內地個人信息保護法規

內地《個人信息保護法》

I. 簡介

《個人信息保護法》於2021年8月20日經全國人大常委會通過，已於2021年11月1日起施行。這是內地首部針對個人信息保護而訂立的法律。

《個人信息保護法》規範個人訊息的處理活動，保護個人信息的權益，並規定處理個人信息須遵循合法、正當、誠信、最少必要以及公開透明的原則，並且須具有明確、合理的目的。

個人有權向個人信息處理者（相當於香港《個人資料（私隱）條例》下的「資料使用者」）查閱、複製、更正以及要求刪除其個人信息，亦有權要求個人信息處理者提供轉移其個人信息至其他處理者的途徑。

個人信息處理者在處理屬未滿十四周歲未成年人的個人信息時，須取得其父母或監護人的同意，及須制定專門的個人信息處理規則。

《個人信息保護法》禁止利用個人信息進行自動化決策以對個人在交易價格等交易條件上實施不合理的差別待遇（即俗稱「殺熟」行為）。此外，如果個人信息處理者通過自動化決策方式向個人進行信息推送或商業營銷，須向個人提供不針對其個人特徵的選項或便捷的拒絕方式。

個人信息處理者如要向境外提供個人信息，須取得個人的單獨同意，以及符合特定條件，例如通過國家網信部門組織的安全評估、取得規定的認證、或簽定國家網信部門制定的標準合同等。

《個人信息保護法》具境外效力。境外機構如為向境內自然人提供產品或者服務，或者為分析、評估境內自然人的行為等而處理境內自然人的個人信息，亦須遵守《個人信息保護法》的規定，及在境內設立專門機構或代表。

國家網信部門將負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門亦會在各自職責範圍內負責個人信息保護和監督管理工作。

違反《個人信息保護法》規定的個人信息處理者，最高可被罰款人民幣五千萬元，或上一年度營業額的百份之五，並可被責令停業整頓、吊銷相關業務許可或營業執照等。

有關《個人信息保護法》的全文，可參閱全國人大的網頁：
https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm

V. 内地其他與保障個人信息有關的主要監管發展

免責聲明

本網頁所載的資訊只作一般參考用途，並非為《個人信息保護法》及任何其他在本網頁提及的法規的應用提供詳盡指引，亦不構成法律意見。個人資料私隱專員並沒有就本網頁內所載的資訊的準確性或個別目的或使用的適用性作出明示或隱含保證。個別機構或人士為符合《個人信息保護法》或其他内地法規的規定，應尋求專業的法律意見。

