Law-lib.com 2022-7-1 10:42:38 國家互聯(lián)網(wǎng)信息辦公室
為了規(guī)范個人信息出境活動,保護(hù)個人信息權(quán)益�,促進(jìn)個人信息跨境安全�、自由流動,依據(jù)《中華人民共和國個人信息保護(hù)法》�����,我辦起草了《個人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》�����,現(xiàn)向社會公開征求意見��。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn�����、www.chinalaw.gov.cn)�����,進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見�。
2.通過電子郵件將意見發(fā)送至:shujuju@cac.gov.cn��。
3.通過信函將意見寄至:北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局,郵編:100048����,并在信封上注明“個人信息出境標(biāo)準(zhǔn)合同規(guī)定征求意見”。
意見反饋截止時間為2022年7月29日��。
國家互聯(lián)網(wǎng)信息辦公室
2022年6月30日
個人信息出境標(biāo)準(zhǔn)合同規(guī)定
����。ㄕ髑笠庖姼澹
第一條 為了規(guī)范個人信息出境活動,保護(hù)個人信息權(quán)益�,促進(jìn)個人信息跨境安全、自由流動���,根據(jù)《中華人民共和國個人信息保護(hù)法》�����,制定本規(guī)定����。
第二條 個人信息處理者依據(jù)《中華人民共和國個人信息保護(hù)法》第三十八條第一款第(三)項(xiàng)�,與境外接收方訂立合同向中華人民共和國境外提供個人信息的,應(yīng)當(dāng)按照本規(guī)定簽訂個人信息出境標(biāo)準(zhǔn)合同(以下簡稱“標(biāo)準(zhǔn)合同”)����。
個人信息處理者與境外接收方簽訂與個人信息出境活動相關(guān)的其他合同�����,不得與標(biāo)準(zhǔn)合同相沖突�����。
第三條 依據(jù)標(biāo)準(zhǔn)合同開展個人信息出境活動�����,應(yīng)堅持自主締約與備案管理相結(jié)合�����,防范個人信息出境安全風(fēng)險�,保障個人信息依法有序自由流動�����。
第四條 個人信息處理者同時符合下列情形的�����,可以通過簽訂標(biāo)準(zhǔn)合同的方式向境外提供個人信息:
�。ㄒ唬┓顷P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者;
�����。ǘ┨幚韨人信息不滿100萬人的�;
(三)自上年1月1日起累計向境外提供未達(dá)到10萬人個人信息的�����;
����。ㄋ模┳陨夏1月1日起累計向境外提供未達(dá)到1萬人敏感個人信息的。
第五條 個人信息處理者向境外提供個人信息前��,應(yīng)當(dāng)事前開展個人信息保護(hù)影響評估�����,重點(diǎn)評估以下內(nèi)容:
����。ㄒ唬﹤人信息處理者和境外接收方處理個人信息的目的�����、范圍���、方式等的合法性、正當(dāng)性����、必要性;
��。ǘ┏鼍硞人信息的數(shù)量��、范圍���、類型����、敏感程度��,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險�;
(三)境外接收方承諾承擔(dān)的責(zé)任義務(wù)���,以及履行責(zé)任義務(wù)的管理和技術(shù)措施�、能力等能否保障出境個人信息的安全����;
(四)個人信息出境后泄露��、損毀�����、篡改���、濫用等的風(fēng)險��,個人維護(hù)個人信息權(quán)益的渠道是否通暢等�;
����。ㄎ澹┚惩饨邮辗剿趪一蛘叩貐^(qū)的個人信息保護(hù)政策法規(guī)對標(biāo)準(zhǔn)合同履行的影響;
���。┢渌赡苡绊憘人信息出境安全的事項(xiàng)�����。
第六條 標(biāo)準(zhǔn)合同包括以下主要內(nèi)容:
�。ㄒ唬﹤人信息處理者和境外接收方的基本信息,包括但不限于名稱�、地址、聯(lián)系人姓名�、聯(lián)系方式等;
����。ǘ﹤人信息出境的目的、范圍�、類型、敏感程度�、數(shù)量、方式����、保存期限、存儲地點(diǎn)等�����;
