Skip to content

內地個人信息保護法規

內地《個人信息保護法》

內地《個人信息保護法》的重點

簡介

《個人信息保護法》於2021年8月20日經全國人大常委會通過,已於2021年11月1日起施行。這是內地首部針對個人信息保護而訂立的法律。

《個人信息保護法》確立以個人的同意為處理個人信息的主要法律基礎,規定處理個人信息須遵循合法、正當、誠信、最少必要以及公開透明的原則,並且須具有明確、合理的目的。

個人有權向個人信息處理者(相當於香港《個人資料(私隱)條例》下的「資料使用者」)查閱、複製、更正以及要求刪除其個人信息,亦有權要求個人信息處理者提供轉移其個人信息至其他處理者的途徑。

個人信息處理者在處理屬未滿十四周歲未成年人的個人信息時,須取得其父母或監護人的同意,及須制定專門的個人信息處理規則。

《個人信息保護法》禁止利用個人信息進行自動化決策以對個人在交易價格等交易條件上實施不合理的差別待遇(即俗稱「殺熟」行為)。此外,如果個人信息處理者通過自動化決策方式向個人進行信息推送或商業營銷,須向個人提供不針對其個人特徵的選項或便捷的拒絕方式。

個人信息處理者如要向境外提供個人信息,須取得個人的單獨同意,以及符合特定條件,例如通過國家網信部門組織的安全評估、取得規定的認證、或簽定國家網信部門制定的標準合同等。

《個人信息保護法》具境外效力。境外機構如為向境內自然人提供產品或者服務,或者為分析、評估境內自然人的行為等而處理境內自然人的個人信息,亦須遵守《個人信息保護法》的規定,及在境內設立專門機構或代表。

國家網信部門將負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門亦會在各自職責範圍內負責個人信息保護和監督管理工作。

違反《個人信息保護法》規定的個人信息處理者,最高可被罰款人民幣五千萬元,或上一年度營業額的百份之五,並可被責令停業整頓、吊銷相關業務許可或營業執照等。

有關《個人信息保護法》的全文,可參閱全國人大的網頁︰ http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

以下是《個人信息保護法》的重點。

免責聲明

本網頁所載的資訊只作一般參考用途,並非為《個人信息保護法》的應用提供詳盡指引,亦不構成法律或其他專業意見。個人資料私隱專員並沒有就本網頁內所載的資訊的準確性或個別目的或使用的適用性作出明示或隱含保證。個別機構或人士為符合《個人信息保護法》的規定,應尋求專業的法律意見。

1. 立法目的 保護個人信息權益、規範個人信息處理活動及促進個人信息的合理利用1
2. 規管對象

《個人信息保護法》規管在境內處理自然人個人信息的活動2,包括國家機關處理個人信息的活動3

個人信息處理者是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人4

3. 境外效力

境外機構如為向境內自然人提供產品或者服務,或者為分析、評估境內自然人的行為等,在境外進行個人信息處理活動,亦適用《個人信息保護法》5

符合《個人信息保護法》第三條第二款規定的境外個人信息處理者,應當在境內設立專門機構或者指定代表,負責處理個人信息保護相關事務6

4. 個人信息的定義 個人信息是以電子或者其他方式記錄,並與已識別或者可識別的自然人有關的各種信息,但不包括匿名化處理後的信息7
5. 敏感個人信息

敏感個人信息是指一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到嚴重危害的個人信息,包括︰生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及未滿十四周歲未成年人的個人信息8

個人信息處理者須在具有特定的目的和充分的必要性,並採取嚴格保護措施的情況下,方可處理敏感個人信息9

處理敏感個人信息應當取得個人的單獨同意,除非法律、行政法規另有規定10

在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他目的,除非取得個人單獨同意11

個人信息處理者應當在處理敏感個人信息前,進行個人信息保護影響評估,並將有關報告和記錄保存至少三年12

6. 透明度

處理個人信息應當遵循公開、透明的原則,公開個人信息處理規則,明示處理目的、方式和範圍13

個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知 (1) 其名稱或者姓名和聯繫方式; (2) 處理目的、方式、個人信息種類及保存期限;以及 (3) 個人行使權利的方式和程序等事項14

