TC260-PG-20222A

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南

—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范

（V2.0-202212）

目錄

摘要....................................................................................................................III

1適用情形..............................................................................................................1

2認(rèn)證主體..............................................................................................................1

3術(shù)語(yǔ)定義..............................................................................................................1

3.1個(gè)人信息主體..............................................................................................1

3.2個(gè)人信息處理者..........................................................................................1

3.3境外接收方.................................................................................................1

4基本原則..............................................................................................................2

5基本要求..............................................................................................................3

5.1具有法律約束力的文件................................................................................3

5.2組織管理....................................................................................................4

5.3個(gè)人信息跨境處理規(guī)則................................................................................5

5.4個(gè)人信息保護(hù)影響評(píng)估................................................................................6

6個(gè)人信息主體權(quán)益保障要求....................................................................................7

6.1個(gè)人信息主體權(quán)利.......................................................................................7

6.2個(gè)人信息處理者和境外接收方的責(zé)任義務(wù)......................................................8

IV

1適用情形

本文件作為認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)進(jìn)行個(gè)人信息保

護(hù)認(rèn)證的認(rèn)證依據(jù)，也為個(gè)人信息處理者規(guī)范個(gè)人信息跨境處理活動(dòng)

提供參考。

2認(rèn)證主體

申請(qǐng)認(rèn)證的個(gè)人信息處理者應(yīng)取得合法的法人資格，正常經(jīng)營(yíng)且

具有良好的信譽(yù)、商譽(yù)。

跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的

個(gè)人信息跨境處理活動(dòng)可由境內(nèi)一方申請(qǐng)認(rèn)證，并承擔(dān)法律責(zé)任。

《中華人民共和國(guó)個(gè)人信息保護(hù)法》第三條第二款規(guī)定的境外個(gè)

人信息處理者，可由其在境內(nèi)設(shè)置的專門機(jī)構(gòu)或指定代表申請(qǐng)認(rèn)證，

并承擔(dān)法律責(zé)任。

3術(shù)語(yǔ)定義

3.1個(gè)人信息主體

個(gè)人信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。

3.2個(gè)人信息處理者

在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織或個(gè)

人。

3.3境外接收方

位于中華人民共和國(guó)境外并自個(gè)人信息處理者處接收個(gè)人信息

的組織或個(gè)人。

1

4基本原則

a)合法、正當(dāng)、必要和誠(chéng)信原則。個(gè)人信息處理者和境外接收方

在跨境處理個(gè)人信息時(shí)應(yīng)滿足法律法規(guī)的規(guī)定，按照約定目的

并采取對(duì)個(gè)人信息權(quán)益影響最小的方式處理個(gè)人信息，遵守合

同、協(xié)議等具有法律約束力文件的約定和承諾，不得違背約定

和承諾損害個(gè)人信息主體的合法權(quán)益。

b)公開、透明原則。個(gè)人信息處理者和境外接收方在跨境處理個(gè)

人信息時(shí)應(yīng)滿足處理規(guī)則公開、處理過(guò)程透明要求，及時(shí)向個(gè)

人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式，個(gè)人

信息跨境處理的目的、范圍和處理方式，以及權(quán)利、行使權(quán)利

的方式和程序等，確保個(gè)人信息主體了解自身個(gè)人信息的跨境

處理情況。

c)信息質(zhì)量保障原則。個(gè)人信息處理者和境外接收方在跨境處理

個(gè)人信息時(shí)應(yīng)保障個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、

不完整對(duì)個(gè)人權(quán)益造成不利影響。

d)同等保護(hù)原則。個(gè)人信息處理者和境外接收方在跨境處理個(gè)人

信息時(shí)均應(yīng)采取必要措施，保護(hù)所處理個(gè)人信息的安全，確保

個(gè)人信息跨境處理活動(dòng)達(dá)到《中華人民共和國(guó)個(gè)人信息保護(hù)

法》等規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

e)責(zé)任明確原則。個(gè)人信息處理者和境外接收方應(yīng)履行法律法規(guī)

規(guī)定的責(zé)任義務(wù)，在跨境處理個(gè)人信息時(shí)應(yīng)保障個(gè)人信息主體

權(quán)益，并指定境內(nèi)一方、多方或者境外接收方在境內(nèi)設(shè)置的機(jī)