(三)個人信息處理者和境外接收方保護(hù)個人信息的責(zé)任與義務(wù)����,以及為防范個人信息出境可能帶來安全風(fēng)險所采取的技術(shù)和管理措施等;
��。ㄋ模┚惩饨邮辗剿趪一蛘叩貐^(qū)的個人信息保護(hù)政策法規(guī)對遵守本合同條款的影響�����;
����。ㄎ澹﹤人信息主體的權(quán)利�,以及保障個人信息主體權(quán)利的途徑和方式;
�����。┚葷(jì)�����、合同解除����、違約責(zé)任�����、爭議解決等����。
第七條 個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)�,向所在地省級網(wǎng)信部門備案。備案應(yīng)當(dāng)提交以下材料:
�。ㄒ唬(biāo)準(zhǔn)合同;
��。ǘ﹤人信息保護(hù)影響評估報告�����。
個人信息處理者對所備案材料的真實(shí)性負(fù)責(zé)�����。標(biāo)準(zhǔn)合同生效后個人信息處理者即可開展個人信息出境活動����。
第八條 在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情況之一的,個人信息處理者應(yīng)當(dāng)重新簽訂標(biāo)準(zhǔn)合同并備案:
(一)向境外提供個人信息的目的�����、范圍����、類型、敏感程度����、數(shù)量�、方式、保存期限����、存儲地點(diǎn)和境外接收方處理個人信息的用途、方式發(fā)生變化����,或者延長個人信息境外保存期限的;
�。ǘ┚惩饨邮辗剿趪一蛘叩貐^(qū)的個人信息保護(hù)政策法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的;
����。ㄈ┛赡苡绊憘人信息權(quán)益的其他情況�����。
第九條 參與標(biāo)準(zhǔn)合同備案的機(jī)構(gòu)和人員對在履行職責(zé)中知悉的個人隱私�����、個人信息�、商業(yè)秘密����、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供��、非法使用�。
第十條 任何組織和個人發(fā)現(xiàn)個人信息處理者違反本規(guī)定的,有權(quán)向省級以上網(wǎng)信部門投訴�、舉報。
第十一條 省級以上網(wǎng)信部門發(fā)現(xiàn)通過簽訂標(biāo)準(zhǔn)合同的個人信息出境活動在實(shí)際處理過程中不再符合個人信息出境安全管理要求的���,應(yīng)當(dāng)書面通知個人信息處理者終止個人信息出境活動�。個人信息處理者應(yīng)當(dāng)在收到通知后立即終止個人信息出境活動����。
第十二條 個人信息處理者按照本規(guī)定與境外接收方簽訂標(biāo)準(zhǔn)合同向境外提供個人信息�����,出現(xiàn)以下情形之一的����,由省級以上網(wǎng)信部門依照《中華人民共和國個人信息保護(hù)法》的規(guī)定�����,責(zé)令限期改正�����;拒不改正或者損害個人信息權(quán)益的�����,責(zé)令停止個人信息出境活動���,依法予以處罰;構(gòu)成犯罪的���,依法追究刑事責(zé)任��。
�。ㄒ唬┪绰男袀浒赋绦蚧蛘咛峤惶摷俨牧线M(jìn)行備案的;
����。ǘ┪绰男袠(biāo)準(zhǔn)合同約定的責(zé)任義務(wù),侵害個人信息權(quán)益造成損害的����;
(三)出現(xiàn)影響個人信息權(quán)益的其他情形����。
第十三條 本規(guī)定自___年___月___日起施行。
附件:
個人信息出境標(biāo)準(zhǔn)合同
中華人民共和國國家互聯(lián)網(wǎng)信息辦公室 制定
為了確保境外接收方處理個人信息的活動達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)�,明確個人信息處理者和境外接收方個人信息保護(hù)的義務(wù)和責(zé)任,雙方經(jīng)協(xié)商一致�,特簽訂本合同,以便共同遵守�����。
個人信息處理者:
地址:
電話:郵箱:
聯(lián)系人:職務(wù):國籍:
境外接收方:
地址:
電話:郵箱:
聯(lián)系人:職務(wù):國籍:
