附件：个人信息出境标准合同.pdf

附件： 个人信息出境标准合同 国家互联网信息办公室 制定 为了确保境外接收方处理个人信息的活动达到中华人民共和国 相关法律法规规定的个人信息保护标准，明确个人信息处理者和境外 接收方个人信息保护的权利和义务，经双方协商一致，订立本合同。 个人信息处理者： 地址： 联系方式： 联系人： 职务： 境外接收方： 地址： 联系方式： 联系人： 职务： 1 个人信息处理者与境外接收方依据本合同约定开展个人信息出 境活动，与此活动相关的商业行为，双方【已】/【约定】于 月 日订立 年 （商业合同，如有） 。 本合同正文根据《个人信息出境标准合同办法》的要求拟定，在 不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二 中详述，附录构成本合同的组成部分。 第一条 定义 在本合同中，除上下文另有规定外： （一）“个人信息处理者”是指在个人信息处理活动中自主决定 处理目的、处理方式的，向中华人民共和国境外提供个人信息的组织、 个人。 （二）“境外接收方”是指在中华人民共和国境外自个人信息处 理者处接收个人信息的组织、个人。 （三）个人信息处理者或者境外接收方单称“一方”，合称“双 方” 。 （四） “个人信息主体”是指个人信息所识别或者关联的自然人。 （五）“个人信息”是指以电子或者其他方式记录的与已识别或 者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 （六）“敏感个人信息”是指一旦泄露或者非法使用，容易导致 自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信 息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行 2 踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 （七） “监管机构”是指中华人民共和国省级以上网信部门。 （八） “相关法律法规”是指《中华人民共和国网络安全法》 《中 华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 《中华 人民共和国民法典》 《中华人民共和国民事诉讼法》 《个人信息出境标 准合同办法》等中华人民共和国法律法规。 （九）本合同其他未定义术语的含义与相关法律法规规定的含义 一致。 第二条 个人信息处理者的义务 个人信息处理者应当履行下列义务： （一）按照相关法律法规规定处理个人信息，向境外提供的个人 信息仅限于实现处理目的所需的最小范围。 （二）向个人信息主体告知境外接收方的名称或者姓名、联系方 式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息 的种类、保存期限，以及行使个人信息主体权利的方式和程序等事项。 向境外提供敏感个人信息的，还应当向个人信息主体告知提供敏感个 人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不 需要告知的除外。 （三）基于个人同意向境外提供个人信息的，应当取得个人信息 主体的单独同意。涉及不满十四周岁未成年人个人信息的，应当取得 未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应 当取得书面同意的，应当取得书面同意。 3 （四）向个人信息主体告知其与境外接收方通过本合同约定个人 信息主体为第三方受益人，如个人信息主体未在 30 日内明确拒绝， 则可以依据本合同享有第三方受益人的权利。 （五）尽合理地努力确保境外接收方采取如下技术和管理措施 （综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感 程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等 可能带来的个人信息安全风险） ，以履行本合同约定的义务： （如加密、匿名化、去标识化、访问控制等技术和管理措施） （六）根据境外接收方的要求向境外接收方提供相关法律规定和 技术标准的副本。 （七）答复监管机构关于境外接收方的个人信息处理活动的询 问。 （八）按照相关法律法规对拟向境外接收方提供个人信息的活动 开展个人信息保护影响评估。重点评估以下内容： 1.个人信息处理者和境外接收方处理个人信息的目的、范围、方 式等的合法性、正当性、必要性。 2.出境个人信息的规模、范围、种类、敏感程度，个人信息出境 可能对个人信息权益带来的风险。 3.境外接收方承诺承担的义务，以及履行义务的管理和技术措 施、能力等能否保障出境个人信息的安全。 4 4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的 风险，个人信息权益维护的渠道是否通畅等。 5.按照本合同第四条评估当地个人信息保护政策和法规对合同 履行的影响。 6.其他可能影响个人信息出境安全的事项。 保存个人信息保护影响评估报告至少 3 年。 （九）根据个人信息主体的要求向个人信息主体提供本合同的副 本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解 的前提下，可对本合同副本相关内容进行适当处理。 （十）对本合同义务的履行承担举证责任。 （十一）根据相关法律法规要求，向监管机构提供本合同第三条 第十一项所述的信息，包括所有合规审计结果。 第三条 境外接收方的义务 境外接收方应当履行下列义务： （一）按照附录一“个人信息出境说明”所列约定处理个人信息。 如超出约定的处理目的、处理方式和处理的个人信息种类，基于个人 同意处理个人信息的，应当事先取得个人信息主体的单独同意；涉及 不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其 他监护人的单独同意。 （二）受个人信息处理者委托处理个人信息的，应当按照与个人 信息处理者的约定处理个人信息，不得超出与个人信息处理者约定的 处理目的、处理方式等处理个人信息。 5 （三）根据个人信息主体的要求向个人信息主体提供本合同的副 本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解 的前提下，可对本合同副本相关内容进行适当处理。 （四）采取对个人权益影响最小的方式处理个人信息。 （五）个人信息的保存期限为实现处理目的所必要的最短时间， 保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息 处理者委托处理个人信息，委托合同未生效、无效、被撤销或者终止 的，应当将个人信息返还个人信息处理者或者予以删除，并向个人信 息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停 止除存储和采取必要的安全保护措施之外的处理。 （六）按下列方式保障个人信息处理安全： 1.采取包括但不限于本合同第二条第五项的技术和管理措施，并 定期进行检查，确保个人信息安全。 2.确保授权处理个人信息的人员履行保密义务，并建立最小授权 的访问控制权限。 （七）如处理的个人信息发生或者可能发生篡改、破坏、泄露、 丢失、非法利用、未经授权提供或者访问，应当开展下列工作： 1.及时采取适当补救措施，减轻对个人信息主体造成的不利影 响。 2.立即通知个人信息处理者，并根据相关法律法规要求报告监管 机构。通知应当包含下列事项： （1）发生或者可能发生篡改、破坏、泄露、丢失、非法利用、 6 未经授权提供或者访问的个人信息种类、原因和可能造成的危害。 （2）已采取的补救措施。 （3）个人信息主体可以采取的减轻危害的措施。 （4）负责处理相关情况的负责人或者负责团队的联系方式。 3.相关法律法规要求通知个人信息主体的，通知的内容包含本项 第 2 目的事项。受个人信息处理者委托处理个人信息的，由个人信息 处理者通知个人信息主体。 4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、 非法利用、未经授权提供或者访问有关的情况，包括采取的所有补救 措施。 （八）同时符合下列条件的，方可向中华人民共和国境外的第三 方提供个人信息： 1.确有业务需要。 2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处 理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体 权利的方式和程序等事项。向第三方提供敏感个人信息的，还应当向 个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影 响。但是法律、行政法规规定不需要告知的除外。 3.基于个人同意处理个人信息的，应当取得个人信息主体的单独 同意。涉及不满十四周岁未成年人个人信息的，应当取得未成年人的 父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面 同意的，应当取得书面同意。 7 4.与第三方达成书面协议，确保第三方的个人信息处理活动达到 中华人民共和国相关法律法规规定的个人信息保护标准，并承担因向 中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享 有权利的法律责任。 5.根据个人信息主体的要求向个人信息主体提供该书面协议的 副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理 解的前提下，可对该书面协议相关内容进行适当处理。 （九）受个人信息处理者委托处理个人信息，转委托第三方处理 的，应当事先征得个人信息处理者同意，要求该第三方不得超出本合 同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理 个人信息，并对该第三方的个人信息处理活动进行监督。 （十）利用个人信息进行自动化决策的，应当保证决策的透明度 和结果公平、公正，不得对个人信息主体在交易价格等交易条件上实 行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息 推送、商业营销的，应当同时提供不针对其个人特征的选项，或者向 个人信息主体提供便捷的拒绝方式。 （十一）承诺向个人信息处理者提供已遵守本合同义务所需的必 要信息，允许个人信息处理者对必要数据文件和文档进行查阅，或者 对本合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合 规审计提供便利。 （十二）对开展的个人信息处理活动进行客观记录，保存记录至 少 3 年，并按照相关法律法规要求直接或者通过个人信息处理者向监 8 管机构提供相关记录文件。 （十三）同意在监督本合同实施的相关程序中接受监管机构的监 督管理，包括但不限于答复监管机构询问、配合监管机构检查、服从 监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证 明等。 第四条 境外接收方所在国家或者地区个人信息保护政策和法规 对合同履行的影响 （一）双方应当保证在本合同订立时已尽到合理注意义务，未发 现境外接收方所在国家或者地区的个人信息保护政策和法规（包括任 何提供个人信息的要求或者授权公共机关访问个人信息的规定）影响 境外接收方履行本合同约定的义务。 （二）双方声明，在作出本条第一项的保证时，已经结合下列情 形进行评估： 1.出境的具体情况，包括个人信息处理目的、传输个人信息的种 类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境 外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处 理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进 行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公 共机关要求其提供个人信息的请求及境外接收方应对的情况。 2.境外接收方所在国家或者地区的个人信息保护政策和法规，包 括下列要素： （1）该国家或者地区现行的个人信息保护法律法规及普遍适用 9 的标准。 （2）该国家或者地区加入的区域性或者全球性的个人信息保护 方面的组织，以及所作出的具有约束力的国际承诺。 （3）该国家或者地区落实个人信息保护的机制，如是否具备个 人信息保护的监督执法机构和相关司法机构等。 3.境外接收方安全管理制度和技术手段保障能力。 （三）境外接收方保证，在根据本条第二项进行评估时，已尽最 大努力为个人信息处理者提供了必要的相关信息。 （四）双方应当记录根据本条第二项进行评估的过程和结果。 （五）因境外接收方所在国家或者地区的个人信息保护政策和 法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采 取强制性措施）导致境外接收方无法履行本合同的，境外接收方应当 在知道该变化后立即通知个人信息处理者。 （六）境外接收方接到所在国家或者地区的政府部门、司法机构 关于提供本合同项下的个人信息要求的，应当立即通知个人信息处理 者。 第五条 个人信息主体的权利 双方约定个人信息主体作为本合同第三方受益人享有以下权利： （一）个人信息主体依据相关法律法规，对其个人信息的处理享 有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理， 有权要求查阅、复制、更正、补充、删除其个人信息，有权要求对其 个人信息处理规则进行解释说明。 10 （二）当个人信息主体要求对已经出境的个人信息行使上述权利 时，个人信息主体可以请求个人信息处理者采取适当措施实现，或者 直接向境外接收方提出请求。个人信息处理者无法实现的，应当通知 并要求境外接收方协助实现。 （三）境外接收方应当按照个人信息处理者的通知，或者根据个 人信息主体的请求，在合理期限内实现个人信息主体依照相关法律法 规所享有的权利。 境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完 整地告知个人信息主体相关信息。 （四）境外接收方拒绝个人信息主体的请求的，应当告知个人信 息主体其拒绝的原因，以及个人信息主体向相关监管机构提出投诉和 寻求司法救济的途径。 （五）个人信息主体作为本合同第三方受益人有权根据本合同条 款向个人信息处理者和境外接收方的一方或者双方主张并要求履行 本合同项下与个人信息主体权利相关的下列条款： 1.第二条，但第二条第五项、第六项、第七项、第十一项除外。 2.第三条，但第三条第七项第 2 目和第 4 目、第九项、第十一项、 第十二项、第十三项除外。 3.第四条，但第四条第五项、第六项除外。 4.第五条。 5.第六条。 6.第八条第二项、第三项。 11 7.第九条第五项。 上述约定不影响个人信息主体依据《中华人民共和国个人信息保 护法》享有的权益。 第六条 救济 （一）境外接收方应当确定一个联系人，授权其答复有关个人信 息处理的询问或者投诉，并应当及时处理个人信息主体的询问或者投 诉。