2

構(gòu)對(duì)境外接收方損害個(gè)人信息權(quán)益的個(gè)人信息處理活動(dòng)承擔(dān)

民事法律責(zé)任。

f)自愿認(rèn)證原則。鼓勵(lì)開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處

理者自愿申請(qǐng)個(gè)人信息保護(hù)認(rèn)證，充分發(fā)揮認(rèn)證在加強(qiáng)個(gè)人信

息保護(hù)、提高個(gè)人信息跨境處理效率方面的作用。

5基本要求

5.1具有法律約束力的文件

開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方應(yīng)

簽訂具有法律約束力和可執(zhí)行的文件，確保個(gè)人信息主體權(quán)益得到充

分的保障。文件應(yīng)至少明確下列內(nèi)容：

a)個(gè)人信息處理者和境外接收方的基本信息，包括但不限于名

稱、地址、聯(lián)系人姓名、聯(lián)系方式等；

b)個(gè)人信息跨境處理的目的、范圍、類型、敏感程度、數(shù)量、

方式、保存期限、存儲(chǔ)地點(diǎn)等；

c)個(gè)人信息處理者和境外接收方保護(hù)個(gè)人信息的責(zé)任與義務(wù)，

以及為防范個(gè)人信息跨境處理可能帶來(lái)安全風(fēng)險(xiǎn)所采取的技

術(shù)和管理措施等；

d)個(gè)人信息主體的權(quán)利，以及保障個(gè)人信息主體權(quán)利的途徑和

方式；

e)救濟(jì)、合同解除、違約責(zé)任、爭(zhēng)議解決等；

f)境外接收方承諾并遵守同一個(gè)人信息跨境處理規(guī)則，并確保

個(gè)人信息保護(hù)水平不低于中華人民共和國(guó)個(gè)人信息保護(hù)相關(guān)

3

法律、行政法規(guī)規(guī)定的標(biāo)準(zhǔn)；

g)境外接收方承諾接受認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)的持

續(xù)監(jiān)督；

h)境外接收方承諾接受中華人民共和國(guó)個(gè)人信息保護(hù)相關(guān)法

律、行政法規(guī)管轄；

i)明確在中華人民共和國(guó)境內(nèi)承擔(dān)法律責(zé)任的組織，并承諾履

行個(gè)人信息保護(hù)義務(wù)；

j)個(gè)人信息處理者和境外接收方均承諾對(duì)侵害個(gè)人信息權(quán)益行

為承擔(dān)民事法律責(zé)任，并明確約定雙方應(yīng)承擔(dān)的民事法律責(zé)

任；

k)其他應(yīng)遵守的法律、行政法規(guī)規(guī)定的義務(wù)。

5.2組織管理

5.2.1個(gè)人信息保護(hù)負(fù)責(zé)人

開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方均

應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)具備個(gè)人信息保

護(hù)專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷，由本組織的決策層成員擔(dān)任。個(gè)人

信息保護(hù)負(fù)責(zé)人應(yīng)承擔(dān)下列職責(zé)：

a)明確個(gè)人信息保護(hù)工作的主要目標(biāo)、基本要求、工作任務(wù)、保

護(hù)措施；

b)為本組織的個(gè)人信息保護(hù)工作提供人力、財(cái)力、物力保障，確

保所需資源可用；

c)指導(dǎo)、支持相關(guān)人員開展本組織的個(gè)人信息保護(hù)工作，確保個(gè)

4

人信息保護(hù)工作達(dá)到預(yù)期目標(biāo)；

d)向本組織的主要負(fù)責(zé)人匯報(bào)個(gè)人信息保護(hù)工作情況，推動(dòng)個(gè)人

信息保護(hù)工作持續(xù)改進(jìn)。

5.2.2個(gè)人信息保護(hù)機(jī)構(gòu)

開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方均

應(yīng)設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu)，履行個(gè)人信息保護(hù)義務(wù)，防止未經(jīng)授權(quán)的

訪問(wèn)以及個(gè)人信息泄露、篡改、丟失等，并在個(gè)人信息跨境處理活動(dòng)

