近日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》(以下简称《实践指南》)。
《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。
《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:
1、 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动;
2、《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定,需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估。
《实践指南》指出,涉及跨境个人信息处理应遵循以下基本原则:
1、合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严,跨境个人信息处理应当满足法律法规的规定,严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息,严守合同、协议等具有法律效力文件的约定和承诺,不随意违背约定、承诺损害个人信息主体的合法权益。
2、公开、透明原则。跨境处理个人信息应当满足处理规则公开、处理过程透明要求,及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式,确保个人信息主体了解自己的个人信息的处理全过程。
3、信息质量原则。参与跨境处理个人信息活动的相关方应当保证跨境个人信息的准确性、完整性,避免个人信息处理活动出现偏差,对个人信息主体权益造成不利影响。
4、同等保护原则。参与个人信息跨境处理活动的相关方应当采取必要措施,确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。
5、责任明确原则。参与个人信息跨境处理活动的相关方应当采取必要措施,保护所处理个人信息的安全,保障个人信息主体权益,并指定境内一方、多方或者境外相关方在境内设置的机构承担法律责任。
6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证,鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证,充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。
已完成
数据加载中