數(shù)據(jù)出境安全合規(guī)白皮書(2024版)

目錄前言 1提示 2版權聲明 31 數(shù)據(jù)出境安全合規(guī)背景概述 6數(shù)據(jù)出境安全風險 6數(shù)據(jù)出境法律框架 7數(shù)據(jù)出境制度演進 8數(shù)據(jù)出境監(jiān)管現(xiàn)狀 82 數(shù)據(jù)出境安全合規(guī)路徑分析 9數(shù)據(jù)出境合規(guī)三種路徑 9數(shù)據(jù)出境合規(guī)路徑適用 11數(shù)據(jù)出境合規(guī)路徑比較 13數(shù)據(jù)出境安全評估申報指南 15適用范圍 15申報方式及流程 16申報材料 17咨詢、舉報聯(lián)系方式 183.5 附件 18個人信息出境標準合同備案指南 19適用范圍 19備案方式 19備案流程 19咨詢、舉報聯(lián)系方式 214.5 附件 21個人信息保護認證指南 22適用范圍 22認證依據(jù) 22認證模式 22認證實施程序 22認證證書和認證標志 23認證實施細則 24認證責任 25咨詢聯(lián)系方式 255.9 附件 256 數(shù)據(jù)出境安全合規(guī)申報案例 26數(shù)據(jù)出境安全評估申報案例 27個人信息出境標準合同備案案例 27個人信息保護認證案例 27附錄A數(shù)據(jù)出境安全評估申報附件 28附錄B個人信息出境標準合同備案附件 41附錄C個人信息保護認證附件 60附錄D常見實務問題Q&A 70附錄E各地網(wǎng)信部門聯(lián)系方式 81附錄F快頁數(shù)據(jù)安全能力介紹 83數(shù)據(jù)安全服務能力 83數(shù)安全體規(guī)服務 83數(shù)分級類服務 83數(shù)合規(guī)估服務 84數(shù)風險測服務 84持安全營服務 84應響應溯源務 85數(shù)出境報服務 85數(shù)據(jù)安全工具能力 86數(shù)安全控平臺 86數(shù)跨境測系統(tǒng) 87參考文獻 88數(shù)據(jù)出境安全合規(guī)背景概述2021610（接連對“滴滴出行”“運滿滿”“貨車幫”“BOSS據(jù)出境的企業(yè)來說，保障數(shù)據(jù)安全不僅是合規(guī)需求，更是業(yè)務發(fā)展的基礎。數(shù)據(jù)出境安全風險數(shù)據(jù)出境安全風險是指在數(shù)據(jù)傳輸或存儲過程中面臨的安全威脅和挑戰(zhàn)，主要表現(xiàn)在以下幾個方面：1、 合規(guī)風險各國對于數(shù)據(jù)出境的法律規(guī)定各有不同，且不斷更新。企業(yè)如果不遵守相關法規(guī)，可能會面臨罰款、訴訟甚至被取締的風險。2、 技術風險在數(shù)據(jù)傳輸和存儲過程中，如果沒有足夠的加密和隱私保護技術，可能會被黑客攻擊、攔截或竊取。此外，云服務、大數(shù)據(jù)等新技術應用也帶來了新的安全挑戰(zhàn)。3、 業(yè)務風險如果企業(yè)對數(shù)據(jù)出境缺乏足夠的風險意識和管理手段，可能會在業(yè)務合作過程中泄露敏感信息，給企業(yè)帶來損失。提高員工的安全意識等。同時，政府和監(jiān)管機構也需要加強數(shù)據(jù)安全監(jiān)管和國際合作，共同推動全球數(shù)據(jù)安全治理的健康發(fā)展。數(shù)據(jù)出境法律框架機構需要制定相應的法律框架來確保數(shù)據(jù)的安全和合規(guī)。在中國，數(shù)據(jù)出境的法律框架主要包括以下幾個方面：1信息基礎設施的運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存全評估。2網(wǎng)信部門會同國務院有關部門制定。3、《數(shù)據(jù)出境安全評估辦法》：該辦法規(guī)定了中國數(shù)據(jù)出境安全評估的具體要求辦法還規(guī)定了申報數(shù)據(jù)出境安全評估的具體情形和要求。4、《個人信息出境標準合同規(guī)定》：該規(guī)定是為了保障個人信息在出境后的合法人信息保護影響評估。法》等相關法律法規(guī)和政策文件，共同構成了中國數(shù)據(jù)出境的法律體系。通過加強國際合作和建立互信機制，推動全球數(shù)據(jù)安全治理的健康發(fā)展。數(shù)據(jù)出境制度演進中國數(shù)據(jù)出境制度的沿革和演進可以大致分為以下幾個階段：1、早期探索階段（2010）：保護的重要性，但相關的法律法規(guī)和政策體系尚未建立。2（2010-2015于加強網(wǎng)絡信息保護的決定》、《網(wǎng)絡安全法》等。3、逐步完善階段（2016）：在這個階段，我國進一步加強了對數(shù)據(jù)安全和威脅。數(shù)據(jù)出境監(jiān)管現(xiàn)狀數(shù)據(jù)出境監(jiān)管現(xiàn)狀主要包括以下幾個方面：1、法律法規(guī)體系不斷完善：我國近年來加強了對數(shù)據(jù)安全和隱私保護的法律法規(guī)保護法》等，為數(shù)據(jù)出境監(jiān)管提供了更加完善的法律基礎。2、監(jiān)管力度持續(xù)加強：我國對數(shù)據(jù)出境的監(jiān)管力度不斷加強，對違法違規(guī)行為加環(huán)節(jié)的安全管理，提高了數(shù)據(jù)出境的整體安全水平。3、監(jiān)管技術不斷創(chuàng)新：隨著科技的不斷進步，我國在數(shù)據(jù)出境監(jiān)管中加強了對新的合規(guī)使用和安全管理提供了更加可靠的技術支持。4、國際合作逐步深化：我國積極參與全球數(shù)據(jù)安全治理，與國際社會加強了合作與交流，共同打擊跨國數(shù)據(jù)安全威脅，推動建立更加公正合理的國際數(shù)據(jù)治理體系。數(shù)據(jù)出境安全合規(guī)路徑分析數(shù)據(jù)出境安全合規(guī)路徑分析是指對數(shù)據(jù)跨境流動的安全性和合規(guī)性進行全面評估相關法律法規(guī)的要求。數(shù)據(jù)出境合規(guī)三種路徑數(shù)據(jù)出境合規(guī)的三種路徑包括：數(shù)據(jù)出境安全評估、個人信息出境標準合同和個人信息保護認證。