FOREXBNB獲悉,1月3日,國家網路資訊辦公室發布關於《個人資訊出境個人資訊保護認證辦法(徵求意見稿)》公開徵求意見的通知。意見稿提到,中華人民共和國境內的個人資訊處理者透過個人資訊出境個人資訊保護認證方式向境外提供個人資訊的,應同時符合下列情形:(一)非關鍵資訊基礎設施運營者;(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)或者不滿1萬人敏感個人資訊。前款所稱向境外提供的個人訊息,不包括重要數據。
原文如下:
國家互聯網資訊辦公室關於《個人資訊出境個人資訊保護認證辦法(徵求意見稿)》公開徵求意見的通知
為促進個人資訊高效便利安全跨境流動,規範個人資訊出境個人資訊保護認證工作,根據《中華人民共和國個人資訊保護法》等法律法規,國家互聯網資訊辦公室起草了《個人資訊出境個人資訊保護認證辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可以透過以下途徑查看文稿或提出回饋意見:
1.登入中國網信網(www.cac.gov.cn),進入首頁“網信要聞”查看文稿。
2.登入中華人民共和國司法部(www.moj.gov.cn)、中國政府法制資訊網(www.chinalaw.gov.cn),進入首頁主選單的“立法意見徵集”專欄提出意見。
3.透過電子郵件方式發送至:shujuju@cac.gov.cn。
4.以信函方式將意見寄至:北市海淀區阜成路15號國家互聯網資訊辦公室網路資料管理局,郵編100048,並在信封上註明“個人資訊出境個人資訊保護認證辦法徵求意見”。
意見回饋截止時間為2025年2月3日。
國家互聯網資訊辦公室
2025年1月3日
個人資訊出境個人資訊保護認證辦法
(徵求意見稿)
第一條 為了方便個人資訊出境活動,規範個人資訊出境個人資訊保護認證工作,保護個人資訊權益,促進個人資訊高效便利安全跨境流動,根據《中華人民共和國個人資訊保護法》、《網路資料安全管理條例》、《中華人民共和國認證認可條例》等法律法規,制定本辦法。
第二條 在中華人民共和國境內進行個人資訊出境個人資訊保護認證活動,適用本辦法。法律、行政法規另有規定的,依照其規定。
第三條 本辦法所稱個人資訊出境個人資訊保護認證,指依法設立並經國家市場監督管理部門核准取得個人資訊保護認證資格的專業認證機構,對個人資訊處理者個人資訊出境活動所進行的個人資訊保護認證。本辦法所稱個人資訊出境活動,是指個人資訊處理者因業務等需要確需向中華人民共和國境外提供個人資訊的行為。包括但不限於以下情形:
(一)個人資訊處理者將在境內運作中收集和產生的個人資訊傳輸至境外;
(二)個人資訊處理者收集和產生的個人資訊儲存在境內,境外的機構、組織或個人可以查詢、調取、下載、匯出;
(三)符合《中華人民共和國個人資訊保護法》第三條第二款情形,在境外處理境內自然人個人資訊等其他個人資訊處理活動。
第四條 中華人民共和國境內的個人資訊處理者透過個人資訊出境個人資訊保護認證方式向境外提供個人資訊的,應同時符合下列情形:(一)非關鍵資訊基礎設施運營者;(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)或者不滿1萬人敏感個人資訊。前款所稱向境外提供的個人訊息,不包括重要數據。
第五條 符合《中華人民共和國個人資訊保護法》第三條第二款規定,在中華人民共和國境外處理中華人民共和國境內個人資訊的個人資訊處理者,取得個人資訊出境個人資訊保護認證,可以進行個人資訊出境活動。
第六條 個人資訊保護認證遵循自願性、市場化、社會化服務原則。由具備資格的專業認證機構依照統一標準、統一規則、統一標識進行個人資訊出境個人資訊保護認證活動。
第七條 國家網信部門會同相關部門組織制定個人資訊出境個人資訊保護認證相關標準、技術法規和合格評定程序,對個人資訊出境活動進行監督管理。國家市場監督管理部門會同國家網信部門組織制定個人資訊出境個人資訊保護認證實施規則、統一認證證書及標誌。
第八條 進行個人資訊出境個人資訊保護認證的專業認證機構應向國家網信部門辦理備案手續。
辦理備案時,應提交下列資料:
