比较维度/政策文件 内地 粤港澳大湾区 香港 《个人信息出境标准合同办法》 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》 2022 年《跨境资料转移指引:建议合约条文范本》 制定原则及背景 第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。 第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,...
附录:
附录一:标准合同涉及政策文件对比
比较维度/政策文件 | 内地 | 粤港澳大湾区 | 香港 |
《个人信息出境标准合同办法》 | 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》 | 2022 年《跨境资料转移指引:建议合约条文范本》 | |
制定原则及背景 | 第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法 规,制定本办法。 | 第一条 为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同制定本实施指引。 | 第一部 引言 鉴于近年处理个人资料日趋数字化及商业全球化,本地企业(尤其中小企业)在拟定合适的合约条款以实行跨境资料转移并确保有关资料得到《个人资料(隐私)条例》(第 486 章)(《私隐条 例》)下要求的相等保障时可能遇到实际困难。同时,随着信息及通讯科技(包括大资料、云端运算、资料分析)的发展及演进,国际间进行资料转移所面临的挑战和 复杂性将会与日俱增。 |
适用范围 | 第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。 | 第二条 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称标准合同,见附件 1)为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。 个人信息处理者及接收方应注册于(适用于组织) | 第一部 引言 个人资料隐私专员公署(隐私公署)拟备了两套跨境资料转移建议合约条文模板(建议条文模板),分别供两种不同的跨境资料转移的情况应用,即(i)由一名资料使用者转移予另一名资料使用者;及(ii)由一名资料使用者转移予一名资料处理者。建议条文模板列举一般的条款及细则,适用于由一香港机构转移个 人资料至另一境外机构;或两个均属香港 |
/位于(适用于个人)粤港澳大湾区内地部分,即 | 境外的机构之间的转移而有关转移由一名 | ||
广东省广州市、深圳市、珠海市、佛山市、惠州 | 香港资料使用者所控制,借以让跨境资料 | ||
市、东莞市、中山市、江门市、肇庆市,或者香港 | 转移的各方能考虑《隐私条例》就此的相 | ||
特别行政区。 | 关规管要求,包括附表 1 的保障资料原则 | ||
(保障资料原则)。 | |||
通过订立标准合 | 第三条 通过订立标准合同的方式开展 | 第三条 通过订立标准合同的方式开展个人信息跨 | 第一部 引言 资料使用者在转移资料到香 |
同的方式开展个 | 个人信息出境活动,应当坚持自主缔 | 境提供的,应当坚持自主缔约与备案管理相结合、 | 港境外的同时亦需要确保符合《隐私条 |
人信息出境活动 | 约与备案管理相结合、保护权益与防 | 保护个人信息权益与防范风险相结合,保障个人信 | 例》的规定,因此资料使用者宜在跨境资 |
时应遵循的原则 | 范风险相结合,保障个人信息跨境安 | 息跨境安全、自由流动。 | 料转移中引入建议条文模板。采用建议条 |
全、自由流动。 | 文模板有助显示资料使用者已采取所有合 | ||
理的预防措施及作出所有应作出的努力, | |||
以确保有关资料不会在获转移资料一方所 | |||
属的司法管辖区以违反《私隐条例》规定 | |||
的方式(假如该些活动在香港发生)收 | |||
集、持有、处理或使用(参见《私隐条 | |||
例》第 33(2)(f)条下的尽职努力的规 | |||
定)。当有怀疑或声称违反《隐私条例》要 | |||
求(包括保障资料原则)的情况出现时, | |||
该等因素将会全被纳入考虑当中。 | |||
通过订立标准合 | 第四条 个人信息处理者通过订立标 | 第四条 按照本实施指引,通过订立标准合同跨境 | 第一部 引言 本指引的附表所载列的建议 |
同方式开展个人 | 准合同的方式向境外提供个人信息 | 提供个人信息的,应当履行标准合同列明的义务 | 条文范本是供资料使用者(尤其中小企 |
信息出境活动的 | 的,应当同时符合下列情形: | 和责任,包括满足以下条件: | 业)使用的建议合约条文,是一个在跨境 |
条件 | (一)非关键信息基础设施运营者; | (一)个人信息处理者跨境提供个人信息前,应 | 转移个人资料方面确保相关个人资料获足 |
(二)处理个人信息不满 100 万人 | 当按照个人信息处理者属地法律法规要求告知个 | 够的保障的实用方法。 | |
的; | 人信息主体或者取得个人信息主体的同意; | 建议条文范本分为两套: | |
(三)自上年 1 月 1 日起累计向境外 | (二)不得向粤港澳大湾区以外的组织、个人提 | A) 第一套适用于由一个资料使用者转移 | |
提供个人信息不满 10 万人的; | 供。 | 个人资料予另一个资料使用者的情况,当 | |
中资料转移者和资料接收者均分别使用有 |
(四)自上年 1 月 1 日起累计向境外 | 关个人资料作其业务用途(例如,为它们 | ||
提供敏感个人信息不满 1 万人的。 | 各自的商业活动合作共享资料)(资料使 | ||
法律、行政法规或者国家网信部门另 | 用者转移资料予资料使用者的建议合约条 | ||
有规定的,从其规定。 | 文范本)。 | ||
个人信息处理者不得采取数量拆分等 | B) 第二套适用于由资料使用者转移个人 | ||
手段,将依法应当通过出境安全评估 | 资料予资料处理者的情况,当中资料接收 | ||
的个人信息通过订立标准合同的方式 | 者只会为资料转移者指定的用途处理个人 | ||
向境外提供。 | 资料(例如,一间香港公司订立使用境外 | ||
的云端服务的安排)(资料使用者转移资 | |||
料予资料处理者的建议合约条文范本)。 | |||
标准合同订立前 的个人信息保护 | 第五条 个人信息处理者向境外提供个 人信息前,应当开展个人信息保护影 | 第五条 个人信息处理者按照本实施指引,通过订 立标准合同跨境提供个人信息前,应当开展个人 | / |
影响评估内容 | 响评估,重点评估以下内容: | 信息保护影响评估,重点评估以下内容: | |
(一)个人信息处理者和境外接收方 | (一)个人信息处理者和接收方处理个人信息的 | ||
处理个人信息的目的、范围、方式等 | 目的、方式等的合法性、正当性、必要性; | ||
的合法性、正当性、必要性; | (二)对个人信息主体权益的影响及安全风险; | ||
(二)出境个人信息的规模、范围、 | (三)接收方承诺承担的义务,以及履行义务的 | ||
种类、敏感程度,个人信息出境可能 | 管理和技术措施、能力等能否保障跨境提供的个 | ||
对个人信息权益带来的风险; | 人信息安全。 | ||