圖1數(shù)據(jù)出境合規(guī)三種路徑其中，個人信息出境標準合同通常對應為《通用數(shù)據(jù)保護條例》（GeneralDataProtectionRegulation，GDPR）SCC（StandardContractualClauses）；GDPRBCRs（BindingCorporateRules）。1、數(shù)據(jù)出境安全評估：根據(jù)《數(shù)據(jù)出境安全評估辦法》，滿足一定條件的數(shù)據(jù)處理者應當對出境數(shù)據(jù)進行安全評估。評估內(nèi)容包括申報書、數(shù)據(jù)出境風險自評估報告、數(shù)據(jù)處理者與境外接收方擬訂立的法律文件以及安全評估工作需要的其它材料。100觸發(fā)條件（任何一種）：（1）出境數(shù)據(jù)中含有重要數(shù)據(jù)；（2）數(shù)據(jù)處理者為關鍵信息基礎設適用數(shù)據(jù)類型：數(shù)據(jù)（含個人信息）2)3)1) 出境安全評估申報指南（第二版）》等自上年自上年1月11015）申報提交材料：（一申報書；（二）數(shù)據(jù)出境風險自評估報告；（三（四57452、標準合同備案：雖然《個人信息保護法》第三十八條要求個人信息處理者任選考慮適用出境標準合同的機制。表2個人信息出境標準合同備案路徑（第二版）》等）：（1）（2）1001110111（）。10備案提交材料：（一（二個人信息權益的其他情形。個人信息權益的其他情形。3、個人信息保護認證：當個人信息出境，但不滿足《數(shù)據(jù)出境安全評估管理辦法》第四條規(guī)定的情況時，可以執(zhí)行此路徑。依據(jù)《個人信息跨境處理活動安全認證規(guī)范》指導個人信息處理者規(guī)范開展個人信息跨境處理活動。件，如房租合同或產(chǎn)權證明），自評價表及相關證據(jù)材料、業(yè)務流程及描述、組織機構圖或職能表述、數(shù)據(jù)目錄、其他補充材料。件，如房租合同或產(chǎn)權證明），自評價表及相關證據(jù)材料、業(yè)務流程及描述、組織機構圖或職能表述、數(shù)據(jù)目錄、其他補充材料。8) 70）。證書有效期：三年。認證機構：中國網(wǎng)絡安全審查認證和市場監(jiān)管大數(shù)據(jù)中心（簡稱“CCRC”）。（認證實施程序：認證委托、技術驗證、現(xiàn)場審核、認證結果評價和批準、獲證后監(jiān)督。4)5)6)7)指定個人信息保護負責人、設立個人信息保護機構，并建立個人信息處理者和境外接收方共同適用的個人信息跨境處理規(guī)則。適用要求：個人信息處理者與境外接收方簽訂法律文件，開展個人信息保護影響評估，雙方均適用數(shù)據(jù)類型：個人信息2)3)1) TC260-PG-20222A處理活動安全認證規(guī)范》等數(shù)據(jù)出境合規(guī)路徑適用數(shù)據(jù)出境合規(guī)路徑的適用需要根據(jù)具體情況進行選擇。圖2數(shù)據(jù)出境路徑選擇方式，即采取個人信息保護認證或簽署個人信息出境標準合同。以下是一些適用的場景和條件：1、數(shù)據(jù)安全評估路徑：適用于滿足《數(shù)據(jù)出境安全評估管理辦法》規(guī)定的條件的和社會公共利益。2、個人信息保護認證路徑：適用于個人信息處理者向境外提供個人信息的情況。律法規(guī)要求，保障個人信息主體的合法權益。31001110111法律法規(guī)要求，保障國家安全和社會公共利益。表4免于出境申報活動條件20242024322123、為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息的。45、緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的。61110個人信息（不含敏感個人信息）的。個人信息（不含敏感個人信息）的?？偟膩碚f，數(shù)據(jù)出境合規(guī)路徑的選擇需要根據(jù)具體情況進行評估和選擇。建議數(shù)據(jù)處理者在專業(yè)數(shù)據(jù)安全服務機構或監(jiān)管機構的指導下，根據(jù)自身的情況選擇最適合的合規(guī)路徑。數(shù)據(jù)出境合規(guī)路徑比較表5數(shù)據(jù)出境合格路徑比較路徑《個人信息出境標準合同辦法》《個人信息保護認證實施規(guī)則》《個人信息跨境處理活動安全認證規(guī)范》適用對象個人信息+重要數(shù)據(jù)的跨境提供行為個人信息的跨境提供行為個人信息的跨境提供行為具體流程數(shù)據(jù)處理者提交申報材料監(jiān)管部門書面反饋受理監(jiān)管部門聯(lián)合組織安全監(jiān)管部門出具書面評估如有異議，可在收到評15上一安全評估有效期滿60報個人信息處理者在標準合10認證機構明確公布認監(jiān)管部門國家網(wǎng)信部門，評估時會同國務院有關部門、省級網(wǎng)信部門、專門機構等所在省級網(wǎng)信部門備案認證機構所需材料申報書數(shù)據(jù)出境風險自評估報告數(shù)據(jù)處理者與境外接收報告內(nèi)控措施證明、合規(guī)證明、法律合同等方擬訂立的合同或者其他具有法律效力的文件等4.安全評估工作需要的其他材料有效期2年，自評估結果出具之日起計算；非一事一議，出現(xiàn)特除情形需重新申報評估標準合同有效期內(nèi)出現(xiàn)特殊情形需重新簽訂標準合同并備案認證證書有效期3年數(shù)據(jù)出境安全評估申報指南20227720229120220831（第一版20240322安全評估申報指南（第二版）》。適用范圍數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應當申報數(shù)據(jù)出境安全評估：（一）關鍵信息基礎設施運營者向境外提供個人信息或者重要數(shù)據(jù)；（二11100（不含敏感個人信息1以上敏感個人信息。的，從其規(guī)定。以下情形屬于數(shù)據(jù)出境行為：（一）數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外；（二）數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構、組織或者個人可以查詢、調(diào)取、下載、導出；（三息等其他數(shù)據(jù)處理活動。