个人信息出境标准合同（网信办版）

1、个人信息出境标准合同为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准，明确个人信息处理者和境外接收方个人信息保护的义务和责任，双方经协商一致，特签订本合同，以便共同遵守。个人信息处理者:地址:电话: 邮箱:联系人: 职务: 国籍: 境外接收方:地址:电话: 邮箱:联系人: 职务: 国籍:个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动，与此活动相关的商业行为，双方【已】/【约定】于年月日签署关于 XX 的商业合同，如有 。本合同正文系根据个人信息出境标准合同规定的要求拟定，双方如有其他约定可在附录二中详述，附录构成本合同的组成部分。第一条定义在本合同中，除上下文另有规定外:(一)个人信息处理者或境外接收方单称“一方”，合称“双方”。(二)“个人信息”和“敏感个人信息”与中华人民共和国个人信息保护法所规定的含义相同。(三)“个人信息主体”是指个人信息所标识或者关联的自然人。(四)“个人信息处理者”与中华人民共和国个人信息保护法所规定的含义相同。(五)“境外接收方”是指位于中华人民共和国境外并自个人信

2、息处理者处接收个人信息的组织或个人。(六)“监管机构”是指中华人民共和国省级以上网信部门。(七)“相关法律法规”是指中华人民共和国民法典中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法个人信息出境标准合同规定等中华人民共和国法律法规和部门规章，以及对前述法律法规和部门规章作出修订、修改或补充的法律法规和部门规章，包括取代原法律法规和部门规章的后续法律法规和部门规章。(八)本合同其他未定义术语的含义应与相关法律法规规定的含义保持一致。第二条个人信息处理者的义务个人信息处理者在此陈述、保证、承诺如下:(一)个人信息系按照相关法律法规进行收集、使用等处理;出境个人信息范围仅限于实现处理目的所需的最小范围。(二)已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一“个人信息出境说明”中的相关情况，以及行使个人信息主体权利的方式和程序等事项，并已取得个人单独同意，但相关法律法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息，已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的，已取得未成年人的父母或者其他监护人的

3、同意;法律、行政法规规定应当取得书面同意的，已取得书面同意，相关法律法规规定无需取得书面同意的除外。(三)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒绝，则可以依据该合同享有第三方受益人的权利。(四)已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施(综合考虑个人信息的类型、数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的等可能带来的个人信息安全风险):(如加密、匿名化、去标识化、访问控制等技术和管理措施) (五)经境外接收方要求，向境外接收方提供相关法律规定和技术标准的副本。(六)将答复来自监管机构关于境外接收方的个人信息处理活动的询问，但双方均同意由境外接收方作出答复的除外;在此情况下，若境外接收方在要求答复的期限内未答复，个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。(七)已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。评估已考虑:1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法

4、性、正当性、必要性;2.出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险;3.境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;4.个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等;5.按本合同第四条评估当地个人信息保护政策法规对遵守本合同条款可能造成的影响;6.其他可能影响个人信息出境安全的事项。保存个人信息保护影响评估报告至少3年。(八)根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内，可以在提供副本之前对本合同相关内容进行适当遮蔽，但承诺向个人信息主体提供有效摘要以助其理解合同内容。(九)承担证明本合同义务已履行的举证责任。(十)根据相关法律法规要求向监管机构提供第三条第(十)款所述的信息，包括所有审计结果。第三条境外接收方的义务境外接收方在此陈述、保证、承诺如下:(一)按照附录一“个人信息出境说明”所列约定处理个人信息，除非取得个人信息主体的事先同意。(二)根据个人信息主体要求向个人信息

5、主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内，可以在提供副本之前对本合同相关内容进行适当遮蔽，但承诺向个人信息主体提供有效摘要以助其理解合同内容。(三)出境个人信息范围仅限于实现处理目的所需的最小范围。(四)存储个人信息的期限为实现处理目的所必要的最短时间;超出上述存储期限后，对个人信息(包括所有备份)进行删除或匿名化处理，除非取得个人信息主体关于存储期限的单独同意。受个人信息处理者委托处理个人信息时，在删除或匿名化后，向个人信息处理者提供相关审计报告。(五)按以下方式保障个人信息处理安全:1.采取有效的技术和管理措施，以确保个人信息的安全，包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问(以下简称“数据泄露”)。为了履行这一义务，采取第二条第(四)款中规定的技术和管理措施。进行定期检查，以确保这些措施持续维持适当的安全水平;2.确保授权处理个人信息的人员履行保密义务，并建立最小授权的访问控制策略，使前述人员只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限。(六)如果处理的个人信息发生了

