TC260-PG-20222A 网络安全标准实践指南 —个人信息跨境处理活动安全认证规范 （V2.0-202212） 全国信息安全标准化技术委员会秘书处 2022年12月 本文档可从以下网址获得： www.tc260.org.cn/I前言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国信息安全标准化技术委员会（以下简称“信安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。II声明 本《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国网络安全审查技术与认证中心、 中国电子技术标准化研究院等单位的技术支持。III摘要 开展跨境处理活动的个人信息处理者申请个人信息保 护认证应符合GB/T35273《信息安全技术个人信息安全规 范》和本文件的要求。本文件包括基本原则、个人信息处理 者和境外接收方在个人信息跨境处理活动的个人信息保护、 个人信息主体权益保障等方面内容，为认证机构对个人信息 处理者的个人信息跨境处理活动开展认证提供依据，也为个 人信息处理者规范个人信息跨境处理活动提供参考。IV目录 摘要....................................................................................................................III 1适用情形..............................................................................................................1 2认证主体..............................................................................................................1 3术语定义..............................................................................................................1 3.1个人信息主体..............................................................................................1 3.2个人信息处理者..........................................................................................1 3.3境外接收方.................................................................................................1 4基本原则..............................................................................................................2 5基本要求..............................................................................................................3 5.1具有法律约束力的文件................................................................................3 5.2组织管理....................................................................................................4 5.3个人信息跨境处理规则................................................................................5 5.4个人信息保护影响评估................................................................................6 6个人信息主体权益保障要求....................................................................................7 6.1个人信息主体权利.......................................................................................7 6.2个人信息处理者和境外接收方的责任义务......................................................811适用情形 本文件作为认证机构对个人信息跨境处理活动进行个人信息保 护认证的认证依据，也为个人信息处理者规范个人信息跨境处理活动 提供参考。 2认证主体 申请认证的个人信息处理者应取得合法的法人资格，正常经营且 具有良好的信誉、商誉。 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的 个人信息跨境处理活动可由境内一方申请认证，并承担法律责任。 《中华人民共和国个人信息保护法》第三条第二款规定的境外个 人信息处理者，可由其在境内设置的专门机构或指定代表申请认证， 并承担法律责任。 3术语定义 3.1个人信息主体 个人信息所标识或者关联的自然人。 3.2个人信息处理者 在个人信息处理活动中自主决定处理目的、处理方式的组织或个 人。 3.3境外接收方 位于中华人民共和国境外并自个人信息处理者处接收个人信息 的组织或个人。24基本原则 a)合法、正当、必要和诚信原则。个人信息处理者和境外接收方 在跨境处理个人信息时应满足法律法规的规定，按照约定目的 并采取对个人信息权益影响最小的方式处理个人信息，遵守合 同、协议等具有法律约束力文件的约定和承诺，不得违背约定 和承诺损害个人信息主体的合法权益。 b)公开、透明原则。个人信息处理者和境外接收方在跨境处理个 人信息时应满足处理规则公开、处理过程透明要求，及时向个 人信息主体告知境外接收方的名称或者姓名、联系方式，个人 信息跨境处理的目的、范围和处理方式，以及权利、行使权利 的方式和程序等，确保个人信息主体了解自身个人信息的跨境 处理情况。 c)信息质量保障原则。个人信息处理者和境外接收方在跨境处理 个人信息时应保障个人信息的质量，避免因个人信息不准确、 不完整对个人权益造成不利影响。 d)同等保护原则。个人信息处理者和境外接收方在跨境处理个人 信息时均应采取必要措施，保护所处理个人信息的安全，确保 个人信息跨境处理活动达到《中华人民共和国个人信息保护 法》等规定的个人信息保护标准。 e)责任明确原则。个人信息处理者和境外接收方应履行法律法规 规定的责任义务，在跨境处理个人信息时应保障个人信息主体 权益，并指定境内一方、多方或者境外接收方在境内设置的机3构对境外接收方损害个人信息权益的个人信息处理活动承担 民事法律责任。 f)自愿认证原则。鼓励开展个人信息跨境处理活动的个人信息处 理者自愿申请个人信息保护认证，充分发挥认证在加强个人信 息保护、提高个人信息跨境处理效率方面的作用。 5基本要求 5.1具有法律约束力的文件 开展个人信息跨境处理活动的个人信息处理者和境外接收方应 签订具有法律约束力和可执行的文件，确保个人信息主体权益得到充 分的保障。文件应至少明确下列内容： a)个人信息处理者和境外接收方的基本信息，包括但不限于名 称、地址、联系人姓名、联系方式等； b)个人信息跨境处理的目的、范围、类型、敏感程度、数量、 方式、保存期限、存储地点等； c)个人信息处理者和境外接收方保护个人信息的责任与义务， 以及为防范个人信息跨境处理可能带来安全风险所采取的技 术和管理措施等； d)个人信息主体的权利，以及保障个人信息主体权利的途径和 方式； e)救济、合同解除、违约责任、争议解决等； f)境外接收方承诺并遵守同一个人信息跨境处理规则，并确保 个人信息保护水平不低于中华人民共和国个人信息保护相关