第三條第三條第四條第五條（一（二）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；（二）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；（三）緊急情況下為保護自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的；（四11萬人個人信息（不含敏感個人信息）的。前款所稱向境外提供的個人信息，不包括重要數(shù)據(jù)。第六條（以下簡稱負面清單）自由貿(mào)易試驗區(qū)內(nèi)數(shù)據(jù)處理者向境外提供負面清單外的數(shù)據(jù)，可以免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。申報方式及流程。關鍵信息基礎設施運營者或者其他不適合通過數(shù)申報材料需裝訂成冊。5驗原因。7并書面通知數(shù)據(jù)處理者。計延長的時間。評估完成后，國家網(wǎng)信辦向數(shù)據(jù)處理者出具評估結果通知書。數(shù)據(jù)處理者應當按照15申報材料

圖3數(shù)據(jù)出境安全評估流程數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估，應當提交如下材料（數(shù)據(jù)出境安全評估申報材料要求見附件A.1）：統(tǒng)一社會信用代碼證件影印件法定代表人身份證件影印件經(jīng)辦人身份證件影印件經(jīng)辦人授權委托書（A.2）數(shù)據(jù)出境安全評估申報書（A.3）與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件影印件數(shù)據(jù)出境風險自評估報告（A.4）其他相關證明材料數(shù)據(jù)處理者對所提交材料的真實性負責，提交虛假材料的，按照評估不通過處理，并依法追究相應法律責任。咨詢、舉報聯(lián)系方式聯(lián)系電話子郵箱：sjcj@附件見附件A：A.1.數(shù)據(jù)出境安全評估申報材料要求A.2.經(jīng)辦人授權委托書（模板）A.3.數(shù)據(jù)出境安全評估申報書（模板）A.4.數(shù)據(jù)出境風險自評估報告（模板）個人信息出境標準合同備案指南2023年2月，網(wǎng)信辦發(fā)布《個人信息出境標準合同辦法》，根據(jù)該辦法,網(wǎng)信辦于2023530（第一版）2024322（第二版）》。期間，各省級網(wǎng)信辦陸京市個人信息出境標準合同備案指引》《關于個人信息出境標準合同備案的通知》。適用范圍個人信息處理者通過訂立標準合同的方式向境外提供個人信息，同時符合下列情形的應當向所在地省級網(wǎng)信部門備案：（一）關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者；（二）1110100（不含敏感個人信息）的；（三）自當年1月1日起，累計向境外提供不滿1萬人敏感個人信息的。的，從其規(guī)定。個人信息處理者不得采取數(shù)量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。以下情形屬于個人信息出境行為：（一）個人信息處理者將在境內(nèi)運營中收集和產(chǎn)生的個人信息傳輸至境外；（二）個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi)，境外的機構、組織或者個人可以查詢、調(diào)取、下載、導出；（三息等其他個人信息處理活動。備案方式10。備案流程標準合同備案流程包括材料提交、材料查驗及反饋備案結果、補充或者重新備案等環(huán)節(jié)。（一）材料提交個人信息處理者備案標準合同，應當提交如下材料（要求見附件B.1）：1.統(tǒng)一社會信用代碼證件影印件法定代表人身份證件影印件經(jīng)辦人身份證件影印件經(jīng)辦人授權委托書（B.2）承諾書（B.3）標準合同（B.4）《個人信息保護影響評估報告》（B.5）（二）材料查驗及反饋備案結果1510（三）補充或者重新備案在標準合同有效期內(nèi)出現(xiàn)下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續(xù)：向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；個人信息權益的；3.可能影響個人信息權益的其他情形。個人信息處理者在標準合同有效期內(nèi)補充訂立標準合同的，應當向所在地省級網(wǎng)15個人信息處理者對所提交材料的真實性負責，提交虛假材料的，注銷備案編號，并依法追究相應法律責任。圖4個人信息出境標準合同備案流程咨詢、舉報聯(lián)系方式聯(lián)系電話子郵箱：bzht@附件見附件B：B.1.個人信息出境標準合同備案材料要求B.2.經(jīng)辦人授權委托書（模板）承諾書（模板）個人信息出境標準合同（范本）B.5.個人信息保護影響評估報告（模板）個人信息保護認證指南20221118適用范圍認證依據(jù)GB/TTC260-PG-20222A息跨境處理活動安全認證規(guī)范》的要求。上述標準、規(guī)范原則上應當執(zhí)行最新版本。認證模式個人信息保護認證的認證模式為：技術驗證+現(xiàn)場審核+獲證后監(jiān)督認證實施程序認證委托托書、相關證明文檔等。查后及時反饋是否受理。認證機構應當根據(jù)認證委托資料確定認證方案，包括個人信息類型和數(shù)量、涉及的個人信息處理活動范圍、技術驗證機構信息等，并通知認證委托人。技術驗證技術驗證機構應當按照認證方案實施技術驗證，并向認證機構和認證委托人出具技術驗證報告?，F(xiàn)場審核認證機構實施現(xiàn)場審核，并向認證委托人出具現(xiàn)場審核報告。認證結果評價和批準認證。如發(fā)現(xiàn)認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。獲證后監(jiān)督監(jiān)督的頻次認證機構應當在認證有效期內(nèi)，對獲得認證的個人信息處理者進行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。監(jiān)督的內(nèi)容認證機構應當采取適當?shù)姆绞綄嵤┇@證后監(jiān)督，確保獲得認證的個人信息處理者持續(xù)符合認證要求。