個人信息處理者與境外接收方依據(jù)本合同附錄一“個人信息出境說明”所列約定開展與個人信息出境有關(guān)的活動���,與此活動相關(guān)的商業(yè)行為�����,雙方【已】/【約定】于年月日簽署關(guān)于XX的商業(yè)合同��,如有 �����。
本合同正文系根據(jù)《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》的要求擬定���,雙方如有其他約定可在附錄二中詳述���,附錄構(gòu)成本合同的組成部分。
第一條 定義
在本合同中�,除上下文另有規(guī)定外:
(一)個人信息處理者或境外接收方單稱“一方”,合稱“雙方”��。
(二)“個人信息”和“敏感個人信息”與《中華人民共和國個人信息保護(hù)法》所規(guī)定的含義相同��。
(三)“個人信息主體”是指個人信息所標(biāo)識或者關(guān)聯(lián)的自然人��。
(四)“個人信息處理者”與《中華人民共和國個人信息保護(hù)法》所規(guī)定的含義相同��。
(五)“境外接收方”是指位于中華人民共和國境外并自個人信息處理者處接收個人信息的組織或個人。
(六)“監(jiān)管機(jī)構(gòu)”是指中華人民共和國省級以上網(wǎng)信部門。
(七)“相關(guān)法律法規(guī)”是指《中華人民共和國民法典》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》等中華人民共和國法律法規(guī)和部門規(guī)章�����,以及對前述法律法規(guī)和部門規(guī)章作出修訂�����、修改或補(bǔ)充的法律法規(guī)和部門規(guī)章��,包括取代原法律法規(guī)和部門規(guī)章的后續(xù)法律法規(guī)和部門規(guī)章�。
(八)本合同其他未定義術(shù)語的含義應(yīng)與相關(guān)法律法規(guī)規(guī)定的含義保持一致���。
第二條 個人信息處理者的義務(wù)
個人信息處理者在此陳述��、保證����、承諾如下:
(一)個人信息系按照相關(guān)法律法規(guī)進(jìn)行收集��、使用等處理����;出境個人信息范圍僅限于實(shí)現(xiàn)處理目的所需的最小范圍�。
(二)已向個人信息主體告知境外接收方的名稱或姓名�����、聯(lián)系方式�����、附錄一“個人信息出境說明”中的相關(guān)情況���,以及行使個人信息主體權(quán)利的方式和程序等事項(xiàng)���,并已取得個人單獨(dú)同意,但相關(guān)法律法規(guī)規(guī)定不需要取得個人單獨(dú)同意的除外���。如涉及敏感個人信息���,已向個人信息主體告知傳輸敏感個人信息的必要性及對個人的影響;涉及不滿十四周歲未成年人個人信息的����,已取得未成年人的父母或者其他監(jiān)護(hù)人的同意�����;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的���,已取得書面同意���,相關(guān)法律法規(guī)規(guī)定無需取得書面同意的除外。
(三)已向個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人�,如果個人信息主體未在三十天內(nèi)明確拒絕,則可以依據(jù)該合同享有第三方受益人的權(quán)利�����。
(四)已盡合理的努力確保境外接收方能夠履行本合同規(guī)定的義務(wù)并采取如下技術(shù)和管理措施(綜合考慮個人信息的類型����、數(shù)量、范圍及敏感程度����、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方保存的期限�����、個人信息處理目的等可能帶來的個人信息安全風(fēng)險):
(如加密、匿名化��、去標(biāo)識化����、訪問控制等技術(shù)和管理措施)
(五)經(jīng)境外接收方要求,向境外接收方提供相關(guān)法律規(guī)定和技術(shù)標(biāo)準(zhǔn)的副本���。
(六)將答復(fù)來自監(jiān)管機(jī)構(gòu)關(guān)于境外接收方的個人信息處理活動的詢問����,但雙方均同意由境外接收方作出答復(fù)的除外�;在此情況下,若境外接收方在要求答復(fù)的期限內(nèi)未答復(fù)�,個人信息處理者仍將根據(jù)其合理掌握的信息在合理期限內(nèi)作出答復(fù)。
(七)已經(jīng)按照相關(guān)法律法規(guī)對擬向境外接收方提供個人信息的活動開展了個人信息保護(hù)影響評估�。評估已考慮:
