网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求.docx

TC260-PG-20245A

网络安全标准实践指南

——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求

（v1.0-202411）

全国网络安全标准化技术委员会秘书处香港个人资料私隐专员公署

2024年11月

本文档可从以下网址获得：

/

I

前言

《网络安全标准实践指南》（以下简称《实践指南》）是全国网络安全标准化技术委员会（以下简称“网安标委”）秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。

《网络安全标准实践指南—粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》（以下简称《跨境保护要求》）由网安标委秘书处和香港个人资料私隐专员公署制定，就粤港澳大湾区（内地、香港）个人信息跨境处理应遵循的基本原则和保护要求提供指引，为实施粤港澳大湾区（内地、香港）个人信息跨境安全互认提供了认证及认可依据。

本文件起草单位：中国电子技术标准化研究院、香港个人资料私隐专员公署、中国网络安全审查认证和市场监管大数据中心、北京理工大学、中央财经大学、广州南沙经济技术开发区管理委员会、国家工业信息安全发展研究中心、中国南方电网有限责任公司、华为技术有限公司、OPPO广东移动通信有限公司、广州根链国际网络研究院有限公司、广州力挚网络科技有限公司、中科汇智（广东）信息科技有限公司、中企网络通信技术有限公司。

本文件主要起草人：杨建军、钟丽玲、范科峰、姚相振、胡影、黄宝漫、朱雪峰、李海东、任英杰、陈世翔、郝春亮、

II

岳熙研、洪延青、张金平、林伟杰、林小栋、孙杰、禤亮、陈彬、柯耀斌、韦宗慧、王秉政、杨晓伟、郑云文、刘文园、张汉卓、陈旭敏、郭桂福、何梦莎。

III

声明

本《跨境保护要求》版权属于网安标委秘书处和香港个人资料私隐专员公署，未经双方书面授权，不得以任何方式抄袭、翻译《跨境保护要求》的任何部分。凡转载或引用本《跨境保护要求》的观点、数据，请注明“来源：全国网络安全标准化技术委员会秘书处、香港个人资料私隐专员公署”。

IV

摘要

为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称“备忘录”）中粤港澳大湾区个人信息跨境安全认证工作，依据备忘录、内地认证文件和属地法律法规，制定本文件。粤港澳大湾区（内地、香港）个人信息处理者、接收方可以按照备忘录和相关文件要求，采取订立大湾区（内地、香港）个人信息跨境流动标准合同或者申请以大湾区（内地、香港）个人信息跨境安全互认方式（以下简称“安全互认方式”）进行大湾区内个人信息跨境流动。《促进和规范数据跨境流动规定》规定的免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形除外。

本文件规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求。对粤港澳大湾区（内地、香港）个人信息处理者或者接收方的个人信息跨境处理活动进行安全认证（就粤港澳大湾区内内地个人信息处理者或者接收方而言）或认可（就香港特别行政区个人信息处理者或者接收方而言），依据本文件开展。

V

目录

1范围 1

2术语定义 1

3基本原则 3

3.1合法、正当、诚信原则 3

3.2最小必要原则 3

3.3公开透明原则 4

3.4权益保障原则 4

3.5确保安全原则 4

3.6责任明确原则 4

4个人信息处理要求 4

4.1个人信息处理合法性基础 4

4.2个人信息收集 5

4.3个人信息存储、使用、加工 6

4.4个人信息委托处理、提供、公开 7

4.5个人信息跨境 8

5个人信息权益保障要求 13

5.1个人信息主体权利 13

5.2个人信息权益保障 13

6个人信息安全要求 14

参考文献 16

1

1范围

本文件规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求。

本文件作为粤港澳大湾区（内地、香港）个人信息跨境安全互认的认证（就粤港澳大湾区内内地个人信息处理者或者接收方而言）及认可（就