(三)境外接收方承诺承担的义务, | |||
以及履行义务的管理和技术措施、能 | |||
力等能否保障出境个人信息的安全; | |||
(四)个人信息出境后遭到篡改、破 | |||
坏、泄露、丢失、非法利用等的风 | |||
险,个人信息权益维护的渠道是否通 | |||
畅等; | |||
(五)境外接收方所在国家或者地区 |
的个人信息保护政策和法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 | |||
标准合同的订立 | 第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。 个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。 标准合同生效后方可开展个人信息出境活动。 | 第六条 标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。 个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。 | 第二部 采用建议合约条文范本 私隐公署并不预期建议条文范本是转移及接收资料双方所采纳的协议之全部。双方在转移个人资料前,可能在合约安排上需要顾及商业上的考虑。此外,资料使用者通常宜就资料接收者如何处理转移给它们的个人资料向资料接收者寻求额外及更具体的保 证。这些额外保证的例子将会在下文“额外合约措施”中阐述。 建议条文范本旨在列举一般的条款及细 则,适用于(i)由一香港机构转移个人资料至另一境外机构,或(ii)两个均属香港境外的机构之间的转移而有关转移由一名香港资料使用者所控制,借以考虑《私隐条例》的相关规管要求,尤其附表 1 的保障资料原则。建议条文范本可作为实用的基础,从而便利由香港转移个人资料至境外地方,使机构能订立清晰的协议以订明转移甚麽个人资料、转移资料的目的,以及双方在符合《私隐条例》规定的前提下于不同范畴的具体责任分配,例如资料保安、管理查阅及改正资料的权利,以及 资料接收者向其他司法管辖区或其他接收 |
者继续转移有关资料的范围。 机构(尤其中小企业)可在自行制定转移资料协议时采纳建议条文范本,或把这些条文纳入更广泛的服务协议中。机构可自由使用其他在实质上符合《私隐条例》规定的字词。建议条文范本是具独立性 的条文,只要建议条文范本继续达到其实质效果(提供予个人资料的保障与《私隐条 例》所规定的相同,尤如有关个人资料没有被转移至香港境外),也可被纳入资料转移者与资料接收者之间较一般性的商业协议中。本指引内的建议条文范本不应被视为符合欧洲联盟的《通用数据保护条例》之规定及/或由欧盟委员会颁佈的标准合约条款之替代条文。资料使用者应确保在转移个人资料至香港以外的其他司法管辖区时,相关个人资料获足够的保障。 | |||
标准合同的备案要求 | 第七条 个人信息处理者应当在标准合同生效之日起 10 个工作日内向所在地省级网信部门备案。备案应当提交以下材料: (一)标准合同; (二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。 | 第八条 个人信息处理者及接收方应在标准合同生效之日起 10 个工作日内按照属地向广东省互联网信息办公室或者香港特别行政区政府政府资讯科技总监办公室进行标准合同备案,提交如下材 料: (一)法定代表人身份证件影印件; (二)承诺书(模板见附件 2); (三)标准合同。 | / |
个人信息处理者及接收方应当对所备案材料的真实性负责。 |
标准合同的订立 及备案材料 | 第八条 在标准合同有效期内出现下列 情形之一的,个人信息处理者应当重 | 第七条 跨境提供个人信息的目的、范围、种类、 方式,或者接收方处理个人信息的用途、方式发 | / |
新开展个人信息保护影响评估,补充 | 生变化,延长保存期限,以及发生影响或者可能 | ||
或者重新订立标准合同,并履行相应 | 影响个人信息权益其他情况的,个人信息处理者 | ||
备案手续: | 应当重新开展个人信息保护影响评估,补充或者 | ||
(一)向境外提供个人信息的目的、 | 重新订立标准合同,并履行相应备案手续。 | ||
范围、种类、敏感程度、方式、保存 | |||
地点或者境外接收方处理个人信息的 | |||
用途、方式发生变化,或者延长个人 | |||
信息境外保存期限的; | |||
(二)境外接收方所在国家或者地区 | |||
的个人信息保护政策和法规发生变化 | |||
等可能影响个人信息权益的; | |||
(三)可能影响个人信息权益的其他 | |||
情形。 | |||
监管部门的履职 要求 | 第九条 网信部门及其工作人员对在履 行职责中知悉的个人隐私、个人信 | 第十三条 有关部门及其工作人员对在履行职责中 知悉的个人隐私、个人信息、商业秘密、保密商 | / |
息、商业秘密、保密商务信息等应当 | 务信息等应当依法予以保密,不得泄露或者非法 | ||
依法予以保密,不得泄露或者非法向 | 向他人提供、非法使用。 | ||
他人提供、非法使用。 | |||
违规行为的处置 | 第十条 任何组织和个人发现个人信息 | 第十条 任何组织和个人发现个人信息处理者或接 | 第二部 采用建议合约条文范本 如资料使用者不能证明它已实施良好的资料保障措施,例如包括采纳建议条文范本,它们可能要面对潜在的法律责任及声誉受损。 |
机制 | 处理者违反本办法向境外提供个人信 | 收方按照本实施指引进行粤港澳大湾区内的个人 | |
息的,可以向省级以上网信部门举 | 信息跨境流动,但不履行本实施指引及标准合同 | ||
报。 | 要求的义务和责任的,可以向国家互联网信息办 | ||
公室、广东省互联网信息办公室或者香港特别行 | |||
政区政府创新科技及工业局、政府资讯科技总监 |
办公室、香港个人资料私隐专员公署投诉、举报。 收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的,可以要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由相关部门依法处置。 第十一条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的,应立即采取补救措施,按照属地通知国家互联网信息办公室、广东省互联网信息办公室,或者香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署。 | |||
监督管理及执法 | 第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。 第十二条 违反本办法规定的,依据 《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 | 第九条 个人信息处理者及接收方接受属地监管机构的监督管理,包括但不限于: (一)根据标准合同第二条第七项及第十项,个人信息处理者答复监管机构的询问及对合同的义务和责任的履行承担举证责任; (二)根据标准合同第三条第十二项,接收方应接受监管机构的监督管理,包括服从监管机构作出的决定以及提供已采取必要行动的证明等; (三)根据标准合同第六条第二项,个人信息处理者解除标准合同时,通知监管机构。 第十二条 以上规定并不影响内地履行个人信息保护职责的部门和香港个人资料私隐专员公署在职 | / |