獲證后監(jiān)督結果的評價處理。認證時限認證機構應當對認證各環(huán)節(jié)的時限作出明確規(guī)定，并確保相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。認證證書和認證標志認證證書認證證書的保持認證證書有效期為3年。在有效期內(nèi)，通過認證機構的獲證后監(jiān)督，保持認證證書的有效性。證書到期需延續(xù)使用的，認證委托人應當在有效期屆滿前6個月內(nèi)提出認證委托。認證機構應當采用獲證后監(jiān)督的方式，對符合認證要求的委托換發(fā)新證書。認證證書的變更認證證書有效期內(nèi)，若獲得認證的個人信息處理者名稱、注冊地址，或認證要求、認證范圍等發(fā)生變化時，認證委托人應當向認證機構提出變更委托。認證機構根據(jù)變更的內(nèi)容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術驗證和/或現(xiàn)場審核，還應當在批準變更前進行技術驗證和/或現(xiàn)場審核。認證證書的注銷、暫停和撤銷當獲得認證的個人信息處理者不再符合認證要求時，認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內(nèi)可申請認證證書暫停、注銷。認證證書的公布認證機構應當采用適當方式對外公布認證證書頒發(fā)、變更、暫停、注銷和撤銷等相關信息。（2） 5.2認證標志不含跨境處理活動的個人信息保護認證標志如下：包含跨境處理活動的個人信息保護認證標志如下：“ABCD”代表認證機構識別信息。（3） 5.3認證證書和認證標志的使用中正確使用認證證書和認證標志，不得對公眾產(chǎn)生誤導。認證實施細則認證機構應當依據(jù)本規(guī)則有關要求，細化認證實施程序，制定科學、合理、可操作的認證實施細則，并對外公布實施。認證責任認證機構應當對現(xiàn)場審核結論、認證結論負責。技術驗證機構應當對技術驗證結論負責。認證委托人應當對認證委托資料的真實性、合法性負責。咨詢聯(lián)系方式聯(lián)系電話系郵箱：data@附件見附件C：個人信息保護認證申請書數(shù)據(jù)出境安全合規(guī)申報案例（或“備案”）29表6成功通過數(shù)據(jù)出境申報企業(yè)名單數(shù)據(jù)出境安全評估申報案例首都醫(yī)科大學附屬北京友誼醫(yī)院與荷蘭阿姆斯特丹大學醫(yī)學中心合作研究項目成為全國首個數(shù)據(jù)合規(guī)出境案例。批，成為我國汽車領域首個通過國家互聯(lián)網(wǎng)辦公室的審批的數(shù)據(jù)出境安全評估項目。境安全評估，成為跨境電商領域全國首個數(shù)據(jù)合規(guī)出境案例。馬自達（中國）企業(yè)管理有限公司、絲芙蘭（上海）化妝品銷售有限公司是上海首批通過數(shù)據(jù)出境安全評估的兩家企業(yè)。杭州?？低晹?shù)字技術股份有限公司、杭州螢石網(wǎng)絡股份有限公司是浙江省首批通過國家網(wǎng)信辦數(shù)據(jù)出境安全評估的企業(yè)。個人信息出境標準合同備案案例北京德億信數(shù)據(jù)有限公司與香港諾華誠信有限公司簽訂的個人信息出境標準合同202300001”，家通過訂立標準合同實現(xiàn)個人信息合規(guī)出境的企業(yè)。（長沙境的企業(yè)。個人信息保護認證案例（中國5業(yè)頒發(fā)了我國首批個人信息保護認證證書。附錄A數(shù)據(jù)出境安全評估申報附件附件A.1數(shù)據(jù)出境安全評估申報材料要求序號材料名稱要求備注1統(tǒng)一社會信用代碼證件影印件加蓋公章2法定代表人身份證件影印件加蓋公章3經(jīng)辦人身份證件影印件加蓋公章4經(jīng)辦人授權委托書5數(shù)據(jù)出境安全評估申報書5.1承諾書5.2數(shù)據(jù)出境安全評估申報表使用中文填寫6與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件對數(shù)據(jù)出境相關法律文件以中文步提交準確的中文譯本。7數(shù)據(jù)出境風險自評估報告使用中文撰寫8其他相關證明材料注：采用線下方式提交申報材料的數(shù)據(jù)處理者，需同步通過光盤提交相應電子版材料。附件A.2經(jīng)辦人授權委托書本人姓名（身份證件號碼：）系數(shù)據(jù)處理者名稱的法定代表人，現(xiàn)授權我單位姓名（身份證件號碼：）為數(shù)據(jù)出境安全評估申報工作經(jīng)辦人。經(jīng)辦人代表我單位均予以承認，并將承擔相應的法律責任。授權委托期限：年月日至年月日經(jīng)辦人無轉委托權。單位名稱（蓋章）：法定代表人（簽字）：經(jīng)辦人（簽字年 月 日附件A.3數(shù)據(jù)出境安全評估申報書（模板）填寫說明：一、由數(shù)據(jù)處理者法定代表人或其授權的數(shù)據(jù)出境安全評估申報工作經(jīng)辦人填寫。二、有選擇的地方請勾選左側“”符號，有橫線的部分應當填寫相關信息。三、承諾書和申報表嚴格按照模板填寫。申報表必須使用中文填寫，字體四號“仿宋”，數(shù)字、字母統(tǒng)一使用四號“TimesNewRoman”162字符。頁面設置：A42.54cm3.18cm。進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等法律法規(guī)和部門規(guī)章。五、由國家互聯(lián)網(wǎng)信息辦公室制定并負責解釋。一、承諾書本單位鄭重承諾：一、申報出境數(shù)據(jù)的收集、使用符合中華人民共和國有關法律法規(guī)規(guī)定；二、申報材料所有內(nèi)容真實、完整、準確和有效；三、為國家網(wǎng)信辦組織實施的數(shù)據(jù)出境安全評估工作提供必要的配合和支持；四、自評估工作為申報之日前3個月內(nèi)完成，且至申報之日未發(fā)生重大變化。本單位知曉并充分理解上述承諾內(nèi)容，若承諾不實或者違背承諾，愿意承擔相應法律責任。