内地个人信息保护法规
内地《个人信息保护法》
I. 简介
《个人信息保护法》于2021年8月20日经全国人大常委会通过,已于2021年11月1日起施行。这是内地首部针对个人信息保护而订立的法律。
《个人信息保护法》规范个人讯息的处理活动,保护个人信息的权益,并规定处理个人信息须遵循合法、正当、诚信、最少必要以及公开透明的原则,并且须具有明确、合理的目的。
个人有权向个人信息处理者(相当于香港《个人资料(私隐)条例》下的「资料使用者」)查阅、复制、更正以及要求删除其个人信息,亦有权要求个人信息处理者提供转移其个人信息至其他处理者的途径。
个人信息处理者在处理属未满十四周岁未成年人的个人信息时,须取得其父母或监护人的同意,及须制定专门的个人信息处理规则。
《个人信息保护法》禁止利用个人信息进行自动化决策以对个人在交易价格等交易条件上实施不合理的差别待遇(即俗称「杀熟」行为)。此外,如果个人信息处理者通过自动化决策方式向个人进行信息推送或商业营销,须向个人提供不针对其个人特征的选项或便捷的拒绝方式。
个人信息处理者如要向境外提供个人信息,须取得个人的单独同意,以及符合特定条件,例如通过国家网信部门组织的安全评估、取得规定的认证、或签定国家网信部门制定的标准合同等。
《个人信息保护法》具境外效力。境外机构如为向境内自然人提供产品或者服务,或者为分析、评估境内自然人的行为等而处理境内自然人的个人信息,亦须遵守《个人信息保护法》的规定,及在境内设立专门机构或代表。
国家网信部门将负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门亦会在各自职责范围内负责个人信息保护和监督管理工作。
违反《个人信息保护法》规定的个人信息处理者,最高可被罚款人民币五千万元,或上一年度营业额的百份之五,并可被责令停业整顿、吊销相关业务许可或营业执照等。
有关《个人信息保护法》的全文,可参阅全国人大的网页:
https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
II. 内地《个人信息保护法》的重点
III. 公署出版与《个人信息保护法》相关的刊物及文章
IV. 内地与个人信息跨境提供相关的主要法规及文件 (节录)
V. 促进粤港澳大湾区个人信息跨境流动的便利措施
VI. 内地其他与保障个人信息有关的主要监管发展
免责声明
本网页所载的资讯只作一般参考用途,并非为《个人信息保护法》及任何其他在本网页提及的法规或文件的应用提供详尽指引,亦不构成法律意见。个人资料私隐专员并没有就本网页内所载的资讯的准确性或个别目的或使用的适用性作出明示或隐含保证。个别机构或人士为符合《个人信息保护法》或其他内地法规或文件的规定,应寻求专业的法律意见。
II. 内地《个人信息保护法》的重点
以下是《个人信息保护法》的重点。
| 1. 立法目的 | 保护个人信息权益、规范个人信息处理活动及促进个人信息的合理利用1。 |
| 2. 规管对象 |
《个人信息保护法》规管在境内处理自然人个人信息的活动2,包括国家机关处理个人信息的活动3。 个人信息处理者是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人4。 |
| 3. 境外效力 |
如在下列情形下在境外处理境内自然人个人信息,亦适用《个人信息保护法》5:
(1) 为向境内自然人提供产品或者服务, |
| 4. 个人信息的定义 | 个人信息是以电子或者其他方式记录,并与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息6。 |
| 5. 敏感个人信息的定义 |
敏感个人信息是指一旦洩露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到严重危害的个人信息,包括︰生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及未满十四周岁未成年人的个人信息7。 |
| 6. 透明度 |
处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理目的、方式和范围8。 个人信息处理者在处理个人信息前,应当以显着方式、清晰易懂的语言真实、准确、完整地向个人告知 (1) 其名称或者姓名和联系方式; (2) 处理目的、方式、个人信息种类及保存期限;以及 (3) 个人行使权利的方式和程序等事项9。 个人信息处理者如透过制定个人信息处理规则的方式提供上述资料,处理规则应当公开,而且便于查阅和保存10。 个人信息处理者如因合并、分立、解散、被宣告破产等原因需要转移个人信息,应当向个人告知接收方的名称或者姓名和联系方式11。 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意12。 |
| 7. 收集、使用及披露等 |
个人信息的处理是指包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等13。 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过欺诈、误导、胁迫等方式14。 处理个人信息应当具有明确、合理的目的,并限于与处理目的直接相关,以及采取对个人权益影响最小的方式。收集个人信息应当限于实现处理目的的最小范围,不得过度15。 个人信息处理者只可在《个人信息保护法》列明的情况下处理个人信息,即(1) 取得个人的同意; (2)为订立、履行合同,或者为实施人力资源管理所必需; (3)为履行法定职责或义务所必需; (4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报导、舆论监督等行为,在合理的范围内处理个人信息;(6)在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;及(7)法律、行政法规规定的其他情形16。 任何组织、个人不得非法收集、使用、加工、传输、买卖、提供或公开他人的个人信息,以及不得从事危害国家安全、公共利益的个人信息处理活动17。 在公共场所安装图像采集、个人身份识别设备,应当维护公共安全所必需,并设置显着的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意18。 自然人因个人或者家庭交易处理个人信息的,不适用《个人信息保护法》19。 另外,个人信息处理者须在具有特定的目的和充分的必要性,并采取严格保护措施的情况下,方可处理敏感个人信息20。处理敏感个人信息应当取得个人的单独同意21。个人信息处理者应当在处理敏感个人信息前,进行个人信息保护影响评估,并将有关报告和记录保存至少三年22。个人信息处理者处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响23。 个人信息处理者如处理未满十四周岁未成年人的个人信息,应当制定专门的个人信息处理规则24。 |
| 8. 同意 |
个人的同意是指由个人在充分知情的前提下,自愿、明确作出同意表示。法规规定应当取得个人单独同意或者书面同意的,从其规定25。 取得个人的同意是其中一个合法处理个人信息的情况26。 当处理目的、方式和个人信息种类有变更,应当重新取得个人同意27。 如果个人信息处理者处理已公开的个人信息会对个人权益有重大影响,应当取得个人同意28。 个人信息处理者于在特定情况下须取得个人的单独同意,包括︰
