粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引
国家互联网信息办公室、香港创新科技及工业局公告
(国家互联网信息办公室、香港创新科技及工业局公告2023年3号)
落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,现予公布。
特此公告。
附件:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
国家互联网信息办公室 王京涛
香港特区政府创新科技及工业局 孙 东
2023年12月10日
附件
粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引
第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。
第二条 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称标准合同,见附件1)为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。
第三条 通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。
第四条 按照本实施指引,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:
(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意;
(二)不得向粤港澳大湾区以外的组织、个人提供。
第五条 个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
(二)对个人信息主体权益的影响及安全风险;
(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。
个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。
第七条 跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
第八条 个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府资讯科技总监办公室进行标准合同备案,提交如下材料:
(一)法定代表人身份证件影印件;
(二)承诺书(模板见附件2);
(三)标准合同。
个人信息处理者及接收方应当对所备案材料的真实性负责。
第九条 个人信息处理者及接收方接受属地监管机构的监督管理,包括但不限于:
(一)根据标准合同第二条第七项及第十项,个人信息处理者答复监管机构的询问及对合同的义务和责任的履行承担举证责任;
(二)根据标准合同第三条第十二项,接收方应接受监管机构的监督管理,包括服从监管机构作出的决定以及提供已采取必要行动的证明等;
(三)根据标准合同第六条第二项,个人信息处理者解除标准合同时,通知监管机构。
第十条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。
收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门依法处置。
第十一条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。
第十二条 以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
第十三条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十四条 国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况,经协商一致后对本实施指引及附件进行修订。
第十五条 本实施指引自发布之日起生效。
附件1:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
附件2:承诺书