新京報訊 據(jù)網(wǎng)信辦消息,為促進個人信息高效便利安全跨境流動,規(guī)范個人信息出境個人信息保護認(rèn)證工作,根據(jù)《中華人民共和國個人信息保護法》等法律法規(guī),國家互聯(lián)網(wǎng)信息辦公室起草了《個人信息出境個人信息保護認(rèn)證辦法(征求意見稿)》,現(xiàn)向社會公開征求意見。公眾可以通過以下途徑查看文稿或提出反饋意見:


1.登錄中國網(wǎng)信網(wǎng)(www.cac.gov.cn),進入首頁“網(wǎng)信要聞”查看文稿。


2.登錄中華人民共和國司法部(www.moj.gov.cn)、中國政府法制信息網(wǎng)(www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見。


3.通過電子郵件方式發(fā)送至:shujuju@cac.gov.cn。


4.通過信函方式將意見寄至:北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局,郵編100048,并在信封上注明“個人信息出境個人信息保護認(rèn)證辦法征求意見”。


意見反饋截止時間為2025年2月3日。


國家互聯(lián)網(wǎng)信息辦公室


2025年1月3日


個人信息出境個人信息保護認(rèn)證辦法


(征求意見稿)


第一條 為了便利個人信息出境活動,規(guī)范個人信息出境個人信息保護認(rèn)證工作,保護個人信息權(quán)益,促進個人信息高效便利安全跨境流動,根據(jù)《中華人民共和國個人信息保護法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》、《中華人民共和國認(rèn)證認(rèn)可條例》等法律法規(guī),制定本辦法。


二條 在中華人民共和國境內(nèi)開展個人信息出境個人信息保護認(rèn)證活動,適用本辦法。法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。


第三條 本辦法所稱個人信息出境個人信息保護認(rèn)證,是指依法設(shè)立并經(jīng)國家市場監(jiān)督管理部門批準(zhǔn)取得個人信息保護認(rèn)證資質(zhì)的專業(yè)認(rèn)證機構(gòu),對個人信息處理者個人信息出境活動開展的個人信息保護認(rèn)證。


本辦法所稱個人信息出境活動,是指個人信息處理者因業(yè)務(wù)等需要確需向中華人民共和國境外提供個人信息的行為。包括但不限于以下情形:


(一)個人信息處理者將在境內(nèi)運營中收集和產(chǎn)生的個人信息傳輸至境外;


(二)個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出;


(三)符合《中華人民共和國個人信息保護法》第三條第二款情形,在境外處理境內(nèi)自然人個人信息等其他個人信息處理活動。


第四條 中華人民共和國境內(nèi)的個人信息處理者通過個人信息出境個人信息保護認(rèn)證方式向境外提供個人信息的,應(yīng)當(dāng)同時符合下列情形:


(一)非關(guān)鍵信息基礎(chǔ)設(shè)施運營者;


(二)自當(dāng)年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。


前款所稱向境外提供的個人信息,不包括重要數(shù)據(jù)。


第五條 符合《中華人民共和國個人信息保護法》第三條第二款規(guī)定,在中華人民共和國境外處理中華人民共和國境內(nèi)個人信息的個人信息處理者,獲得個人信息出境個人信息保護認(rèn)證,可以進行個人信息出境活動。


第六條 個人信息保護認(rèn)證遵循自愿性、市場化、社會化服務(wù)原則。由具備資質(zhì)的專業(yè)認(rèn)證機構(gòu)按照統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)則、統(tǒng)一標(biāo)識開展個人信息出境個人信息保護認(rèn)證活動。


第七條 國家網(wǎng)信部門會同有關(guān)部門組織制定個人信息出境個人信息保護認(rèn)證相關(guān)標(biāo)準(zhǔn)、技術(shù)法規(guī)和合格評定程序,對個人信息出境活動進行監(jiān)督管理。國家市場監(jiān)督管理部門會同國家網(wǎng)信部門組織制定個人信息出境個人信息保護認(rèn)證實施規(guī)則、統(tǒng)一認(rèn)證證書及標(biāo)志。


第八條 開展個人信息出境個人信息保護認(rèn)證的專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)向國家網(wǎng)信部門辦理備案手續(xù)。辦理備案時,應(yīng)當(dāng)提交下列材料:


(一)取得的個人信息保護領(lǐng)域的認(rèn)證資質(zhì)情況;


(二)近3年從事數(shù)據(jù)安全領(lǐng)域、個人信息保護領(lǐng)域?qū)I(yè)工作情況;


(三)個人信息保護認(rèn)證實施細則及工作計劃;


(四)數(shù)據(jù)安全風(fēng)險防范機制;


(五)對獲證個人信息處理者進行的個人信息出境活動符合認(rèn)證標(biāo)準(zhǔn)情況的持續(xù)監(jiān)督機制;


(六)爭議受理機制和投訴處理機制;