个人信息如属未满十四周岁的未成年人,个人信息处理者应当取得其父母或监护人的同意34。 个人信息处理者不得以个人不同意处理或撤回同意为由,拒绝提供产品或者服务。处理个人信息属于提供产品或者服务所必需的除外35。 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式36。 |
| 9. 准确性 | 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响37。 |
| 10. 保安 |
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全38。 个人信息处理者如委讬第三方处理个人信息,应当与受讬人约定委讬处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受讬人的个人信息处理活动进行监督39。 接受委讬处理个人信息的受讬人,亦应当采取必要措施保障所处理的个人信息的安全40。 |
| 11. 保存期限 |
个人信息的保存期限应当为实现处理目的所必要的最短时间41。 个人信息处理者应当在《个人信息保护法》列明的情况下主动或者根据个人的请求删除个人信息,例如 (1) 当保存期限已届满、 (2) 处理目的已实现、无法实现或为实现处理目的不再必要、 (3) 个人撤回同意;或 (4) 个人信息处理者停止提供产品或服务等42。 |
| 12. 问责与管治 |
个人信息处理者应当根据个人信息的处理目的、方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下述措施确保个人信息处理活动符合法规,并防止未经授权的访问以及个人信息洩露、篡改、丢失,措施包括︰ (1) 制定内部管理制度和操作规程; (2) 对个人信息实行分类管理;以及 (3) 采取加密和去标识化安全技术措施43。 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督44。 受《个人信息保护法》规管的境外个人信息处理者,应当在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务45。 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计46。 个人信息处理者应当在下列情况进行个人信息保护影响评估︰ (1) 处理敏感个人信息; (2) 利用个人信息进行自动化决策; (3) 委讬他人处理个人信息、向其他个人信息处理者提供或公开个人信息; (4) 向境外提供个人信息;或 (5) 进行对个人权益有重大影响的个人信息处理活动。有关评估报告和记录须保存至少三年47。 |
| 13. 互联网平台的义务 |
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行特定义务,包括 (1) 建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(2) 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务; (3) 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;以及 (4) 定期发布个人信息保护社会责任报告,接受社会监督48。 |
| 14. 外洩通报 |
当发生或可能发生个人信息洩露、篡改、丢失时,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人,通知应当包括 (1) 涉事的信息种类、事故原因和可能造成的危害;及 (2) 个人信息处理者已采取的补救措施和个人可以采取的减轻危害的措施等49。 个人信息处理者如认为采取的措施能够有效避免信息洩露、篡改、丢失造成的危害,可以不通知个人。但履行个人信息保护职责的部门如认为个人信息洩露可能对个人造成危害,有权要求个人信息处理者通知个人50。 |
| 15. 跨境资料转移 |
个人信息处理者如因业务等需要而需向境外提供个人信息,须先进行个人信息保护影响评估,并将有关报告和记录保存至少三年51。此外,个人信息处理者亦应当取得个人的单独同意,并且具备下列一项条件52:
如国家缔结或者参加的国际条约、协定对境外提供个人信息的条件等有规定,可以按照其规定执行53。 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准54。 此外,个人信息处理者亦应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、方式、个人信息的种类以及个人行使《个人信息保护法》规定权利的方式和程序等事项55。 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息储存在境内。如确需向境外提供,应当通过国家网信部门组织的安全评估,除非法规或国家网信部门另有规定可以不进行安全评估56。 |
| 16. 自动化决策 |
自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动57。 个人信息处理者利用个人信息进行自动化决策时应当保证决策的透明度和结果的公平、公正,并且不得对个人在交易价格等交易条件上实行不合理的差别待遇58。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,和拒绝个人信息处理者仅通过自动化决策的方式作出决定59。 通过自动化决策方式进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或向个人提供便捷的拒绝方式60。 个人信息处理者应当在进行自动化决策前,进行个人信息保护影响评估,并将有关报告和记录保存至少三年61。 |
| 17. 查阅及更正权 |
个人有权向个人信息处理者查阅、复制其个人信息,个人信息处理者应当及时提供62。 个人如发现其个人信息不准确或不完整,有权要求个人信息处理者更正、补充63。 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。在拒绝个人行使权利的请求时应当说明理由。个人信息处理者如拒绝请求,个人亦可向人民法院提起诉讼64。 |
| 18. 个人信息可携权 |
个人请求将个人信息转移至其指定的个人信息处理者,如请求符合国家网信部门的规定条件,个人信息处理者应当提供转移的途径65。 |
| 19. 删除权、限制或拒绝个人信息处理 |
个人信息处理者应当主动或者根据个人的请求,在下列其中一种情况出现时删除个人信息66:
若删除个人信息从技术上难以实现,个人信息处理者应当停止除了存储和采取必要的安全保护措施以外的个人信息处理67。 个人有权限制或拒绝他人对其个人信息进行处理,除非法律或行政法规另有规定68。 已去世自然人的近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使查阅、复制、更正、删除等权利69。 |
| 20. 知情权 |
个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外70。 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明71。 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由72。 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼73。 |
