个人信息跨境处理活动安全认证规范V2.0
2022年12月16日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。
认证规范V2.0指出,开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求。本文件包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容,为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
文件全文共计分为6节:https://www.tc260.org.cn/upload/2022-12-16/1671179931039025340.pdf
1 适用情形
本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
2 认证主体
申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。
跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。
《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
3 术语定义
3.1 个人信息主体
个人信息所标识或者关联的自然人。
3.2 个人信息处理者
在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。
3.3 境外接收方
位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。
4 基本原则
a) 合法、正当、必要和诚信原则。个人信息处理者和境外接收方在跨境处理个人信息时应满足法律法规的规定,按照约定目的并采取对个人信息权益影响最小的方式处理个人信息,遵守合同、协议等具有法律约束力文件的约定和承诺,不得违背约定和承诺损害个人信息主体的合法权益。
b) 公开、透明原则。个人信息处理者和境外接收方在跨境处理个人信息时应满足处理规则公开、处理过程透明要求,及时向个人信息主体告知境外接收方的名称或者姓名、联系方式,个人信息跨境处理的目的、范围和处理方式,以及权利、行使权利的方式和程序等,确保个人信息主体了解自身个人信息的跨境处理情况。
c) 信息质量保障原则。个人信息处理者和境外接收方在跨境处理个人信息时应保障个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
d) 同等保护原则。个人信息处理者和境外接收方在跨境处理个人信息时均应采取必要措施,保护所处理个人信息的安全,确保个人信息跨境处理活动达到《中华人民共和国个人信息保护法》等规定的个人信息保护标准。
e) 责任明确原则。个人信息处理者和境外接收方应履行法律法规规定的责任义务,在跨境处理个人信息时应保障个人信息主体权益,并指定境内一方、多方或者境外接收方在境内设置的机构对境外接收方损害个人信息权益的个人信息处理活动承担民事法律责任。
f) 自愿认证原则。鼓励开展个人信息跨境处理活动的个人信息处理者自愿申请个人信息保护认证,充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率方面的作用。
河北省人民政府研究室网络安全信息化学习教育专题(九)
责任编辑: [政言]