2025年12月22日,为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中粤港澳大湾区个人信息跨境安全认证工作,依据备忘录、内地认证文件和属地法律法规,秘书处组织编制了《网络安全标准实践指南——粤港澳大湾区(内地、澳门)个人信息跨境处理保护要求(征求意见稿)》。
根据《全国网络安全标准化技术委员会〈网络安全标准实践指南〉文件管理办法》要求,秘书处现组织对《网络安全标准实践指南——粤港澳大湾区(内地、澳门)个人信息跨境处理保护要求(征求意见稿)》面向社会公开征求意见。
一、适用范围:明确"谁要守规矩"
·主体限定:注册/位于大湾区内地9市(广州、深圳、珠海等)或澳门特别行政区的个人信息处理者、接收方;
·场景限定:通过安全互认方式开展内地与澳门间个人信息跨境流动(含传输、查询、调取等);
·排除情形:已被认定为重要数据的个人信息、澳门关键基础设施公共营运者的相关处理活动。
二、核心原则:6大底线不可破
第一、合法正当诚信原则:禁止误导、欺诈、胁迫处理,不得违背合同约定;
第二、最小必要原则:仅收集实现目的所需最少信息,采用对个人权益影响最小的方式;
第三、公开透明原则:以隐私政策等形式明示处理目的、方式、范围等,不捆绑用户同意;
第四、权益保障原则:保障个人信息质量,避免因不准确、不完整侵害权益;
第五、确保安全原则:采取加密、去标识化等措施,防范泄露、篡改、丢失风险;
第六、责任明确原则:处理者与接收方对自身处理活动负责,承担相应法律责任。
三、适用范围:明确"谁要守规矩"
第一、处理合法性基础:内地需符合“获得同意、合同必须、履行法定职责”等7种情形,澳门需遵循当地《个人资料保护法》相关规定;
第二、收集环节:事前告知目的、方式、范围,公开处理规则(含处理者信息、保存期限、权利行使方式等),未成年人信息需获得监护人同意;
第三、存储使用:保存期限为最短必要时间,变更处理目的需重新获得同意,自动化营销需提供拒绝选项;
第四、跨境核心要求:事前明确处理目的、种类、保存期限等关键信息,制定安全管理制度;跨境提供需获个人同意(法定除外),与接收方签订有约束力文件,禁止向大湾区外第三方转移;开展个人信息保护影响评估,相关记录保存至少3年;接收方需建立访问控制策略,发生安全事件时及时补救、通知并报告。
四、个人信息主体权利:5大权益需保障
第一、查阅、复制、拒绝处理个人信息的权利;
第二、不受自动化决策约束的权利(重大影响决策需书面说明);
第三、信息不准确/不完整时的更正、补充、删除权;
第四、要求解释个人信息处理规则的权利;
第五、处理目的达成后的数据删除请求权。
五、安全保障义务:企业必做的6件事
第一、指定个人信息保护负责人(处理100万人以上信息需向广东市级网信部门报备);
第二、制定安全管理制度和操作规程,定期开展人员培训;
第三、敏感个人信息传输存储需加密;
第四、限制操作权限,敏感信息处理人员需签订保密协议;
第五、采取加密、去标识化等技术措施防范风险;
第六、制定应急预案,发生安全事件及时补救、通知并报告。
合规提示
该征求意见稿为大湾区个人信息跨境安全互认提供认证依据,后续正式实施后将成为企业合规核心指引。建议相关企业:
首先,对照新规梳理现有跨境数据处理流程,排查合规风险;
其次,提前完善隐私政策、跨境合同等文件,确保符合“两地法规”要求;
最后,关注征求意见反馈渠道,结合业务实际提出合理建议。
来源:AI与数据合规出海实操
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
