落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人隐私信息跨境标准合同并组织推动实施,加强个人隐私信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区(内地、澳门)个人隐私信息跨境流动标准合同实施指引》,现予公布。
第一条为促进粤港澳大湾区个人隐私信息跨境安全有序流动,推动粤港澳大湾区高水平质量的发展,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定本实施指引。
第二条《粤港澳大湾区(内地、澳门)个人隐私信息跨境流动标准合同》(以下简称标准合同,见附件1)为备忘录下有关促进粤港澳大湾区个人隐私信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可根据本实施指引要求,通过订立标准合同的方式来进行粤港澳大湾区内内地和澳门之间的个人隐私信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人隐私信息除外。
个人隐私信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者澳门特别行政区。
第三条通过订立标准合同的方式开展个人隐私信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人隐私信息权益与防范风险相结合,保障个人隐私信息跨境安全、自由流动。
第四条按照本实施指引,通过订立标准合同跨境提供个人隐私信息的,应当履行标准合同列明的义务和责任,包括满足以下条件:
(一)个人信息处理者跨境提供个人信息前,应当按照个人信息处理者属地法律和法规要求告知个人隐私信息主体或者取得个人隐私信息主体的同意;
第五条个人隐私信息处理者按照本实施指引,通过订立标准合同跨境提供个人隐私信息前,应当开展个人隐私信息保护影响评估,重点评估以下内容:
(一)个人隐私信息处理者和接收方处理个人隐私信息的目的、方式等的合法性、正当性、必要性;
(三)接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人隐私信息安全。
第六条标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。
第七条个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案,提交如下材料:
第八条跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生明显的变化,延长保存期限,以及发生影响或者可能会影响个人隐私信息权益其他情况的,个人隐私信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并按照个人信息处理者属地法律和法规要求履行备案手续和法定通知义务。
第九条任何组织和个人发现个人隐私信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人隐私信息跨境流动,但不履行本实施指引及标准合同要求的义务和责任的,可以向国家互联网信息办公室、广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局投诉、举报。
收到投诉、举报的部门发现个人隐私信息跨境活动存在较大安全风险或者发生个人信息安全事件的,能要求个人信息处理者或者接收方整改;需要交由其他执法部门处置的,交由有关部门依法处置。
第十条个人隐私信息处理者或接收方在处理个人隐私信息时发生个人隐私信息泄露等安全事件的,应立即采取补救措施,按照属地规定通知国家互联网信息办公室、广东省互联网信息办公室,或者澳门特别行政区政府个人资料保护局等相关监管实体。
第十一条以上规定并不影响内地履行个人隐私信息保护职责的部门和澳门特别行政区政府个人资料保护局在职责范围内依法加强个人隐私信息保护和监督管理工作,包括处理与个人隐私信息保护有关的投诉、举报,调查、处理违法个人信息处理活动等。
第十二条有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业机密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十三条国家互联网信息办公室和澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局能够准确的通过真实的情况,经协商一致后对本实施指引及附件进行修订。