个人信息出境标准合同办法

第一章 总则

第一条

为了保护个人信息权益，规范个人信息出境活动，根据《中华人民共和国个人信息保护法》的规定，制定本办法。

第二条

个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息，适用本办法。任何组织和个人不得通过分解、合并等方式将个人信息拆分后向境外提供，规避适用数据出境安全评估。

第三条

本办法所称标准合同，是指国家网信部门提供的标准合同文本。个人信息处理者应当严格按照标准合同文本与境外接收方订立合同。

第四条

个人信息处理者向境外提供个人信息，同时符合下列情形的，应当通过订立标准合同的方式向境外提供个人信息：
（一）非关键信息基础设施运营者；
（二）处理个人信息不满100万人的；
（三）自上年1月1日起累计向境外提供个人信息不满10万人的；
（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

第五条

个人信息处理者向境外提供个人信息，不属于本办法第四条规定情形的，应当通过数据出境安全评估或者经专业机构进行个人信息保护认证。

第二章 标准合同的订立

第六条

个人信息处理者应当在标准合同订立后10个工作日内向所在地省级网信部门备案。

第七条

标准合同应当包括以下内容：
（一）个人信息处理者和境外接收方的基本信息；
（二）个人信息出境的目的、方式、范围、种类；
（三）境外接收方对个人信息的处理目的、方式、范围、种类；
（四）个人信息出境的存储地点、期限，以及到期后的处理方式；
（五）境外接收方对个人信息的保护措施；
（六）境外接收方所在国家或者地区个人信息保护政策法规对合同履行的影响；
（七）个人信息主体权益及其保障方式；
（八）违约责任和争议解决方式。

第八条

个人信息处理者应当对个人信息出境进行个人信息保护影响评估，重点评估以下事项：
（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；
（二）出境个人信息的数量、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；
（三）境外接收方承担的个人信息保护义务，以及履行个人信息保护义务的管理和技术措施、能力等能否保障出境个人信息的安全；
（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
（五）境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响；
（六）标准合同是否充分约定了个人信息处理者和境外接收方的个人信息保护责任和义务。

第九条

个人信息处理者应当在与境外接收方订立标准合同前完成个人信息保护影响评估，并形成评估报告。

第三章 标准合同的履行

第十条

个人信息处理者应当严格按照标准合同的约定向境外接收方提供个人信息，并采取必要措施保障个人信息安全。

第十一条

境外接收方应当严格按照标准合同的约定处理个人信息，不得超出约定的目的、方式、范围处理个人信息。

第十二条

个人信息处理者发现境外接收方违反标准合同约定的，应当采取以下措施：
（一）要求境外接收方立即停止违法行为；
（二）采取必要措施防止个人信息泄露、篡改、丢失；
（三）及时向所在地省级网信部门报告。

第十三条

发生个人信息泄露、篡改、丢失等安全事件的，个人信息处理者应当立即采取补救措施，并通知所在地省级网信部门。通知应当包括以下内容：
（一）安全事件的基本情况；
（二）可能受影响的个人信息主体数量、范围；
（三）已采取的补救措施；
（四）对个人信息主体权益可能产生的影响。

第四章 监督管理

第十四条

省级网信部门发现已经备案的标准合同可能影响个人信息权益或者危害国家安全的，应当通知个人信息处理者终止向境外提供个人信息。个人信息处理者需要继续向境外提供个人信息的，应当重新订立标准合同并备案。

第十五条

个人信息处理者应当对个人信息出境活动进行记录，保存期限不少于五年。记录应当包括以下内容：
（一）个人信息出境的时间、数量、范围、种类；
（二）境外接收方的名称、联系方式；
（三）个人信息出境的目的、方式；
（四）个人信息安全事件及其处置情况。

第十六条

省级网信部门应当对个人信息处理者订立和履行标准合同的情况进行监督检查，个人信息处理者应当予以配合。

第五章 法律责任

第十七条

个人信息处理者违反本办法规定的，依照《中华人民共和国个人信息保护法》等法律法规的规定处罚。

第十八条

境外接收方违反标准合同约定的，个人信息处理者应当依法承担赔偿责任后向境外接收方追偿。

第六章 附则

第十九条

本办法自2023年6月1日起施行。