当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引
2023-12-18 10:56:49
浏览量:0
国家互联网信息办公室
香港创新科技及工业局
公 告
2023年3号
落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,现予公布。
特此公告。
附件:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
国家互联网信息办公室 王京涛
香港特区政府创新科技及工业局 孙 东
2023年12月10日
粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引
第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局
关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。
第二条 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称标准合同,见附件1)为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。
粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。
第三条 通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。
第四条 按照本实施指引,通过订立标准合同跨境提供个人信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:
(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意;
(二)不得向粤港澳大湾区以外的组织、个人提供。
第五条 个人信息处理者按照本实施指引,通过订立标准合同跨境提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
(二)对个人信息主体权益的影响及安全风险;
(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。
个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。
第七条 跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
第八条 个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案,提交如下材料:
(一)法定代表人身份证件影印件;
(二)承诺书(模板见附件2);
(三)标准合同。
个人信息处理者及接收方应当对所备案材料的真实性负责。
第九条 个人信息处理者及接收方接受属地监管机构的监督管理,包括但不限于:
(一)根据标准合同第二条第七项及第十项,个人信息处理者答复监管机构的询问及对合同的义务和责任的履行承担举证责任;
(二)根据标准合同第三条第十二项,接收方应接受监管机构的监督管理,包括服从监管机构作出的决定以及提供已采取必要行动的证明等;
(三)根据标准合同第六条第二项,个人信息处理者解除标准合同时,通知监管机构。
第十条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署投诉、举报。
收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门依法处置。
第十一条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。
第十二条 以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
第十三条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十四条 国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况,经协商一致后对本实施指引及附件进行修订。
第十五条 本实施指引自发布之日起生效。
本文来源:中国网信网编辑,版权归原作者所有,如有侵权请联系后台删除
附件详看:http://www.cac.gov.cn/2023-12/
13/c_1704042786237103.htm
*整理编辑:A隐小私(yinxiaosi00)
如何学习法律、IT、人力资源、销售和营销、采购、财务和信息安全?一起了解注册信息隐私专家IAPP CIPP!
注册信息隐私专家CIPP
基本概念:
注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示你知道隐私法律和法规以及如何应用它们,并且你知道如何确保在信息经济中的地位。
因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。
注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。
学习内容:
CIPP/E
Introduction to European Data Protection欧洲数据保护导论
European Regulatory Institutions欧洲监管机构
Legislative Framework立法框架
Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规
International Data Transfers国际数据传输
CIPP/A
Fundamental Privacy Principles基本隐私原则
Singapore Privacy Laws and Practices新加坡隐私法律和实践
Hong Kong Privacy Laws and Practices香港私隐法和实践
India Privacy Law and Practices印度隐私法和实践
Common Themes Among Principle Frameworks原则框架中的共同主题
CIPP/US(U.S. private-sector)
Introduction to the U.S. Privacy Environment美国隐私环境简介
Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制
Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问
Workplace Privacy工作场所隐私
State Privacy Laws州隐私法
CIPP/C
Canadian Privacy Fundamentals加拿大隐私基础
The Canadian Government and Legal System加拿大政府与法律制度
Enforcement Agencies and Powers执法机构和权力
Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践
Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践
适用群体:
CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员
👇👇更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00👇👇
-END-