6、数据泄露，将:1.及时采取适当补救措施，以减轻对个人信息主体造成的不利影响;2.立即通知个人信息处理者，并根据相关法律法规要求报告中华人民共和国监管机构。通知包含以下内容:(1)个人信息泄露的原因;(2)泄露的个人信息种类和可能造成的危害;(3)已采取的补救措施;(4)个人可以采取的减轻危害的措施;(5)负责处理数据泄露的负责人或负责团队的联系方式。3.相关法律法规要求通知个人信息主体的，通知的内容包含前述第2项的内容;4.记录并留存所有与数据泄露有关的事实及其影响，包括采取的所有补救措施;5.受个人信息处理者委托处理个人信息时，由个人信息处理者承担前述第3项所规定的向个人信息主体通知的义务。(七)不将个人信息提供给位于中华人民共和国境外的第三方，除非同时符合以下要求:1.确有业务需要提供个人信息;2.已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项，并已取得个人单独同意，相关法律法规规定无需取得个人单独同意的除外;涉及敏感个人信息的，向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个

7、人信息的，取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的，取得书面同意，相关法律法规规定无需取得书面同意的除外。在难以告知或者难以取得个人信息主体单独同意时，及时告知个人信息处理者，并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意;3.与第三方达成书面协议，以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准，并承担因再提供而可能导致对个人信息主体造成损害的连带责任;4.向个人信息处理者提供该协议副本。(八)受个人信息处理者委托处理个人信息，转委托第三方处理时，事先征得个人信息处理者同意;确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息，并对该第三方的个人信息处理活动进行监督。(九)利用个人信息进行自动化决策，保证决策的透明度和结果公平、公正，不对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，同时提供不针对其个人特征的选项，或者提供便捷的拒绝方式。(十)承诺向个人信息处理者提供所有必要的信息，用以证明遵守

8、本合同中规定的义务，允许个人信息处理者对数据文件和文档进行查阅，或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计时，为个人信息处理者自行开展或者委托第三方开展的审计提供便利，并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。(十一)对开展的个人信息处理活动进行客观记录，保存记录至少3年;按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。(十二)同意在监督本合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从监管机构采取的措施或作出的决定，并提供已采取必要行动的书面证明。第四条当地个人信息保护政策法规对遵守本合同条款的影响(一)双方在此保证，经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),会阻止境外接收方履行本合同规定的义务。(二)双方在此声明，在提供第四条第(一)款中的保证时，已经考虑了以下要素:1.出境的具体情况，包括涉及传输的个人信息的类型、数量、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方保存

9、的期限、个人信息处理目的、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况;2.境外接收方所在国家或者地区的个人信息保护政策法规，包括以下要素:(1)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况;(2)该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所做出的具有约束力的国际承诺;(3)该国家或地区落实个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构等。3.境外接收方安全管理制度和技术手段保障能力。(三)境外接收方保证，在根据第四条第(二)款进行评估时，已尽最大努力为个人信息处理者提供了必要的相关信息。(四)双方应记录根据第四条第(二)款进行的评估过程和结果。(五)因境外接收方所在国家或地区的个人信息保护政策法规发生变化(包括境外接收方所在国家或地区更改法律，或者采取强制性措施)导致境外接收方无法履行本合同的，境外接收方应在知道前述变化后立即通知个人信息处理者。第五条个人信息主体的权利双方承认，按照相关法律法规赋予个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利。(一)个人信息主体依据相关法律法规，拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权，以及要求对

《个人信息出境标准合同（网信办版）》由会员牧****h分享，可在线阅读，更多相关《个人信息出境标准合同（网信办版）》请在金锄头文库上搜索。