为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(以下简称《认证规范》)。
《认证规范》从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
《认证规范》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:
1、跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;
2、《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。
跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。
《认证规范》还提出了以下基本原则:
1、合法、正当、必要和诚信原则。个人信息处理者在跨境处理个 人信息时应当满足法律法规的规定,严格按照约定目的并采取对个人 信息权益影响最小的方式处理个人信息,严守合同、协议等具有法律 效力文件的约定和承诺,不得违背约定和承诺损害个人信息主体的合 法权益。
2、公开、透明原则。个人信息处理者在跨境处理个人信息时应当 满足处理规则公开、处理过程透明要求,及时向个人信息主体告知个 1
人信息跨境提供的目的、范围和处理方式,确保个人信息主体了解自 身个人信息的跨境处理情况。
3、信息质量原则。个人信息处理者和境外接收方在跨境处理个人 信息时应当保证个人信息的质量,避免因个人信息不准确、不完整对 个人权益造成不利影响。
4、同等保护原则。个人信息处理者和境外接收方在跨境处理个人 信息时应当采取必要措施,确保个人信息跨境处理活动达到中华人民 共和国个人信息保护相关法律法规规定的个人信息保护标准。
5、责任明确原则。个人信息处理者和境外接收方在跨境处理个人 信息时应当采取必要措施,保护所处理个人信息的安全,保障个人信 息主体权益,并指定境内一方、多方或者境外接收方在境内设置的机 构承担法律责任。
6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自 愿性认证,鼓励符合条件的个人信息处理者和境外接收方在跨境处理 个人信息时自愿申请个人信息跨境处理活动认证,充分发挥认证在加 强个人信息保护、提高个人信息跨境处理效率方面的作用。
此外,《认证规范》对于个人信息跨境提出了相应的要求,包括有法律约束力的协议、组织管理、个人信息跨境处理规则、个人信息保护影响评估等。个人信息主体权益保障方面则列举了个人信息主体权益保障和个人信息处理者和境外接收方的责任义务。
来源:全国信息安全标准化技术委员会