| 21. 执法机构 |
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作74。 上述部门统称为履行个人信息保护职责的部门75。 履行个人信息保护职责的部门在履行职责中,如发现违法处理个人信息涉嫌犯罪,应当及时移送公安机关依法处理76。 |
| 22. 罚则 |
违反《个人信息保护法》规定处理个人信息,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得。拒不改正的可处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款77。 如属情节严重,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以禁止他们在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人78。 违反《个人信息保护法》规定,构成违反治安管理行为,依法给予治安管理处罚。构成犯罪可被依法追究刑事责任79。 此外,有关违反《个人信息保护法》的行为亦可被记入信用档案,并予以公示80。 |
| 23. 索偿 / 诉讼 |
如处理个人信息侵害个人信息权益及造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定。如个人因此受到的损失和个人信息处理者因此获得的利益难以确定,则根据实际情况确定赔偿数额81。 个人信息处理者如违反《个人信息保护法》规定处理个人信息,并侵害众多个人的权益,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼82。 |
III. 公署出版与《个人信息保护法》相关的刊物及文章
| 日期 | 刊物/文章 |
|---|---|
| 24/5/2024 | 《致力保障个人资料私隐,促进大湾区之互联互通》 |
| 16/4/2024 | 《香港:粤港澳大湾区个人信息跨境流动标准合同》 |
| 14/3/2024 | 《粤港澳大湾区个人信息跨境流动的可靠框架》 |
| 29/12/2021 | 《内地《个人信息保护法》下跨境资料转移》 |
| 20/12/2021 | 《内地《个人信息保护法》下跨境资料转移》 |
| 每月(由2021年4月起) |
公署每月电子通讯
|
| 18/11/2021 |
《内地〈个人信息保护法〉简介》
|
IV. 内地与个人信息跨境提供相关的主要法规及文件 (节录)
《个人信息保护法》实施后,由内地不同部门发布与个人信息跨境提供相关的主要法规及文件包括︰
| 发布日期 | 实施日期 | 主要相关法规及文件 |
|---|---|---|
| 16/12/2022 | 未有注明 | 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》 |
| 18/11/2022 | 未有注明 | 《个人信息保护认证实施规则》 |
| 7/7/2022 | 1/9/2022 | 《数据出境安全评估办法》 |
| 31/8/2022 | 1/9/2022 | 《数据出境安全评估申报指南(第一版)》 |
| 24/2/2023 | 1/6/2023 | 《个人信息出境标准合同办法》 |
| 30/5/2023 | 1/6/2023 | 《个人信息出境标准合同备案指南(第一版)》 |
| 22/3/2024 | 22/3/2024 | 《促进和规范数据跨境流动规定》 |
| 22/3/2024 | 未有注明 | 《数据出境安全评估申报指南(第二版)》 |
| 22/3/2024 | 未有注明 | 《个人信息出境标准合同备案指南(第二版)》 |
由内地不同部门发布与个人信息跨境提供相关的征求意见稿则包括︰
| 发布日期 | 征求意见稿 |
|---|---|
| 1/11/2023 | 《网络安全标准实践指南 - 粤港澳大湾区跨境个人信息保护要求(征求意见稿)》 |
《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》83
全国信息安全标准化技术委员会(信安标委)于2022年12月16日发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(《规范》)。新版本就同年6月24日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》84 作出修订,提高了对个人信息处理者和境外接收方的要求。
《个人信息保护法》第三十八(二)条订明,进行个人信息跨境处理活动的先决条件之一是经专业机构进行个人信息保护认证。《规范》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考85。
《规范》列明多项跨境处理个人信息的基本原则,要求个人信息处理者和境外接收方两者均需满足法律法规的规定86;同时要求个人信息处理者和境外接收方签订有法律约束力的协议、指定个人信息保护负责人、及于事前进行「个人信息保护影响评估」等87。此外,《规范》亦包括对个人信息主体权益的保障88,包括撤回同意、查阅和删除其个人信息的权利等。修订后的《规范》就各方面对个人信息处理者和境外接收方提出额外和更详细的要求及义务,以配合《数据出境安全评估办法》和《个人信息出境标准合同规定(征求意见稿)》的相关规定。
《规范》的其他主要要求包括︰
- 申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉89;
- 个人信息处理者和境外接收方应设立个人信息保护机构,履行个人信息保护义务90;及
- 客观记录开展的个人信息跨境处理活动,保存记录至少3年并按照相关法律法规要求向国家部门提供相关记录文件91。
《规范》未有提及施行日期,因此可理解为于发布当日(即2022年12月16日)起生效。
《个人信息保护认证实施规则》92
国家巿场监督管理总局 (市监局) 和国家互联网信息办公室 (网信办)于2022年11月18日联合发布《个人信息保护认证实施规则》(《规则》)。《规则》根据《个人信息保护法》第三十八条第一款第(二)项93所提及的个人信息跨境处理活动保护认证提供更明确的指引,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
认证制度属自愿性质。《规则》订明如需开展信息跨境处理活动的个人信息处理者想要取得认证,除了需要符合国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》94的要求外,还需额外符合规范文件TC260-PG-20222A《规范》的要求。
《规则》亦公布两个不同的个人信息保护认证标志85:
(一) 不含跨境处理活动的个人信息保护认证标志如下:
(二) 包含跨境处理活动的个人信息保护认证标志如下:
“ABCD”代表认证机构识别信息。
根据《规则》,个人信息保护认证的认证模式96为:
- 技术验证
- 现场审核
- 获证后持续监督
认证机构所颁发的证书有效期为3年。在有效期内,需要通过认证机构的获证后监督才可保持认证证书的有效性。证书到期而需要延续使用的个人信息处理者应在证书有效期届满前6个月内提出认证委讬,通过认证机构的获证后监督,如符合认证要求就可换发新证书97。