1.個人信息處理者和境外接收方處理個人信息的目的、范圍�����、方式等的合法性�����、正當(dāng)性、必要性��;
2.出境個人信息的數(shù)量����、范圍�、類型、敏感程度�����,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險�����;
3.境外接收方承諾承擔(dān)的責(zé)任義務(wù)��,以及履行責(zé)任義務(wù)的管理和技術(shù)措施�、能力等能否保障出境個人信息的安全;
4.個人信息出境后泄露��、損毀��、篡改、濫用等的風(fēng)險��,個人維護(hù)個人信息權(quán)益的渠道是否通暢等��;
5.按本合同第四條評估當(dāng)?shù)貍人信息保護(hù)政策法規(guī)對遵守本合同條款可能造成的影響���;
6.其他可能影響個人信息出境安全的事項(xiàng)�。
保存?zhèn)人信息保護(hù)影響評估報告至少3年����。
(八)根據(jù)個人信息主體要求向個人信息主體提供本合同的副本。在為保護(hù)商業(yè)秘密或其他機(jī)密信息(例如受保護(hù)的知識產(chǎn)權(quán)內(nèi)容等)所必需的范圍內(nèi)�����,可以在提供副本之前對本合同相關(guān)內(nèi)容進(jìn)行適當(dāng)遮蔽�,但承諾向個人信息主體提供有效摘要以助其理解合同內(nèi)容。
(九)承擔(dān)證明本合同義務(wù)已履行的舉證責(zé)任����。
(十)根據(jù)相關(guān)法律法規(guī)要求向監(jiān)管機(jī)構(gòu)提供第三條第(十)款所述的信息,包括所有審計結(jié)果����。
第三條 境外接收方的義務(wù)
境外接收方在此陳述����、保證��、承諾如下:
(一)按照附錄一“個人信息出境說明”所列約定處理個人信息���,除非取得個人信息主體的事先同意。
(二)根據(jù)個人信息主體要求向個人信息主體提供本合同的副本����。在為保護(hù)商業(yè)秘密或其他機(jī)密信息(例如受保護(hù)的知識產(chǎn)權(quán)內(nèi)容等)所必需的范圍內(nèi),可以在提供副本之前對本合同相關(guān)內(nèi)容進(jìn)行適當(dāng)遮蔽���,但承諾向個人信息主體提供有效摘要以助其理解合同內(nèi)容�。
(三)出境個人信息范圍僅限于實(shí)現(xiàn)處理目的所需的最小范圍�����。
(四)存儲個人信息的期限為實(shí)現(xiàn)處理目的所必要的最短時間�����;超出上述存儲期限后�����,對個人信息(包括所有備份)進(jìn)行刪除或匿名化處理,除非取得個人信息主體關(guān)于存儲期限的單獨(dú)同意��。受個人信息處理者委托處理個人信息時��,在刪除或匿名化后���,向個人信息處理者提供相關(guān)審計報告�����。
(五)按以下方式保障個人信息處理安全:
1.采取有效的技術(shù)和管理措施��,以確保個人信息的安全���,包括防止個人信息遭到意外或非法破壞、丟失�、篡改、未經(jīng)授權(quán)提供或訪問(以下簡稱“數(shù)據(jù)泄露”)�。為了履行這一義務(wù),采取第二條第(四)款中規(guī)定的技術(shù)和管理措施����。進(jìn)行定期檢查��,以確保這些措施持續(xù)維持適當(dāng)?shù)陌踩剑?/SPAN>
2.確保授權(quán)處理個人信息的人員履行保密義務(wù)���,并建立最小授權(quán)的訪問控制策略,使前述人員只能訪問職責(zé)所需的最小必要的個人信息�����,且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限�。
(六)如果處理的個人信息發(fā)生了數(shù)據(jù)泄露,將:
1.及時采取適當(dāng)補(bǔ)救措施�����,以減輕對個人信息主體造成的不利影響����;
2.立即通知個人信息處理者��,并根據(jù)相關(guān)法律法規(guī)要求報告中華人民共和國監(jiān)管機(jī)構(gòu)����。通知包含以下內(nèi)容:
(1)個人信息泄露的原因����;
(2)泄露的個人信息種類和可能造成的危害����;
(3)已采取的補(bǔ)救措施�;
(4)個人可以采取的減輕危害的措施�����;
(5)負(fù)責(zé)處理數(shù)據(jù)泄露的負(fù)責(zé)人或負(fù)責(zé)團(tuán)隊的聯(lián)系方式����。