II. 内地《個人信息保護法》的重點

以下是《個人信息保護法》的重點。

1. 立法目的	保護個人信息權益、規範個人信息處理活動及促進個人信息的合理利用¹。
2. 規管對象	《個人信息保護法》規管在境內處理自然人個人信息的活動²，包括國家機關處理個人信息的活動³。個人信息處理者是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人⁴。
3. 境外效力	如在下列情形下在境外處理境内自然人個人信息，亦適用《個人信息保護法》⁵： (1) 為向境內自然人提供產品或者服務， (2) 為分析、評估境內自然人的行為， (3) 法律、行政法規規定的其他情形。
4. 個人信息的定義	個人信息是以電子或者其他方式記錄，並與已識別或者可識別的自然人有關的各種信息，但不包括匿名化處理後的信息⁶。
5. 敏感個人信息的定義	敏感個人信息是指一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到嚴重危害的個人信息，包括︰生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及未滿十四周歲未成年人的個人信息⁷。
6. 透明度	處理個人信息應當遵循公開、透明的原則，公開個人信息處理規則，明示處理目的、方式和範圍⁸。個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知 (1) 其名稱或者姓名和聯繫方式； (2) 處理目的、方式、個人信息種類及保存期限；以及 (3) 個人行使權利的方式和程序等事項⁹。個人信息處理者如透過制定個人信息處理規則的方式提供上述資料，處理規則應當公開，而且便於查閱和保存¹⁰。個人信息處理者如因合併、分立、解散、被宣告破產等原因需要轉移個人信息，應當向個人告知接收方的名稱或者姓名和聯繫方式¹¹。個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意¹²。
7. 收集、使用及披露等	個人信息的處理是指包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等¹³。處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過欺詐、誤導、脅迫等方式¹⁴。處理個人信息應當具有明確、合理的目的，並限於與處理目的直接相關，以及採取對個人權益影響最小的方式。收集個人信息應當限於實現處理目的的最小範圍，不得過度¹⁵。個人信息處理者只可在《個人信息保護法》列明的情況下處理個人信息，即(1) 取得個人的同意； (2)為訂立、履行合同，或者為實施人力資源管理所必需； (3)為履行法定職責或義務所必需； (4)為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；(5)為公共利益實施新聞報導、輿論監督等行為，在合理的範圍內處理個人信息；(6)在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；及(7)法律、行政法規規定的其他情形¹⁶。任何組織、個人不得非法收集、使用、加工、傳輸、買賣、提供或公開他人的個人信息，以及不得從事危害國家安全、公共利益的個人信息處理活動¹⁷。在公共場所安裝圖像採集、個人身份識別設備，應當維護公共安全所必需，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的，除非取得個人單獨同意¹⁸。自然人因個人或者家庭交易處理個人信息的，不適用《個人信息保護法》¹⁹。另外，個人信息處理者須在具有特定的目的和充分的必要性，並採取嚴格保護措施的情況下，方可處理敏感個人信息²⁰。處理敏感個人信息應當取得個人的單獨同意²¹。個人信息處理者應當在處理敏感個人信息前，進行個人信息保護影響評估，並將有關報告和記錄保存至少三年²²。個人信息處理者處理敏感個人信息的，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響²³。個人信息處理者如處理未滿十四周歲未成年人的個人信息，應當制定專門的個人信息處理規則²⁴。
8. 同意	個人的同意是指由個人在充分知情的前提下，自願、明確作出同意表示。法規規定應當取得個人單獨同意或者書面同意的，從其規定²⁵。取得個人的同意是其中一個合法處理個人信息的情況²⁶。當處理目的、方式和個人信息種類有變更，應當重新取得個人同意²⁷。如果個人信息處理者處理已公開的個人信息會對個人權益有重大影響，應當取得個人同意²⁸。個人信息處理者於在特定情況下須取得個人的單獨同意，包括︰向其他個人信息處理者提供其處理的個人信息²⁹; 公開其處理的個人信息³⁰; 處理敏感個人信息³¹; 把在公共場所收集的個人圖像、身份識別信息用於維護公共安全以外的其他目的³²; 及向境外提供個人信息³³。個人信息如屬未滿十四周歲的未成年人，個人信息處理者應當取得其父母或監護人的同意³⁴。個人信息處理者不得以個人不同意處理或撤回同意為由，拒絕提供產品或者服務。處理個人信息屬於提供產品或者服務所必需的除外³⁵。基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式³⁶。
9. 準確性	處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響³⁷。
10. 保安	個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全³⁸。個人信息處理者如委託第三方處理個人信息，應當與受託人約定委託處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利和義務等，並對受託人的個人信息處理活動進行監督³⁹。接受委託處理個人信息的受託人，亦應當採取必要措施保障所處理的個人信息的安全⁴⁰。
11. 保存期限	個人信息的保存期限應當為實現處理目的所必要的最短時間⁴¹。個人信息處理者應當在《個人信息保護法》列明的情況下主動或者根據個人的請求刪除個人信息，例如 (1) 當保存期限已屆滿、 (2) 處理目的已實現、無法實現或為實現處理目的不再必要、 (3) 個人撤回同意；或 (4) 個人信息處理者停止提供產品或服務等⁴²。
12. 問責與管治	個人信息處理者應當根據個人信息的處理目的、方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下述措施確保個人信息處理活動符合法規，並防止未經授權的訪問以及個人信息洩露、篡改、丟失，措施包括︰ (1) 制定內部管理制度和操作規程； (2) 對個人信息實行分類管理；以及 (3) 採取加密和去標識化安全技術措施⁴³。處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督⁴⁴。受《個人信息保護法》規管的境外個人信息處理者，應當在境內設立專門機構或者指定代表，負責處理個人信息保護相關事務⁴⁵。個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計⁴⁶。個人信息處理者應當在下列情況進行個人信息保護影響評估︰ (1) 處理敏感個人信息； (2) 利用個人信息進行自動化決策； (3) 委託他人處理個人信息、向其他個人信息處理者提供或公開個人信息； (4) 向境外提供個人信息；或 (5) 進行對個人權益有重大影響的個人信息處理活動。有關評估報告和記錄須保存至少三年⁴⁷。