個人信息處理者如透過制定個人信息處理規則的方式提供上述資料,處理規則應當公開,而且便於查閱和保存15

個人信息處理者如因合併、分立、解散、被宣告破產等原因需要轉移個人信息,應當向個人告知接收方的名稱或者姓名和聯繫方式16

7. 收集、使用及 披露等

個人信息的處理是指包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等17

處理個人信息應當遵循合法、正當、必要誠信原則,不得通過欺詐、誤導、脅迫等方式18

處理個人信息應當具有明確、合理的目的,並限於與處理目的直接相關,以及採取對個人權益影響最小的方式。收集個人信息應當限於實現處理目的的最小範圍,不得過度19

個人信息處理者只可在《個人信息保護法》列明的情況下處理個人信息,包括 (1) 取得個人的同意; (2) 為訂立、履行合同,或者為實施人力資源管理; (3) 為履行法定職責/義務; (4) 為公共利益進行新聞報道;及 (5) 在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息20

個人信息處理者如處理未滿十四周歲未成年人的個人信息,應當制定專門的個人信息處理規則21

任何組織、個人不得非法收集、使用、加工、傳輸、買賣、提供或公開他人的個人信息,以及不得從事危害國家安全、公共利益的個人信息處理活動22

8. 同意

個人的同意是指由個人在充分知情的前提下,自願、明確作出意思表示。法規規定應當取得個人單獨同意或者書面同意的,從其規定23。 取得個人的同意是其中一個合法處理個人信息的情況24

當處理目的、方式和個人信息種類有變更,應當重新取得個人同意25

如果個人信息處理者處理已公開的個人信息會對個人權益有重大影響,應當取得個人同意26

個人信息處理者於在特定情況下須取得個人的單獨同意,包括︰

  • 向其他個人信息處理者提供其處理的個人信息27;
  • 公開其處理的個人信息28;
  • 處理敏感個人信息29;
  • 把在公共場所收集的個人圖像、身份識別信息用於維護公共安全以外的其他目的30; 及
  • 向境外提供個人信息31

個人信息如屬未滿14周歲的未成年人,個人信息處理者應當取得其父母或監護人的同意32

個人信息處理者不得以個人不同意處理或撤回同意為由,拒絕提供產品或者服務33

9. 保安

個人信息處理者應當對其個人信息處理活動負責,並採取必要措施保障所處理的個人信息的安全34

個人信息處理者如委託第三方處理個人信息,應當與受託人約定委託處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受託人的個人信息處理活動進行監督35

接受委託處理個人信息的受託人,亦應當採取必要措施保障所處理的個人信息的安全36

10. 保存期限

個人信息的保存期限應當為實現處理目的所必要的最短時間37

個人信息處理者應當在《個人信息保護法》列明的情況下主動或者根據個人的請求刪除個人信息,例如 (1) 當保存期限已屆滿、 (2) 處理目的已實現、無法實現或為實現處理目的不再必要、 (3) 個人撤回同意;或 (4) 個人信息處理者停止提供產品或服務等38

11. 準確性

處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響39

12. 問責與管治

個人信息處理者應當根據個人信息的處理目的、方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取下述措施確保個人信息處理活動符合法規,並防止未經授權的訪問以及個人信息洩露、篡改、丟失,措施包括︰ (1) 制定內部管理制度和操作規程; (2) 對個人信息實行分類管理;以及 (3) 採取加密和去標識化安全技術措施40

處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督41

個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計42

個人信息處理者應當在下列情況進行個人信息保護影響評估︰ (1) 處理敏感個人信息; (2) 利用個人信息進行自動化決策; (3) 委託他人處理個人信息、向其他個人信息處理者提供或公開個人信息; (4) 向境外提供個人信息;或 (5) 進行對個人權益有重大影響的個人信息處理活動。有關評估報告和記錄須保存至少三年43

13. 互聯網平台的義務

提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行特定義務,包括 (1) 建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督;(2) 遵循公開、公平、公正的原則,制定平台規則,明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務; (3) 對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;以及 (4) 定期發佈個人信息保護社會責任報告,接受社會監督44.