《规则》未有提及施行日期,因此可理解为于发布当日(即2022年11月18日)起生效。
《数据出境安全评估办法》98
网信办于2022年7月7日发布《数据出境安全评估办法》(《办法》),并于2022年9月1日起实施。《办法》乃根据内地的《网络安全法》、《数据安全法》及《个人信息保护法》等法规而制定,以规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
《办法》适用于数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息的安全评估99,而「重要数据」是指「一旦遭到篡改、破坏、洩露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据」。100值得注意的是,信安标委于2022年1月7日发布的《信息安全技术 重要数据识别指南》(征求意见稿)提到,「重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。101」
根据《办法》,数据处理者向境外提供数据,如有以下情形之一,须通过所在地省级网信部门向国家网信部门申报数据出境安全评估102:
- 数据处理者向境外提供重要数据;
- 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
- 自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
就《办法》的适用范围,应与网信办于2024年3月22日发布的《促进和规范数据跨境流动规定》(详见下文)一并阅读。
《办法》要求数据处理者在申报数据出境安全评估前,须开展数据出境风险自评估,重点评估以下事项103:
- 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
- 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
- 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
- 数据出境中和出境后遭到篡改、破坏、洩露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
- 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(统称法律文件)是否充分约定了数据安全保护责任义务;及
- 其他可能影响数据出境安全的事项。
就申报数据出境安全评估的程序上,《办法》要求数据处理者须先向省级网信部门提交申报材料。省级网信部门须于收到申报材料当日起5个工作日内完成查验,并将申报材料齐全的申请报送国家网信部门104。国家网信部门须于收到申报材料当日起7个工作日内,确定是否受理并透过书面通知数据处理者105,以及在发出书面受理通知书当日起45个工作日内完成数据出境安全评估106。情况复杂或需要补充、更正材料的申请,国家网信部门可以适当延长并告知数据处理者预计延长的时间107。《办法》亦设立申请复评的机制,让对评估结果有异议的数据处理者可在收到结果后15个工作日内申请复评,惟复评结果会是最终结论108。《办法》同时赋予有关部门可对故意提交虚假材料的数据处理者依法追究法律责任的权力109。
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,网信办先后于2022年8月31日及2024年3月22日发布了《数据出境安全评估申报指南(第一版)》110及《数据出境安全评估申报指南(第二版)》111,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。
根据《办法》,通过数据出境安全评估的结果有效期为2年,有关期限由评估结果发出当日起计算。《办法》列明数据处理者在有效期内须重新申报评估的情形112:
- 如向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全,或者延长个人信息和重要数据境外保存期限;
- 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的情形;
- 出现影响出境数据安全的其他情形。
就数据出境安全评估的结果有效期,应与网信办于2024年3月22日发布的《促进和规范数据跨境流动规定》(详见下文)一并阅读。
《办法》规定数据处理者须在有效期届满前60个工作日重新申报评估,以继续开展数据出境活动113。
最后,《办法》要求在2022年9月1日前(即《办法》实施前)已经开展的数据出境活动如未符合《办法》规定,须由9月1日起计6个月内完成整改114。
《个人信息出境标准合同办法》115
网信办于2023年2月24日发布《个人信息出境标准合同办法》(《标准合同办法》),并将于2023年6月1日起实施。《标准合同办法》共有十三条规定,并附有个人信息出境标准合同的范本。
《标准合同办法》根据《个人信息保护法》等法律法规而制定116。个人信息处理者如根据《个人信息保护法》第三十八条第(三)项117,透过与境外接收方订立合同以向境外提供个人信息,须按照《标准合同办法》规定订立个人信息出境标准合同(标准合同)118。此外,《标准合同办法》亦订明个人信息处理者可以与境外接收方约定其他条款,但不能与标准合同相冲突119。
《标准合同办法》列明个人信息处理者如同时符合下列情况,可以通过订立标准合同的方式向境外提供个人信息120:
- 非关键信息基础设施运营者;
- 处理个人信息未满100万人的;
- 自上年1月1日起累计向境外提供个人信息不满10万人的;
- 自上年1月1日起累计向境外提供敏感个人信息不满一万人的。
就《标准合同办法》的适用范围,应与网信办于2024年3月22日发布的《促进和规范数据跨境流动规定》(详见下文)一并阅读。
根据《标准合同办法》,个人信息处理者应当严格按照标准合同范本订立121,于向境外提供个人信息前开展个人信息保护影响评估122,并将评估报告连同标准合同于合同生效日起计10个工作天内向所在地省级网信部门备案123。标准合同生效后方可开展个人信息出境活动124。
为了指导和帮助个人信息处理者规范 ˴ 有序备案个人信息出境标准合同,网信办先后于2023年5月30日及2024年3月22日发布了《个人信息出境标准合同备案指南(第一版)》125及《个人信息出境标准合同备案指南(第二版)》126,就个人信息出境标准合同的备案方式、备案流程、备案材料等具体要求作出了说明。
此外,值得注意的是,《标准合同办法》清楚指明个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供127。
就个人信息保护影响评估,《标准合同办法》列明须重点评估的内容如下128︰
- 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
- 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
- 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
- 个人信息出境后遭到篡改、破坏、洩露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