13. 互聯網平台的義務	提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者，應當履行特定義務，包括 (1) 建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督；(2) 遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務； (3) 對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；以及 (4) 定期發佈個人信息保護社會責任報告，接受社會監督⁴⁸。
14. 外洩通報	當發生或可能發生個人信息洩露、篡改、丟失時，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人，通知應當包括 (1) 涉事的信息種類、事故原因和可能造成的危害；及 (2) 個人信息處理者已採取的補救措施和個人可以採取的減輕危害的措施等⁴⁹。個人信息處理者如認為採取的措施能夠有效避免信息洩露、篡改、丟失造成的危害，可以不通知個人。但履行個人信息保護職責的部門如認為個人信息洩露可能對個人造成危害，有權要求個人信息處理者通知個人⁵⁰。
15. 跨境資料轉移	個人信息處理者如因業務等需要而需向境外提供個人信息，須先進行個人信息保護影響評估，並將有關報告和記錄保存至少三年⁵¹。此外，個人信息處理者亦應當取得個人的單獨同意，並且具備下列一項條件⁵²: 通過國家網信部門組織的安全評估；按照國家網信部門的規定經專業機構進行個人信息保護認證；按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；法律、行政法規或者國家網信部門規定的其他條件。如國家締結或者參加的國際條約、協定對境外提供個人信息的條件等有規定，可以按照其規定執行⁵³。個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準⁵⁴。此外，個人信息處理者亦應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、方式、個人信息的種類以及個人行使《個人信息保護法》規定權利的方式和程序等事項⁵⁵。關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在境內收集和產生的個人信息儲存在境內。如確需向境外提供，應當通過國家網信部門組織的安全評估，除非法規或國家網信部門另有規定可以不進行安全評估⁵⁶。
16. 自動化決策	自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，並進行決策的活動⁵⁷。個人信息處理者利用個人信息進行自動化決策時應當保證決策的透明度和結果的公平、公正，並且不得對個人在交易價格等交易條件上實行不合理的差別待遇⁵⁸。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，和拒絕個人信息處理者僅通過自動化決策的方式作出決定⁵⁹。通過自動化決策方式進行信息推送、商業營銷時，應當同時提供不針對其個人特徵的選項，或向個人提供便捷的拒絕方式⁶⁰。個人信息處理者應當在進行自動化決策前，進行個人信息保護影響評估，並將有關報告和記錄保存至少三年⁶¹。
17. 查閱及更正權	個人有權向個人信息處理者查閱、複製其個人信息，個人信息處理者應當及時提供⁶²。個人如發現其個人信息不準確或不完整，有權要求個人信息處理者更正、補充⁶³。個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。在拒絕個人行使權利的請求時應當說明理由。個人信息處理者如拒絕請求，個人亦可向人民法院提起訴訟⁶⁴。
18. 個人信息可攜權	個人請求將個人信息轉移至其指定的個人信息處理者，如請求符合國家網信部門的規定條件，個人信息處理者應當提供轉移的途徑⁶⁵。
19. 刪除權、限制或拒絕個人信息處理	個人信息處理者應當主動或者根據個人的請求，在下列其中一種情況出現時刪除個人信息⁶⁶: 處理目的已實現、無法實現或者為實現處理目的不再必要；個人信息處理者停止提供產品或者服務；保存期限已屆滿；個人撤回同意；個人信息處理者違反法律、行政法規或者違反約定處理個人信息；法律、行政法規規定的其他情形。若刪除個人信息從技術上難以實現，個人信息處理者應當停止除了存儲和採取必要的安全保護措施以外的個人信息處理⁶⁷。個人有權限制或拒絕他人對其個人信息進行處理，除非法律或行政法規另有規定⁶⁸。已去世自然人的近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使查閱、複製、更正、刪除等權利⁶⁹。
20. 知情權	個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外⁷⁰。個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明⁷¹。個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由⁷²。個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟⁷³。
21. 執法機構	國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作，國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作⁷⁴。上述部門統稱為履行個人信息保護職責的部門⁷⁵。履行個人信息保護職責的部門在履行職責中，如發現違法處理個人信息涉嫌犯罪，應當及時移送公安機關依法處理⁷⁶。
22. 罰則	違反《個人信息保護法》規定處理個人信息，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得。拒不改正的可處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款⁷⁷。如屬情節嚴重，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以禁止他們在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人⁷⁸。違反《個人信息保護法》規定，構成違反治安管理行為，依法給予治安管理處罰。構成犯罪可被依法追究刑事責任⁷⁹。此外，有關違反《個人信息保護法》的行為亦可被記入信用檔案，並予以公示⁸⁰。
23. 索償 / 訴訟	如處理個人信息侵害個人信息權益及造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定。如個人因此受到的損失和個人信息處理者因此獲得的利益難以確定，則根據實際情況確定賠償數額⁸¹。個人信息處理者如違反《個人信息保護法》規定處理個人信息，並侵害眾多個人的權益，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟⁸²。

