信息安全技术 个人信息跨境传输认证要求.pdfVIP

信息安全技术 个人信息跨境传输认证要求 1 范围 本文件规定了个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要 求。 本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证，也适用于 主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069-2022 信息安全技术 术语 GB/T 35273-2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T25069-2022、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息，不包括匿名化处理后的信息。 [来源：GB/T 35273-2020，3.1，有修改] 3.2 敏感个人信息 sensitive personal information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 [来源：GB/T 35273-2020，3.2，有修改] 3.3 个人信息主体 personal information subject 个人信息所标识或者关联的自然人。 [来源：GB/T 35273-2020，3.3] 3.4 个人信息处理者 personal information processor 在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。 3.5 境外接收方 outland receiver 位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。 1 3.6 单独同意 separate consent 对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。 4 基本原则 4.1 合法、正当、必要和诚信原则 个人信息处理者和境外接收方在跨境处理个人信息时应满足法律法规的规定，按照约定目的并采取 对个人信息权益影响最小的方式处理个人信息，遵守合同、协议等具有法律约束力文件的约定和承诺， 不应违背约定和承诺损害个人信息主体的合法权益。 4.2 公开、透明原则 个人信息处理者和境外接收方在跨境处理个人信息时应满足处理规则公开、处理过程透明要求，及 时向个人信息主体告知境外接收方的名称或者姓名、联系方式，个人信息跨境处理的目的、范围和处理 方式，以及权利、行使权利的方式和程序等，确保个人信息主体了解自身个人信息的跨境处理情况。 4.3 信息质量保障原则 个人信息处理者和境外接收方在跨境处理个人信息时应保障个人信息的质量，避免因个人信息不准 确、不完整对个人权益造成不利影响。 4.4 同等保护原则 个人信息处理者和境外接收方在跨境处理个人信息时均应采取必要措施，保护所处理个人信息的安 全，确保个人信息跨境处理活动达到《中华人民共和国个人信息保护法》等规定的个人信息保护标准。 4.5 责任明确原则 个人信息处理者和境外接收方应履行法律法规规定的责任义务，在跨境处理个人信息时应保障个人 信息主体权益，并指定境内一方、多方或者境外接收方在境内设置的机构对境外接收方损害个人信息权 益的个人信息违规处理活动承担民事法律责任。 4.6 自愿认证原则 鼓励开展个人信息跨境处理活动的个人信息处理者自愿申请个人信息保护认证，充分发挥认证在加 强个人信息保护、提高个人信息跨境处理效率方面的作用。 5 基本要求 5.1 具有法律约束力的文件 开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文 件，确保个人信息主体权益得到充分的保障。文件应至少明确下列内容： a) 个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式