- 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
- 其他可能影响个人信息出境安全的事项。
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
- 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
- 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
- 可能影响个人信息权益的其他情形129。
至于标准合同方面,标准合同范本的内容涵盖个人信息处理者和境外接收方的义务130、境外接收方所在地的个人信息保护政策和法规对合同履行的影响131、个人信息主体的权利132、个人信息主体寻求救济的方式133、违约责任134等。个人信息处理者和境外接收方亦可按需要加入其他条款。
最后,在《标准合同办法》实施前(即2023年6月1日前)已经开展的个人信息出境活动,不符合规定的,应在《标准合同办法》实施之日起6个月内(即2023年11月30日前)完成整改135。
《促进和规范数据跨境流动规定》136
网信办于2024年3月22日发布《促进和规范数据跨境流动规定》(《规定》),并于公布之日起施行。《规定》共有十四条规定,透过列出豁免数据处理者申报数据出境安全评估、订立个人信息出境标准合同、或通过个人信息保护认证的情形等,促进数据依法有序自由流动。
《规定》列明,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估137。而免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形包括:
- 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,当中不包含个人信息或者重要数据138;
- 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据139;
-
数据处理者向境外提供个人信息(当中不包括重要数据),符合下列条件之一140:
- 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
- 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
- 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
- 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
《规定》指出符合下列条件之一的,应当透过所在地省级网信部门向国家网信部门申报数据出境安全评估141:
- 关键信息基础设施运营者向境外提供个人信息或者重要数据;
- 关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证142。
数据处理者向境外提供个人信息的,应当履行告知、取得个人单独同意、进行个人信息保护影响评估等义务143。通过数据出境安全评估的结果有效期为3年。若数据处理者需要继续进行数据出境活动且未发生需要重新申报数据出境安全评估情形的,可以在有效期届满前60个工作日内,向国家网信部门提出延长评估结果的有效期申请。如获批准,有关评估结果可延长有效期3年145。
在国家数据分类分级的保护制度框架下,自由贸易试验区可自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(亦即负面清单)145。有关负面清单经省级网路安全和信息化委员会批准后,应报送国家网信部门、国家数据管理部门作备案。负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
最后,《数据出境安全评估办法》和《个人信息出境标准合同办法》等相关规定若与《规定》不一致,《规定》的条文将作准146。
V. 促进粤港澳大湾区个人信息跨境流动的便利措施
国家互联网信息办公室(网信办)与香港特别行政区政府创新科技及工业局(创科局)于2023年6月29日签署《促进粤港澳大湾区数据跨境流动的合作备忘录》(《合作备忘录》),共同推动粤港澳大湾区数据跨境流动的工作。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(《大湾区标准合同》) 是《合作备忘录》下有关促进粤港澳大湾区个人信息147跨境流动的便利措施,由网信办、创科局及香港个人资料私隐专员公署 (私隐专员公署) 制定。
《行政长官2024年施政报告》宣布,将把在银行、信贷资料及医疗业界试行的《大湾区标准合同》便利措施扩展至各行各业。香港特别行政区政府数字政策办公室于2024年11月1日公布,《大湾区标准合同》便利措施由11月1日起扩展至全港各行各业。
《大湾区标准合同》适用于注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内内地城市(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市及肇庆市)和香港的个人信息处理者148及接收方之间的个人信息跨境流动,即包括由粤港澳大湾区内地城市至香港的个人信息跨境流动,及由香港至粤港澳大湾区内地城市的个人资料跨境流动。
《大湾区标准合同》包括以下八个部分:
第一条 定义
第二条 个人信息处理者(即包括资料使用者)的义务和责任
第三条 接收方的义务和责任
第四条 个人信息主体(即包括资料当事人)的权利
第五条 救济
第六条 合同解除
第七条 违约责任
第八条 其他
根据《大湾区标准合同》,个人信息处理者(涵盖资料使用者)需遵守当中列明的条款。举例来说,个人信息处理者的义务和责任包括但不限于:
- 向个人信息主体(涵盖资料当事人149)告知接收方的名称或者姓名、联系方式、个人信息跨境提供的处理目的、处理方式、个人信息的种类、保存期限、个人信息向接收方的同辖区第三方(如接收方注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地城市,同辖区即粤港澳大湾区内所有内地城市;如接收方注册于(适用于组织)/位于(适用于个人)香港,同辖区只限于香港)提供的情况,以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的,从其规定(参考《大湾区标准合同》第二条第(二)项)。
- 向接收方跨境提供个人信息前,应当按照属地法律法规要求取得个人信息主体同意(参考《大湾区标准合同》第二条第(三)项)。
- 向个人信息主体告知其与接收方通过《大湾区标准合同》约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据《大湾区标准合同》享有第三方受益人的权利(参考《大湾区标准合同》第二条第(四)项)。
-
对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容,并保存个人信息保护影响评估报告至少3年:
- 个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性﹔
- 对个人信息主体权益的影响及安全风险﹔
- 接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
至于接收方,根据《大湾区标准合同》,其义务和责任包括但不限于:
- 不得向粤港澳大湾区以外的组织、个人提供据《大湾区标准合同》接收的个人信息(参考《大湾区标准合同》第三条第(七)项) 。
-
同时符合下列条件的,方可向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息(如接收方注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地城市,同辖区即粤港澳大湾区内所有内地城市;如接收方注册于(适用于组织)/位于(适用于个人)香港,同辖区只限于香港):
- 确有业务需要。
- 已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知的,从其规定。
- 基于个人同意处理个人信息的,应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。
- 按照《大湾区标准合同》附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。
- 接收方所在地的政府部门、司法机构要求接收方提供《大湾区标准合同》下的个人信息的,应当立即通知个人信息处理者(参考《大湾区标准合同》第三条第(十三)项)。
请按此下载《大湾区标准合同》。
为实施《大湾区标准合同》,两地政府订立了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(《大湾区标准合同实施指引》),由2023年12月13日起生效。粤港澳大湾区个人信息处理者及接收方可以按照《大湾区标准合同实施指引》要求,通过订立标准合同的方式进行粤港澳大湾区内地和香港之间的个人信息跨境流动150。
请按此下载《大湾区标准合同实施指引》。
为帮助香港机构理解《大湾区标准合同》的适用性及它与私隐专员公署发出的其它跨境资料转移建议合约条文范本的关系,私隐专员公署亦发出了「跨境资料转移指引:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》」。
请按此下载「跨境资料转移指引:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》」。
请按此阅览香港特别行政区政府数字政策办公室(即前政府资讯科技总监办公室(资科办))的专题网页,以获取进一步资料。
此外,请按以下连结参阅由《大湾区标准合同》下各监管机构发出的参考资料:
| 监管机构 | 范畴 | 参考资料 |
|---|---|---|
| 私隐专员公署 | 个人信息保护影响评估 | |
| 数字政策办公室(即前资科办) | 备案要求 | 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》备案指南 |
| 广东省互联网信息办公室 | 备案要求 | 关于落实《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的通知 |
VI. 内地其他与保障个人信息有关的主要监管发展
| 发布日期 | 实施日期 | 监管文件 | 涉及领域 | 简介 |
|---|---|---|---|---|
| 2024年9月14日 | 尚未实施 | 网络安全技术 人工智能生成合成内容标识方法(征求意见稿) | 人工智能 |
此征求意见稿提供了以显式标识及隐式标识对人工智能生成合成内容(包括文本、音频和视频等)进行标识的详细技术要求。此征求意见稿适用于人工智能生成合成内容服务提供者及网络信息内容传播服务提供者。 全文 |
|
2024年9月14日 (征求意见期于2024年10月14日结束) |
尚未实施 | 人工智能生成合成内容标识办法(征求意见稿) | 人工智能 |
征求意见稿进一步规范人工智能生成合成内容标识,并阐明了(i)人工智能生成合成内容服务提供者、(ii)提供网络信息内容传播平台服务的服务提供者及其用户,以及(iii)互联网应用程序分发平台的义务。 全文 |
| 2024年9月9日 | 未有注明 | 《人工智能安全治理框架》 | 人工智能 |
为落实《全球人工智能治理倡议》,并推动政府、国际组织、企业、科研院所、民间机构和社会公众等各方,就人工智能安全治理达成共识、协调一致,有效防范化解人工智能安全风险。 Mainland Corner 2024年9月专栏 |
| 2024年7月26日 | 尚未实施 | 《国家网络身份认证公共服务管理办法(征求意见稿)》 | 个人信息处理 |
《征求意见稿》提出建设国家统一的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务,从而避免用户在互联网平台进行用户登记、核验真实身份信息时,向互联网平台提供政府发放的身份证号码等明文身份信息。 Mainland Corner 2024年8月专栏 |
| 2024年6月25日 | 未有注明 | 《网络安全标准实践指南 – 大型互联网平台网络安全评估指南》 | 网络安全 |
为帮助大型互联网平台开展网络安全评估,以发现和防范影响或者可能影响社会稳定、公共利益的网络安全风险,《评估指南》提出对大型互联网平台开展网络安全评估的内容和方法。 Mainland Corner 2024年7月专栏 |
|
2024年9月14日 |
未有注明 |
《网络安全标准实践指南 – 敏感个人信息识别指南 》 |
个人信息处理 |
为指导个人信息处理者识别敏感个人信息,并规范有关敏感个人信息的处理、出境和保护,《敏感个人信息识别指南 》就敏感个人信息提出识别方法,列出了常见的敏感个人信息类别和示例。 Mainland Corner 2024年6月专栏有关其征求意见稿的文章 |
| 2024年3月21日 | 2024年10月1日 | 《数据安全技术 数据分类分级规则》 | 数据安全 |
为落实《数据安全法》提出的国家数据分类分级保护制度,《数据安全技术 数据分类分级规则》为数据分类分级的原则、框架、方法和流程,提出识别指南。 Mainland Corner 2024年5月专栏 |
| 2024年2月29日 | 未有注明 | 《生成式人工智能服务安全基本要求》 | 人工智能 |
为支撑《生成式人工智能服务管理暂行办法》的具体落实,《安全基本要求》向提供生成式人工智能服务的服务提供者从语料安全、模型安全、安全措施,和安全评估要求方面提出基本要求。
|
|
2023年12月8日 征求期于2024年1月7日完结 |
尚未实施 | 《网络安全事件报告管理办法(征求意见稿)》 | 网络安全 |
为规范网络安全事件的报告和减少网络安全事件所造成的损失和危害,《管理办法》的征求意见稿就网络安全事件的报告程序和各主管部门的职责作出明确规定。 全文 |
| 2023年10月16日 | 2024年1月1日 | 《未成年人网络保护条例》 | 儿童私隐 |
根据《未成年人保护法》、《个人信息保护法》及《网络安全法》等法规而制定,当中的规定除保护未成年人的个人信息外,亦涵盖网络素养培育、网络信息内容规范及网络沉迷防止等方面。 全文Mainland Corner 2024 年1月专栏 |
| 2023年8月25日 | 未有注明 | 《网络安全标准实践指南 – 生成式人工智能服务内容标识方法》 | 人工智能 |
指南围绕文本、图片、音讯、视频四类生成内容,给出了标识的实践指引。指南可用于指导生成式人工智能提供者提高内容标识水准,也可为主管监管部门提供参考。 |
|
2023年8月9日 征求期于2023年10月8日完结 |