责范围内依法加强个人信息保护和监督管理工作,包括处理与个人信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。 | |||
生效及实施 | 第十三条 本办法自 2023 年 6 月 1 日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起 6 个月内完成整改。 | 第十四条 国家互联网信息办公室和香港特别行政区政府创新科技及工业局可以根据实际情况,经协商一致后对本实施指引及附件进行修订。 第十五条 本实施指引自发布之日起生效。 | 第一部 引言 建议条文范本是可自由组合的独立性条文,也可被纳入资料转移者与资料接收者之间的一般性商业协议中。本指引就建议条文范本的实际效果提供详细说明,及阐述如何借遵从建议条文范本以提供《私隐条例》要求的足够保障予个人资料,尤如相关个人资料没有被转移至香港境外。 即使就跨境资料转移施加规限的《私隐条例》第 33 条尚未生效,本指引建议资料使用者(尤其中小企业)采取最佳行事方式作为其资料管治责任的一部份,以保障及 尊重资料当事人的个人资料。 |
附录二:标准合同的内容对比
比较维度 / 政策文件 | 《个人信息出境标准合同》 | 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》 | 香港-《资料使用者转移资料予资料使用者的建议合约条文模板》 | 香港《-资料使用者转移资料予资料处理者的建议合约条文模板》 |
订立基本信息 | 为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义 务,经双方协商一致,订立本合同。 | 为促进粤港澳大湾区个人信息跨境安全有序流动,明确个人信息处理者和接收方个人信息保护的权利、义务和责任,经双方协商一致,订立本合同。 | / | / |
个人信息处理者:地址: 联系方式: 联系人: 职务: | 个人信息处理者:地址: 联系方式: 联系人: 职务: | |||
境外接收方:地址: 联系方式: 联系人: 职务: | 接收方: 地址: 联系方式: 联系人: 职务: | |||
个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于年 月 日订立(商业合同,如有)。 | (注:个人信息处理者及接收方应注册于 (适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港 |
本合同正文根据《个人信息出境标准合同 | 特别行政区) | |||
办法》的要求拟定,在不与本合同正文内 | 个人信息处理者与接收方依据本合同约定 | |||
容相冲突的前提下,双方如有其他约定可 | 开展个人信息跨境活动,与此活动相关的 | |||
在附录二中详述,附录构成本合同的组成 | 商业行为,双方【已】/【约定】于 年 | |||
部分。 | 月 日订立(商业合同,如有)。 | |||
本合同正文根据《中华人民共和国国家互 | ||||
联网信息办公室与香港特别行政区政府创 | ||||
新科技及工业局关于促进粤港澳大湾区数 | ||||
据跨境流动的合作备忘录》而拟定,在不 | ||||
与本合同正文内容相冲突的前提下,双方 | ||||
如有其他约定可在附录二中详述,附录构 | ||||
成本合同的组成部分。 | ||||
定义 | 第一条 定义 | 第一条 定义 | 1.定义 | 1.定义 |
及释 | 在本合同中,除上下文另有规定外: | 在本合同中,除上下文另有规定外: | 1.1 就这些条文,包括资 | 1.1就这些条文,包括资 |
义 | (一)“个人信息处理者”是指在个人信息 | (一)“个人信息处理者”,就内地而言, | 料转移一览表(统称「条 | 料转移一览表(统称「条 |
处理活动中自主决定处理目的、处理方式 | 是指在个人信息处理活动中自主决定处理 | 文」)而言: | 文」)而言: | |
的,向中华人民共和国境外提供个人信息 | 目的、处理方式的组织、个人;就香港特 | 「继续转移的接收者」的 | 「《隐私条例》」指《个 | |
的组织、个人。 | 别行政区而言,亦涵盖“资料使用者”, | 意思载于第 4.9 条; | 人资料(隐私)条例》 | |
(二)“境外接收方”是指在中华人民共和 | 即就个人资料而言,指独自或联同其他人 | 「《隐私条例》」指《个 | (第486章),或会不时 | |
国境外自个人信息处理者处接收个人信息 | 或与其他人共同控制该资料的收集、持 | 人资料(隐私)条例》 | 修订; | |
的组织、个人。 | 有、处理或使用的人。 | (第 486 章),或会不时 | 「准许司法管辖区」指资 | |
(三)个人信息处理者或者境外接收方单 | 本合同所称个人信息处理者为个人信息跨 | 修订; | 料转移一览表所列的地方 | |
称“一方”,合称“双方”。 | 境提供方。 | 「准许司法管辖区」指资 | 或转移的个人资料不时根 | |
(四)“个人信息主体”是指个人信息所识 | (二)“接收方”是指自个人信息处理者 | 料转移一览表所列的地方 | 据这些条文而被处理或持 | |
别或者关联的自然人。 | 处跨境接收个人信息的组织、个人。 | 或转移的个人资料不时根 | 有的任何其他地方; | |
(五)“个人信息”是指以电子或者其他方 | (三)个人信息处理者或者接收方单称 | 据这些条文而被使用或处 | 「转移的个人资料」指资 | |
式记录的与已识别或者可识别的自然人有 | “一方”,合称“双方”。 | 理或持有的任何其他地 | 料转移一览表所列的个人 | |
关的各种信息,不包括匿名化处理后的信 | (四)粤港澳大湾区内地个人信息处理者 | 方; | 资料种类或类别; |
息。 | 处理的个人信息,按照《中华人民共和国 | 「转移的个人资料」指资 | 「转移目的」指资料转移 | |
(六)“敏感个人信息”是指一旦泄露或者 | 个人信息保护法》确定;香港特别行政区 | 料转移一览表所列的个人 | 一览表所列的处理转移的 | |
非法使用,容易导致自然人的人格尊严受 | 内个人信息处理者处理的个人信息,按照 | 资料种类或类别; | 个人资料的目的或直接有 | |
到侵害或者人身、财产安全受到危害的个 | 香港特别行政区《个人资料(私隐)条 | 「转移目的」指资料转移 | 关的目的; | |
人信息,包括生物识别、宗教信仰、特定 | 例》的“个人资料”确定。 | 一览表所列的使用转移的 | 「保留时期」指资料转移 | |
身份、医疗健康、金融账户、行踪轨迹等 | (五)“个人信息主体”,就内地而言,是 | 个人资料的目的或直接有 | 一览表指明的保留时期; | |
信息,以及不满十四周岁未成年人的个人 | 指个人信息所识别或者关联的自然人;就 | 关的目的; | 及 | |
信息。 | 香港特别行政区而言,亦涵盖“资料当事 | 「建议资料处理条文模 | 「分判处理者」的意思载 | |
(七)“监管机构”是指中华人民共和国省 | 人”,即就个人资料而言,指属该资料的 | 板」指专员不时就资料使 | 于第3.8条。 | |
级以上网信部门。 | 当事人的个人。 | 用者跨境转移个人资料予 | 1.2「个人资料」及「处 | |
