资讯洞见
《网络安全标准实践指南 – 个人信息跨境处理活动认证技术 规范(征求意见稿)》(下称“规范草案”)在2022年4月29日由信息安全标准化技术委员会发布。这是专业机构对跨境个人信息处理活动的认证制度的首个官方指南。该认证是《个人信息保护法》(“个保法”)第38条规定的个人信息处理者向中国境外提供个人信息应当具备的前提条件之一。
适用范围
规范草案明确了可以适用该标准的两种情形:
上述第 2. 种情形似乎意味着个保法第38条规定的向中国境外提供个人信息应当具备的条件可以延伸适用于直接从中国境内的自然人收集个人信息的境外个人信息处理者。请留意该规范不是强制要求,因此其认证要求具有自愿性。是否会出现新的法规制定对境外个人信息处理者的额外法律要求,仍有待观察。
值得注意的认证要求
规范草案要求参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件(不同于国家互联网信息办公室制定的个人信息出境标准合同),并对其中应当至少包含的具体内容进行了罗列。
认证的其他基本要求还包括组织管理、个人信息保护影响评估、个人信息主体权益保障。例如,参与个人信息跨境处理活动的相关方均应:
小结
尽管有上述内容,规范草案仍未确定认证机构或明确认证流程。期待后续规定或标准将进一步制定或完善。
的近律师行将持续关注个人信息保护法相关立法动态,并对可能影响您的业务的要点提供更新。如想了解个人信息处理风险管理的具体建议,请与我们联络。