14. 外洩通報

當發生或可能發生個人信息洩露、篡改、丟失時,個人信息處理者應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人,通知應當包括 (1) 涉事的信息種類、事故原因和可能造成的危害;及 (2) 個人信息處理者已採取的補救措施和個人可以採取的減輕危害的措施等45

個人信息處理者如認為採取的措施能夠有效避免信息洩露、篡改、丟失造成的危害,可以不通知個人。但履行個人信息保護職責的部門如認為個人信息洩露可能對個人造成危害,有權要求個人信息處理者通知個人46

15. 跨境資料轉移

個人信息處理者如因業務等需要而需向境外提供個人信息,須先進行個人信息保護影響評估,並將有關報告和記錄保存至少三年47。此外,個人信息處理者亦應當取得個人的單獨同意,並且具備下列一項條件48:

  • 通過國家網信部門組織的安全評估;
  • 按照國家網信部門的規定經專業機構進行個人信息保護認證;
  • 按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
  • 法律、行政法規或者國家網信部門規定的其他條件。

如國家締結或者參加的國際條約、協定對境外提供個人信息的條件等有規定,可以按照其規定執行49

個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準50

此外,個人信息處理者亦應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、方式、個人信息的種類以及個人行使《個人信息保護法》規定權利的方式和程序等事項51

關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在境內收集和產生的個人信息儲存在境內。如確需向境外提供,應當通過國家網信部門組織的安全評估,除非法規或國家網信部門另有規定可以不進行安全評估52

16. 個性化及自動決策

自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動53

個人信息處理者利用個人信息進行自動化決策時應當保證決策的透明度和結果的公平、公正,並且不得對個人在交易價格等交易條件上實行不合理的差別待遇54

通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,和拒絕個人信息處理者僅通過自動化決策的方式作出決定55

通過自動化決策方式進行信息推送、商業營銷時,應當同時提供不針對其個人特徵的選項,或向個人提供便捷的拒絕方式56

個人信息處理者應當在進行自動化決策前,進行個人信息保護影響評估,並將有關報告和記錄保存至少三年57

17. 查閱及更正權

個人有權向個人信息處理者查閱、複製其個人信息,個人信息處理者應當及時提供58

個人如發現其個人信息不準確或不完整,有權要求個人信息處理者更正、補充59

個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。在拒絕個人行使權利的請求時應當說明理由。個人信息處理者如拒絕請求,個人亦可向人民法院提起訴訟60

18. 個人信息可攜權

個人請求將個人信息轉移至其指定的個人信息處理者,如請求符合國家網信部門的規定條件,個人信息處理者應當提供轉移的途徑61

19. 刪除權、限制或拒絕個人信息處理

個人信息處理者應當主動或者根據個人的請求,在下列其中一種情況出現時刪除個人信息62:

  • 處理目的已實現、無法實現或者為實現處理目的不再必要;
  • 個人信息處理者停止提供產品或者服務;
  • 保存期限已屆滿;
  • 個人撤回同意;
  • 個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
  • 法律、行政法規規定的其他情形。

若刪除個人信息從技術上難以實現,個人信息處理者應當停止除了存儲和採取必要的安全保護措施以外的個人信息處理63

個人有權限制拒絕他人對其個人信息進行處理,除非法律或行政法規另有規定64

已去世自然人的近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使查閱、複制、更正、刪除等權利65

20. 執法機構

國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作,國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作66

上述部門統稱為履行個人信息保護職責的部門67

履行個人信息保護職責的部門在履行職責中,如發現違法處理個人信息涉嫌犯罪,應當及時移送公安機關依法處理68

21. 罰則

違反《個人信息保護法》規定處理個人信息,由履行個人信息保護職責的部門責令改正,給予警告沒收違法所得。拒不改正的可處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款69