3.相關(guān)法律法規(guī)要求通知個人信息主體的�����,通知的內(nèi)容包含前述第2項(xiàng)的內(nèi)容��;
4.記錄并留存所有與數(shù)據(jù)泄露有關(guān)的事實(shí)及其影響����,包括采取的所有補(bǔ)救措施;
5.受個人信息處理者委托處理個人信息時����,由個人信息處理者承擔(dān)前述第3項(xiàng)所規(guī)定的向個人信息主體通知的義務(wù)�。
(七)不將個人信息提供給位于中華人民共和國境外的第三方,除非同時符合以下要求:
1.確有業(yè)務(wù)需要提供個人信息�����;
2.已告知個人信息主體該第三方身份����、聯(lián)系方式、處理目的���、處理方式���、個人信息種類以及行使個人信息主體權(quán)利的方式和程序等事項(xiàng),并已取得個人單獨(dú)同意��,相關(guān)法律法規(guī)規(guī)定無需取得個人單獨(dú)同意的除外��;涉及敏感個人信息的�����,向個人信息主體告知傳輸敏感個人信息的必要性及對個人的影響;涉及不滿十四周歲未成年人個人信息的�,取得未成年人的父母或者其他監(jiān)護(hù)人的同意;法律��、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的�����,取得書面同意���,相關(guān)法律法規(guī)規(guī)定無需取得書面同意的除外�。在難以告知或者難以取得個人信息主體單獨(dú)同意時�,及時告知個人信息處理者,并請求個人信息處理者協(xié)助其告知個人信息主體或者取得個人信息主體單獨(dú)同意�����;
3.與第三方達(dá)成書面協(xié)議����,以保障第三方對個人信息的保護(hù)水平不低于中華人民共和國相關(guān)法律法規(guī)規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn),并承擔(dān)因再提供而可能導(dǎo)致對個人信息主體造成損害的連帶責(zé)任�;
4.向個人信息處理者提供該協(xié)議副本�����。
(八)受個人信息處理者委托處理個人信息,轉(zhuǎn)委托第三方處理時�,事先征得個人信息處理者同意;確保轉(zhuǎn)委托的第三方不超出本合同附錄一“個人信息出境說明”中約定的處理目的��、處理方式等處理個人信息��,并對該第三方的個人信息處理活動進(jìn)行監(jiān)督��。
(九)利用個人信息進(jìn)行自動化決策����,保證決策的透明度和結(jié)果公平、公正��,不對個人在交易價格等交易條件上實(shí)行不合理的差別待遇�。通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷���,同時提供不針對其個人特征的選項(xiàng)�,或者提供便捷的拒絕方式�。
(十)承諾向個人信息處理者提供所有必要的信息����,用以證明遵守本合同中規(guī)定的義務(wù)�����,允許個人信息處理者對數(shù)據(jù)文件和文檔進(jìn)行查閱���,或?qū)Ρ竞贤w的處理活動進(jìn)行審計���。在決定進(jìn)行查閱或?qū)徲嫊r,為個人信息處理者自行開展或者委托第三方開展的審計提供便利��,并按個人信息處理者的要求向其提供所持有的個人信息保護(hù)方面的資質(zhì)認(rèn)證情況�。
(十一)對開展的個人信息處理活動進(jìn)行客觀記錄,保存記錄至少3年����;按相關(guān)法律法規(guī)要求直接或通過個人信息處理者向監(jiān)管機(jī)構(gòu)提供相關(guān)記錄文件。
(十二)同意在監(jiān)督本合同實(shí)施的相關(guān)程序中接受監(jiān)管機(jī)構(gòu)的監(jiān)督管理����,包括但不限于答復(fù)監(jiān)管機(jī)構(gòu)詢問,配合監(jiān)管機(jī)構(gòu)檢查��,服從監(jiān)管機(jī)構(gòu)采取的措施或作出的決定,并提供已采取必要行動的書面證明�。
第四條 當(dāng)?shù)貍人信息保護(hù)政策法規(guī)對遵守本合同條款的影響
(一)雙方在此保證,經(jīng)過合理努力仍不知曉境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策法規(guī)(包括任何提供個人信息的要求或授權(quán)公共機(jī)關(guān)訪問個人信息的規(guī)定),會阻止境外接收方履行本合同規(guī)定的義務(wù)�。
