为增进个人信息高效便利安全跨境流动,规范个人信息出境个人信息保护认证工作,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法(征求建议稿)》,现向社会公开征求建议。其中提到,中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或不满1万人敏感个人信息。前款所称向境外提供的个人信息,不包含重要数据。
个人信息出境个人信息保护认证办法
(征求建议稿)
第壹条为了便利个人信息出境活动,规范个人信息出境个人信息保护认证工作,保护个人信息权益,增进个人信息高效便利安全跨境流动,根据《中华人民共和国个人信息保护法》、《网络 数据安全 管理条例》、《中华人民共和国认证认可条例》等法律法规,制定本办法。
第贰条在中华人民共和国境内开展个人信息出境个人信息保护认证活动,适用本办法。法律、行政法规另有规定的,依照其规定。
第叁条本办法所称个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证。
本办法所称个人信息出境活动,是指个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的表现。包含但不限于以下情形:
(一)个人信息处理者将在境内运营中收集和引发的个人信息传输至境外;
(二)个人信息处理者收集和引发的个人信息存储在境内,境外的机构、组织或个人可以查询、调取、下载、导出;
(三)符合《中华人民共和国个人信息保护法》第叁条第贰款情形,在境外处理境内自然人个人信息等其它个人信息处理活动。
第四条中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或不满1万人敏感个人信息。
前款所称向境外提供的个人信息,不包含重要数据。
第五条符合《中华人民共和国个人信息保护法》第叁条第贰款规定,在中华人民共和国境外处理中华人民共和国境内个人信息的个人信息处理者,获得个人信息出境个人信息保护认证,可以进行个人信息出境活动。
第六条个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构根据统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。
第七条国家网信部门会同相关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序,对个人信息出境活动进行监督管理。国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。
第八条开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续。办理备案时,应当提交下列材料:
(一)取得的个人信息保护领域的认证资质情况;
(二)近3年从事 数据安全 领域、个人信息保护领域专业工作情况;
(三)个人信息保护认证实施细则及工作计划;
(四) 数据安全 风险防范机制;
(五)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;
(六)争议受理机制和投诉处理机制;
(七)其它需要提交的材料。
第九条中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。
中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的,应当由其在境内设立的专门机构或指定代表协助进行申请,并承担相应的法律责任,承诺遵守中华人民共和国个人信息保护相关法律法规并接受监督管理,在认证有效期内接受专业认证机构的持续监督。
第十条个人信息出境个人信息保护认证重点评定以下内容:
(一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外个人信息处理者、境外接收方所在国家或地区的个人信息保护政策法律和网络和 数据安全 环境对出境个人信息安全的影响;
(三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;
(五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障 数据安全 和个人信息权益;
(六)专业认证机构根据个人信息保护认证相关标准认为需要评定的其它事项。
第十一条专业认证机构在开展认证活动中,发现个人信息出境活动危害国家安全、公共利益或严重影响个人信息权益的,应当及时向国家网信部门及相关部门报告。
第十二条专业认证机构应当在颁发认证证书或认证证书状态发生变化后5个工作日内,向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息,包含认证证书编号、获证个人信息处理者名称、认证范围和证书状态变化信息等。国家市场监督管理部门与国家网信部门建立认证信息共享机制。
第十三条专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一样等不再符合认证要求的,应当及时暂停、撤消相关认证证书,并予以公布。
国家网信部门和相关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的,专业认证机构应当配合及时暂停、撤消相关认证证书,并予以公布。
第十四条国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督,对认证过程和认证结果进行抽查,对专业认证机构进行评价。
国家市场监督管理部门对个人信息出境安全认证活动存在服务品质等诸多问题的,视情节予以警告、责令限期改正、停业整顿;拒不整改或规定期限内未完成整改的,和存在对上坑骗,对下隐瞒的,撤消其认证机构资质,并予以公布。
专业认证机构通过隐匿有关情况、提供虚假材料等不正当手段取得备案的,由国家网信部门予以撤消备案;发生严重违法情形受到停业整顿、撤消认证机构资质等行政处理的,由国家网信部门予以注销备案。
第十五条任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门和相关部门举报。
第十六条省级以上网信部门和相关部门发现获证个人信息处理者存在较大风险或发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按要求整改,消除隐患。
第十七条履行个人信息保护职责的相关部门、专业认证机构及其职员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,并采取相应的技术措施和其它必要措施,保障相关数据不得泄露或非法向他人提供、非法使用。
第十八条国家增进个人信息出境个人信息保护认证活动的国际交流与合作,推动个人信息出境个人信息保护认证与其它国家、地区、国际组织之间的互认。
第十九条违反本办法规定的,依据《中华人民共和国个人信息保护法》、《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
第贰十条本办法自年月日起施行。