(八)“相关法律法规”是指《中华人民共 | (六)“监管机构”,就内地而言,是指国 | 资料处理者而发出的建议 | 理」的意思与《隐私条 | |
和国网络安全法》《中华人民共和国数据安 | 家互联网信息办公室及广东省互联网信息 | 合约条文模板;及 | 例》赋予这些词语的意思 | |
全法》《中华人民共和国个人信息保护法》 | 办公室;就香港特别行政区而言,是指香 | 「保留时期」指资料转移 | 相同。 | |
《中华人民共和国民法典》《中华人民共和 | 港特别行政区政府创新科技及工业局、政 | 一览表指明的保留时期。 | 2.释义 | |
国民事诉讼法》《个人信息出境标准合同办 | 府资讯科技总监办公室及香港个人资 料 | 1.2「专员」、「资料处 | 就条文的理解和解释应按 | |
法》等中华人民共和国法律法规。 | 私隐专员公署。 | 理者」、「资料当事 | 照《隐私条例》的条文而 | |
(九)本合同其他未定义术语的含义与相 | (七)“相关法律法规”,就内地而言,是 | 人」、「资料使用者」、 | 作出。有关条文的解释不 | |
关法律法规规定的含义一致。 | 指《中华人民共和国网络安全法》《中华 | 「直接促销」、「个人资 | 应存有与《隐私条例》的 | |
人民共和国数据安全法》《中华人民共和 | 料」、「处理」及「使 | 相关规定抵触的可能性。 | ||
国个人信息保护法》等法律法规;就香港 | 用」的意思与《隐私条 | |||
特别行政区而言,是指《个人资料(私 | 例》赋予这些词语的意思 | |||
隐)条例》等法律法规。 | 相同。 | |||
2.释义 | ||||
就条文的理解和解释应按 | ||||
照《隐私条例》的条文而 | ||||
作出。有关条文的解释不 | ||||
应存有与《私隐条例》的 | ||||
相关规定抵触的可能性。 |
个人 | 第二条 个人信息处理者的义务 | 第二条 个人信息处理者的义务和责任 | 3.资料转移者的责任 | / |
信息 | 个人信息处理者应当履行下列义务: | 个人信息处理者应当履行下列义务和责 | 资料转移者向资料接收者保 | |
处理 | (一)按照相关法律法规规定处理个人信 | 任: | 证及承诺会根据《隐私条 | |
者的 | 息,向境外提供的个人信息仅限于实现处 | (一)按照属地相关法律法规及本合同要 | 例》为转移目的把转移的个 | |
义务 | 理目的所需的最小范围。 | 求处理个人信息,向接收方提供的个人信 | 人资料转移予准许司法管辖 | |
(二)向个人信息主体告知境外接收方的 | 息仅限于实现处理目的所需的最小范围。 | 区的资料接收者,唯资料接 | ||
名称或者姓名、联系方式、附录一“个人 | (二)向个人信息主体告知接收方的名称 | 收者须履行它在这些条文下 | ||
信息出境说明”中处理目的、处理方式、 | 或者姓名、联系方式,附录一“个人信息 | 的责任。 | ||
个人信息的种类、保存期限,以及行使个 | 跨境提供说明”中处理目的、处理方式、 | |||
人信息主体权利的方式和程序等事项。向 | 个人信息的种类、保存期限、个人信息向 | |||
境外提供敏感个人信息的,还应当向个人 | 同辖区第三方提供的情况,以及行使个人 | |||
信息主体告知提供敏感个人信息的必要性 | 信息主体权利的方式和程序等事项。属地 | |||
以及对个人权益的影响。但是法律、行政 | 相关法律法规要求不需要告知的,从其规 | |||
法规规定不需要告知的除外。 | 定。 | |||
(三)基于个人同意向境外提供个人信息 | (三)向接收方跨境提供个人信息前,应 | |||
的,应当取得个人信息主体的单独同意。 | 当按照属地法律法规要求取得个人信息主 | |||
涉及不满十四周岁未成年人个人信息的, | 体同意。 | |||
应当取得未成年人的父母或者其他监护人 | (四)向个人信息主体告知其与接收方通 | |||
的单独同意。法律、行政法规规定应当取 | 过本合同约定个人信息主体为第三方受益 | |||
得书面同意的,应当取得书面同意。 | 人,如个人信息主体未在 30 日内明确拒 | |||
(四)向个人信息主体告知其与境外接收 | 绝,则可以依据本合同享有第三方受益人 | |||
方通过本合同约定个人信息主体为第三方 | 的权利。 | |||
受益人,如个人信息主体未在 30 日内明确 | (五)尽合理的努力确保接收方采取如下 | |||
拒绝,则可以依据本合同享有第三方受益 | 技术和管理措施(综合考虑个人信息处理 | |||
人的权利。 | 目的、个人信息的种类、规模、范围、传 | |||
(五)尽合理地努力确保境外接收方采取 | 输的数量 和频率、个人信息传输及接收 | |||
如下技术和管理措施(综合考虑个人信息 | 方的保存期限等可能带来的个人信息安全 | |||
处理目的、个人信息的种类、规模、范围 | 风险),以履行本合同约定的义务和责 |
及敏感程度、传输的数量和频率、个人信 | 任。 | |||
息传输及境外接收方的保存期限等可能带 | (如加密、匿名化、去标识化、访问控制 | |||
来的个人信息安全风险),以履行本合同约 | 等技术和管理措施) | |||
定的义务: | (六)根据接收方的要求向接收方提供属 | |||
(如加密、匿名化、去标识化、访问控制 | 地相关法律法规规定和技术标准的副本。 | |||
等技术和管理措施) | (七)答复属地监管机构关于接收方的个 | |||
(六)根据境外接收方的要求向境外接收 | 人信息处理活动的询问。 | |||
方提供相关法律规定和技术标准的副本。 | (八)对拟向接收方提供个人信息的活动 | |||
(七)答复监管机构关于境外接收方的个 | 开展个人信息保护影响评估。重点评估以 | |||
人信息处理活动的询问。 | 下内容: | |||
(八)按照相关法律法规对拟向境外接收 | 1.个人信息处理者和接收方处理个人信息 | |||
方提供个人信息的活动开展个人信息保护 | 的目的、方式等的合法性、正当性、必要 | |||
影响评估。重点评估以下内容: | 性; | |||
1.个人信息处理者和境外接收方处理个人 | 2.对个人信息主体权益的影响及安全风 | |||
信息的目的、范围、方式等的合法性、正 | 险; | |||
当性、必要性。 | 3.接收方承诺承担的义务,以及履行义务 | |||
2.出境个人信息的规模、范围、种类、敏 | 的管理和技术措施、能力等能否保障跨境 | |||
感程度,个人信息出境可能对个人信息权 | 提供的个人信息安全。 | |||
益带来的风险。 | 保存个人信息保护影响评估报告至少 3 | |||
3.境外接收方承诺承担的义务,以及履行 | 年。 | |||
义务的管理和技术措施、能力等能否保障 | (九)根据个人信息主体的要求向个人信 | |||
出境个人信息的安全。 | 息主体提供本合同的副本。如涉及商业秘 | |||
4.个人信息出境后遭到篡改、破坏、泄 | 密或者保密商务信息,在不影响个人信息 | |||
露、丢失、非法利用等的风险,个人信息 | 主体理解的前提下,可对本合同副本相关 | |||
权益维护的渠道是否通畅等。 | 内容进行适当处理。 | |||
5.按照本合同第四条评估当地个人信息保 | (十)对本合同义务和责任的履行承担举 | |||