(二)雙方在此聲明,在提供第四條第(一)款中的保證時��,已經(jīng)考慮了以下要素:
1.出境的具體情況�,包括涉及傳輸?shù)膫人信息的類型��、數(shù)量�����、范圍及敏感程度���、傳輸?shù)囊?guī)模和頻率��、個人信息傳輸及境外接收方保存的期限�、個人信息處理目的���、境外接收方此前類似的個人信息跨境傳輸和處理相關(guān)經(jīng)驗(yàn)����、境外接收方是否曾發(fā)生數(shù)據(jù)安全相關(guān)事件及是否進(jìn)行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區(qū)公共機(jī)關(guān)要求其提供個人信息請求及境外接收方應(yīng)對的情況��;
2.境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策法規(guī)�����,包括以下要素:
(1)該國家或地區(qū)現(xiàn)行的個人信息保護(hù)法律法規(guī)及普遍適用的標(biāo)準(zhǔn)情況���;
(2)該國家或地區(qū)加入的區(qū)域或全球性的個人信息保護(hù)方面的組織�����,以及所做出的具有約束力的國際承諾��;
(3)該國家或地區(qū)落實(shí)個人信息保護(hù)的機(jī)制����,如是否具備個人信息保護(hù)的監(jiān)督執(zhí)法機(jī)構(gòu)和相關(guān)司法機(jī)構(gòu)等����。
3.境外接收方安全管理制度和技術(shù)手段保障能力。
(三)境外接收方保證��,在根據(jù)第四條第(二)款進(jìn)行評估時,已盡最大努力為個人信息處理者提供了必要的相關(guān)信息����。
(四)雙方應(yīng)記錄根據(jù)第四條第(二)款進(jìn)行的評估過程和結(jié)果。
(五)因境外接收方所在國家或地區(qū)的個人信息保護(hù)政策法規(guī)發(fā)生變化(包括境外接收方所在國家或地區(qū)更改法律��,或者采取強(qiáng)制性措施)導(dǎo)致境外接收方無法履行本合同的�����,境外接收方應(yīng)在知道前述變化后立即通知個人信息處理者����。
第五條 個人信息主體的權(quán)利
雙方承認(rèn)�,按照相關(guān)法律法規(guī)賦予個人信息主體作為第三方受益人執(zhí)行本合同中雙方關(guān)于個人信息保護(hù)義務(wù)的權(quán)利。
(一)個人信息主體依據(jù)相關(guān)法律法規(guī)�,擁有知情權(quán)、決定權(quán)��、限制或拒絕他人對其個人信息進(jìn)行處理的權(quán)利���、查閱權(quán)����、復(fù)制權(quán)、更正與補(bǔ)充的權(quán)利��、刪除權(quán)�����,以及要求對其個人信息處理規(guī)則進(jìn)行解釋說明的權(quán)利�。
(二)當(dāng)個人信息主體要求對已經(jīng)出境的個人信息行使上述權(quán)利時,個人信息主體可以請求個人信息處理者采取適當(dāng)措施實(shí)現(xiàn)�����,或直接向境外接收方提出請求����。個人信息處理者無法實(shí)現(xiàn)的,應(yīng)當(dāng)通知并要求境外接收方協(xié)助實(shí)現(xiàn)�。
(三)境外接收方應(yīng)當(dāng)按照個人信息處理者的通知,或根據(jù)個人信息主體的請求�,在合理時限內(nèi)實(shí)現(xiàn)個人信息主體依照相關(guān)法律法規(guī)行使的權(quán)利。
境外接收方應(yīng)當(dāng)以顯著方式��、清晰易懂的語言真實(shí)��、準(zhǔn)確�、完整地告知個人信息主體相關(guān)信息����。
(四)如個人信息主體提出過多或不合理要求����,尤其是具有重復(fù)性的要求,境外接收方可在考慮到要求獲準(zhǔn)的執(zhí)行和操作成本后�����,可以收取合理的費(fèi)用���,或拒絕按其要求行事�。
(五)如境外接收方擬拒絕個人信息主體的請求��,應(yīng)告知個人信息主體其拒絕的原因�,以及個人信息主體向相關(guān)監(jiān)管機(jī)構(gòu)提出投訴�����、尋求司法救濟(jì)的途徑����。
(六)個人信息主體作為本合同第三方受益人有權(quán)向個人信息處理者和境外接收方任何一方主張并要求履行本合同項(xiàng)下與個人信息主體權(quán)利相關(guān)的下列條款:
