个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日签署 关于XX的商业合同,如有 。
附件:
个人信息出境标准合同
中华人民共和国国家互联网信息办公室 制定
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的义务和责任,双方经协商一致,特签订本合同,以便共同遵守。
个人信息处理者:
地址:
电话: 邮箱:
联系人: 职务: 国籍:
境外接收方:
地址:
电话: 邮箱:
联系人: 职务: 国籍:
个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日签署 关于XX的商业合同,如有 。
本合同正文系根据《个人信息出境标准合同规定》的要求拟定,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。
第一条 定义
在本合同中,除上下文另有规定外:
(一)个人信息处理者或境外接收方单称“一方”,合称“双方”。
(二)“个人信息”和“敏感个人信息”与《中华人民共和国个人信息保护法》所规定的含义相同。
(三)“个人信息主体”是指个人信息所标识或者关联的自然人。
(四)“个人信息处理者”与《中华人民共和国个人信息保护法》所规定的含义相同。
(五)“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。
(六)“监管机构”是指中华人民共和国省级以上网信部门。
(七)“相关法律法规”是指《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《个人信息出境标准合同规定》等中华人民共和国法律法规和部门规章,以及对前述法律法规和部门规章作出修订、修改或补充的法律法规和部门规章,包括取代原法律法规和部门规章的后续法律法规和部门规章。
(八)本合同其他未定义术语的含义应与相关法律法规规定的含义保持一致。
第二条 个人信息处理者的义务
个人信息处理者在此xx、保证、承诺如下:
(一)个人信息系按照相关法律法规进行收集、使用等处理;出境个人信息范围仅限于实现处理目的所需的最小范围。
(二)已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一“个人信息出境说明”中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,但相关法律法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息,已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,已取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,已取得书面同意,相关法律法规规定无需取得书面同意的除外。
(三)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。
(四)已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施(综合考虑个人信息的类型、数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的等可能带来的个人信息安全风险):
(如加密、匿名化、去标识化、访问控制等技术和管理措施)
(五)经境外接收方要求,向境外接收方提供相关法律规定和技术标准的副本。
(六)将答复来自监管机构关于境外接收方的个人信息处理活动的询问,但双方均同意由境外接收方作出答复的除外;在此情况下,若境外接收方在要求答复的期限内未答复,个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。
(七)已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。评估已考虑:
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
2.出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
4.个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
5.按本合同第四条评估当地个人信息保护政策法规对遵守本合同条款可能造成的影响;
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少3年。
(八)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。
(九)承担证明本合同义务已履行的举证责任。
(十)根据相关法律法规要求向监管机构提供第三条第(十)款所述的信息,包括所有审计结果。
第三条 境外接收方的义务
境外接收方在此xx、保证、承诺如下:
(一)按照附录一“个人信息出境说明”所列约定处理个人信息,除非取得个人信息主体的事先同意。
(二)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。
(三)出境个人信息范围仅限于实现处理目的所需的最小范围。
(四)存储个人信息的期限为实现处理目的所必要的最短时间;超出上述存储期限后,对个人信息(包括所有备份)进行删除或匿名化处理,除非取得个人信息主体关于存储期限的单独同意。受个人信息处理者委托处理个人信息时,在删除或匿名化后,向个人信息处理者提供相关审计报告。
(五)按以下方式保障个人信息处理安全:
1.采取有效的技术和管理措施,以确保个人信息的安全,包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问(以下简称“数据泄露”)。为了履行这一义务,采取第二条第(四)款中规定的技术和管理措施。进行定期检查,以确保这些措施持续维持适当的安全水平;
2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制策略,使前述人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。
(六)如果处理的个人信息发生了数据泄露,将:
1.及时采取适当补救措施,以减轻对个人信息主体造成的不利影响;