如屬情節嚴重,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以禁止他們在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人70

違反《個人信息保護法》規定,構成違反治安管理行為,依法給予治安管理處罰。構成犯罪可被依法追究刑事責任71

此外,有關違反《個人信息保護法》的行為亦可被記入信用檔案,並予以公示72

22. 民事索償

如處理個人信息侵害個人信息權益及造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定。如個人因此受到的損失和個人信息處理者因此獲得的利益難以確定,則根據實際情況確定賠償數額73

個人信息處理者如違反《個人信息保護法》規定處理個人信息,並侵害眾多個人的權益,人民檢察院、法律規定的消費者組織、國家網信部門確定的組織可以依法向人民法院提起訴訟74


公署出版與《個人信息保護法》相關的刊物及文章

日期 刊物/文章
每月(由2021年4月起) 公署每月電子通訊
  • 由2021年4月起,專欄「Mainland Corner」每月向讀者簡介內地個人信息保護法規的最新發展。
18/11/2021 《內地〈個人信息保護法〉簡介》
  • 《內地〈個人信息保護法〉簡介》(《簡介》)共分三部份。首兩部份分別介紹《個人信息保護法》的制定背景及主要規定,並加插了相關法規的規定以及案例,以加深讀者對有關規定的理解。《簡介》的第三部份介紹其他與保護個人信息相關的法規,例如數據安全、消費者權益、電子商務、應用程式、網絡平台、金融業等方面的規定。此外,《簡介》亦附上香港《個人資料(私隱)條例》與內地《個人信息保護法》的比較,讓讀者更容易了解兩套法例的相近及相異之處。

內地與個人信息跨境提供相關的主要法規 (節錄)

《個人信息保護法》實施後,由內地不同部門發布與個人信息跨境提供相關的主要法規包括︰

《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》75

全國信息安全標準化技術委員會(信安標委)於2022年12月16日發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》(《規範》)。新版本就同年6月24日發布的《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》76 作出修訂,提高了對個人信息處理者和境外接收方的要求。

《個人信息保護法》第三十八(二)條訂明,進行個人信息跨境處理活動的先決條件之一是經專業機構進行個人信息保護認證。《規範》作為認證機構對個人信息跨境處理活動進行個人信息保護認證的認證依據,也為個人信息處理者規範個人信息跨境處理活動提供參考77

《規範》列明多項跨境處理個人信息的基本原則,要求個人信息處理者和境外接收方兩者均需滿足法律法規的規定78;同時要求個人信息處理者和境外接收方簽訂有法律約束力的協議、指定個人信息保護負責人、及於事前進行「個人信息保護影響評估」等79。此外,《規範》亦包括對個人信息主體權益的保障80,包括撤回同意、查閱和删除其個人信息的權利等。修訂後的《規範》就各方面對個人信息處理者和境外接收方提出額外和更詳細的要求及義務,以配合《數據出境安全評估辦法》和《個人信息出境標準合同規定(徵求意見稿)》的相關規定。

《規範》的其他主要要求包括︰

  • 申請認證的個人信息處理者應取得合法的法人資格,正常經營且具有良好的信譽、商譽81
  • 個人信息處理者和境外接收方應設立個人信息保護機構,履行個人信息保護義務82;及
  • 客觀記錄開展的個人信息跨境處理活動,保存記錄至少3年並按照相關法律法規要求向國家部門提供相關記錄文件83

《規範》未有提及施行日期,因此可理解為於發布當日(即2022年12月16日)起生效。

《個人信息保護認證實施規則》84

國家巿場監督管理總局 (市監局) 和國家互聯網信息辦公室 (網信辦)於2022年11月18日聯合發布《個人信息保護認證實施規則》(《規則》)。《規則》根據《個人信息保護法》第三十八條第一款第(二)項85所提及的個人信息跨境處理活動保護認證提供更明確的指引,規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。

認證制度屬自願性質。《規則》訂明如需開展信息跨境處理活動的個人信息處理者想要取得認證,除了需要符合國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》86的要求外,還需額外符合規範文件TC260-PG-20222A《規範》的要求。