护政策和法规对合同履行的影响。 | 证责任。 |
6.其他可能影响个人信息出境安全的事 项。保存个人信息保护影响评估报告至少 3年。 (九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 (十)对本合同义务的履行承担举证责任。 (十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。 | (十一)根据属地相关法律法规及本合同要求,向属地监管机构 提供本合同第三条第十项所述的信息,包括所有合规审计结果。 |
境外接收方的义务 | 第三条 境外接收方的义务 境外接收方应当履行下列义务: (一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种 类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。 (二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。 (三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 (四)采取对个人权益影响最小的方式处理个人信息。 (五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应 当将个人信息返还个人信息处理者或者予 | 第三条 接收方的义务和责任 接收方应当履行下列义务和责任: (一)按照附录一“个人信息跨境提供说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,应当事先告知个人信息处理者,补充或者重新订立标准合同,并履行相应备案手续。个人信息处理者属地相关法律法规要求不需要告知的,从其规定。 (二)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。 (三)采取对个人权益影响最小的方式处理个人信息。 (四)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销、终止或者按个人信息处理者要求,应当将个人信息予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 (五)按下列方式保障个人信息处理安 全: | 4.资料接收者的责任 资料接收者向资料转移者保证及承诺: 4.1除非《隐私条例》另有准许,否则只会为转移目的使用转移的个人资料; 4.2确保就转移目的而言,转移的个人资料属足够但不超乎适度; 4.3采用资料转移一览表所列的保安措施使用、持有及传送转移的个人资料; 4.4不会保留转移的个人资料超过达致转移目的所需的时间,及无论如何,不会超过任何适用的保留时期; 4.5采取所有切实可行的步骤,当转移的个人资料不再需要用于达致转移目的,或无论如何,当任何适用的保留时期届满后,即删除有关资料; 4.6采取所有切实可行的步骤,以确保在顾及转移目的下,转移的个人资料是准确的; 4.7采取所有切实可行的步 骤,以确保任何不准确的转 | 3.资料接收者的责任 资料接收者向资料转移者保证及承诺: 3.1只会为转移目的处理转移的个人资料; 3.2确保就转移目的而言,转移的个人资料属足够但不超乎适度; 3.3采用资料转移一览表所列的保安措施处理、持有及传送转移的个人资料; 3.4不会保留转移的个人资料超过进行资料转移者指示的处理所需的时间,及无论如何,不会超过任何适用的保留时期; 3.5采取所有切实可行的步骤,在下述情况删除转移的个人资料:(i)不再需要根据第3.4条保留;或(ii)按资料转移者的指示; 3.6采取所有切实可行的步骤,以确保在顾及转移目的下,转移的个人资料是准确的; 3.7采取所有切实可行的步骤,以确保任何不准确的转 移的个人资料(i)在更正 |
以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 (六)按下列方式保障个人信息处理安全: 1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。 2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。 (七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作: 1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。 2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项: (1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。 (2)已采取的补救措施。 (3)个人信息主体可以采取的减轻危害的措施。 | 1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。 2.确保授权处理个人信息的人员履行保密义务和责任,并建立最小授权的访问控制权限。 (六)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅,应当开展下列工作: 1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。 2.立即通知个人信息处理者,并报告属地监管机构。通知应当包含下列事项: (1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅的个人信息种类、原因和可能造成的危害。 (2)已采取的补救措施。 (3)个人信息主体可以采取的减轻危害的措施。 (4)负责处理相关情况的负责人或者负责团队的联系方式。 3.相关法律法规要求通知个人信息主体 的,通知的内容包含本项第 2 目的事项。 4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经 授权提供或者访问、查阅有关的情况,包 | 移的个人资料(i)在更正前不会被使用或(ii)会被删除; 4.8采取所有切实可行的步骤,以确保资料当事人能查阅其有关转移的个人资料的政策及做法; 4.9不会把转移的个人资料转移予任何人或容许任何人查阅有关资料,例外情况: (i)资料转移一览表准 许;或(ii)每个情况均有资料转移者的事前书面同意 (在任何一种情况下,即 「继续转移的接收者」); 4.10确保每个继续转移的接收者作为: (a)控制使用或处理转移的个人资料的资料使用者 (不论是单独或联同其他 人)会与资料接收者签订具约束力的书面合约,该合约所施加的资料保障责任与这些条文所载的相同或大体上相似;及/或 (b)代资料接收者(非为继续转移的接收者的个人目 的)处理转移的个人资料的 | 前不会被处理或(ii)会被删除; 3.8不会把转移的个人资料转移予任何人或容许任何人查阅有关资料,例外情况: (i)资料转移一览表准 许;或(ii)每个情况均有资料转移者的事前书面同意 (在任何一种情况下,即 「分判处理者」); 3.9确保每个分判处理者会与资料接收者签订具约束力的书面合约,该合约所施加的资料保障责任与这些条文所载的相同或大体上相似;及 3.10如没有资料转移者事前的书面同意,除了准许司法管辖区外,不会(i)在香港境外处理或持有转移的个人资料;或(ii)容许任何分判处理者在香港境外处理或持有转移的个人资料。 |
