TC260-PG-2023XX 网络安全标准实践指南 —粤港澳大湾区跨境个人信息保护要求 （征求意见稿v1.0-202311） 全国信息安全标准化技术委员会秘书处 2023年11月 本文档可从以下网址获得： www.tc260.org.cn/I前言 《网络安全标准实践指南》（以下简称《实践指南》）是 全国信息安全标准化技术委员会（以下简称“信安标委”）秘 书处组织制定和发布的标准相关技术文件，旨在围绕网络安 全法律法规政策、标准、网络安全热点和事件等主题，宣传 网络安全相关标准及知识，提供标准化实践指引。II声明 本《实践指南》版权属于信安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、中国 网络安全审查技术与认证中心等单位的技术支持。III摘要 为促进粤港澳大湾区个人信息跨境安全有序流动，推动 粤港澳大湾区高质量发展，依据《关于促进粤港澳大湾区数 据跨境流动的合作备忘录》（以下简称“备忘录”）和属地相 关法律法规，制定本文件。 本文件规定了粤港澳大湾区跨境处理个人信息应遵循 的基本原则和保护要求，为实施粤港澳大湾区个人信息保护 认证提供了认证依据，也为大湾区个人信息处理者规范个人 信息跨境处理活动提供参考。IV目录 前言.......................................................................I 摘要.....................................................................III 1范围.......................................................................1 2术语定义...................................................................1 2.1个人信息.............................................................1 2.2个人信息主体.........................................................1 2.3个人信息处理者.......................................................1 2.4个人信息处理.........................................................1 2.5属地法律法规.........................................................2 3基本原则...................................................................2 3.1合法、正当、诚信原则.................................................2 3.2最小必要原则.........................................................2 3.3公开透明原则.........................................................2 3.4质量保障原则.........................................................3 3.5确保安全原则.........................................................3 3.6责任明确原则.........................................................3 4个人信息处理要求...........................................................3 4.1个人信息处理合法性基础...............................................3 4.2个人信息告知同意.....................................................4 4.3个人信息存储、使用、加工.............................................5 4.4个人信息委托处理、提供、公开.........................................6 4.5个人信息跨境.........................................................7 5个人信息权益保障要求.......................................................9 5.1个人信息主体权利.....................................................9 5.2个人信息处理者的责任义务.............................................10 6个人信息安全要求..........................................................1011范围 本文件规定了粤港澳大湾区跨境处理个人信息应遵守的基本原 则和要求。 本文件适用于大湾区内个人信息处理者依据备忘录以认证方式 开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于 （适用于组织）／位于（适用于个人）粤港澳大湾区内的个人信息处 理者，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、 中山市、江门市、肇庆市，及香港特别行政区的个人信息处理者。 2术语定义 2.1个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息。 注：个人信息处理者处理的个人信息，按照属地个人信息保护法律确定。例如：内地个 人信息处理者处理的个人信息，按照《中华人民共和国个人信息保护法》确定；香 港处理的个人信息，按照香港《个人资料（私隐）条例》的“个人资料”确定。 2.2个人信息主体 个人信息所标识或者关联的自然人。 注：香港也称为“资料当事人”，即就个人资料而言，属该资料的当事人的个人。 2.3个人信息处理者 个人信息处理者是指在个人信息处理活动中自主决定处理目的、 处理方式的组织、个人。 注：香港也称为“资料使用者”，即就个人资料而言，指独立或联同其他人或与其他人 共同控制该资料的收集、持有、处理或使用的人。 2.4个人信息处理2包括个人信息的收集、存储、使用、加工、传输、提供、公开、 删除等处理活动。 注：就香港而言，涵盖个人信息的收集、持有、处理或使用(包括披露或移转)。其中， “存储”与香港的“持有”对应，“使用、加工”与香港的“处理”对应，“提供、 公开”与香港的“使用”对应。 2.5属地法律法规 就内地而言，是指《中华人民共和国网络安全法》、《中华人民 共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法 规。就香港特别行政区而言，是指《个人资料（私隐）条例》等法律 法规。 3基本原则 3.1合法、正当、诚信原则 个人信息处理者在跨境处理个人信息时，应遵循合法、正当、诚 信原则，主要包括： a）遵守属地法律法规等要求； b）不得通过误导、欺诈、胁迫等方式处理个人信息； c）处理个人信息应具有明确、合理的目的； d）跨境处理个人信息应遵守合同、协议等具有法律约束力文件 的约定和承诺，不得违背约定和承诺损害个人信息主体的合法权益。 3.2最小必要原则 跨境处理个人信息应当与处理目的直接相关，限于实现处理目的 的最小范围，采取对个人权益影响最小且公平的方式。 3.3公开透明原则3个人信息处理者在跨境处理个人信息时，应当遵循公开、透明原 则，公开个人信息处理规则，明示个人信息处理的目的、方式和范围。 注：公开个人信息处理规则，通常采用隐私政策等方式公开。 3.4质量保障原则 个人信息处理者在跨境处理个人信息时应保障个人信息的质量， 避免因个人信息不准确、不完整对个人权益造成不利影响。 3.5确保安全原则 个人信息处理者应当采取必要措施保障跨境处理个人信息的安 全和保密，防止未经授权的访问以及个人信息泄露、篡改、丢失、滥 用。 3.6责任明确原则 个人信息处理者应当对其个人信息跨境处理活动负责，保障个人 信息主体权益，对损害个人信息合法权益的行为承担责任。 4个人信息处理要求 4.1个人信息处理合法性基础 个人信息处理者处理个人信息应符合属地法律法规要求，具体包 括： a）就内地的个人信息处理者而言，处理个人信息应当符合下列 情形之一： 1)取得个人的同意；