《規則》亦公布兩個不同的個人信息保護認證標誌87

(一) 不含跨境處理活動的個人信息保護認證標誌如下:
個人信息保護認證標誌
(二) 包含跨境處理活動的個人信息保護認證標誌如下:
ABCD代表認證機構識別信息
“ABCD”代表認證機構識別信息。

根據《規則》,個人信息保護認證的認證模式88為:

  • 技術驗證
  • 現場審核
  • 獲證後持續監督

認證機構所頒發的證書有效期為3年。在有效期內,需要通過認證機構的獲證後監督才可保持認證證書的有效性。證書到期而需要延續使用的個人信息處理者應在證書有效期屆滿前6個月內提出認證委託,通過認證機構的獲證後監督,如符合認證要求就可換發新證書89

《規則》未有提及施行日期,因此可理解為於發布當日(即2022年11月18日)起生效。

《數據出境安全評估辦法》90

網信辦於2022年7月7日發布《數據出境安全評估辦法》(《辦法》),並於2022年9月1日起實施。《辦法》乃根據内地的《網絡安全法》、《數據安全法》及《個人信息保護法》等法規而制定,以規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。

《辦法》適用於數據處理者向境外提供在境內運營中收集和産生的重要數據和個人信息的安全評估91,而「重要數據」是指「一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據」。92值得注意的是,信安標委於2022年1月7日發布的《信息安全技術 重要數據識別指南》(徵求意見稿)提到,「重要數據不包括國家秘密和個人信息,但基於海量個人信息形成的統計數據、衍生數據有可能屬於重要數據。93

根據《辦法》,數據處理者向境外提供數據,如有以下情形之一,須通過所在地省級網信部門向國家網信部門申報數據出境安全評估94

  • 數據處理者向境外提供重要數據;
  • 關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
  • 自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者向境外提供個人信息;
  • 國家網信部門規定的其他需要申報數據出境安全評估的情形。

《辦法》要求數據處理者在申報數據出境安全評估前,須開展數據出境風險自評估,重點評估以下事項95

  • 數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
  • 出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
  • 境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
  • 數據出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
  • 與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等(統稱法律文件)是否充分約定了數據安全保護責任義務;及
  • 其他可能影響數據出境安全的事項。

就申報數據出境安全評估的程序上,《辦法》要求數據處理者須先向省級網信部門提交申報材料。省級網信部門須於收到申報材料當日起5個工作日內完成查驗,並將申報材料齊全的申請報送國家網信部門96。國家網信部門須於收到申報材料當日起7個工作日內,確定是否受理並透過書面通知數據處理者97,以及在發出書面受理通知書當日起45個工作日內完成數據出境安全評估98。情况複雜或需要補充、更正材料的申請,國家網信部門可以適當延長並告知數據處理者預計延長的時間99。《辦法》亦設立申請複評的機制,讓對評估結果有異議的數據處理者可在收到結果後15個工作日內申請複評,惟複評結果會是最終結論100。《辦法》同時賦予有關部門可對故意提交虛假材料的數據處理者依法追究法律責任的權力101

為了指導和幫助數據處理者規範、有序申報數據出境安全評估,網信辦編製了《數據出境安全評估申報指南(第一版)》,對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出了說明102

通過數據出境安全評估的結果有效期為2年,有關期限由評估結果發出當日起計算。《辦法》列明數據處理者在有效期內須重新申報評估的情形103

  • 如向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全,或者延長個人信息和重要數據境外保存期限;
  • 境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的情形;
  • 出現影響出境數據安全的其他情形。

《辦法》規定數據處理者須在有效期屆滿前60個工作日重新申報評估,以繼續開展數據出境活動104

最後,《辦法》要求在2022年9月1日前(即《辦法》實施前)已經開展的數據出境活動如未符合《辦法》規定,須由9月1日起計6個月內完成整改105

《個人信息出境標準合同辦法》106

網信辦於2023年2月24日發布《個人信息出境標準合同辦法》(《標準合同辦法》),並將於2023年6月1日起實施。《標準合同辦法》共有十三條規定,並附有個人信息出境標準合同的範本。