(4)负责处理相关情况的负责人或者负责团队的联系方式。 3.相关法律法规要求通知个人信息主体 的,通知的内容包含本项第2目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。 4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。 (八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息: 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方 式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同 意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 | 括采取的所有补救措施。 (七)不得向粤港澳大湾区以外的组织、个人提供据此合同接收的个人信息。 (八)同时符合下列条件的,方可向粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息: 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方 式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不 需要告知的,从其规定。 3.基于个人同意处理个人信息的,应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。 4.按照附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。 (九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息跨境提供说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。 (十)承诺向个人信息处理者提供已遵守 本合同义务和责任所需的必要信息,允许 | 资料处理者会与资料接收者签订具约束力的书面合约,该合约所施加的资料保障责任与建议资料处理条文范本所载的相同或大体上相似;及 4.11在各情况,除了准许司法管辖区外,不会(i)在香港境外使用或持有转移的个人资料;或(ii)容许任何继续转移的接收者在香港境外使用、处理或持有转移的个人资料,除非[它已取得资料转移者事前的书面同意]或[它已通知资料转移者及: (a)已采取所有合理的预防措施及作出所有应作出的努力,以确保转移的个人资料在该地方不会被人以违反 《隐私条例》的方式收集、持有、处理或使用; (b)每个与转移的个人资料有关的资料当事人已书面同意在该地方使用或处理或持有转移的个人资料(有关同意并无被撤回); |
4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。 5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。 (九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。 (十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公 正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。 (十一)承诺向个人信息处理者提供已遵 守本合同义务所需的必要信息,允许个人 | 个人信息处理者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 (十一)对开展的个人信息处理活动进行客观记录,保存记录至少 3 年。 (十二)同意在本合同实施的相关监督程序中接受属地监管机构的监督管理,包括但不限于答复属地监管机构询问、配合属地监管机构检查、服从属地监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。 (十三)接收方所在地的政府部门、司法机构要求接收方提供本合同项下的个人信息的,应当立即通知个人信息处理者。 | (c)资料接收者有合理理由相信在使用或处理或持有资料的地方有与《隐私条 例》大体上相似或达致与 《隐私条例》的目的相同的目的之法律正在生效;或 (d)有关使用或处理或持有是获《隐私条例》准许。 6.有关直接促销的条文 如转移目的包括由资料接收者使用转移的个人资料作直接促销用途,而资料转移者以书面通知资料接收者停止为这目的使用任何转移的个人资料,除非《隐私条例》另有准许,否则资料接收者须立即停止为直接促销目的而使用转移的个人资料。 |
信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 (十二)对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。 (十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明 等。 | ||||
接收方所在国家或者地区个人信息保护政策和法规对合同履 行的 | 第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响 (一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规 (包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。 (二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估: 1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息 传输及境外接收方的保存期限、境外接收 | / | / | / |
影响 | 方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。 2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素: (1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。 (2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。 (3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。 3.境外接收方安全管理制度和技术手段保障能力。 (三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。 (四)双方应当记录根据本条第二项进行评估的过程和结果。 (五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无 法履行本合同的,境外接收方应当在知道 |