III. 公署出版與《個人信息保護法》相關的刊物及文章

日期	刊物/文章
每月（由2021年4月起）	公署每月電子通訊由2021年4月起，專欄「Mainland Corner」每月向讀者簡介內地個人信息保護法規的最新發展。
18/11/2021	《內地〈個人信息保護法〉簡介》《內地〈個人信息保護法〉簡介》（《簡介》）共分三部份。首兩部份分別介紹《個人信息保護法》的制定背景及主要規定，並加插了相關法規的規定以及案例，以加深讀者對有關規定的理解。《簡介》的第三部份介紹其他與保護個人信息相關的法規，例如數據安全、消費者權益、電子商務、應用程式、網絡平台、金融業等方面的規定。此外，《簡介》亦附上香港《個人資料（私隱）條例》與內地《個人信息保護法》的比較，讓讀者更容易了解兩套法例的相近及相異之處。

日期

刊物/文章

每月（由2021年4月起）

公署每月電子通訊

由2021年4月起，專欄「Mainland Corner」每月向讀者簡介內地個人信息保護法規的最新發展。

18/11/2021

《內地〈個人信息保護法〉簡介》

《內地〈個人信息保護法〉簡介》（《簡介》）共分三部份。首兩部份分別介紹《個人信息保護法》的制定背景及主要規定，並加插了相關法規的規定以及案例，以加深讀者對有關規定的理解。《簡介》的第三部份介紹其他與保護個人信息相關的法規，例如數據安全、消費者權益、電子商務、應用程式、網絡平台、金融業等方面的規定。此外，《簡介》亦附上香港《個人資料（私隱）條例》與內地《個人信息保護法》的比較，讓讀者更容易了解兩套法例的相近及相異之處。

IV. 內地與個人信息跨境提供相關的主要法規（節錄）

《個人信息保護法》實施後，由內地不同部門發布與個人信息跨境提供相關的主要法規包括︰

發布日期	實施日期	法規
16/12/2022	未有註明	《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》
18/11/2022	未有註明	《個人信息保護認證實施規則》
7/7/2022	1/9/2022	《數據出境安全評估辦法》
31/8/2022	1/9/2022	《數據出境安全評估申報指南（第一版）》
24/2/2023	1/6/2023	《個人信息出境標準合同辦法》
30/5/2023	1/6/2023	《個人信息出境標準合同備案指南（第一版）》

由内地不同部門發布與個人信息跨境提供相關的徵求意見稿則包括︰

發布日期	徵求意見稿
28/9/2023	《規範和促進數據跨境流動規定（徵求意見稿）》
1/11/2023	《網絡安全標準實踐指南 - 粵港澳大灣區跨境個人信息保護要求（徵求意見稿）》

《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》⁸³

全國信息安全標準化技術委員會（信安標委）於2022年12月16日發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》（《規範》）。新版本就同年6月24日發布的《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》⁸⁴ 作出修訂，提高了對個人信息處理者和境外接收方的要求。

《個人信息保護法》第三十八（二）條訂明，進行個人信息跨境處理活動的先決條件之一是經專業機構進行個人信息保護認證。《規範》作為認證機構對個人信息跨境處理活動進行個人信息保護認證的認證依據，也為個人信息處理者規範個人信息跨境處理活動提供參考⁸⁵。

《規範》列明多項跨境處理個人信息的基本原則，要求個人信息處理者和境外接收方兩者均需滿足法律法規的規定⁸⁶;同時要求個人信息處理者和境外接收方簽訂有法律約束力的協議、指定個人信息保護負責人、及於事前進行「個人信息保護影響評估」等⁸⁷。此外，《規範》亦包括對個人信息主體權益的保障⁸⁸，包括撤回同意、查閱和删除其個人信息的權利等。修訂後的《規範》就各方面對個人信息處理者和境外接收方提出額外和更詳細的要求及義務，以配合《數據出境安全評估辦法》和《個人信息出境標準合同規定（徵求意見稿）》的相關規定。

《規範》的其他主要要求包括︰

申請認證的個人信息處理者應取得合法的法人資格，正常經營且具有良好的信譽、商譽⁸⁹；
個人信息處理者和境外接收方應設立個人信息保護機構，履行個人信息保護義務⁹⁰；及
客觀記錄開展的個人信息跨境處理活動，保存記錄至少3年並按照相關法律法規要求向國家部門提供相關記錄文件⁹¹。

《規範》未有提及施行日期，因此可理解為於發布當日（即2022年12月16日）起生效。

《個人信息保護認證實施規則》⁹²

國家巿場監督管理總局（市監局）和國家互聯網信息辦公室（網信辦）於2022年11月18日聯合發布《個人信息保護認證實施規則》（《規則》）。《規則》根據《個人信息保護法》第三十八條第一款第（二）項⁹³所提及的個人信息跨境處理活動保護認證提供更明確的指引，規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。

認證制度屬自願性質。《規則》訂明如需開展信息跨境處理活動的個人信息處理者想要取得認證，除了需要符合國家標準GB/T 35273-2020《信息安全技術個人信息安全規範》⁹⁴的要求外，還需額外符合規範文件TC260-PG-20222A《規範》的要求。