中承擔(dān)下列職責(zé)：

a)依法制定并實(shí)施個(gè)人信息跨境處理活動(dòng)計(jì)劃；

b)組織開展個(gè)人信息保護(hù)影響評(píng)估；

c)監(jiān)督本組織按照約定的個(gè)人信息跨境處理規(guī)則處理跨境個(gè)人

信息，保護(hù)個(gè)人信息權(quán)益；

d)采取有效措施保證按照約定的處理目的、范圍、方式處理跨

境個(gè)人信息，履行個(gè)人信息保護(hù)義務(wù)，保障個(gè)人信息安全；

e)定期對(duì)本組織處理個(gè)人信息遵守中華人民共和國(guó)法律、行政

法規(guī)的情況進(jìn)行合規(guī)審計(jì)；

f)接受和處理個(gè)人信息主體的請(qǐng)求和投訴；

g)接受認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息跨境處理活動(dòng)的持續(xù)監(jiān)督，包括答

復(fù)詢問(wèn)、配合檢查等。

5.3個(gè)人信息跨境處理規(guī)則

開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方應(yīng)

約定并共同遵守同一個(gè)人信息跨境處理規(guī)則，規(guī)則應(yīng)至少包括下列事

5

項(xiàng)：

a)明確跨境處理個(gè)人信息的基本情況，包括個(gè)人信息數(shù)量、范圍、

種類、敏感程度等；

b)明確跨境處理個(gè)人信息的目的、方式和范圍；

c)明確個(gè)人信息境外存儲(chǔ)的起止時(shí)間及期滿后的處理方式；

d)明確跨境處理個(gè)人信息需要中轉(zhuǎn)的國(guó)家或者地區(qū)；

e)明確保障個(gè)人信息主體權(quán)益所需資源和采取的措施；

f)明確個(gè)人信息安全事件的賠償、處置規(guī)則。

5.4個(gè)人信息保護(hù)影響評(píng)估

個(gè)人信息處理者應(yīng)對(duì)擬向境外接收方提供個(gè)人信息的活動(dòng)開展

個(gè)人信息保護(hù)影響評(píng)估，并形成個(gè)人信息保護(hù)影響評(píng)估報(bào)告，評(píng)估報(bào)

告至少保存3年。評(píng)估報(bào)告應(yīng)至少包括下列事項(xiàng)：

a)個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方

式等的合法性、正當(dāng)性、必要性；

b)跨境處理個(gè)人信息的規(guī)模、范圍、類型、敏感程度、頻率，個(gè)

人信息跨境處理可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn)；

c)境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和

技術(shù)措施、能力等能否保障跨境處理個(gè)人信息的安全；

d)個(gè)人信息跨境處理存在的泄露、損毀、篡改、濫用等的風(fēng)險(xiǎn)，

個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否通暢等；

e)境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)對(duì)履

行個(gè)人信息保護(hù)義務(wù)和保障個(gè)人信息權(quán)益的影響，包括但不限

6

于：

1)境外接收方此前類似的個(gè)人信息跨境傳輸和處理相關(guān)經(jīng)

驗(yàn)、境外接收方是否曾發(fā)生數(shù)據(jù)安全相關(guān)事件及是否進(jìn)行

了及時(shí)有效地處置、境外接收方是否曾收到其所在國(guó)家或

者地區(qū)公共機(jī)關(guān)要求其提供個(gè)人信息的請(qǐng)求及境外接收

方應(yīng)對(duì)的情況；

2)該國(guó)家或地區(qū)現(xiàn)行的個(gè)人信息保護(hù)法律法規(guī)、普遍適用的

標(biāo)準(zhǔn)情況，及與我國(guó)個(gè)人信息保護(hù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)情

況的差異；

3)該國(guó)家或地區(qū)加入的區(qū)域或全球性的個(gè)人信息保護(hù)方面

的組織，以及所做出的具有約束力的國(guó)際承諾；

4)該國(guó)家或地區(qū)落實(shí)個(gè)人信息保護(hù)的機(jī)制，如是否具備個(gè)人

信息保護(hù)的監(jiān)督執(zhí)法機(jī)構(gòu)和相關(guān)司法機(jī)構(gòu)等。

f)其他可能影響個(gè)人信息跨境處理安全的事項(xiàng)。

6個(gè)人信息主體權(quán)益保障要求

6.1個(gè)人信息主體權(quán)利

個(gè)人信息處理者和境外接收方應(yīng)承認(rèn)個(gè)人信息主體享有下列權(quán)

