粵港澳大灣區(內地、澳門)個人信息跨境流動標準合約實施指引發佈

新京報訊 今日,國家互聯網信息辦公室、澳門特別行政區政府經濟及科技發展局、澳門特別行政區政府個人資料保護局發佈公告:

落實《中華人民共和國國家互聯網信息辦公室與澳門特別行政區政府經濟財政司關於促進粵港澳大灣區數據跨境流動的合作備忘錄》關於「共同製定粵港澳大灣區個人信息跨境標準合約並組織推動實施,加強個人信息跨境標準合約備案管理」的合作措施,國家互聯網信息辦公室與澳門特別行政區政府經濟及科技發展局、澳門特別行政區政府個人資料保護局共同製定《粵港澳大灣區(內地、澳門)個人信息跨境流動標準合約實施指引》,現予公佈。

特此公告。

國家互聯網信息辦公室王京濤

澳門特別行政區政府經濟及科技發展局 戴建業

澳門特別行政區政府個人資料保護局楊崇蔚

2024年9月10日

粵港澳大灣區(內地、澳門)個人信息跨境流動標準合約實施指引

第一條 為促進粵港澳大灣區個人信息跨境安全有序流動,推動粵港澳大灣區高質量發展,落實《中華人民共和國國家互聯網信息辦公室與澳門特別行政區政府經濟財政司關於促進粵港澳大灣區數據跨境流動的合作備忘錄》(以下簡稱備忘錄),國家互聯網信息辦公室、澳門特別行政區政府經濟及科技發展局、澳門特別行政區政府個人資料保護局共同製定本實施指引。

第二條 《粵港澳大灣區(內地、澳門)個人信息跨境流動標準合約》(以下簡稱標準合約,見附件1)為備忘錄下有關促進粵港澳大灣區個人信息跨境流動的便利措施。粵港澳大灣區個人信息處理者及接收方可以按照本實施指引要求,通過訂立標準合約的方式進行粵港澳大灣區努內地和澳門之間的個人信息跨境流動。被相關部門、地區告知或者公開發佈為重要數據的個人信息除外。

個人信息處理者及接收方應註冊於(適用於組織)/位於(適用於個人)粵港澳大灣區內地部分,即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市,或者澳門特別行政區。

第三條 通過訂立標準合約的方式開展個人信息跨境提供的,應當堅持自主締約與備案管理相結合、保護個人信息權益與防範風險相結合,保障個人信息跨境安全、自由流動。

第四條 按照本實施指引,通過訂立標準合約跨境提供個人信息的,應當履行標準合約列明的義務和責任,包括滿足以下條件:

(一)個人信息處理者跨境提供個人信息前,應當按照個人信息處理者屬地法律法規要求告知個人信息主體或者取得個人信息主體的同意;

(二)不得向粵港澳大灣區以外的組織、個人提供。

第五條 個人信息處理者按照本實施指引,通過訂立標準合約跨境提供個人信息前,應當開展個人信息保護影響評估,重點評估以下內容:

(一)個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性;

(二)對個人信息主體權益的影響及安全風險;

(三)接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。

第六條 標準合約應當嚴格按照本實施指引附件訂立,合約生效後方可開展個人信息跨境提供。

個人信息處理者可以與接收方約定其他條款,但不得與標準合約相衝突。

第七條 個人信息處理者及接收方應在標準合約生效之日起10個工作日內按照屬地向廣東省互聯網信息辦公室或者澳門特別行政區政府個人資料保護局進行標準合約備案,提交如下材料:

(一)承諾書(模板見附件2);

(二)標準合約;

(三)屬地監管機構要求的其他材料。

個人信息處理者及接收方應當對所備案材料的真實性負責。

第八條 跨境提供個人信息的目的、範圍、種類、方式,或者接收方處理個人信息的用途、方式發生變化,延長保存期限,以及發生影響或者可能影響個人信息權益其他情況的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合約,並按照個人信息處理者屬地法律法規要求履行備案手續和法定通知義務。

第九條 任何組織和個人發現個人信息處理者或接收方按照本實施指引進行粵港澳大灣區內的個人信息跨境流動,但不履行本實施指引及標準合約要求的義務和責任的,可以向國家互聯網信息辦公室、廣東省互聯網信息辦公室或者澳門特別行政區政府個人資料保護局投訴、舉報。

收到投訴、舉報的部門發現個人信息跨境活動存在較大安全風險或者發生個人信息安全事件的,可以要求個人信息處理者或者接收方整改;需要交由其他執法部門處置的,交由相關部門依法處置。

第十條 個人信息處理者或接收方在處理個人信息時發生個人信息泄露等安全事件的,應立即採取補救措施,按照屬地規定通知國家互聯網信息辦公室、廣東省互聯網信息辦公室,或者澳門特別行政區政府個人資料保護局等相關監管實體。

第十一條 以上規定並不影響內地履行個人信息保護職責的部門和澳門特別行政區政府個人資料保護局在職責範圍內依法加強個人信息保護和監督管理工作,包括處理與個人信息保護有關的投訴、舉報,調查、處理違法個人信息處理活動等。

第十二條 有關部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得泄露或者非法向他人提供、非法使用。

第十三條 國家互聯網信息辦公室和澳門特別行政區政府經濟及科技發展局、澳門特別行政區政府個人資料保護局可以根據實際情況,經協商一致後對本實施指引及附件進行修訂。

第十四條 本實施指引自公佈之日起生效。

編輯 陳豔婷