個人信息保護法》第五十三條
46 《個人信息保護法》第五十四條
47 《個人信息保護法》第五十五至五十六條
48 《個人信息保護法》第五十八條
49 《個人信息保護法》第五十七條
50 《個人信息保護法》第五十七條
51 《個人信息保護法》第五十五至五十六條
52 《個人信息保護法》第三十八至三十九條
53 《個人信息保護法》第三十八條
54 《個人信息保護法》第三十八條
55 《個人信息保護法》第三十九條
56 《個人信息保護法》第四十條
57 《個人信息保護法》第七十三條(二)
58 《個人信息保護法》第二十四條
59 《個人信息保護法》第二十四條
60 《個人信息保護法》第二十四條
61 《個人信息保護法》第五十五至五十六條
62 《個人信息保護法》第四十五條
63 《個人信息保護法》第四十六條
64 《個人信息保護法》第五十條
65 《個人信息保護法》第四十五條
66 《個人信息保護法》第四十七條
67 《個人信息保護法》第四十七條
68 《個人信息保護法》第四十四條
69 《個人信息保護法》第四十九條
70 《個人信息保護法》第四十四條
71 《個人信息保護法》第四十八條
72 《個人信息保護法》第五十條條
73 《個人信息保護法》第五十條
74 《個人信息保護法》第六十條
75 《個人信息保護法》第六十條
76 《個人信息保護法》第六十四條
77 《個人信息保護法》第六十六條
78 《個人信息保護法》第六十六條
79 《個人信息保護法》第七十一條
80 《個人信息保護法》第六十七條
81 《個人信息保護法》第六十九條
82 《個人信息保護法》第七十條
83 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》的通知:https://www.tc260.org.cn/front/postDetail.html?id=20221216161852
84 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》的通知︰ https://www.tc260.org.cn/front/postDetail.html?id=20220624175016
85 《規範》1適用情形
86 《規範》4基本原則
87 《規範》5基本要求
88《規範》6 個人信息主體權益保障要求
89《規範》2認證主體
90《規範》5.2.2 個人信息保護機構
91 《規範》6.2 個人信息處理者和境外接收方的責任義務
92 全文:http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm
93即個人信息處理者因業務等需要,確需向境外提供個人信息,須按照國家網信部門的規定經專業機構進行個人信息保護認證。
94 全文:https://www.tc260.org.cn/piss/files/zwb.pdf
95《規則》5.2 認證標誌
96 《規則》3 認證模式
97《規則》5.1.1認證證書的保持
98 全文︰ http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
99 《辦法》第二條
100 《辦法》第十九條
101 《信息安全技術 重要數據識別指南》(徵求意見稿)3.1重要數據
102 《辦法》第四條
103 《辦法》第五條
104 《辦法》第七條
105 《辦法》第七條
106 《辦法》第十二條
107 《辦法》第十二條
108 《辦法》第十三條
109 《辦法》第十一條
110 《數據出境安全評估申報指南(第一版)》:http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
111 《數據出境安全評估申報指南(第二版)》:https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm
112 《辦法》第十四條
113 《辦法》第十四條
114 《辦法》第二十條
115 《個人信息出境標準合同辦法》全文︰http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
116 《標準合同辦法》第一條
117 即個人信息處理者因業務等需要,確需向境外提供個人信息,須按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務。
118 《標準合同辦法》第二條
119 《標準合同辦法》第六條
120 《標準合同辦法》第四條
121 《標準合同辦法》第六條
122 《標準合同辦法》第五條
123 《標準合同辦法》第七條
124 《標準合同辦法》第六條
125 《個人信息出境標準合同備案指南(第一版)》: http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
126 《個人信息出境標準合同備案指南(第二版)》: https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm
127 《標準合同辦法》第四條
128 《標準合同辦法》第五條
129 《標準合同辦法》第八條
130 標準合同範本第二及第三條
131 標準合同範本第四條
132 標準合同範本第五條
133 標準合同範本第六條
134 標準合同範本第八條
135 標準合同範本第十三條
136 《促進和規範數據跨境流動規定》: https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
137 《規定》第二條
138 《規定》第三條
139 《規定》第四條
140 《規定》第五條
141 《規定》第七條
142 《規定》第八條
143 《規定》第十條
144 《規定》第九條
145 《規定》第六條
146 《規定》第十三條
147 根據《大灣區標準合同》,粵港澳大灣區內地個人信息處理者處理的個人信息,按照《中華人民共和國個人信息保護法》確定;香港特別行政區內個人信息處理者處理的個人信息,按照香港特別行政區《個人資料(私隱)條例》的“個人資料”確定。
148 根據《大灣區標準合同》,“個人信息處理者”,就內地而言,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人;就香港特別行政區而言,亦涵蓋“資料使用者",即就個人資料而言,指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人。個人信息處理者為個人信息跨境提供方。
149 根據《大灣區標準合同》,“個人信息主體”,就內地而言,是指個人信息所識別或者關聯的自然人;就香港特別行政區而言,亦涵蓋“資料當事人”,即就個人資料而言,指屬該資料的當事人的個人。
150 被相關部門、地區告知或者公開發布為重要數據的個人信息除外。