尚未实施 | 《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》 | 个人信息处理 |
适用于规范个人信息处理者的敏感个人信息处理活动,也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。 |
|
2023年8月8日 征求期于2023年9月7日完结 |
尚未实施 | 《人脸识别技术应用安全管理规定(试行)(征求意见稿)》 | 人脸识别技术 |
为规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全。适用于境内利用人脸识别技术处理人脸信息,提供人脸识别技术产品或者服务。 |
|
2023年8月3日 征求期已于2023年9月2日完结 |
尚未实施 | 《个人信息保护合规审计管理办法 (征求意见稿)》 | 个人信息处理 |
适用于定期开展个人信息保护合规审计的个人信息处理者,或者按照履行个人信息保护职责的部门要求委讬专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理。 |
|
2023年8月2日 征求期已于2023年9月2日完结 |
尚未实施 | 《移动互联网未成年人模式建设指南 (征求意见稿)》 | 儿童私隐 |
旨在更好发挥互联网积极作用,营造良好网络环境,预防和干预未成年人网络沉迷问题,引导未成年人形成良好的网络使用习惯。规定了各类移动智能终端、移动互联网应用程式,以及移动互联网应用程式分发服务平台均需开展研发和应用未成年人模式,并满足由国家网信部门所发布的基本要求、功能要求和管理要求。 |
| 2023年7月10日 | 2023年8月15日 | 《生成式人工智能服务管理暂行办法》 | 人工智能 |
适用于利用生成式人工智能向境内公众提供生成文本、图片、音频、视频等内容的服务,并要求有关服务提供者在向公众提供具有舆论属性或者社会动员能力的生成式人工智能服务时,应开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案等手续。 |
| 2024年6月12日 |
2024年8月1日 |
《网络暴力信息治理规定》 | 网络安全 |
适用于境内网络暴力信息的治理活动,透过要求网络信息服务提供者履行信息内容管理主体责任,建立完善网络暴力信息的治理机制、健全帐号管理、信息发布审核、监测预警、举报救助和网络暴力信息处置等制度,以达到强化网络暴力信息治理,并营造良好网络生态的目标。 |
| 2023年5月23日 | 2023年12月1日 | 《信息安全技术 个人信息处理中告知和同意的实施指南》 (GB/T 42574-2023) | 个人信息处理 |
就个人信息处理者在不同场景下应向个人提出告知的具体方法和步骤,以及取得其同意的实施方法提供清晰的实务指引。由于《个人信息保护法》未曾就「告知」、「同意」及「单独同意」等作出任何释义,《实施指南》所提出的定义及详细指引将具指导性参考价值。 |
| 2022年11月25日 | 2023年1月10日 | 《互联网信息服务深度合成管理规定》 | 人工智能 |
适用于在境内应用深度合成技术提供互联网信息服务,并就全国深度合成服务的治理和相关监督管理工作作出明确规范。 |
| 2021年9月25日 | 2021年9月25日 | 《新一代人工智能伦理规范》 | 人工智能 |
《新一代人工智能伦理规范》旨在将伦理道德融入人工智能整个生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。 全文 |
| 2021年6月10日 | 2021年9月1日 | 《数据安全法》 | 数据安全 |
适用于在境内开展的数据处理活动及其安全监管,并确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,由国家网信部门负责统筹协调网络数据安全和相关监管工作。 |
| 2016年11月7日 | 2017年6月1日 | 《网络安全法》 | 网络安全 |
内地第一部规管网络安全的基本法例。适用于在境内建设、运营、维护和使用网络,主要监管对象为「网络运营者」及「关键信息基础设施运营者」,并由国家网信部门负责统筹协调网络安全工作和相关监督管理工作。 |
| 1 | 《个人信息保护法》第一条 |
| 2 | 《个人信息保护法》第三条 |
| 3 | 《个人信息保护法》第三十三条 |
| 4 | 《个人信息保护法》第七十三条(一) |
| 5 | 《个人信息保护法》第三条 |
| 6 | 《个人信息保护法》第四条 |
| 7 | 《个人信息保护法》第二十八条 |
| 8 | 《个人信息保护法》 第七条 |
| 9 | 《个人信息保护法》第十七条 |
| 10 | 《个人信息保护法》第十七条 |
| 11 | 《个人信息保护法》第二十二条 |
| 12 | 《个人信息保护法》第二十三条 |
| 13 | 《个人信息保护法》第四条 |
| 14 | 《个人信息保护法》第五条 |
| 15 | 《个人信息保护法》第六条 |
| 16 | 《个人信息保护法》第十三条 |
| 17 | 《个人信息保护法》第十条 |
| 18 | 《个人信息保护法》第二十六条 |
| 19 | 《个人信息保护法》第七十二条 |
| 20 | 《个人信息保护法》第二十八条 |
| 21 | 《个人信息保护法》第二十九条 |
| 22 | 《个人信息保护法》第五十五至五十六条 |
| 23 | 《个人信息保护法》第三十条 |
| 24 | 《个人信息保护法》第三十一条 |
| 25 | 《个人信息保护法》第十四条 |
| 26 | 《个人信息保护法》第十三条 |
| 27 | 《个人信息保护法》第十四条及第二十三条 |
| 28 | 《个人信息保护法》第二十七条 |
| 29 | 《个人信息保护法》第二十三条 |
| 30 | 《个人信息保护法》第二十五条 |
| 31 | 《个人信息保护法》第二十九条 |
| 32 | 《个人信息保护法》第二十六条 |
| 33 | 《个人信息保护法》第三十九条 |
| 34 | 《个人信息保护法》第三十一条 |
| 35 | 《个人信息保护法》第十六条 |
| 36 | 《个人信息保护法》第十五条 |
| 37 | 《个人信息保护法》第八条 |
| 38 | 《个人信息保护法》第九条 |
| 39 | 《个人信息保护法》第二十一条 |
| 40 | 《个人信息保护法》第五十九条 |
| 41 | 《个人信息保护法》第十九条 |
| 42 | 《个人信息保护法》第四十七条 |
| 43 | 《个人信息保护法》第五十一条 |
| 44 | 《个人信息保护法》第五十二条 |
| 45 | 《个人信息保护法》第五十三条 |
| 46 | 《个人信息保护法》第五十四条 |
| 47 | 《个人信息保护法》第五十五至五十六条 |
| 48 | 《个人信息保护法》第五十八条 |
| 49 | 《个人信息保护法》第五十七条 |
| 50 | 《个人信息保护法》第五十七条 |
| 51 | 《个人信息保护法》第五十五至五十六条 |
| 52 | 《个人信息保护法》第三十八至三十九条 |
| 53 | 《个人信息保护法》第三十八条 |
| 54 | 《个人信息保护法》第三十八条 |
| 55 | 《个人信息保护法》第三十九条 |
| 56 | 《个人信息保护法》第四十条 |
| 57 | 《个人信息保护法》第七十三条(二) |
| 58 | 《个人信息保护法》第二十四条 |