(一)取得的個人資訊保護領域的認證資格情況;
(二)近3年從事資料安全領域、個人資訊保護領域專業工作狀況;
(三)個人資訊保護認證實施細則及工作計劃;
(四)資料安全風險防範機制;
(五)對獲證個人資訊處理者進行的個人資訊出境活動符合認證標準情況的持續監督機制;
(六)爭議受理機制與投訴處理機制;
(七)其他需要提交的資料。
第九條 中華人民共和國境內的個人資訊處理者自願向專業認證機構申請個人資訊出境個人資訊保護認證。
中華人民共和國境外的個人資訊處理者申請個人資訊出境個人資訊保護認證的,應由其在境內設立的專門機構或指定代表協助申請,並承擔相應的法律責任,承諾遵守中華人民共和國個人資訊保護有關法律法規並接受監督管理,在認證有效期內接受專業認證機構的持續監督。
第十條 個人資訊出境個人資訊保護認證重點評定以下內容:
(一)個人資訊出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外個人資訊處理者、境外接收者所在國家或地區的個人資訊保護政策法律和網路和資料安全環境對出境個人資訊安全的影響;
(三)境外個人資訊處理者、境外接收方的個人資訊保護水準是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
(四)個人資訊處理者與境外接收方訂立的有法律約束力的協議是否約定了個人資訊保護的義務;
(五)個人資訊處理者、境外接收方的組織架構、管理體系、技術措施能否充分有效保障資料安全及個人資訊權益;
(六)專業認證機構根據個人資訊保護認證相關標準認為需要評定的其他事項。
第十一條 專業認證機構在進行認證活動中,發現個人資訊出境活動危害國家安全、公共利益或嚴重影響個人資訊權益的,應及時向國家網信部門及相關部門報告。
第十二條 專業認證機構應在頒發認證證書或認證證書狀態變更後5個工作天內,向全國認證認可公共資訊平台報送個人資訊出境個人資訊保護認證證書相關信息,包括認證證書編號、獲證個人資料處理者名稱、認證範圍以及證書狀態變更資訊等。國家市場監督管理部門與國家網信部門建立認證資訊共享機制。
第十三條 專業認證機構發現獲證個人資訊處理者有個人資訊出境狀況與認證範圍不一致等不再符合認證要求的,應及時暫停、撤銷相關認證證書,並予以公佈。國家網信部門及相關部門在個人資訊保護監督管理工作中發現獲證個人資訊處理者有前項情形的,專業認證機構應配合及時暫停、撤銷相關認證證書,並予以公佈。
第十四條 國家市場監督管理部門會同國家網信部門對個人資訊出境個人資訊保護認證活動進行監督,對認證過程和認證結果進行抽查,對專業認證機構進行評價。國家市場監督管理部門對個人資訊出境安全認證活動存在服務品質等問題的,視情節予以警告、命令限期改正、停業整頓;拒不整改或規定期限內未完成整改的,以及存在弄虛作假的,撤銷其認證機構資質,並予以公佈。專業認證機構透過隱瞞有關情況、提供虛假材料等不正當手段取得備案的,由國家網信部門予以撤銷備案;发生严重违法情形受到停業整頓、撤銷認證機構資格等行政處分的,由國家網信部門予以註銷備案。
第十五條 任何組織和個人發現獲證個人資訊處理者違反本辦法向境外提供個人資訊的,可向省級以上網信部門及相關部門舉報。
第十六條 省級以上網信部門及相關部門發現獲證個人資訊處理者有較大風險或發生個人資訊安全事件的,可依法對獲證個人資訊處理者進行約談。獲證個人資料處理者應依要求整改,消除隱患。
第十七條 履行個人資訊保護職責的相關部門、專業認證機構及其工作人員對在履行職責中知悉的個人隱私、個人資訊、商業機密、保密商務資訊等應依法予以保密,並採取相應的技術措施和其他必要措施,保障相關資料不得外洩或非法提供、非法使用。
第十八條 國家促進個人資訊出境個人資訊保護認證活動的國際交流與合作,推動個人資訊出境個人資訊保護認證與其他國家、地區、國際組織之間的互認。
第十九條 違反本辦法規定的,依據《中華人民共和國個人資訊保護法》、《中華人民共和國認證認可條例》等法律法規處理;構成犯罪的,依法追究刑責。
第二十條 本辦法自 年 月 日起施行。
本文編選自“網信中國”微信公眾號,FOREXBNB編輯:劉家殷。