2.立即通知个人信息处理者,并根据相关法律法规要求报告中华人民共和国监管机构。通知包含以下内容:
(1)个人信息泄露的原因;
(2)泄露的个人信息种类和可能造成的危害;
(3)已采取的补救措施;
(4)个人可以采取的减轻危害的措施;
(5)负责处理数据泄露的负责人或负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的,通知的内容包含前述第2项的内容;
4.记录并留存所有与数据泄露有关的事实及其影响,包括采取的所有补救措施;
5.受个人信息处理者委托处理个人信息时,由个人信息处理者承担前述第3项所规定的向个人信息主体通知的义务。
(七)不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下要求:
1.确有业务需要提供个人信息;
2.已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,相关法律法规规定无需取得个人单独同意的除外;涉及敏感个人信息的,向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,取得书面同意,相关法律法规规定无需取得书面同意的除外。在难以告知或者难以取得个人信息主体单独同意时,及时告知个人信息处理者,并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意;
3.与第三方达成书面协议,以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任;
4.向个人信息处理者提供该协议副本。
(八)受个人信息处理者委托处理个人信息,转委托第三方处理时,事先征得个人信息处理者同意;确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
(九)利用个人信息进行自动化决策,保证决策的透明度和结果公平、公正,不对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,同时提供不针对其个人特征的选项,或者提供便捷的拒绝方式。
(十)承诺向个人信息处理者提供所有必要的信息,用以证明遵守本合同中规定的义务,允许个人信息处理者对数据文件和文档进行查阅,或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计时,为个人信息处理者自行开展或者委托第三方开展的审计提供便利,并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。
(十一)对开展的个人信息处理活动进行客观记录,保存记录至少3年;按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。
(十二)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明。
第四条 当地个人信息保护政策法规对遵守本合同条款的影响
(一)双方在此保证,经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),会阻止境外接收方履行本合同规定的义务。
(二)双方在此声明,在提供第四条第(一)款中的保证时,已经考虑了以下要素:
1.出境的具体情况,包括涉及传输的个人信息的类型、数量、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况;
2.境外接收方所在国家或者地区的个人信息保护政策法规,包括以下要素:
(1)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况;
(2)该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺;
(3)该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。
(三)境外接收方保证,在根据第四条第(二)款进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。
(四)双方应记录根据第四条第(二)款进行的评估过程和结果。
(五)因境外接收方所在国家或地区的个人信息保护政策法规发生变化(包括境外接收方所在国家或地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应在知道前述变化后立即通知个人信息处理者。
第五条 个人信息主体的权利
双方承认,按照相关法律法规赋予个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利。
(一)个人信息主体依据相关法律法规,拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,以及要求对其个人信息处理规则进行解释说明的权利。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。
(三)境外接收方应当按照个人信息处理者的通知,或根据个人信息主体的请求,在合理时限内实现个人信息主体依照相关法律法规行使的权利。
境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。
(四)如个人信息主体提出过多或不合理要求,尤其是具有重复性的要求,境外接收方可在考虑到要求获准的执行和操作成本后,可以收取合理的费用,或拒绝按其要求行事。
(五)如境外接收方拟拒绝个人信息主体的请求,应告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉、寻求司法救济的途径。
(六)个人信息主体作为本合同第三方受益人有权向个人信息处理者和境外接收方任何一方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:
1.第二条,但第二条第(四)款、第(五)款、第(六)款、第(十)款除外;
2.第三条,但第三条第(六)款第2项和第4项、第(八)款、第(十)款、第(十一)款、第(十二)款除外;
3.第四条;
4.第六条;
5.第七条;
6.第八条第(三)款、第(四)款、第(六)款;
7.第九条第(四)款、第(六)款。
第六条 救济