境外接收方应当将联系人信息告知个人信息处理者，并以简洁易 懂的方式，通过单独通知或者在其网站公告，告知个人信息主体该联 系人信息，具体为： 联系人及联系方式（办公电话或电子邮箱） （二）一方因履行本合同与个人信息主体发生争议的，应当通知 另一方，双方应当合作解决争议。 （三）争议未能友好解决，个人信息主体根据第五条行使第三方 受益人的权利的，境外接收方接受个人信息主体通过下列形式维护权 利： 1.向监管机构投诉。 2.向本条第五项约定的法院提起诉讼。 （四）双方同意个人信息主体就本合同争议行使第三方受益人权 利，个人信息主体选择适用中华人民共和国相关法律法规的，从其选 择。 （五）双方同意个人信息主体就本合同争议行使第三方受益人权 利的，个人信息主体可以依据《中华人民共和国民事诉讼法》向有管 12 辖权的人民法院提起诉讼。 （六）双方同意个人信息主体所作的维权选择不会减损个人信息 主体根据其他法律法规寻求救济的权利。 第七条 合同解除 （一）境外接收方违反本合同约定的义务，或者境外接收方所在 国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方 所在国家或者地区更改法律，或者采取强制性措施）导致境外接收方 无法履行本合同的，个人信息处理者可以暂停向境外接收方提供个人 信息，直到违约行为被改正或者合同被解除。 （二）有下列情形之一的，个人信息处理者有权解除本合同，并 在必要时通知监管机构： 1.个人信息处理者根据本条第一项的规定暂停向境外接收方提 供个人信息的时间超过 1 个月。 2.境外接收方遵守本合同将违反其所在国家或者地区的法律规 定。 3.境外接收方严重或者持续违反本合同约定的义务。 4.根据境外接收方的主管法院或者监管机构作出的终局决定，境 外接收方或者个人信息处理者违反了本合同约定的义务。 在本项第 1 目、第 2 目、第 4 目的情况下，境外接收方可以解除 本合同。 （三）经双方同意解除本合同的，合同解除不免除其在个人信息 处理过程中的个人信息保护义务。 13 （四）合同解除时，境外接收方应当及时返还或者删除其根据本 合同所接收到的个人信息（包括所有备份），并向个人信息处理者提 供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和 采取必要的安全保护措施之外的处理。 第八条 违约责任 （一）双方应就其违反本合同而给对方造成的损失承担责任。 （二）任何一方因违反本合同而侵害个人信息主体享有的权利， 应当对个人信息主体承担民事法律责任，且不影响相关法律法规规定 个人信息处理者应当承担的行政、刑事等法律责任。 （三）双方依法承担连带责任的，个人信息主体有权请求任何一 方或者双方承担责任。一方承担的责任超过其应当承担的责任份额 时，有权向另一方追偿。 第九条 其他 （一）如本合同与双方订立的任何其他法律文件发生冲突，本合 同的条款优先适用。 （二）本合同的成立、效力、履行、解释、因本合同引起的双方 间的任何争议，适用中华人民共和国相关法律法规。 （三）发出的通知应当以电子邮件、电报、电传、传真（以航空 信件寄送确认副本）或者航空挂号信发往（具体地址） 或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项 下的通知，在邮戳日期后的 天应当视为收讫；如以电子邮件、电 报、电传或者传真发出，在发出以后的 14 个工作日应当视为收讫。 （四）双方因本合同产生的争议以及任何一方因先行赔偿个人信 息主体损害赔偿责任而向另一方的追偿，双方应当协商解决；协商解 决不成的，任何一方可以采取下列第 种方式加以解决（如选择仲 裁，请勾选仲裁机构） ： 1.仲裁。将该争议提交 □中国国际经济贸易仲裁委员会 □中国海事仲裁委员会 □北京仲裁委员会（北京国际仲裁中心） □上海国际仲裁中心 □其他《承认及执行外国仲裁裁决公约》成员的仲裁机构 按其届时有效的仲裁规则在 （仲裁地点） 进行仲裁； 2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。 （五）本合同应当按照相关法律法规的规定进行解释，不得以与 相关法律法规规定的权利、义务相抵触的方式解释本合同。 （六）本合同正本一式 本合同在（地点） 份，双方各执 签订 个人信息处理者： 年 月 日 境外接收方： 年 月 日 15 份，其法律效力相同。 附录一 个人信息出境说明 根据本合同向境外提供个人信息的详情约定如下： （一）处理目的： （二）处理方式： （三）出境个人信息的规模： （四）出境个人信息种类（参考 GB/T 35273《信息安全技术 个 人信息安全规范》和相关标准） ： （五）出境敏感个人信息种类（如适用，参考 GB/T 35273《信 息安全技术 个人信息安全规范》和相关标准） ： （六）境外接收方只向以下中华人民共和国境外第三方提供个人 信息（如适用） ： （七）传输方式： （八）出境后保存期限： （ 年 月 日至 年 月 日） （九）出境后保存地点： （十）其他事项（视情况填写） ： 16 附录二 双方约定的其他条款（如需要） 17