法定代表人（簽字）：單位（蓋章）：年 月 日二、數(shù)據(jù)出境安全評估申報表1數(shù)據(jù)處理者情況單位名稱單位性質政府部門事業(yè)單位企業(yè)社會組織其他 單位類型內(nèi)資外資中外合資港澳臺資其他 單位注冊地辦公所在地員工數(shù)量統(tǒng)一社會信用代碼是否為關鍵信息基礎設施運營者是否處理個人信息規(guī)模按自然人（去重）統(tǒng)計數(shù)量2法定代表人信息姓名職務/國籍聯(lián)系電話電子郵箱證件類型居民身份證護照臺灣居民來往大陸通行證港澳居民來往內(nèi)地通行證其他 證件號碼3數(shù)據(jù)安全負責人和管姓名職務/國籍聯(lián)系電話電子郵箱理機構信息證件類型居民身份證護照臺灣居民來往大陸通行證港澳居民來往內(nèi)地通行證其他 證件號碼管理機構名稱管理機構人數(shù)4經(jīng)辦人信息姓名職務/國籍聯(lián)系電話電子郵箱證件類型居民身份證 護照臺灣居民來往大陸通行證港澳居民來往內(nèi)地通行證其他 證件號碼5數(shù)據(jù)處理者遵守中國法律、行政法規(guī)、部門規(guī)章情況簡述近2年在業(yè)務經(jīng)營活動中受到行政處罰和有關主管監(jiān)管部門調(diào)查及整改情況，重點說明數(shù)據(jù)和網(wǎng)絡安全方面相關情況6數(shù)據(jù)出境場景1出境場景簡述數(shù)據(jù)出境方式等，應與法律文件中涉及業(yè)務名稱一致，不超過100字（數(shù)據(jù)出境方式參考：公共互聯(lián)網(wǎng)傳輸、跨境專線傳輸、公共互聯(lián)網(wǎng)遠程訪問、跨境專線遠程訪問等）擬出境數(shù)據(jù)情況數(shù)據(jù)類型重要數(shù)據(jù)重要數(shù)據(jù)認定主管部門名稱個人信息是否包含敏感個人信息是否涉及行業(yè)/領域工業(yè)電信交通金融自然資源衛(wèi)生健康教育科技能源國防科工文旅跨境電商零售互聯(lián)網(wǎng)其他 涉及自然人（去重）數(shù)量包括當年已出境數(shù)量、未來三年出境數(shù)量以及兩者的關系涉及重要數(shù)據(jù)規(guī)模MB/GB/TB境外接收方情況境外接收方名稱所在國家或者地區(qū)所在地址主營業(yè)務負責人姓名負責人職務聯(lián)系方式電話：郵箱：統(tǒng)計說明：（如需）6數(shù)據(jù)出境場景2出境場景簡述數(shù)據(jù)出境方式等，應與法律文件中涉及業(yè)務名稱一致，不超過100字（數(shù)據(jù)出境方式參考：公共互聯(lián)網(wǎng)傳輸、跨境專線傳輸、公共互聯(lián)網(wǎng)遠程訪問、跨境專線遠程訪問等）擬出境數(shù)據(jù)情況數(shù)據(jù)類型重要數(shù)據(jù)重要數(shù)據(jù)認定主管部門名稱個人信息是否包含敏感個人信息是否涉及行業(yè)/領域工業(yè)電信交通金融自然資源衛(wèi)生健康教育科技能源國防科工文旅跨境電商零售互聯(lián)網(wǎng)其他 涉及自然人（去重）數(shù)量包括當年已來三年出境涉及重要數(shù)據(jù)規(guī)模MB/GB/TB數(shù)量以及兩者的關系境外接收方情況境外接收方名稱所在國家或者地區(qū)所在地址主營業(yè)務負責人姓名負責人職務聯(lián)系方式電話：郵箱：統(tǒng)計說明：（如需）6數(shù)據(jù)出境場景3......注：1.其他申報材料內(nèi)容應與申報表內(nèi)容保持一致。6項應按場景分項描述，可根據(jù)實際申報的出境場景數(shù)量增加申報表第6項。出境個人信息涉及自然人范圍一致的場景應當合并。6項境外接收方情況可填寫統(tǒng)計數(shù)據(jù)。附件A.4數(shù)據(jù)出境風險自評估報告（模板）數(shù)據(jù)處理者名稱： （蓋章年 月 日說明：（一）數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估時需提供自評估報告，并對所提交的自評估報告及附件材料真實性負責；（二）報告所述自評估活動為本次申報前3個月內(nèi)完成；（三）如有第三方機構參與自評估，須在自評估報告中說明第三方機構的基本情況及參與評估的情況；（四NewRoman”2622.54cm3.18cm。一、自評估工作情況簡要概述自評估工作開展情況，包括起止時間、組織情況、實施過程、實施方式等內(nèi)容。二、出境活動整體情況簡要說明數(shù)據(jù)處理者基本情況、數(shù)據(jù)處理者安全保障能力情況、境外接收方情況、法律文件約定情況等，詳細說明擬出境數(shù)據(jù)情況。包括不限于：（一）數(shù)據(jù)處理者基本情況基本情況簡介，包括股權結構、實際控制人、境內(nèi)外投資情況等；組織架構和數(shù)據(jù)安全管理機構信息；整體業(yè)務與數(shù)據(jù)資產(chǎn)情況。（二）擬出境數(shù)據(jù)情況數(shù)據(jù)出境涉及業(yè)務、數(shù)據(jù)資產(chǎn)等情況；數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式，及其合法性、正當性、必要性；一說明（如下表所示），同一場景下的數(shù)據(jù)項需去重；序號數(shù)據(jù)項名稱內(nèi)容描述出境必要性示例備注12......擬出境數(shù)據(jù)在境內(nèi)存儲的系統(tǒng)平臺、數(shù)據(jù)中心（包含云服務）鏈路相關情況，計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等；數(shù)據(jù)出境后向境外其他接收方提供的情況；涉及個人信息的，按照自然人（去重）3境數(shù)量。（三）數(shù)據(jù)處理者數(shù)據(jù)安全保障能力情況應急處置、風險評估、個人信息權益保護等制度及落實情況；（十三條第一款第二項至第七項規(guī)定情形的，不需取得個人同意）除等全流程所采取的安全技術措施等；數(shù)據(jù)安全檢查測評、數(shù)據(jù)安全合規(guī)審計、網(wǎng)絡安全等級保護測評等情況；遵守數(shù)據(jù)和網(wǎng)絡安全相關法律法規(guī)的情況。（如涉及受到行政處罰和監(jiān)管整改的，可以提供證明整改完成的相關佐證材料）（四）境外接收方情況境外接收方基本情況；境外接收方處理數(shù)據(jù)的用途、方式等；境外接收方履行責任義務的管理和技術措施、能力等。