國家互聯(lián)網(wǎng)信息辦公室
澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局
澳門特別行政區(qū)政府個人資料保護局
公 告
2024年第1號
落實《中華人民共和國國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟財政司 關(guān)于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》關(guān)于“共同制定粵港澳大灣區(qū)個人信息跨境標(biāo)準(zhǔn)合同并組織推動實施,加強個人信息跨境標(biāo)準(zhǔn)合同備案管理”的合作措施,國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局共同制定《粵港澳大灣區(qū)(內(nèi)地、澳門)個人信息跨境流動標(biāo)準(zhǔn)合同實施指引》,現(xiàn)予公布。
特此公告。
國家互聯(lián)網(wǎng)信息辦公室 王京濤
澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局 戴建業(yè)
澳門特別行政區(qū)政府個人資料保護局 楊崇蔚
2024年9月10日
粵港澳大灣區(qū)(內(nèi)地、澳門)個人信息跨境流動標(biāo)準(zhǔn)合同實施指引
第一條 為促進粵港澳大灣區(qū)個人信息跨境安全有序流動,推動粵港澳大灣區(qū)高質(zhì)量發(fā)展,落實《中華人民共和國國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟財政司 關(guān)于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》(以下簡稱備忘錄),國家互聯(lián)網(wǎng)信息辦公室、澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局共同制定本實施指引。
第二條 《粵港澳大灣區(qū)(內(nèi)地、澳門)個人信息跨境流動標(biāo)準(zhǔn)合同》(以下簡稱標(biāo)準(zhǔn)合同,見附件1)為備忘錄下有關(guān)促進粵港澳大灣區(qū)個人信息跨境流動的便利措施?;浉郯拇鬄硡^(qū)個人信息處理者及接收方可以按照本實施指引要求,通過訂立標(biāo)準(zhǔn)合同的方式進行粵港澳大灣區(qū)內(nèi)內(nèi)地和澳門之間的個人信息跨境流動。被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的個人信息除外。
個人信息處理者及接收方應(yīng)注冊于(適用于組織)/位于(適用于個人)粵港澳大灣區(qū)內(nèi)地部分,即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市,或者澳門特別行政區(qū)。
第三條 通過訂立標(biāo)準(zhǔn)合同的方式開展個人信息跨境提供的,應(yīng)當(dāng)堅持自主締約與備案管理相結(jié)合、保護個人信息權(quán)益與防范風(fēng)險相結(jié)合,保障個人信息跨境安全、自由流動。
第四條 按照本實施指引,通過訂立標(biāo)準(zhǔn)合同跨境提供個人信息的,應(yīng)當(dāng)履行標(biāo)準(zhǔn)合同列明的義務(wù)和責(zé)任,包括滿足以下條件:
(一)個人信息處理者跨境提供個人信息前,應(yīng)當(dāng)按照個人信息處理者屬地法律法規(guī)要求告知個人信息主體或者取得個人信息主體的同意;
(二)不得向粵港澳大灣區(qū)以外的組織、個人提供。
第五條 個人信息處理者按照本實施指引,通過訂立標(biāo)準(zhǔn)合同跨境提供個人信息前,應(yīng)當(dāng)開展個人信息保護影響評估,重點評估以下內(nèi)容:
(一)個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當(dāng)性、必要性;
(二)對個人信息主體權(quán)益的影響及安全風(fēng)險;
(三)接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障跨境提供的個人信息安全。
第六條 標(biāo)準(zhǔn)合同應(yīng)當(dāng)嚴格按照本實施指引附件訂立,合同生效后方可開展個人信息跨境提供。
個人信息處理者可以與接收方約定其他條款,但不得與標(biāo)準(zhǔn)合同相沖突。
第七條 個人信息處理者及接收方應(yīng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)按照屬地向廣東省互聯(lián)網(wǎng)信息辦公室或者澳門特別行政區(qū)政府個人資料保護局進行標(biāo)準(zhǔn)合同備案,提交如下材料:
(一)承諾書(模板見附件2);
(二)標(biāo)準(zhǔn)合同;
(三)屬地監(jiān)管機構(gòu)要求的其他材料。
個人信息處理者及接收方應(yīng)當(dāng)對所備案材料的真實性負責(zé)。
第八條 跨境提供個人信息的目的、范圍、種類、方式,或者接收方處理個人信息的用途、方式發(fā)生變化,延長保存期限,以及發(fā)生影響或者可能影響個人信息權(quán)益其他情況的,個人信息處理者應(yīng)當(dāng)重新開展個人信息保護影響評估,補充或者重新訂立標(biāo)準(zhǔn)合同,并按照個人信息處理者屬地法律法規(guī)要求履行備案手續(xù)和法定通知義務(wù)。
第九條 任何組織和個人發(fā)現(xiàn)個人信息處理者或接收方按照本實施指引進行粵港澳大灣區(qū)內(nèi)的個人信息跨境流動,但不履行本實施指引及標(biāo)準(zhǔn)合同要求的義務(wù)和責(zé)任的,可以向國家互聯(lián)網(wǎng)信息辦公室、廣東省互聯(lián)網(wǎng)信息辦公室或者澳門特別行政區(qū)政府個人資料保護局投訴、舉報。
收到投訴、舉報的部門發(fā)現(xiàn)個人信息跨境活動存在較大安全風(fēng)險或者發(fā)生個人信息安全事件的,可以要求個人信息處理者或者接收方整改;需要交由其他執(zhí)法部門處置的,交由相關(guān)部門依法處置。
第十條 個人信息處理者或接收方在處理個人信息時發(fā)生個人信息泄露等安全事件的,應(yīng)立即采取補救措施,按照屬地規(guī)定通知國家互聯(lián)網(wǎng)信息辦公室、廣東省互聯(lián)網(wǎng)信息辦公室,或者澳門特別行政區(qū)政府個人資料保護局等相關(guān)監(jiān)管實體。
第十一條 以上規(guī)定并不影響內(nèi)地履行個人信息保護職責(zé)的部門和澳門特別行政區(qū)政府個人資料保護局在職責(zé)范圍內(nèi)依法加強個人信息保護和監(jiān)督管理工作,包括處理與個人信息保護有關(guān)的投訴、舉報,調(diào)查、處理違法個人信息處理活動等。
第十二條 有關(guān)部門及其工作人員對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十三條 國家互聯(lián)網(wǎng)信息辦公室和澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局可以根據(jù)實際情況,經(jīng)協(xié)商一致后對本實施指引及附件進行修訂。
第十四條 本實施指引自公布之日起生效。