TC260-PG-2023XX
网络安全标准实践指南
—粤港澳大湾区跨境个人信息保护要求
(征求意见稿v1.0-202311)
全国信息安全标准化技术委员会秘书处
2023年11月
本文档可从以下网址获得:
www.tc260.org.cn/I前言
《网络安全标准实践指南》(以下简称《实践指南》)是
全国信息安全标准化技术委员会(以下简称“信安标委”)秘
书处组织制定和发布的标准相关技术文件,旨在围绕网络安
全法律法规政策、标准、网络安全热点和事件等主题,宣传
网络安全相关标准及知识,提供标准化实践指引。II声明
本《实践指南》版权属于信安标委秘书处,未经秘书
处书面授权,不得以任何方式抄袭、翻译《实践指南》的
任何部分。凡转载或引用本《实践指南》的观点、数据,
请注明“来源:全国信息安全标准化技术委员会秘书处”。
技术支持单位
本《实践指南》得到中国电子技术标准化研究院、中国
网络安全审查技术与认证中心等单位的技术支持。III摘要
为促进粤港澳大湾区个人信息跨境安全有序流动,推动
粤港澳大湾区高质量发展,依据《关于促进粤港澳大湾区数
据跨境流动的合作备忘录》(以下简称“备忘录”)和属地相
关法律法规,制定本文件。
本文件规定了粤港澳大湾区跨境处理个人信息应遵循
的基本原则和保护要求,为实施粤港澳大湾区个人信息保护
认证提供了认证依据,也为大湾区个人信息处理者规范个人
信息跨境处理活动提供参考。IV目录
前言.......................................................................I
摘要.....................................................................III
1范围.......................................................................1
2术语定义...................................................................1
2.1个人信息.............................................................1
2.2个人信息主体.........................................................1
2.3个人信息处理者.......................................................1
2.4个人信息处理.........................................................1
2.5属地法律法规.........................................................2
3基本原则...................................................................2
3.1合法、正当、诚信原则.................................................2
3.2最小必要原则.........................................................2
3.3公开透明原则.........................................................2
3.4质量保障原则.........................................................3
3.5确保安全原则.........................................................3
3.6责任明确原则.........................................................3
4个人信息处理要求...........................................................3
4.1个人信息处理合法性基础...............................................3
4.2个人信息告知同意.....................................................4
4.3个人信息存储、使用、加工.............................................5
4.4个人信息委托处理、提供、公开.........................................6
4.5个人信息跨境.........................................................7
5个人信息权益保障要求.......................................................9
5.1个人信息主体权利.....................................................9
5.2个人信息处理者的责任义务.............................................10
6个人信息安全要求..........................................................1011范围
本文件规定了粤港澳大湾区跨境处理个人信息应遵守的基本原
则和要求。
本文件适用于大湾区内个人信息处理者依据备忘录以认证方式
开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于
(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处
理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、
中山市、江门市、肇庆市,及香港特别行政区的个人信息处理者。
2术语定义
2.1个人信息
以电子或者其他方式记录的与已识别或者可识别的自然人有关
的各种信息。
注:个人信息处理者处理的个人信息,按照属地个人信息保护法律确定。例如:内地个
人信息处理者处理的个人信息,按照《中华人民共和国个人信息保护法》确定;香
港处理的个人信息,按照香港《个人资料(私隐)条例》的“个人资料”确定。
2.2个人信息主体
个人信息所标识或者关联的自然人。
注:香港也称为“资料当事人”,即就个人资料而言,属该资料的当事人的个人。
2.3个人信息处理者
个人信息处理者是指在个人信息处理活动中自主决定处理目的、
处理方式的组织、个人。
注:香港也称为“资料使用者”,即就个人资料而言,指独立或联同其他人或与其他人
共同控制该资料的收集、持有、处理或使用的人。
2.4个人信息处理2包括个人信息的收集、存储、使用、加工、传输、提供、公开、
删除等处理活动。
注:就香港而言,涵盖个人信息的收集、持有、处理或使用(包括披露或移转)。其中,
“存储”与香港的“持有”对应,“使用、加工”与香港的“处理”对应,“提供、
公开”与香港的“使用”对应。
2.5属地法律法规
就内地而言,是指《中华人民共和国网络安全法》、《中华人民
共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法
规。就香港特别行政区而言,是指《个人资料(私隐)条例》等法律
法规。
3基本原则
3.1合法、正当、诚信原则
个人信息处理者在跨境处理个人信息时,应遵循合法、正当、诚
信原则,主要包括:
a)遵守属地法律法规等要求;
b)不得通过误导、欺诈、胁迫等方式处理个人信息;
c)处理个人信息应具有明确、合理的目的;
d)跨境处理个人信息应遵守合同、协议等具有法律约束力文件
的约定和承诺,不得违背约定和承诺损害个人信息主体的合法权益。
3.2最小必要原则
跨境处理个人信息应当与处理目的直接相关,限于实现处理目的
的最小范围,采取对个人权益影响最小且公平的方式。
3.3公开透明原则3个人信息处理者在跨境处理个人信息时,应当遵循公开、透明原
则,公开个人信息处理规则,明示个人信息处理的目的、方式和范围。
注:公开个人信息处理规则,通常采用隐私政策等方式公开。
3.4质量保障原则
个人信息处理者在跨境处理个人信息时应保障个人信息的质量,
避免因个人信息不准确、不完整对个人权益造成不利影响。
3.5确保安全原则
个人信息处理者应当采取必要措施保障跨境处理个人信息的安
全和保密,防止未经授权的访问以及个人信息泄露、篡改、丢失、滥
用。
3.6责任明确原则
个人信息处理者应当对其个人信息跨境处理活动负责,保障个人
信息主体权益,对损害个人信息合法权益的行为承担责任。
4个人信息处理要求
4.1个人信息处理合法性基础
个人信息处理者处理个人信息应符合属地法律法规要求,具体包
括:
a)就内地的个人信息处理者而言,处理个人信息应当符合下列
情形之一:
1)取得个人的同意;
网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿) 20231101
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-11-10 21:28:26上传分享