1.第二條,但第二條第(四)款、第(五)款���、第(六)款�、第(十)款除外����;
2.第三條,但第三條第(六)款第2項(xiàng)和第4項(xiàng)�、第(八)款、第(十)款���、第(十一)款��、第(十二)款除外�����;
3.第四條����;
4.第六條����;
5.第七條��;
6.第八條第(三)款��、第(四)款�����、第(六)款���;
7.第九條第(四)款、第(六)款����。
第六條 救濟(jì)
(一)境外接收方應(yīng)在組織內(nèi)部確定一個聯(lián)系人,授權(quán)其答復(fù)有關(guān)個人信息處理的詢問或投訴�����,并應(yīng)及時處理個人信息主體的任何詢問或投訴����。境外接收方應(yīng)將聯(lián)系人信息告知個人信息處理者,并以簡單易懂的方式����,通過單獨(dú)通知或在其網(wǎng)站公告,告知個人信息主體該聯(lián)系人信息���,具體為:
聯(lián)系人及聯(lián)系方式(辦公電話或電子郵箱)
(二)雙方同意�����,如個人信息主體與其中一方在遵守本合同方面發(fā)生爭議�,應(yīng)互相通知對方有關(guān)情況����,并合作以及時解決爭議。
(三)如爭議未能友好解決�,而個人信息主體根據(jù)第六條第(二)款規(guī)定行使第三方受益人的權(quán)利,境外接收方接受個人信息主體的下列維權(quán)主張:
1.向監(jiān)管機(jī)構(gòu)提出投訴�����;
2.向第九條第(四)款中規(guī)定的法院提起訴訟�。
(四)境外接收方同意有關(guān)個人信息主體就本合同爭議的解決依據(jù)為中華人民共和國相關(guān)法律法規(guī)。
(五)境外接收方同意個人信息主體所作的維權(quán)選擇不會減損個人信息主體根據(jù)其他法律法規(guī)尋求救濟(jì)的實(shí)體性或程序性權(quán)利�。
第七條合同解除
(一)如果境外接收方違反本合同規(guī)定的義務(wù),則個人信息處理者可以暫停向境外接收方傳輸個人信息�����,直到違約行為被更正或合同被解除。
(二)出現(xiàn)下列情形之一的��,個人信息處理者有權(quán)解除本合同��,并在必要時通知監(jiān)管機(jī)構(gòu):
1.個人信息處理者根據(jù)第七條第(一)款的規(guī)定暫停向境外接收方傳輸個人信息的時間超過一個月�;
2.境外接收方遵守本合同將違反其所在國家的法律規(guī)定;
3.境外接收方嚴(yán)重或持續(xù)違反本合同規(guī)定的義務(wù)�����;
4.根據(jù)境外接收方的主管法院或監(jiān)管機(jī)構(gòu)作出的不能上訴的終局性決定���,境外接收方或個人信息處理者違反了本合同的規(guī)定�����;
5.境外接收方破產(chǎn)���、解散或清算:無論是以個人還是組織名義提出的有關(guān)境外接收方依法解散的請求未在法定期限內(nèi)被駁回;境外接收方作出解散決定���;境外接收方被指定破產(chǎn)管理人���;境外接收方自行開展破產(chǎn)��、解散或清算程序;境外接收方在其國家或地區(qū)出現(xiàn)類似情況����;
在前述第1、2或4項(xiàng)的情況下����,境外接收方也可以解除本合同。
(三)如果監(jiān)管機(jī)構(gòu)按照相關(guān)法律法規(guī)作出個人信息出境相關(guān)的決定���,例如個人信息出境安全評估等導(dǎo)致本合同無法執(zhí)行的�,則任何一方均可解除本合同����。
(四)經(jīng)雙方當(dāng)事人同意解除合同,但本合同的解除并不免除其在個人信息處理過程中的個人信息保護(hù)義務(wù)����。
(五)合同解除時,境外接收方應(yīng)及時返還����、銷毀或匿名化處理其根據(jù)本合同所接收到的個人信息�����,并提供已經(jīng)銷毀或者匿名化處理的審計報告���。
第八條違約責(zé)任
(一)雙方應(yīng)就其因違反本合同而給對方造成的任何損害向另一方承擔(dān)責(zé)任。
(二)雙方之間的責(zé)任限于非違約方所遭受的損失����。
(三)每一方因違反本合同而侵害個人信息主體作為第三方受益人而享有的權(quán)利,應(yīng)當(dāng)對個人信息主體承擔(dān)責(zé)任���;個人信息主體有權(quán)獲得賠償��。這不影響個人信息處理者在相關(guān)法律法規(guī)項(xiàng)下應(yīng)承擔(dān)的責(zé)任���。