| 59 | 《个人信息保护法》第二十四条 |
| 60 | 《个人信息保护法》第二十四条 |
| 61 | 《个人信息保护法》第五十五至五十六条 |
| 62 | 《个人信息保护法》第四十五条 |
| 63 | 《个人信息保护法》第四十六条 |
| 64 | 《个人信息保护法》第五十条 |
| 65 | 《个人信息保护法》第四十五条 |
| 66 | 《个人信息保护法》第四十七条 |
| 67 | 《个人信息保护法》第四十七条 |
| 68 | 《个人信息保护法》第四十四条 |
| 69 | 《个人信息保护法》第四十九条 |
| 70 | 《个人信息保护法》第四十四条 |
| 71 | 《个人信息保护法》第四十八条 |
| 72 | 《个人信息保护法》第五十条 |
| 73 | 《个人信息保护法》第五十条 |
| 74 | 《个人信息保护法》第六十条 |
| 75 | 《个人信息保护法》第六十条 |
| 76 | 《个人信息保护法》第六十四条 |
| 77 | 《个人信息保护法》第六十六条 |
| 78 | 《个人信息保护法》第六十六条 |
| 79 | 《个人信息保护法》第七十一条 |
| 80 | 《个人信息保护法》第六十七条 |
| 81 | 《个人信息保护法》第六十九条 |
| 82 | 《个人信息保护法》第七十条 |
| 83 | 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》的通知:https://www.tc260.org.cn/front/postDetail.html?id=20221216161852 |
| 84 | 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知︰ https://www.tc260.org.cn/front/postDetail.html?id=20220624175016 |
| 85 | 《规范》1适用情形 |
| 86 | 《规范》4基本原则 |
| 87 | 《规范》5基本要求 |
| 88 | 《规范》6 个人信息主体权益保障要求 |
| 89 | 《规范》2认证主体 |
| 90 | 《规范》5.2.2 个人信息保护机构 |
| 91 | 《规范》6.2 个人信息处理者和境外接收方的责任义务 |
| 92 | 全文:http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm |
| 93 | 即个人信息处理者因业务等需要,确需向境外提供个人信息,须按照国家网信部门的规定经专业机构进行个人信息保护认证。 |
| 94 | 全文︰https://www.tc260.org.cn/piss/files/zwb .pdf |
| 95 | 《规则》5.2 认证标志 |
| 96 | 《规则》3 认证模式 |
| 97 | 《规则》3 认证模式 |
| 98 | 全文︰http://www.cac.gov.cn/2022-07 /07/c_1658811536396503.htm |
| 99 | 《办法》第二条 |
| 100 | 《办法》第十九条 |
| 101 | 《信息安全技术 重要数据识别指南》(征求意见稿)3.1重要数据 |
| 102 | 《办法》第四条 |
| 103 | 《办法》第五条 |
| 104 | 《办法》第七条 |
| 105 | 《办法》第七条 |
| 106 | 《办法》第十二条 |
| 107 | 《办法》第十二条 |
| 108 | 《办法》第十三条 |
| 109 | 《办法》第十一条 |
| 110 | 《数据出境安全评估申报指南(第一版)》:http:/ /www.cac.gov.cn/2022-08/31/c_1663568169996202.htm |
| 111 | 《数据出境安全评估申报指南(第二版)》:https:/ /www.cac.gov.cn/2024-03/22/c_1712783131692707.htm |
| 112 | 《办法》第十四条 |
| 113 | 《办法》第十四条 |
| 114 | 《办法》第二十条 |
| 115 | 《个人信息出境标准合同办法》全文︰http://www.cac .gov.cn/2023-02/24/c_1678884830036813.htm |
| 116 | 《标准合同办法》第一条 |
| 117 | 即个人信息处理者因业务等需要,确需向境外提供个人信息,须按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。 |
| 118 | 《标准合同办法》第二条 |
| 119 | 《标准合同办法》第六条 |
| 120 | 《标准合同办法》第六条 |
| 121 | 《标准合同办法》第四条 |
| 122 | 《标准合同办法》第五条 |
| 123 | 《标准合同办法》第七条 |
| 124 | 《标准合同办法》第六条 |
| 125 | 《个人信息出境标准合同备案指南(第一版)》: http: //www.cac.gov.cn/2023-05/30/c_1687090906222927.htm |
| 126 | 《个人信息出境标准合同备案指南(第二版)》: https: //www.cac.gov.cn/2024-03/22/c_1712783131692707.htm |
| 127 | 《标准合同办法》第四条 |
| 128 | 《标准合同办法》第五条 |
| 129 | 《标准合同办法》第八条 |
| 130 | 标准合同范本第二及第三条 |
| 131 | 标准合同范本第四条 |
| 132 | 标准合同范本第五条 |
| 133 | 标准合同范本第六条 |
| 134 | 标准合同范本第八条 |
| 135 | 标准合同范本第十三条 |
| 136 | 《促进和规范数据跨境流动规定》: https://www. cac.gov.cn/2024-03/22/c_1712776611775634.htm |
| 137 | 《规定》第二条 |
| 138 | 《规定》第三条 |
| 139 | 《规定》第四条 |
| 140 | 《规定》第五条 |
| 141 | 《规定》第七条 |
| 142 | 《规定》第八条 |
| 143 | 《规定》第十条 |
| 144 | 《规定》第九条 |
| 145 | 《规定》第六条 |
| 146 | 《规定》第十三条 |
| 147 | 根据《大湾区标准合同》,粤港澳大湾区内地个人信息处理者处理的个人信息,按照《中华人民共和国个人信息保护法》确定;香港特别行政区内个人信息处理者处理的个人信息,按照香港特别行政区《个人资料(私隐)条例》的“个人资料”确定。 |
| 148 | 根据《大湾区标准合同》,“个人信息处理者”,就内地而言,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人;就香港特别行政区而言,亦涵盖“资料使用者",即就个人资料而言,指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人。个人信息处理者为个人信息跨境提供方。 |
| 149 | 根据《大湾区标准合同》,“个人信息主体”,就内地而言,是指个人信息所识别或者关联的自然人;就香港特别行政区而言,亦涵盖“资料当事人”,即就个人资料而言,指属该资料的当事人的个人。 |
| 150 | 被相关部门、地区告知或者公开发布为重要数据的个人信息除外。 |