《規則》亦公布兩個不同的個人信息保護認證標誌⁸⁵：

(一) 不含跨境處理活動的個人信息保護認證標誌如下：

(二) 包含跨境處理活動的個人信息保護認證標誌如下：
ABCD代表認證機構識別信息
“ABCD”代表認證機構識別信息。

根據《規則》，個人信息保護認證的認證模式⁹⁶為：

技術驗證
現場審核
獲證後持續監督

認證機構所頒發的證書有效期為3年。在有效期內，需要通過認證機構的獲證後監督才可保持認證證書的有效性。證書到期而需要延續使用的個人信息處理者應在證書有效期屆滿前6個月內提出認證委託，通過認證機構的獲證後監督，如符合認證要求就可換發新證書⁹⁷。

《規則》未有提及施行日期，因此可理解為於發布當日（即2022年11月18日）起生效。

《數據出境安全評估辦法》⁹⁸

網信辦於2022年7月7日發布《數據出境安全評估辦法》（《辦法》），並於2022年9月1日起實施。《辦法》乃根據内地的《網絡安全法》、《數據安全法》及《個人信息保護法》等法規而制定，以規範數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動。

《辦法》適用於數據處理者向境外提供在境內運營中收集和産生的重要數據和個人信息的安全評估⁹⁹，而「重要數據」是指「一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據」。¹⁰⁰值得注意的是，信安標委於2022年1月7日發布的《信息安全技術重要數據識別指南》（徵求意見稿）提到，「重要數據不包括國家秘密和個人信息，但基於海量個人信息形成的統計數據、衍生數據有可能屬於重要數據。¹⁰¹」

根據《辦法》，數據處理者向境外提供數據，如有以下情形之一，須通過所在地省級網信部門向國家網信部門申報數據出境安全評估¹⁰²：

數據處理者向境外提供重要數據；
關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；
自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息；
國家網信部門規定的其他需要申報數據出境安全評估的情形。

《辦法》要求數據處理者在申報數據出境安全評估前，須開展數據出境風險自評估，重點評估以下事項¹⁰³：

數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性；
出境數據的規模、範圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；
境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；
數據出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；
與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（統稱法律文件）是否充分約定了數據安全保護責任義務；及
其他可能影響數據出境安全的事項。

就申報數據出境安全評估的程序上，《辦法》要求數據處理者須先向省級網信部門提交申報材料。省級網信部門須於收到申報材料當日起5個工作日內完成查驗，並將申報材料齊全的申請報送國家網信部門¹⁰⁴。國家網信部門須於收到申報材料當日起7個工作日內，確定是否受理並透過書面通知數據處理者¹⁰⁵，以及在發出書面受理通知書當日起45個工作日內完成數據出境安全評估¹⁰⁶。情况複雜或需要補充、更正材料的申請，國家網信部門可以適當延長並告知數據處理者預計延長的時間¹⁰⁷。《辦法》亦設立申請複評的機制，讓對評估結果有異議的數據處理者可在收到結果後15個工作日內申請複評，惟複評結果會是最終結論¹⁰⁸。《辦法》同時賦予有關部門可對故意提交虛假材料的數據處理者依法追究法律責任的權力¹⁰⁹。

為了指導和幫助數據處理者規範、有序申報數據出境安全評估，網信辦編製了《數據出境安全評估申報指南（第一版）》，對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明¹¹⁰。

通過數據出境安全評估的結果有效期為2年，有關期限由評估結果發出當日起計算。《辦法》列明數據處理者在有效期內須重新申報評估的情形¹¹¹：

如向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全，或者延長個人信息和重要數據境外保存期限；
境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的情形；
出現影響出境數據安全的其他情形。

《辦法》規定數據處理者須在有效期屆滿前60個工作日重新申報評估，以繼續開展數據出境活動¹¹²。

最後，《辦法》要求在2022年9月1日前（即《辦法》實施前）已經開展的數據出境活動如未符合《辦法》規定，須由9月1日起計6個月內完成整改¹¹³。

《個人信息出境標準合同辦法》¹¹⁴

網信辦於2023年2月24日發布《個人信息出境標準合同辦法》（《標準合同辦法》），並將於2023年6月1日起實施。《標準合同辦法》共有十三條規定，並附有個人信息出境標準合同的範本。

《標準合同辦法》根據《個人信息保護法》等法律法規而制定¹¹⁵。個人信息處理者如根據《個人信息保護法》第三十八條第（三）項¹¹⁶，透過與境外接收方訂立合同以向境外提供個人信息，須按照《標準合同辦法》規定訂立個人信息出境標準合同（標準合同）¹¹⁷。此外，《標準合同辦法》亦訂明個人信息處理者可以與境外接收方約定其他條款，但不能與標準合同相衝突¹¹⁸。

《標準合同辦法》列明個人信息處理者如同時符合下列情況，可以通過訂立標準合同的方式向境外提供個人信息¹¹⁹：

非關鍵信息基礎設施運營者；
處理個人信息未滿100萬人的；
自上年1月1日起累計向境外提供個人信息不滿10萬人的；
自上年1月1日起累計向境外提供敏感個人信息不滿一萬人的。

