《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范V2.0》發布
發布時間 2022-12-20為支撐個人信息保護認證實施,指導個人信息處理者規范開展個人信息跨境處理活動,全國信息安全標準化技術委員會發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范V2.0》(以下簡稱《實踐指南》)。
《實踐指南》規定了跨境處理個人信息應遵循的基本原則、個人信息處理者和境外接收方在個人信息跨境處理活動的個人信息保護、個人信息主體權益保障等方面內容。
《實踐指南》規定,申請認證的個人信息處理者應取得合法的法人資格,正常經營且具有良好的信譽、商譽。跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動可由境內一方申請認證,并承擔法律責任。《中華人民共和國個人信息保護法》第三條第二款規定的境外個人信息處理者,可由其在境內設置的專門機構或指定代表申請認證,并承擔法律責任。
其中,個人信息跨境處理規則如下:
開展個人信息跨境處理活動的個人信息處理者和境外接收方應約定并共同遵守同一個人信息跨境處理規則,規則應至少包括下列事5項:
明確跨境處理個人信息的基本情況,包括個人信息數量、范圍、種類、敏感程度等;
明確跨境處理個人信息的目的、方式和范圍;
明確個人信息境外存儲的起止時間及期滿后的處理方式;
明確跨境處理個人信息需要中轉的國家或者地區;
明確保障個人信息主體權益所需資源和采取的措施;
明確個人信息安全事件的賠償、處置規則。