（五）法律文件約定數(shù)據(jù)安全保護責任義務的情況數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；止后出境數(shù)據(jù)的處理措施；對于境外接收方將出境數(shù)據(jù)再轉移給其他組織、個人的約束性要求；保障數(shù)據(jù)安全時，應當采取的安全措施；違反法律文件約定的數(shù)據(jù)安全保護義務的補救措施、違約責任和爭議解決方式；善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。（六）數(shù)據(jù)處理者認為需要說明的其他情況三、出境活動的風險自評估情況及結論對照《數(shù)據(jù)出境安全評估辦法》第五條規(guī)定事項，說明數(shù)據(jù)出境風險自評估情況，重點說明自評估發(fā)現(xiàn)的問題和整改情況。綜合風險自評估情況和相應整改情況，對擬申報的數(shù)據(jù)出境活動作出客觀的風險自評估結論，充分說明得出自評估結論的理由。附錄B個人信息出境標準合同備案附件附件B.1個人信息出境標準合同備案材料要求序號材料名稱要求1統(tǒng)一社會信用代碼證件影印件加蓋公章2法定代表人身份證件影印件加蓋公章3經(jīng)辦人身份證件影印件加蓋公章4經(jīng)辦人授權委托書5承諾書6個人信息出境標準合同7個人信息保護影響評估報告使用中文撰寫附件B.2經(jīng)辦人授權委托書（模板）本人姓名（身份證件號碼：）系個人信息處理者名稱的法定代表人，現(xiàn)授權我單位姓名（身份證件號碼：）為個人信息出境標準合同備案經(jīng)辦人。經(jīng)辦人代表我單位均予以承認，并將承擔相應的法律責任。授權委托期限： 年 月 日至 年 月 經(jīng)辦人無轉委托權。單位名稱（蓋章）：法定代表人（簽字經(jīng)辦人（簽字）：年 月 日附件B.3承諾書（模板）本單位鄭重承諾：一、出境個人信息的收集、使用符合中華人民共和國有關法律法規(guī)規(guī)定；二、備案材料所有內(nèi)容真實、完整、準確和有效；同的方式向境外提供；3本單位知曉并充分理解上述承諾內(nèi)容，若承諾不實或者違背承諾，愿意承擔相應法律責任。法定代表人（簽字）：單位（蓋章）：年 月 日附件B.4個人信息出境標準合同國家互聯(lián)網(wǎng)信息辦公室 制定為了確保境外接收方處理個人信息的活動達到中華人民共和國相關法律法規(guī)規(guī)定經(jīng)雙方協(xié)商一致，訂立本合同。人信息處理者： 址： 系方式： 聯(lián)系人： 職務： 外接收方： 址： 系方式： 聯(lián)系人： 職務： 個人信息處理者與境外接收方依據(jù)本合同約定開展個人信息出境活動，與此活動關的商業(yè)行為雙【已【約定于 年 月 日訂立 （商業(yè)合同如有本合同正文根據(jù)《個人信息出境標準合同辦法》的要求擬定，在不與本合同正文內(nèi)第一條定義在本合同中，除上下文另有規(guī)定外：（一）“個人信息處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的，向中華人民共和國境外提供個人信息的組織、個人。（二）“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。（三）個人信息處理者或者境外接收方單稱“一方”，合稱“雙方”。（四）“個人信息主體”是指個人信息所識別或者關聯(lián)的自然人。（五）“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。（六）“敏感個人信息”是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴（七）“監(jiān)管機構”是指中華人民共和國省級以上網(wǎng)信部門。（八）“相關法律法規(guī)”是指《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)共和國民事訴訟法》《個人信息出境標準合同辦法》等中華人民共和國法律法規(guī)。（九）本合同其他未定義術語的含義與相關法律法規(guī)規(guī)定的含義一致。第二條個人信息處理者的義務個人信息處理者應當履行下列義務：（一）按照相關法律法規(guī)規(guī)定處理個人信息，向境外提供的個人信息僅限于實現(xiàn)處理目的所需的最小范圍。（二）向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、附錄一“個人信息出境說明”要告知的除外。（三）獨同意。法律、行政法規(guī)規(guī)定應當取得書面同意的，應當取得書面同意。（四）30日內(nèi)明確拒絕，則可以依據(jù)本合同享有第三方受益人的權利。（五）盡合理地努力確保境外接收方采取如下技術和管理措施（綜合考慮個人信息輸及境外接收方的保存期限等可能帶來的個人信息安全風險務：（如加密、匿名化、去標識化、訪問控制等技術和管理措施） 六）根據(jù)境外接收方的要求向境外接收方提供相關法律規(guī)定和技術標準的副本。（七）答復監(jiān)管機構關于境外接收方的個人信息處理活動的詢問。（八）按照相關法律法規(guī)對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估。重點評估以下內(nèi)容：當性、必要性。益帶來的風險。出境個人信息的安全。益維護的渠道是否通暢等。按照本合同第四條評估當?shù)貍€人信息保護政策和法規(guī)對合同履行的影響。3（九）根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘進行適當處理。（十）對本合同義務的履行承擔舉證責任。（十一）息，包括所有合規(guī)審計結果。境外接收方應當履行下列義務：（一）按照附錄一“個人信息出境說明”所列約定處理個人信息。如超出約定成年人的父母或者其他監(jiān)護人的單獨同意。（二）受個人信息處理者委托處理個人信息的，應當按照與個人信息處理者的約定（三）根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘進行適當處理。（四）采取對個人權益影響最小的方式處理個人信息。（五）個人信息的保存期限為實現(xiàn)處理目的所必要的最短時間，保存期限屆滿的，（包括所有備份儲和采取必要的安全保護措施之外的處理。（六）按下列方式保障個人信息處理安全：保個人信息安全。確保授權處理個人信息的人員履行保密義務，并建立最小授權的訪問控制權限。