根據《標準合同辦法》，個人信息處理者應當嚴格按照標準合同範本訂立¹²⁰，於向境外提供個人信息前開展個人信息保護影響評估¹²¹，並將評估報告連同標準合同於合同生效日起計10個工作天內向所在地省級網信部門備案¹²²。標準合同生效後方可開展個人信息出境活動¹²³。

爲了指導和幫助個人信息處理者規範 ˴ 有序備案個人信息出境標準合同，網信辦編製了《個人信息出境標準合同備案指南（第一版）》¹²⁴，就個人信息出境標準合同的備案方式、備案流程、備案材料等具體要求作出了說明。

此外，值得注意的是，《標準合同辦法》清楚指明個人信息處理者不得採取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供¹²⁵。

就個人信息保護影響評估，《標準合同辦法》列明須重點評估的內容如下¹²⁶︰

個人信息處理者和境外接收方處理個人信息的目的、範圍、方式等的合法性、正當性、必要性；
出境個人信息的規模、範圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險；
境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全；
個人信息出境後遭到篡改、破壞、洩露、丟失、非法利用等的風險，個人信息權益維護的渠道是否通暢等；
境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響；
其他可能影響個人信息出境安全的事項。

在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，並履行相應備案手續：

向境外提供個人信息的目的、範圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；
境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；
可能影響個人信息權益的其他情形¹²⁷。

至於標準合同方面，標準合同範本的內容涵蓋個人信息處理者和境外接收方的義務¹²⁸、境外接收方所在地的個人信息保護政策和法規對合同履行的影響¹²⁹、個人信息主體的權利¹³⁰、個人信息主體尋求救濟的方式¹³¹、違約責任¹³²等。個人信息處理者和境外接收方亦可按需要加入其他條款。

最後，在《標準合同辦法》實施前（即2023年6月1日前）已經開展的個人信息出境活動，不符合規定的，應在《標準合同辦法》實施之日起6個月內（即2023年11月30日前）完成整改¹³³。

V. 内地其他與保障個人信息有關的主要監管發展

發布日期	實施日期	監管文件	涉及領域	簡介
2023年10月16日	2024年1月1日	《未成年人網絡保護條例》	兒童私隱	根據《未成年人保護法》、《個人信息保護法》及《網絡安全法》等法規而制定，當中的規定除保護未成年人的個人信息外，亦涵蓋網絡素養培育、網絡信息內容規範及網絡沉迷防止等方面。全文
2023年8月25日	未有註明	《網絡安全標準實踐指南 – 生成式人工智能服務内容標識方法》	人工智能	指南圍繞文本、圖片、音訊、視頻四類生成內容，給出了標識的實踐指引。指南可用於指導生成式人工智能提供者提高內容標識水準，也可為主管監管部門提供參考。全文 Mainland Corner 2023 年9月專欄
2023年8月9日徵求期於2023年10月8日完結	尚未實施	《信息安全技術敏感個人信息處理安全要求(徵求意見稿)》	個人信息處理	適用於規範個人信息處理者的敏感個人信息處理活動，也可為監管部門、第三方評估機構對個人信息處理者開展敏感個人信息處理活動進行監督、管理、評估提供參考。全文
2023年8月8日徵求期於2023年9月7日完結	尚未實施	《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》	人臉識別技術	為規範人臉識別技術應用，保護個人信息權益及其他人身和財產權益，維護社會秩序和公共安全。適用於境內利用人臉識別技術處理人臉信息，提供人臉識別技術產品或者服務。全文
2023年8月3日徵求期已於2023年9月2日完結	尚未實施	《個人信息保護合規審計管理辦法 (徵求意見稿)》	個人信息處理	適用於定期開展個人信息保護合規審計的個人信息處理者，或者按照履行個人信息保護職責的部門要求委託專業機構對其個人信息處理活動進行合規審計，以及對個人信息保護合規審計活動的監督管理。全文
2023年8月2日徵求期已於2023年9月2日完結	尚未實施	《移動互聯網未成年人模式建設指南 (徵求意見稿)》	兒童私隱	旨在更好發揮互聯網積極作用，營造良好網絡環境，預防和干預未成年人網絡沉迷問題，引導未成年人形成良好的網絡使用習慣。規定了各類移動智能終端、移動互聯網應用程式，以及移動互聯網應用程式分發服務平台均需開展研發和應用未成年人模式，並滿足由國家網信部門所發布的基本要求、功能要求和管理要求。全文
2023年7月10日	2023年8月15日	《生成式人工智能服務管理暫行辦法》	人工智能	適用於利用生成式人工智能向境內公眾提供生成文本、圖片、音頻、視頻等内容的服務，並要求有關服務提供者在向公眾提供具有輿論屬性或者社會動員能力的生成式人工智能服務時，應開展安全評估，並按照《互聯網信息服務算法推薦管理規定》履行算法備案和變更、注銷備案等手續。全文 Mainland Corner 2023 年8月專欄
2023年7月7日徵求期於2023年8月6日完結	尚未實施	《網絡暴力信息治理規定（徵求意見稿）》	網絡安全	適用於境内網絡暴力信息的治理活動，透過要求網絡信息服務提供者履行信息內容管理主體責任，建立完善網絡暴力信息的治理機制、健全帳號管理、信息發布審核、監測預警、舉報救助和網絡暴力信息處置等制度，以達到強化網絡暴力信息治理，並營造良好網絡生態的目標。全文
2023年5月23日	2023年12月1日	《信息安全技術個人信息處理中告知和同意的實施指南》 (GB/T 42574-2023)	個人信息處理	就個人信息處理者在不同場景下應向個人提出告知的具體方法和步驟，以及取得其同意的實施方法提供清晰的實務指引。由於《個人信息保護法》未曾就「告知」、「同意」及「單獨同意」等作出任何釋義，《實施指南》所提出的定義及詳細指引將具指導性參考價值。全文 Mainland Corner 2023年7月專欄
2022年11月25日	2023年1月10日	《互聯網信息服務深度合成管理規定》	人工智能	適用於在境內應用深度合成技術提供互聯網信息服務，並就全國深度合成服務的治理和相關監督管理工作作出明確規範。全文 Mainland Corner 2023年2月專欄
2021年6月10日	2021年9月1日	《數據安全法》	數據安全	適用於在境內開展的數據處理活動及其安全監管，並確立了數據分類分級管理，建立了數據安全風險評估、監測預警、應急處置，數據安全審查等基本制度，由國家網信部門負責統籌協調網絡數據安全和相關監管工作。全文 Mainland Corner 2021 年6月專欄
2016年11月7日	2017年6月1日	《網絡安全法》	網絡安全	内地第一部規管網絡安全的基本法例。適用於在境內建設、運營、維護和使用網絡，主要監管對象為「網絡運營者」及「關鍵信息基礎設施運營者」，並由國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。全文

