網絡安全標準實踐指南-個人信息跨境處理活動安全認證規(guī)范

TC260-PG-20222A網絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范全國信息安全標準化技術委員會秘書處I《網絡安全標準實踐指南》（以下簡稱《實踐指南》）是全國信息安全標準化技術委員會（以下簡稱“信安標委”）秘書處組織制定和發(fā)布的標準相關技術文件，旨在圍繞網絡安全法律法規(guī)政策、標準、網絡安全熱點和事件等主題，宣傳網絡安全相關標準及知識，提供標準化實踐指引。本《實踐指南》版權屬于信安標委秘書處，未經秘書處書面授權，不得以任何方式抄襲、翻譯《實踐指南》的任何部分。凡轉載或引用本《實踐指南》的觀點、數據，請注明“來源：全國信息安全標準化技術委員會秘書處”。技術支持單位本《實踐指南》得到中國網絡安全審查技術與認證中國電子技術標準化研究院等單位的技術支持。本實踐指南依據有關政策法規(guī)要求，為落實《個人信息保護法》建立個人信息保護認證制度提供認證依據。申請個人信息保護認證的個人信息處理者應當符合GB/T35273《信息安全技術個人信息安全規(guī)范》的要求；對于開展跨境處理活動的個人信息處理者，還必須符合本實踐指南的要求。本實踐指南從基本原則、個人信息處理者和境外接收方在跨境處理活動中應遵循的要求、個人信息主體權益保障等方面提出了要求，為認證機構實施個人信息保護認證提供跨境處理活動認證依據，也為個人信息處理者規(guī)范個人信息跨境處理活動提供參考。摘要 III1適用情形 12認證主體 13基本原則 14基本要求 24.1有法律約束力的協議 24.2組織管理 34.3個人信息跨境處理規(guī)則 44.4個人信息保護影響評估 55個人信息主體權益保障 55.1個人信息主體權利 55.2個人信息處理者和境外接收方的責任義務 61本文件作為認證機構對個人信息跨境處理活動進行個人信息保2認證主體人信息處理者，可以由其在境內設置的專門機構或指定代表申請認3基本原則24基本要求4.1有法律約束力的協議開展個人信息跨境處理活動的個人信息處理者和境外接收方之34.2.1個人信息保護負責人開展個人信息跨境處理活動的個人信息處理者和境外接收方均44.2.2個人信息保護機構開展個人信息跨境處理活動的個人信息處理者和境外接收方均c)監(jiān)督本組織按照處理者和境外接收方約定的個人信息跨境處4.3個人信息跨境處理規(guī)則開展個人信息跨境處理活動的處理者和境外接收方遵守統一的54.4個人信息保護影響評估開展個人信息跨境活動的個人信息處理者事前評估向境外提供5個人信息主體權益保障a)個人信息主體是個人信息處理者和境外接收方簽訂法律文件d)個人信息主體有權要求個人信息處理者和境外接收方對其個e)個人信息主體有權拒絕個人信息處理者僅通過自動化決策的6f)個人信息主體有權對違法個人信息處理活動向中華人民共和g)個人信息主體有權在其經常居住地所在法院向開展個人信息5.2個人信息處理者和境外接收方的責任義務開展個人信息跨境處理活動的個人信息處理者和境外接收方的