利，并為個(gè)人信息主體行使權(quán)利提供便利條件：

a)個(gè)人信息主體是個(gè)人信息處理者和境外接收方簽訂具有法律

約束力文件中的第三方受益人，有權(quán)要求個(gè)人信息處理者和境

外接收方提供法律文本中涉及個(gè)人信息主體權(quán)益部分的副本，

并向個(gè)人信息處理者和境外接收方主張權(quán)利；

7

b)個(gè)人信息主體對(duì)其個(gè)人信息的處理?yè)碛兄闄?quán)、決定權(quán)、限制

或拒絕他人對(duì)其個(gè)人信息進(jìn)行處理的權(quán)利、查閱權(quán)、復(fù)制權(quán)、

更正與補(bǔ)充的權(quán)利、刪除權(quán)，有權(quán)撤回對(duì)其個(gè)人信息跨境處理

的同意；

c)個(gè)人信息主體行使上述權(quán)利時(shí)，個(gè)人信息主體可請(qǐng)求個(gè)人信息

處理者采取適當(dāng)措施實(shí)現(xiàn)，或直接向境外接收方提出請(qǐng)求。個(gè)

人信息處理者無(wú)法實(shí)現(xiàn)的，應(yīng)通知并要求境外接收方協(xié)助實(shí)

現(xiàn)。個(gè)人信息主體有權(quán)要求個(gè)人信息處理者和境外接收方對(duì)其

個(gè)人信息跨境處理規(guī)則進(jìn)行解釋說(shuō)明；

d)個(gè)人信息主體有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策方

式作出的個(gè)人信息跨境處理決定；

e)個(gè)人信息主體有權(quán)對(duì)違法個(gè)人信息跨境處理活動(dòng)向中華人民

共和國(guó)履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)；

f)個(gè)人信息權(quán)益受到損害時(shí)，個(gè)人信息主體有權(quán)向個(gè)人信息處理

者、境外接收方的任何一方提出賠償要求；

g)個(gè)人信息主體有權(quán)依據(jù)《中華人民共和國(guó)民事訴訟法》確定的

管轄法院向開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和

境外接收方提起司法訴訟；

h)法律、行政法規(guī)規(guī)定的其他權(quán)利等。

6.2個(gè)人信息處理者和境外接收方的責(zé)任義務(wù)

個(gè)人信息處理者和境外接收方應(yīng)履行下列責(zé)任義務(wù)：

a)以電子郵件、即時(shí)通信、信函、傳真等方式告知個(gè)人信息主體

8

開展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方

的基本情況，以及向境外提供個(gè)人信息的目的、類型和保存時(shí)

間，并取得個(gè)人信息主體的單獨(dú)同意；

b)如果境外接收方所在國(guó)家或地區(qū)法律或政策發(fā)生變化，導(dǎo)致境

外接收方無(wú)法履行本認(rèn)證所提出的要求，境外接收方在知道前

述變化后立即通知個(gè)人信息處理者及認(rèn)證機(jī)構(gòu)；

c)按照已簽署的具有法律效力文件約定的處理目的、處理方式、

保護(hù)措施等跨境處理個(gè)人信息，不得超出約定處理個(gè)人信息；

d)境外接收方承諾不將所接收的個(gè)人信息提供給第三方。如確需

提供的，滿足中華人民共和國(guó)有關(guān)法律、行政法規(guī)要求，并采

取必要措施確保第三方個(gè)人信息跨境處理活動(dòng)達(dá)到《中華人民

共和國(guó)個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；

e)為個(gè)人信息主體提供查閱其個(gè)人信息的途徑，個(gè)人信息主體要

求查閱、復(fù)制、更正、補(bǔ)充或者刪除其個(gè)人信息時(shí)，及時(shí)予以

響應(yīng)，拒絕其請(qǐng)求的，說(shuō)明理由；

f)