《標準合同辦法》根據《個人信息保護法》等法律法規而制定107。個人信息處理者如根據《個人信息保護法》第三十八條第(三)項108,透過與境外接收方訂立合同以向境外提供個人信息,須按照《標準合同辦法》規定訂立個人信息出境標準合同(標準合同)109。此外,《標準合同辦法》亦訂明個人信息處理者可以與境外接收方約定其他條款,但不能與標準合同相衝突110

《標準合同辦法》列明個人信息處理者如同時符合下列情況,可以通過訂立標準合同的方式向境外提供個人信息111

  • 非關鍵信息基礎設施運營者;
  • 處理個人信息未滿100萬人的;
  • 自上年1月1日起累計向境外提供個人信息不滿10萬人的;
  • 自上年1月1日起累計向境外提供敏感個人信息不滿一萬人的。

根據《標準合同辦法》,個人信息處理者應當嚴格按照標準合同範本訂立112,於向境外提供個人信息前開展個人信息保護影響評估113,並將評估報告連同標準合同於合同生效日起計10個工作天內向所在地省級網信部門備案114。標準合同生效後方可開展個人信息出境活動115

此外,值得注意的是,《標準合同辦法》清楚指明個人信息處理者不得採取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供116

就個人信息保護影響評估,《標準合同辦法》列明須重點評估的內容如下117

  • 個人信息處理者和境外接收方處理個人信息的目的、範圍、方式等的合法性、正當性、必要性;
  • 出境個人信息的規模、範圍、種類、敏感程度,個人信息出境可能對個人信息權益帶來的風險;
  • 境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
  • 個人信息出境後遭到篡改、破壞、洩露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
  • 境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響;
  • 其他可能影響個人信息出境安全的事項。

在標準合同有效期內出現下列情形之一的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合同,並履行相應備案手續:

  • 向境外提供個人信息的目的、範圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;
  • 境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的;
  • 可能影響個人信息權益的其他情形118

至於標準合同方面,標準合同範本的內容涵蓋個人信息處理者和境外接收方的義務119、境外接收方所在地的個人信息保護政策和法規對合同履行的影響120、個人信息主體的權利121、個人信息主體尋求救濟的方式122、違約責任123等。個人信息處理者和境外接收方亦可按需要加入其他條款。

最後,在《標準合同辦法》實施前(即2023年6月1日前)已經開展的個人信息出境活動,不符合規定的,應在《標準合同辦法》實施之日起6個月內(即2023年11月30日前)完成整改124