¹ 《個人信息保護法》第一條
² 《個人信息保護法》第三條
³ 《個人信息保護法》第三十三條
⁴ 《個人信息保護法》第七十三條（一）
⁵ 《個人信息保護法》第三條
⁶ 《個人信息保護法》第四條
⁷ 《個人信息保護法》第二十八條
⁸ 《個人信息保護法》第七條
⁹ 《個人信息保護法》第十七條
¹⁰ 《個人信息保護法》第十七條
¹¹ 《個人信息保護法》第二十二條
¹² 《個人信息保護法》第二十三條
¹³ 《個人信息保護法》第四條
¹⁴ 《個人信息保護法》第五條
¹⁵ 《個人信息保護法》第六條
¹⁶ 《個人信息保護法》第十三條
¹⁷ 《個人信息保護法》第十條
¹⁸ 《個人信息保護法》第二十六條
¹⁹ 《個人信息保護法》第七十二條
²⁰ 《個人信息保護法》第二十八條
²¹ 《個人信息保護法》第二十九條
²² 《個人信息保護法》第五十五至五十六條
²³ 《個人信息保護法》第三十條
²⁴ 《個人信息保護法》第三十一條
²⁵ 《個人信息保護法》第十四條
²⁶ 《個人信息保護法》第十三條
²⁷ 《個人信息保護法》第十四條及第二十三條
²⁸ 《個人信息保護法》第二十七條
²⁹ 《個人信息保護法》第二十三條
³⁰ 《個人信息保護法》第二十五條
³¹ 《個人信息保護法》第二十九條
³² 《個人信息保護法》第二十六條
³³ 《個人信息保護法》第三十九條
³⁴ 《個人信息保護法》第三十一條
³⁵ 《個人信息保護法》第十六條
³⁶ 《個人信息保護法》第十五條
³⁷ 《個人信息保護法》第八條
³⁸ 《個人信息保護法》第九條
³⁹ 《個人信息保護法》第二十一條
⁴⁰ 《個人信息保護法》第五十九條
⁴¹ 《個人信息保護法》第十九條
⁴² 《個人信息保護法》第四十七條
⁴³ 《個人信息保護法》第五十一條
⁴⁴ 《個人信息保護法》第五十二條
⁴⁵ 《個人信息保護法》第五十三條
⁴⁶ 《個人信息保護法》第五十四條
⁴⁷ 《個人信息保護法》第五十五至五十六條
⁴⁸ 《個人信息保護法》第五十八條
⁴⁹ 《個人信息保護法》第五十七條
⁵⁰ 《個人信息保護法》第五十七條
⁵¹ 《個人信息保護法》第五十五至五十六條
⁵² 《個人信息保護法》第三十八至三十九條
⁵³ 《個人信息保護法》第三十八條
⁵⁴ 《個人信息保護法》第三十八條
⁵⁵《個人信息保護法》第三十九條
⁵⁶ 《個人信息保護法》第四十條
⁵⁷ 《個人信息保護法》第七十三條（二）
⁵⁸ 《個人信息保護法》第二十四條
⁵⁹ 《個人信息保護法》第二十四條
⁶⁰ 《個人信息保護法》第二十四條
⁶¹ 《個人信息保護法》第五十五至五十六條
⁶² 《個人信息保護法》第四十五條
⁶³ 《個人信息保護法》第四十六條
⁶⁴ 《個人信息保護法》第五十條
⁶⁵ 《個人信息保護法》第四十五條
⁶⁶ 《個人信息保護法》第四十七條
⁶⁷ 《個人信息保護法》第四十七條
⁶⁸ 《個人信息保護法》第四十四條
⁶⁹ 《個人信息保護法》第四十九條
⁷⁰ 《個人信息保護法》第四十四條
⁷¹ 《個人信息保護法》第四十八條
⁷² 《個人信息保護法》第五十條條
⁷³ 《個人信息保護法》第五十條
⁷⁴ 《個人信息保護法》第六十條
⁷⁵ 《個人信息保護法》第六十條
⁷⁶ 《個人信息保護法》第六十四條
⁷⁷ 《個人信息保護法》第六十六條
⁷⁸ 《個人信息保護法》第六十六條
⁷⁹ 《個人信息保護法》第七十一條
⁸⁰ 《個人信息保護法》第六十七條
⁸¹ 《個人信息保護法》第六十九條
⁸² 《個人信息保護法》第七十條