（七）如處理的個人信息發(fā)生或者可能發(fā)生篡改、破壞、泄露、丟失、非法利用、未經(jīng)授權提供或者訪問，應當開展下列工作：及時采取適當補救措施，減輕對個人信息主體造成的不利影響。含下列事項：問的個人信息種類、原因和可能造成的危害。已采取的補救措施。個人信息主體可以采取的減輕危害的措施。負責處理相關情況的負責人或者負責團隊的聯(lián)系方式。2個人信息處理者委托處理個人信息的，由個人信息處理者通知個人信息主體。授權提供或者訪問有關的情況，包括采取的所有補救措施。（八）同時符合下列條件的，方可向中華人民共和國境外的第三方提供個人信息：確有業(yè)務需要。權益的影響。但是法律、行政法規(guī)規(guī)定不需要告知的除外?；趥€人同意處理個人信息的，應當取得個人信息主體的單獨同意。涉及不滿十律、行政法規(guī)規(guī)定應當取得書面同意的，應當取得書面同意。與第三方達成書面協(xié)議，確保第三方的個人信息處理活動達到中華人民共和國相人信息而侵害個人信息主體享有權利的法律責任。根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。如涉及商業(yè)秘進行適當處理。（九）受個人信息處理者委托處理個人信息，轉委托第三方處理的，應當事先征得“個人信息出境說明”中約（十項，或者向個人信息主體提供便捷的拒絕方式。（十一）計，并為個人信息處理者開展合規(guī)審計提供便利。（十二）3關法律法規(guī)要求直接或者通過個人信息處理者向監(jiān)管機構提供相關記錄文件。（十三）同意在監(jiān)督本合同實施的相關程序中接受監(jiān)管機構的監(jiān)督管理，包括但不提供已采取必要行動的書面證明等。第四條境外接收方所在國家或者地區(qū)個人信息保護政策和法規(guī)對合同履行的影響（一）（機關訪問個人信息的規(guī)定）影響境外接收方履行本合同約定的義務。（二）雙方聲明，在作出本條第一項的保證時，已經(jīng)結合下列情形進行評估：出境的具體情況，包括個人信息處理目的、傳輸個人信息的種類、規(guī)模、范圍及關要求其提供個人信息的請求及境外接收方應對的情況。境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)，包括下列要素：該國家或者地區(qū)現(xiàn)行的個人信息保護法律法規(guī)及普遍適用的標準。境外接收方安全管理制度和技術手段保障能力。（三）境外接收方保證，在根據(jù)本條第二項進行評估時，已盡最大努力為個人信息處理者提供了必要的相關信息。（四）雙方應當記錄根據(jù)本條第二項進行評估的過程和結果。因境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化（包括境外接收方所在國家或者地區(qū)更改法律，或者采取強制性措施）導致境外接收方無法履行本合同的，境外接收方應當在知道該變化后立即通知個人信息處理者。境外接收方接到所在國家或者地區(qū)的政府部門、司法機構關于提供本合同項下的個人信息要求的，應當立即通知個人信息處理者。第五條個人信息主體的權利雙方約定個人信息主體作為本合同第三方受益人享有以下權利：（一除其個人信息，有權要求對其個人信息處理規(guī)則進行解釋說明。（二）當個人信息主體要求對已經(jīng)出境的個人信息行使上述權利時，個人信息主體息處理者無法實現(xiàn)的，應當通知并要求境外接收方協(xié)助實現(xiàn)。（三在合理期限內(nèi)實現(xiàn)個人信息主體依照相關法律法規(guī)所享有的權利。境外接收方應當以顯著的方式、清晰易懂的語言真實、準確、完整地告知個人信息主體相關信息。境外接收方拒絕個人信息主體的請求的，應當告知個人信息主體其拒絕的原因，以及個人信息主體向相關監(jiān)管機構提出投訴和尋求司法救濟的途徑。（五）個人信息主體作為本合同第三方受益人有權根據(jù)本合同條款向個人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項下與個人信息主體權利相關的下列條款：第二條，但第二條第五項、第六項、第七項、第十一項除外。24三項除外。第四條，但第四條第五項、第六項除外。第五條。第六條。第八條第二項、第三項。第九條第五項。第六條救濟（一）境外接收方應當確定一個聯(lián)系人，授權其答復有關個人信息處理的詢問或者信息主體該聯(lián)系人信息，具體為：聯(lián)系人及聯(lián)系方式（辦公電話或電子郵箱） 一方因履行本合同與個人信息主體發(fā)生爭議的，應當通知另一方，雙方應當合作解決爭議。（三）爭議未能友好解決，個人信息主體根據(jù)第五條行使第三方受益人的權利的，境外接收方接受個人信息主體通過下列形式維護權利：向監(jiān)管機構投訴。向本條第五項約定的法院提起訴訟。（四）選擇適用中華人民共和國相關法律法規(guī)的，從其選擇。（五）雙方同意個人信息主體就本合同爭議行使第三方受益人權利的，個人信息主體可以依據(jù)《中華人民共和國民事訴訟法》向有管轄權的人民法院提起訴訟。（六）雙方同意個人信息主體所作的維權選擇不會減損個人信息主體根據(jù)其他法律法規(guī)尋求救濟的權利。第七條合同解除（一）境外接收方違反本合同約定的義務，或者境外接收方所在國家或者地區(qū)的個（取強制性措施收方提供個人信息，直到違約行為被改正或者合同被解除。（二）有下列情形之一的，個人信息處理者有權解除本合同，并在必要時通知監(jiān)管機構：1個月。境外接收方遵守本合同將違反其所在國家或者地區(qū)的法律規(guī)定。境外接收方嚴重或者持續(xù)違反本合同約定的義務。信息處理者違反了本合同約定的義務。124目的情況下，境外接收方可以解除本合同。（三）經(jīng)雙方同意解除本合同的，合同解除不免除其在個人信息處理過程中的個人信息保護義務。（四）合同解除時，境外接收方應當及時返還或者刪除其根據(jù)本合同所接收到的個（包括所有備份難以實現(xiàn)的，應當停止除存儲和采取必要的安全保護措施之外的處理。第八條違約責任（一）雙方應就其違反本合同而給對方造成的損失承擔責任。（二）任何一方因違反本合同而侵害個人信息主體享有的權利，應當對個人信息主事等法律責任。（三）雙方依法承擔連帶責任的，個人信息主體有權請求任何一方或者雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時，有權向另一方追償。第九條其他（一（二）本合同的成立、效力、履行、解釋、因本合同引起的雙方間的任何爭議，適用中華人民共和國相關法律法規(guī)。