(一)境外接收方应在组织内部确定一个联系人,授权其答复有关个人信息处理的询问或投诉,并应及时处理个人信息主体的任何询问或投诉。境外接收方应将联系人信息告知个人信息处理者,并以简单易懂的方式,通过单独通知或在其网站公告,告知个人信息主体该联系人信息,具体为:
联系人及联系方式(办公电话或电子邮箱)
(二)双方同意,如个人信息主体与其中一方在遵守本合同方面发生争议,应互相通知对方有关情况,并合作以及时解决争议。
(三)如争议未能友好解决,而个人信息主体根据第六条第(二)款规定行使第三方受益人的权利,境外接收方接受个人信息主体的下列维权主张:
1.向监管机构提出投诉;
2.向第九条第(四)款中规定的法院提起诉讼。
(四)境外接收方同意有关个人信息主体就本合同争议的解决依据为中华人民共和国相关法律法规。
(五)境外接收方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的实体性或程序性权利。
第七条 合同解除
(一)如果境外接收方违反本合同规定的义务,则个人信息处理者可以暂停向境外接收方传输个人信息,直到违约行为被更正或合同被解除。
(二)出现下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:
1.个人信息处理者根据第七条第(一)款的规定暂停向境外接收方传输个人信息的时间超过一个月;
2.境外接收方遵守本合同将违反其所在国家的法律规定;
3.境外接收方严重或持续违反本合同规定的义务;
4.根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定,境外接收方或个人信息处理者违反了本合同的规定;
5.境外接收方破产、解散或清算:无论是以个人还是组织名义提出的有关境外接收方依法解散的请求未在法定期限内被驳回;境外接收方作出解散决定;境外接收方被指定破产管理人;境外接收方自行开展破产、解散或清算程序;境外接收方在其国家或地区出现类似情况;
在前述第1、2或4项的情况下,境外接收方也可以解除本合同。
(三)如果监管机构按照相关法律法规作出个人信息出境相关的决定,例如个人信息出境安全评估等导致本合同无法执行的,则任何一方均可解除本合同。
(四)经双方当事人同意解除合同,但本合同的解除并不免除其在个人信息处理过程中的个人信息保护义务。
(五)合同解除时,境外接收方应及时返还、销毁或匿名化处理其根据本合同所接收到的个人信息,并提供已经销毁或者匿名化处理的审计报告。
第八条 违约责任
(一)双方应就其因违反本合同而给对方造成的任何损害向另一方承担责任。
(二)双方之间的责任限于非违约方所遭受的损失。
(三)每一方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利,应当对个人信息主体承担责任;个人信息主体有权获得赔偿。这不影响个人信息处理者在相关法律法规项下应承担的责任。
(四)个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的,个人信息处理者和境外接收方应对个人信息主体承担连带责任。
(五)双方同意,如果一方(“赔偿方”)因另一方(“被追偿方”)对违反本合同的行为对个人信息主体承担连带责任且赔偿方承担的连带责任超过其应承担的责任份额,则赔偿方有权向被追偿方追偿。
(六)尽管有第八条第(三)款和第八条第(四)款的规定,个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任。
(七)双方同意,个人信息处理者根据第八条第(六)款因境外接收方造成的损害承担责任的,有权向境外接收方追偿。
第九条 其他
(一)如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用。
(二)本合同适用于中华人民共和国相关法律法规。
(三)由一方向其它方发出的所有通知以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或航空挂号信迅速发往或寄往(具体地址) 或书面通知取代该地址的其它地址。如用航空挂号信寄出本合同项下的通知或通讯,则应在邮戳日期后的 天视为收讫,如用电子邮件、电报、电传或传真发出,则应在发出以后的 个工作日视为收讫。
(四)个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据《中华人民共和国民事诉讼法》的规定确定管辖。
(五)个人信息处理者和境外接收方对于双方因合同产生的纠纷以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,应由双方协商解决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构):
1.仲裁。将该争议提交
□中国国际经济贸易仲裁委员会
□中国海事仲裁委员会
□北京仲裁委员会(北京国际仲裁中心)
□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构
按其届时有效的仲裁规则在 (仲裁地点)进行仲裁;
2.诉讼。依法向中国有管辖权的人民法院提起诉讼。
(六)本合同应按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。
(七)本合同正本一式 份,个人信息处理者和境外接收方各执 份,其法律效力相同。
(八)本合同经双方正式签署后成立并立即生效。
本合同由个人信息处理者和境外接收方在 签订。
个人信息处理者: (xx)
法定代表人/委托代理人: (签字或盖章)
年 月 日
境外接收方: (盖章)
法定代表人/委托代理人: (签字或盖章)
年 月 日
附录一
个人信息出境说明
根据本合同向境外提供个人信息的详情约定如下:
(一)传输的个人信息属于下列类别的个人信息主体:
(二)传输是为了以下目的:
(三)传输个人信息的数量:
(四)出境个人信息类别(参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(五)出境敏感个人信息类别(如适用,参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准):
(六)境外接收方传输的个人信息只向以下接收方提供:
(七)传输方式:
(八)出境后存储时间:
(九)出境后存储地点:
(十)其他事项(视情况填写):
附录二
双方约定的其他条款(如需要)