附件： 个人信息出境标准合同 国家互联网信息办公室 制定1为了确保境外接收方处理个人信息的活动达到中华人民共和国 相关法律法规规定的个人信息保护标准，明确个人信息处理者和境外 接收方个人信息保护的权利和义务，经双方协商一致，订立本合同。 个人信息处理者： 地址： 联系方式： 联系人： 职务： 境外接收方： 地址： 联系方式： 联系人： 职务：2个人信息处理者与境外接收方依据本合同约定开展个人信息出 境活动，与此活动相关的商业行为，双方【已】/【约定】于 年 月 日订立（商业合同，如有）。 本合同正文根据《个人信息出境标准合同办法》的要求拟定，在 不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二 中详述，附录构成本合同的组成部分。 第一条 定义 在本合同中，除上下文另有规定外： （一）“个人信息处理者”是指在个人信息处理活动中自主决定 处理目的、处理方式的，向中华人民共和国境外提供个人信息的组织、 个人。 （二）“境外接收方”是指在中华人民共和国境外自个人信息处 理者处接收个人信息的组织、个人。 （三）个人信息处理者或者境外接收方单称“一方”，合称“双 方”。 （四）“个人信息主体”是指个人信息所识别或者关联的自然人。 （五）“个人信息”是指以电子或者其他方式记录的与已识别或 者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 （六）“敏感个人信息”是指一旦泄露或者非法使用，容易导致 自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信 息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行3踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 （七）“监管机构”是指中华人民共和国省级以上网信部门。 （八）“相关法律法规”是指《中华人民共和国网络安全法》《中 华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华 人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标 准合同办法》等中华人民共和国法律法规。 （九）本合同其他未定义术语的含义与相关法律法规规定的含义 一致。 第二条 个人信息处理者的义务 个人信息处理者应当履行下列义务： （一）按照相关法律法规规定处理个人信息，向境外提供的个人 信息仅限于实现处理目的所需的最小范围。 （二）向个人信息主体告知境外接收方的名称或者姓名、联系方 式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息 的种类、保存期限，以及行使个人信息主体权利的方式和程序等事项。 向境外提供敏感个人信息的，还应当向个人信息主体告知提供敏感个 人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不 需要告知的除外。 （三）基于个人同意向境外提供个人信息的，应当取得个人信息 主体的单独同意。涉及不满十四周岁未成年人个人信息的，应当取得 未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应 当取得书面同意的，应当取得书面同意。4（四）向个人信息主体告知其与境外接收方通过本合同约定个人 信息主体为第三方受益人，如个人信息主体未在30日内明确拒绝， 则可以依据本合同享有第三方受益人的权利。 （五）尽合理地努力确保境外接收方采取如下技术和管理措施 （综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感 程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等 可能带来的个人信息安全风险），以履行本合同约定的义务： （如加密、匿名化、去标识化、访问控制等技术和管理措施） （六）根据境外接收方的要求向境外接收方提供相关法律规定和 技术标准的副本。 （七）答复监管机构关于境外接收方的个人信息处理活动的询 问。 （八）按照相关法律法规对拟向境外接收方提供个人信息的活动 开展个人信息保护影响评估。重点评估以下内容： 1.个人信息处理者和境外接收方处理个人信息的目的、范围、方 式等的合法性、正当性、必要性。 2.出境个人信息的规模、范围、种类、敏感程度，个人信息出境 可能对个人信息权益带来的风险。 3.境外接收方承诺承担的义务，以及履行义务的管理和技术措 施、能力等能否保障出境个人信息的安全。54.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的 风险，个人信息权益维护的渠道是否通畅等。 5.按照本合同第四条评估当地个人信息保护政策和法规对合同 履行的影响。 6.其他可能影响个人信息出境安全的事项。 保存个人信息保护影响评估报告至少3年。 （九）根据个人信息主体的要求向个人信息主体提供本合同的副 本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解 的前提下，可对本合同副本相关内容进行适当处理。 （十）对本合同义务的履行承担举证责任。 （十一）根据相关法律法规要求，向监管机构提供本合同第三条 第十一项所述的信息，包括所有合规审计结果。 第三条 境外接收方的义务 境外接收方应当履行下列义务： （一）按照附录一“个人信息出境说明”所列约定处理个人信息。 如超出约定的处理目的、处理方式和处理的个人信息种类，基于个人 同意处理个人信息的，应当事先取得个人信息主体的单独同意；涉及 不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其 他监护人的单独同意。 （二）受个人信息处理者委托处理个人信息的，应当按照与个人 信息处理者的约定处理个人信息，不得超出与个人信息处理者约定的 处理目的、处理方式等处理个人信息。6（三）根据个人信息主体的要求向个人信息主体提供本合同的副 本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解 的前提下，可对本合同副本相关内容进行适当处理。 （四）采取对个人权益影响最小的方式处理个人信息。 （五）个人信息的保存期限为实现处理目的所必要的最短时间， 保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息 处理者委托处理个人信息，委托合同未生效、无效、被撤销或者终止 的，应当将个人信息返还个人信息处理者或者予以删除，并向个人信 息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停 止除存储和采取必要的安全保护措施之外的处理。 （六）按下列方式保障个人信息处理安全： 1.采取包括但不限于本合同第二条第五项的技术和管理措施，并 定期进行检查，确保个人信息安全。 2.确保授权处理个人信息的人员履行保密义务，并建立最小授权 的访问控制权限。 （七）如处理的个人信息发生或者可能发生篡改、破坏、泄露、 丢失、非法利用、未经授权提供或者访问，应当开展下列工作： 1.及时采取适当补救措施，减轻对个人信息主体造成的不利影 响。 2.立即通知个人信息处理者，并根据相关法律法规要求报告监管 机构。通知应当包含下列事项： （1）发生或者可能发生篡改、破坏、泄露、丢失、非法利用、7未经授权提供或者访问的个人信息种类、原因和可能造成的危害。 （2）已采取的补救措施。 （3）个人信息主体可以采取的减轻危害的措施。 （4）负责处理相关情况的负责人或者负责团队的联系方式。 3.相关法律法规要求通知个人信息主体的，通知的内容包含本项 第2目的事项。受个人信息处理者委托处理个人信息的，由个人信息 处理者通知个人信息主体。 4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、 非法利用、未经授权提供或者访问有关的情况，包括采取的所有补救 措施。 （八）同时符合下列条件的，方可向中华人民共和国境外的第三 方提供个人信息： 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处 理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体 权利的方式和程序等事项。向第三方提供敏感个人信息的，还应当向 个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影 响。但是法律、行政法规规定不需要告知的除外。 3.基于个人同意处理个人信息的，应当取得个人信息主体的单独 同意。涉及不满十四周岁未成年人个人信息的，应当取得未成年人的 父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面 同意的，应当取得书面同意。