该变化后立即通知个人信息处理者。 (六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。 | ||||
个人信息主体的权利 | 第五条 个人信息主体的权利 双方约定个人信息主体作为本合同第三方受益人享有以下权利: (一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定 权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。 (二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。 (三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请 求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。 境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。 (四)境外接收方拒绝个人信息主体的请 | 第四条 个人信息主体的权利 双方约定个人信息主体作为本合同第三方受益人享有以下权利: (一)个人信息主体依据个人信息处理者属地相关法律法规及本合同对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。 (二)当个人信息主体要求对依据本合同传输的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向接收方提出请求。个人信息处理者无法实现的,应当通知并要求接收方协助实现。 (三)接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照个人信息处理者属地相关法律法规及本合同所享有的权利。 接收方应当以显著的方式、清晰易懂的语 言真实、准确、完整地告知个人信息主体 | 5.资料当事人的查阅及改正资料权利 资料转移者与资料接收者会就收取及处理转移的个人资料的资料当事人或其代表所提出的查阅及改正资料要求而各自履行其相关责任,正如资料转移一览表所指明。 | / |
求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。 (五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款: 第二条,但第二条第五项、第六项、第七项、第十一项除外。 第三条,但第三条第七项第 2 目和第 4 目、第九项、第十一项、第十二项、第十三项除外。 第四条,但第四条第五项、第六项除外。第五条。 第六条。 第八条第二项、第三项。第九条第五项。 上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权 益。 | 相关信息。 (四)接收方拒绝个人信息主体的请求 的,应当告知个人信息主体其拒绝的原 因,以及个人信息主体向个人信息处理者或者接收方属地相关监管机构提出投诉和寻求司法救济的途径。 (五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和接收方的一方或者双方主张要求履行本合同项下与个人信息主体权利相关的下列条款: 1.第二条,但第二条第五项、第六项、第七项、第十一项除外。 2.第三条,但第三条第六项第 2 目和第 4目、第九项、第十项、第十一项、第十二项、第十三项除外。 3.第四条。 4.第五条。 5.第七条第二项、第三项。 6.第八条第五项。 上述约定不影响个人信息主体依据个人信息处理者或者接收方属地相关法律法规享有的权益。 | |||
救济 | 第六条 救济 (一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信 | 第五条 救济 (一)接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投 诉,并应当及时处理个人信息主体的询问或者投诉。接收方应当将联系人信息告知 | / | / |
息告知个人信息处理者,并以xx易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体 为: 联系人及联系方式(办公电话或电子邮箱) (二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。 (三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利: 1.向监管机构投诉。 2.向本条第五项约定的法院提起诉讼。 (四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规 的,从其选择。 (五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼 法》向有管辖权的人民法院提起诉讼。 (六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律 法规寻求救济的权利。 | 个人信息处理者,并以xx易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为: 联系人及联系方式(办公电话或电子邮箱) (二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。 (三)争议未能友好解决,个人信息主体根据第四条行使第三方受益人的权利的,接收方接受个人信息主体通过下列形式维护权利: 1.向相关监管机构投诉。 2.向本条第五项约定的法院提起诉讼。 (四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用个人信息处理者属地相关法律法规的,从其选择。 (五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼 法》《最高人民法院关于内地与香港特别行政区法院相互认可和执行当事人协议管辖的民商事案件判决的安排》或香港法律法规向内地或者香港有管辖权的法院提起 诉讼。 |
(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律 法规寻求救济的权利。 | ||||
合同解除 | 第七条 合同解除 (一)境外接收方违反本合同约定的义 务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。 (二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构: 1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过 1 个月。 2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。 3.境外接收方严重或者持续违反本合同约定的义务。 4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。 在本项第 1 目、第 2 目、第 4 目的情况下,境外接收方可以解除本合同。 (三)经双方同意解除本合同的,合同解 | 第六条 合同解除 (一)接收方违反本合同约定的义务和责任,或者被采取强制性措施导致无法履行本合同的,个人信息处理者可以暂停向接收方提供个人信息,直到违约行为被改正或者合同被解除。 (二)有下列情形之一的,个人信息处理者有权解除本合同,并通知个人信息处理者属地监管机构: 1.个人信息处理者根据本条第一项的规定暂停向接收方提供个 人信息的时间超过 1 个月。 2.接收方严重或者持续违反本合同约定的义务和责任。 3.根据主管法院或者监管机构作出的终局决定,接收方或者个人信息处理者违反了本合同约定的义务和责任。 在本项第 3 目的情况下,接收方可以解除本合同。 (三)合同解除不免除双方在个人信息处理过程中的个人信息保 护义务和责任。 (四)合同解除时,接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理 者提供书面说明。删除个人信息从技术上 | / | / |