(四)個人信息處理者和境外接收方對因違反本合同而共同對個人信息主體造成的任何物質(zhì)或非物質(zhì)損害負(fù)責(zé)的,個人信息處理者和境外接收方應(yīng)對個人信息主體承擔(dān)連帶責(zé)任��。
(五)雙方同意��,如果一方(“賠償方”)因另一方(“被追償方”)對違反本合同的行為對個人信息主體承擔(dān)連帶責(zé)任且賠償方承擔(dān)的連帶責(zé)任超過其應(yīng)承擔(dān)的責(zé)任份額����,則賠償方有權(quán)向被追償方追償�����。
(六)盡管有第八條第(三)款和第八條第(四)款的規(guī)定��,個人信息處理者應(yīng)就境外接收方因違反本合同而對個人信息主體造成的任何物質(zhì)和非物質(zhì)損失向個人信息主體負(fù)責(zé),個人信息主體有權(quán)向其主張損害賠償責(zé)任�����。
(七)雙方同意�,個人信息處理者根據(jù)第八條第(六)款因境外接收方造成的損害承擔(dān)責(zé)任的,有權(quán)向境外接收方追償��。
第九條 其他
(一)如果本合同在達(dá)成或簽訂時與合同雙方已存在的任何其他協(xié)議發(fā)生沖突���,本合同的條款優(yōu)先適用����。
(二)本合同適用于中華人民共和國相關(guān)法律法規(guī)���。
(三)由一方向其它方發(fā)出的所有通知以電子郵件�、電報、電傳����、傳真(以航空信件寄送確認(rèn)副本)或航空掛號信迅速發(fā)往或寄往(具體地址) 或書面通知取代該地址的其它地址。如用航空掛號信寄出本合同項(xiàng)下的通知或通訊����,則應(yīng)在郵戳日期后的天視為收訖,如用電子郵件���、電報���、電傳或傳真發(fā)出,則應(yīng)在發(fā)出以后的個工作日視為收訖���。
(四)個人信息主體作為第三方受益人向個人信息處理者或境外接收方提起訴訟的��,應(yīng)當(dāng)根據(jù)《中華人民共和國民事訴訟法》的規(guī)定確定管轄��。
(五)個人信息處理者和境外接收方對于雙方因合同產(chǎn)生的糾紛以及任何一方因先行賠償個人信息主體損害賠償責(zé)任而向另一方的追償�����,應(yīng)由雙方協(xié)商解決��;協(xié)商解決不成的��,任何一方可以采取下列第種方式加以解決(如選擇仲裁�,請勾選仲裁機(jī)構(gòu)):
1.仲裁。將該爭議提交
□中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會
□中國海事仲裁委員會
□北京仲裁委員會(北京國際仲裁中心)
□其他《承認(rèn)及執(zhí)行外國仲裁裁決公約》成員的仲裁機(jī)構(gòu)
按其屆時有效的仲裁規(guī)則在(仲裁地點(diǎn))進(jìn)行仲裁�;
2.訴訟。依法向中國有管轄權(quán)的人民法院提起訴訟��。
(六)本合同應(yīng)按照相關(guān)法律法規(guī)的規(guī)定進(jìn)行解釋��,不得以與相關(guān)法律法規(guī)規(guī)定的權(quán)利�����、義務(wù)相抵觸的方式解釋本合同����。
(七)本合同正本一式份���,個人信息處理者和境外接收方各執(zhí)份��,其法律效力相同���。
(八)本合同經(jīng)雙方正式簽署后成立并立即生效�����。
本合同由個人信息處理者和境外接收方在簽訂�����。
個人信息處理者: (蓋章)
法定代表人/委托代理人: (簽字或蓋章)
年 月 日
境外接收方:(蓋章)
法定代表人/委托代理人: (簽字或蓋章)
年 月 日
附錄一
個人信息出境說明
根據(jù)本合同向境外提供個人信息的詳情約定如下:
(一)傳輸?shù)膫人信息屬于下列類別的個人信息主體:
(二)傳輸是為了以下目的:
(三)傳輸個人信息的數(shù)量:
(四)出境個人信息類別(參考GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(五)出境敏感個人信息類別(如適用��,參考GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》和相關(guān)標(biāo)準(zhǔn)):
(六)境外接收方傳輸?shù)膫人信息只向以下接收方提供:
(七)傳輸方式:
(八)出境后存儲時間:
(九)出境后存儲地點(diǎn):
(十)其他事項(xiàng)(視情況填寫):
附錄二
雙方約定的其他條款(如需要)
日期:2022-7-1 10:42:38 | 關(guān)閉 |