(七)其他需要提交的材料。


第九條 中華人民共和國境內(nèi)的個人信息處理者自愿向?qū)I(yè)認(rèn)證機構(gòu)申請個人信息出境個人信息保護認(rèn)證。


中華人民共和國境外的個人信息處理者申請個人信息出境個人信息保護認(rèn)證的,應(yīng)當(dāng)由其在境內(nèi)設(shè)立的專門機構(gòu)或者指定代表協(xié)助進行申請,并承擔(dān)相應(yīng)的法律責(zé)任,承諾遵守中華人民共和國個人信息保護有關(guān)法律法規(guī)并接受監(jiān)督管理,在認(rèn)證有效期內(nèi)接受專業(yè)認(rèn)證機構(gòu)的持續(xù)監(jiān)督。


第十條 個人信息出境個人信息保護認(rèn)證重點評定以下內(nèi)容:


(一)個人信息出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性;


(二)境外個人信息處理者、境外接收方所在國家或者地區(qū)的個人信息保護政策法律和網(wǎng)絡(luò)和數(shù)據(jù)安全環(huán)境對出境個人信息安全的影響;


(三)境外個人信息處理者、境外接收方的個人信息保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標(biāo)準(zhǔn)的要求;


(四)個人信息處理者與境外接收方訂立的有法律約束力的協(xié)議是否約定了個人信息保護的義務(wù);


(五)個人信息處理者、境外接收方的組織架構(gòu)、管理體系、技術(shù)措施能否充分有效保障數(shù)據(jù)安全和個人信息權(quán)益;


(六)專業(yè)認(rèn)證機構(gòu)根據(jù)個人信息保護認(rèn)證相關(guān)標(biāo)準(zhǔn)認(rèn)為需要評定的其他事項。


第十一條 專業(yè)認(rèn)證機構(gòu)在開展認(rèn)證活動中,發(fā)現(xiàn)個人信息出境活動危害國家安全、公共利益或者嚴(yán)重影響個人信息權(quán)益的,應(yīng)當(dāng)及時向國家網(wǎng)信部門及有關(guān)部門報告。


第十二 專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)在頒發(fā)認(rèn)證證書或者認(rèn)證證書狀態(tài)發(fā)生變化后5個工作日內(nèi),向全國認(rèn)證認(rèn)可公共信息平臺報送個人信息出境個人信息保護認(rèn)證證書相關(guān)信息,包括認(rèn)證證書編號、獲證個人信息處理者名稱、認(rèn)證范圍以及證書狀態(tài)變化信息等。國家市場監(jiān)督管理部門與國家網(wǎng)信部門建立認(rèn)證信息共享機制。


第十三條 專業(yè)認(rèn)證機構(gòu)發(fā)現(xiàn)獲證個人信息處理者存在個人信息出境情況與認(rèn)證范圍不一致等不再符合認(rèn)證要求的,應(yīng)當(dāng)及時暫停、撤銷相關(guān)認(rèn)證證書,并予以公布。


國家網(wǎng)信部門和有關(guān)部門在個人信息保護監(jiān)督管理工作中發(fā)現(xiàn)獲證個人信息處理者存在前款情形的,專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)配合及時暫停、撤銷相關(guān)認(rèn)證證書,并予以公布。


第十四條 國家市場監(jiān)督管理部門會同國家網(wǎng)信部門對個人信息出境個人信息保護認(rèn)證活動進行監(jiān)督,對認(rèn)證過程和認(rèn)證結(jié)果進行抽查,對專業(yè)認(rèn)證機構(gòu)進行評價。


國家市場監(jiān)督管理部門對個人信息出境安全認(rèn)證活動存在服務(wù)質(zhì)量等問題的,視情節(jié)予以警告、責(zé)令限期改正、停業(yè)整頓;拒不整改或規(guī)定期限內(nèi)未完成整改的,以及存在弄虛作假的,撤銷其認(rèn)證機構(gòu)資質(zhì),并予以公布。


專業(yè)認(rèn)證機構(gòu)通過隱瞞有關(guān)情況、提供虛假材料等不正當(dāng)手段取得備案的,由國家網(wǎng)信部門予以撤銷備案;發(fā)生嚴(yán)重違法情形受到停業(yè)整頓、撤銷認(rèn)證機構(gòu)資質(zhì)等行政處罰的,由國家網(wǎng)信部門予以注銷備案。


第十五條 任何組織和個人發(fā)現(xiàn)獲證個人信息處理者違反本辦法向境外提供個人信息的,可以向省級以上網(wǎng)信部門和有關(guān)部門舉報。


第十六條 省級以上網(wǎng)信部門和有關(guān)部門發(fā)現(xiàn)獲證個人信息處理者存在較大風(fēng)險或者發(fā)生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應(yīng)當(dāng)按要求整改,消除隱患。


第十七條 履行個人信息保護職責(zé)的相關(guān)部門、專業(yè)認(rèn)證機構(gòu)及其工作人員對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,并采取相應(yīng)的技術(shù)措施和其他必要措施,保障相關(guān)數(shù)據(jù)不得泄露或者非法向他人提供、非法使用。


第十八條 國家促進個人信息出境個人信息保護認(rèn)證活動的國際交流與合作,推動個人信息出境個人信息保護認(rèn)證與其他國家、地區(qū)、國際組織之間的互認(rèn)。


第十九條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國個人信息保護法》、《中華人民共和國認(rèn)證認(rèn)可條例》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。


第二十條 本辦法自 年 月 日起施行。


編輯 趙熹