除不免除其在个人信息处理过程中的个人信息保护义务。 (四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必 要的安全保护措施之外的处理。 | 难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。 | |||
违约责任 | 第八条 违约责任 (一)双方应就其违反本合同而给对方造成的损失承担责任。 (二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。 (三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责 任份额时,有权向另一方追偿。 | 第七条 违约责任 (一)双方应就其违反本合同而给对方造成的损失承担责任。 (二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行 政、刑事等法律责任。 (三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责 任份额时,有权向另一方追偿。 | / | / |
其他约定 | 第九条 其他 (一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。 (二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。 (三)发出的通知应当以电子邮件、电报、 电传、传真(以航空信件寄送确认副本)或 | 第八条 其他 (一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。 (二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用个人信息处理者属地相关法律法规。 (三)发出的通知应当以电子邮件、电 报、电传、传真(以航空信件寄送确认副 | / | / |
者航空挂号信发往(具体地址)或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。 (四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第种方式加以解决(如选择仲裁,请勾选仲裁机构): 仲裁。将该争议提交 □中国国际经济贸易仲裁委员会 □中国海事仲裁委员会 □北京仲裁委员会(北京国际仲裁中心) □上海国际仲裁中心 □其他《承认及执行外国仲裁裁决公约》成员的仲裁机构 按其届时有效的仲裁规则在 (仲裁地点)进行仲裁; 诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。 (五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。 (六)本合同正本一式 份,双方各执 份, 其法律效力相同。本合同在(地点) 签 | 本)或者航空挂号信发往(具体地址)或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的 天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。 (四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解 决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构): 1.仲裁。将该争议提交 □中国国际经济贸易仲裁委员会 □中国海事仲裁委员会 □中国广州国际仲裁委员会 □粤港澳大湾区国际仲裁中心 □香港国际仲裁中心 按其届时有效的仲裁规则在(仲裁地点) 2.诉讼。依法向内地或者香港有管辖权的法院提起诉讼。 (五)本合同应当按照个人信息处理者属地相关法律法规适用的规定进行解释,不得以与个人信息处理者属地相关法律法规适用的规定的权利、义务和责任相抵触的方式解释本合同。 (六)本合同正本一式 份,双方各执 份,其法律效力相同。 |
订 本合同在(地点)签订 个人信息处理者: 年月日境外接收方: 年月日 | 本合同在(地点)签订 个人信息处理者: 年月日接收方: 年月日 | |||
出境情况说明 | 附录一 个人信息出境说明 根据本合同向境外提供个人信息的详情约定如下: (一)处理目的: (二)处理方式: (三)出境个人信息的规模: (四)出境个人信息种类(参考 GB/T 35273 《信息安全技术 个人信息安全规范》和相关标准): (五)出境敏感个人信息种类(如适用,参考 GB/T 35273《信息安全技术 个人信息安全规范》和相关标准): (六)境外接收方只向以下中华人民共和国境外第三方提供个人信息(如适用); (七)传输方式: (八)出境后保存期限:( 年 月 日至 年月 日) (九)出境后保存地点: (十)其他事项(视情况填写): 附录二 双方约定的其他条款(如需要) | 附录一 个人信息跨境提供说明 根据本合同向接收方提供个人信息的详情约定如下: (一)处理目的: (二)处理方式: (三)跨境提供个人信息的规模: (四)跨境提供个人信息的种类(参考 GB/T 35273《信息安全技术 个人信息安全规范》或个人信息处理者属地相关标准): (五)接收方只向注册于(适用于组织) /位于(适用于个人)粤港澳大湾区内地或香港特别行政区同辖区内的第三方提供个人信息(如适用): (六)传输方式: (七)跨境提供后保存期限: ( 年 月日至 年 月 日) (八)跨境提供后保存地点: (九)其他事项(视情况填写): 附录二 双方约定的其他条款(如需要) | 资料转移一览表 1.转移的描述 转移的个人资料的类别转移目的 准许司法管辖区保留时期 2.继续转移 转移的个人资料的类别 继续转移的接收者( 具体说明或以类别标示) 继续转移的目的准许司法管辖区保留时期 3.保安措施 [列出资料接收者须对转移的个人资料采取的保安措施。] 4.资料当事人的查阅及改正资料要求 [描述收取及处理资料当 事人的查阅及改正资料要求的安排。] | 资料转移一览表 1.转移的描述 转移的个人资料的类别转移目的 准许司法管辖区保留时期 2.分判处理 分判处理的个人资料的类别 分判处理者( 具体说明或以类别标示) 准许司法管辖区保留时期 3.保安措施 [列出资料接收者须对转移的个人资料采取的保安措施。] |