1 《個人信息保護法》第一條
2 《個人信息保護法》第三條
3 《個人信息保護法》第三十三條
4 《個人信息保護法》第七十三條(一)
5 《個人信息保護法》第三條
6 《個人信息保護法》第五十三條
7 《個人信息保護法》第四條
8 《個人信息保護法》第二十八條
9 《個人信息保護法》第二十八條
10 《個人信息保護法》第二十九條
11 《個人信息保護法》第二十六條
12 《個人信息保護法》第五十五至五十六條
13 《個人信息保護法》第七條
14 《個人信息保護法》第十七條
15 《個人信息保護法》第十七條
16 《個人信息保護法》第二十二條
17 《個人信息保護法》第四條
18 《個人信息保護法》第五條
19 《個人信息保護法》第六條
20 《個人信息保護法》第十三條
21 《個人信息保護法》第三十一條
22 《個人信息保護法》第十條
23 《個人信息保護法》第十四條
24 《個人信息保護法》第十三條
25 《個人信息保護法》第十四條
26 《個人信息保護法》第二十七條
27 《個人信息保護法》第二十三條
28 《個人信息保護法》第二十五條
29 《個人信息保護法》第二十九條
30 《個人信息保護法》第二十六條
31 《個人信息保護法》第三十九條
32 《個人信息保護法》第三十一條
33 《個人信息保護法》第十六條
34 《個人信息保護法》第九條
35 《個人信息保護法》第二十一條
36 《個人信息保護法》第五十九條
37 《個人信息保護法》第十九條
38 《個人信息保護法》第四十七條
39 《個人信息保護法》第八條
40 《個人信息保護法》第五十一條
41 《個人信息保護法》第五十二條
42 《個人信息保護法》第五十四條
43 《個人信息保護法》第五十五至五十六條
44 《個人信息保護法》第五十八條
45 《個人信息保護法》第五十七條
46 《個人信息保護法》第五十七條
47 《個人信息保護法》第五十五至五十六條
48 《個人信息保護法》第三十八至三十九條
49 《個人信息保護法》第三十八條
50 《個人信息保護法》第三十八條
51 《個人信息保護法》第三十九條
52 《個人信息保護法》第四十條
53 《個人信息保護法》第七十三條(二)
54 《個人信息保護法》第二十四條
55 《個人信息保護法》第二十四條
56 《個人信息保護法》第二十四條
57 《個人信息保護法》第五十五至五十六條
58 《個人信息保護法》第四十五條
59 《個人信息保護法》第四十六條
60 《個人信息保護法》第五十條
61 《個人信息保護法》第四十五條
62 《個人信息保護法》第四十七條
63 《個人信息保護法》第四十七條
64 《個人信息保護法》第四十四條
65 《個人信息保護法》第四十九條
66 《個人信息保護法》第六十條
67 《個人信息保護法》第六十條
68 《個人信息保護法》第六十四條
69 《個人信息保護法》第六十六條
70 《個人信息保護法》第六十六條
71 《個人信息保護法》 第七十一條
72 《個人信息保護法》 第六十七條
73 《個人信息保護法》第六十九條
74 《個人信息保護法》第七十條
75 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》的通知:https://www.tc260.org.cn/front/postDetail.html?id=20221216161852
76 關於發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》的通知︰ https://www.tc260.org.cn/front/postDetail.html?id=20220624175016
77 《規範》1適用情形
78 《規範》4基本原則
79 《規範》5基本要求
80《規範》6 個人信息主體權益保障要求
81《規範》2認證主體
82《規範》5.2.2 個人信息保護機構
83 《規範》6.2 個人信息處理者和境外接收方的責任義務
84 全文:http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm
85即個人信息處理者因業務等需要,確需向境外提供個人信息,須按照國家網信部門的規定經專業機構進行個人信息保護認證。
86 全文:https://www.tc260.org.cn/piss/files/zwb.pdf
87《規則》5.2 認證標誌
88 《規則》3 認證模式
89《規則》5.1.1認證證書的保持
90 全文︰ http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm
91 《辦法》第二條
92 《辦法》第十九條
93 《信息安全技術 重要數據識別指南》(徵求意見稿)3.1重要數據
94 《辦法》第四條
95 《辦法》第五條
96 《辦法》第七條
97 《辦法》第七條
98 《辦法》第十二條
99 《辦法》第十二條
100 《辦法》第十三條
101 《辦法》第十一條
102 《數據出境安全評估申報指南(第一版)》:http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
103 《辦法》第十四條
104 《辦法》第十四條
105 《辦法》第二十條
106 《個人信息出境標準合同辦法》全文︰http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
107 《標準合同辦法》第一條
108 即個人信息處理者因業務等需要,確需向境外提供個人信息,須按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務。
109 《標準合同辦法》第二條
110 《標準合同辦法》第六條
111 《標準合同辦法》第四條
112 《標準合同辦法》第六條
113 《標準合同辦法》第五條
114 《標準合同辦法》第七條
115 《標準合同辦法》第六條
116 《標準合同辦法》第四條
117 《標準合同辦法》第五條
118 《標準合同辦法》第八條
119 標準合同範本第二及第三條
120 標準合同範本第四條
121 標準合同範本第五條
122 標準合同範本第六條
123 標準合同範本第八條
124 標準合同範本第十三條