⁸³ 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》的通知：https://www.tc260.org.cn/front/postDetail.html?id=20221216161852
⁸⁴ 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》的通知︰ https://www.tc260.org.cn/front/postDetail.html?id=20220624175016
⁸⁵ 《規範》1適用情形
⁸⁶ 《規範》4基本原則
⁸⁷ 《規範》5基本要求
⁸⁸《規範》6 個人信息主體權益保障要求
⁸⁹《規範》2認證主體
⁹⁰《規範》5.2.2 個人信息保護機構
⁹¹ 《規範》6.2 個人信息處理者和境外接收方的責任義務
⁹² 全文：http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm
⁹³即個人信息處理者因業務等需要，確需向境外提供個人信息，須按照國家網信部門的規定經專業機構進行個人信息保護認證。
⁹⁴ 全文：https://www.tc260.org.cn/piss/files/zwb.pdf
⁹⁵《規則》5.2 認證標誌
⁹⁶ 《規則》3 認證模式
⁹⁷《規則》5.1.1認證證書的保持
⁹⁸ 全文︰ http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
⁹⁹ 《辦法》第二條
¹⁰⁰ 《辦法》第十九條
¹⁰¹ 《信息安全技術重要數據識別指南》（徵求意見稿）3.1重要數據
¹⁰² 《辦法》第四條
¹⁰³ 《辦法》第五條
¹⁰⁴ 《辦法》第七條
¹⁰⁵ 《辦法》第七條
¹⁰⁶ 《辦法》第十二條
¹⁰⁷ 《辦法》第十二條
¹⁰⁸ 《辦法》第十三條
¹⁰⁹ 《辦法》第十一條
¹¹⁰ 《數據出境安全評估申報指南（第一版）》：http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
¹¹¹ 《辦法》第十四條
¹¹² 《辦法》第十四條
¹¹³ 《辦法》第二十條
¹¹⁴ 《個人信息出境標準合同辦法》全文︰http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
¹¹⁵ 《標準合同辦法》第一條
¹¹⁶ 即個人信息處理者因業務等需要，確需向境外提供個人信息，須按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。
¹¹⁷ 《標準合同辦法》第二條
¹¹⁸ 《標準合同辦法》第六條
¹¹⁹ 《標準合同辦法》第四條
¹²⁰ 《標準合同辦法》第六條
¹²¹ 《標準合同辦法》第五條
¹²² 《標準合同辦法》第七條
¹²³ 《標準合同辦法》第六條
¹²⁴ 《個人信息出境標準合同備案指南（第一版）》: http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
¹²⁵ 《標準合同辦法》第四條
¹²⁶ 《標準合同辦法》第五條
¹²⁷ 《標準合同辦法》第八條
¹²⁸ 標準合同範本第二及第三條
¹²⁹ 標準合同範本第四條
¹³⁰ 標準合同範本第五條
¹³¹ 標準合同範本第六條
¹³² 標準合同範本第八條
¹³³ 標準合同範本第十三條

內地個人信息保護法規