资讯洞见

中国出台个人信息跨境处理活动认证技术规范草案

阅读 PDF

魏德华牟姣撰写

《网络安全标准实践指南 – 个人信息跨境处理活动认证技术 规范(征求意见稿)》(下称“规范草案”)在2022年4月29日由信息安全标准化技术委员会发布。这是专业机构对跨境个人信息处理活动的认证制度的首个官方指南。该认证是《个人信息保护法》(“个保法”)第38条规定的个人信息处理者向中国境外提供个人信息应当具备的前提条件之一。

适用范围

规范草案明确了可以适用该标准的两种情形:

  1. 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动;

  2. 境外个人信息处理者(以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为),在境外处理境内自然人个人信息的活动。

上述第 2. 种情形似乎意味着个保法第38条规定的向中国境外提供个人信息应当具备的条件可以延伸适用于直接从中国境内的自然人收集个人信息的境外个人信息处理者。请留意该规范不是强制要求,因此其认证要求具有自愿性。是否会出现新的法规制定对境外个人信息处理者的额外法律要求,仍有待观察。

值得注意的认证要求

规范草案要求参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件(不同于国家互联网信息办公室制定的个人信息出境标准合同),并对其中应当至少包含的具体内容进行了罗列。

认证的其他基本要求还包括组织管理、个人信息保护影响评估、个人信息主体权益保障。例如,参与个人信息跨境处理活动的相关方均应:

  1. 指定个人信息保护负责人。个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,由本组织机构的决策层成员承担;

  2. 设立个人信息保护机构;及

  3. 遵守统一的个人信息跨境处理规则。

小结

尽管有上述内容,规范草案仍未确定认证机构或明确认证流程。期待后续规定或标准将进一步制定或完善。

的近律师行将持续关注个人信息保护法相关立法动态,并对可能影响您的业务的要点提供更新。如想了解个人信息处理风险管理的具体建议,请与我们联络。

主要负责人

Edwarde Webre (魏德华)

资深顾问律师 | 商业事务

电邮 或致电 +852 2825 9730

牟姣

顾问律师 | 商业事务

电邮 或致电 +86 20 8778 5678

Portfolio Builder

Select the 本所服务 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
职务 Type CV 电邮

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)