（三（以航空信件寄送確認副本（具體地址）以航空掛號信寄出本合同項下的通知，在郵戳日期后的天應當視為收訖；如以電子郵件、電報、電傳或者傳真發(fā)出，在發(fā)出以后的個工作日應當視為收訖。（四）種方式加以解決（如選擇仲裁，請勾選仲裁機構）：仲裁。將該爭議提交□中國國際經(jīng)濟貿(mào)易仲裁委員會□中國海事仲裁委員會□北京仲裁委員會（北京國際仲裁中心）□上海國際仲裁中心□其他《承認及執(zhí)行外國仲裁裁決公約》成員的仲裁機構 按其屆時有效的仲裁規(guī)則在（仲裁地點） 進行仲裁；訴訟。依法向中華人民共和國有管轄權的人民法院提起訴訟。（五）本合同應當按照相關法律法規(guī)的規(guī)定進行解釋，不得以與相關法律法規(guī)規(guī)定的權利、義務相抵觸的方式解釋本合同。（六）本合同正本一式 份，雙方各執(zhí) 份，其法律效力相同本合同在（地點） 簽訂個人信息處理者： 年 月 日外接收方： 年 月 日附錄一個人信息出境說明（一）處理目的：（二）處理方式：（三）出境個人信息的規(guī)模：（四）出境個人信息種類（參考GB/T35273《信息安全技術個人信息安全規(guī)范》和相關標準）：（五）出境敏感個人信息種類（如適用，參考GB/T35273《信息安全技術個人信息安全規(guī)范》和相關標準）：（六）境外接收方只向以下中華人民共和國境外第三方提供個人信息（如適用）：（七）傳輸方式：（八）出境后保存期限：（年月日至年月日）（九）出境后保存地點：（十）其他事項（視情況填寫）：附錄二雙方約定的其他條款（如需要）附件B.5個人信息保護影響評估報告（模板）（出境版）個人信息處理者名稱： （蓋章年 月 日說明：（一并對所提交的評估報告真實性負責；（二）3個月內(nèi)完成；（三）如有第三方機構參與評估，須在評估報告中說明第三方機構的基本情況及參與評估的情況；（四“仿宋”（用四號“TimesNewRoman”2622.54cm3.18cm。一、出境活動整體情況（一）個人信息處理者基本情況保護機構信息等。整體業(yè)務與處理個人信息情況。擬出境個人信息情況。個人信息出境涉及業(yè)務、個人信息收集使用、信息系統(tǒng)等情況；正當性、必要性；出境個人信息的規(guī)模、范圍、種類、敏感程度，處理敏感個人信息情況；關情況，計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等；個人信息出境后向境外其他接收方提供的情況。遵守個人信息保護相關法律法規(guī)的情況。（二）境外接收方情況境外接收方基本情況；境外接收方處理個人信息的用途、方式等；境外接收方履行責任義務的管理和技術措施、能力等。（三）個人信息處理者認為需要說明的其他情況二、擬出境活動的影響評估情況及結論重點說明評估發(fā)現(xiàn)的問題和整改情況。綜合影響評估情況和相應整改情況，對個人信息出境活動作出客觀的影響評估結論，充分說明得出評估結論的理由和論據(jù)。附錄C個人信息保護認證附件個人信息保護認證申請書申請方名稱（蓋章）：申請日期：中國網(wǎng)絡安全審查技術與認證中心填寫說明1、本申請書適用于向中國網(wǎng)絡安全審查技術與認證中心申請個人信息保護認證。2A4子版方式提交申請書和申請書中要求的相關材料。3、聯(lián)系信息聯(lián)系電話系郵箱：data@聯(lián)系地址：北京市東城區(qū)安定門外大街56號樓5層（100011）申請方聲明本組織正式提出個人信息保護認證申請，并對以下活動作出聲明：12重大個人信息安全事件；申請時所提供的信息以及在整個認證過程中提供的信息屬實；遵守中國網(wǎng)絡安全審查技術與認證中心的有關規(guī)范和程序要求，配合認證相關工作；獲證后遵守認證證書、認證標志使用相關的規(guī)定。對于影響認證有效性的變更（包括但不限于：數(shù)據(jù)目錄變更、業(yè)務范圍變更等），應通知中國網(wǎng)絡安全審查技術與認證中心相關變更情況。申請方代表（簽名）：申請方（蓋章）：年月日個人信息保護認證申請書申請信息認范擴大 證縮小 申方稱更 注冊址生更其他變更：GB/T35273-2020《信息安全技術個人信息安全規(guī)范》TC260-PG-20222A《網(wǎng)絡安全標準實踐指南個人信息跨境處理活動安全認證規(guī)范》相關標準、規(guī)范申請方信息2.1）2.2.1（）（若申請通過認證，除中文版認證證書外是否需要英文版認證證書：是；否。申請方全稱（中文）：；申請方全稱（英文）：；統(tǒng)一社會信用代碼：；注冊地址（中文）：，郵編：，行政區(qū)劃代碼：；注冊地址（英文）：；申請證圍蓋人：；請總人：人年營務入在2000萬元上是 否所屬民濟業(yè)： ；參照GB/T4754-2017《民濟行業(yè)類代》，寫4數(shù)小法人： 個信護負人： ；聯(lián)系： 電： 機： 真：E-mail： 訊： 。覆蓋的組織范圍（中文）：；覆蓋的組織范圍（英文）：；覆蓋的地址（中文）：，郵編：；如涉及多個場所需分別填寫，詳見附錄B中B.1.1覆蓋的地址（英文）：。覆蓋的業(yè)務范圍（中文）：；覆蓋的業(yè)務范圍（英文）：；涉及的個人信息處理活動類型： 收集 存儲 使用 委托處理 共享轉讓、公開 第三方應用 跨境提供涉及個人信息主體量級為：個人信息主體數(shù)量100萬以下個人信息主體數(shù)量1000萬以下100萬以上（含）個人信息主體數(shù)量1億以下1000萬以上（含）個人信息主體數(shù)量1億以上（含）111）個人信息涉及主體的量級：向境外提供10萬人以上個人信息向境外提供10萬人以下個人信息2）敏感個人信息涉及主體的量級：11BB.1.2申請認證所需提供的材料申請方的營業(yè)執(zhí)照/法人證書復印件；自評價表及相關證據(jù)材料；業(yè)務流程及描述；本章節(jié)材料請參考附錄B中B.2提供； 申請認證的業(yè)務流程、數(shù)據(jù)流圖及描述：如涉及跨境提供，提供跨境業(yè)務流程、數(shù)據(jù)流圖及描述：3.4涉及認證對象的組織機構圖或職能表述文件：涉及個人信息處理活動的組織架構描述；如涉及跨境提供，跨境業(yè)務涉及的組織機構圖或職能表述文件：3.5請參考附錄B中B.1.1提供；如涉及跨境提供，請參照附錄BB.2.1請參考附錄B中B.4提供；3.7其他補充資料。其它申請方是否獲得數(shù)據(jù)相關認證，如數(shù)據(jù)安全管理認證、App？（選）否；是申請方可從下列技術驗證機構中選擇一家實施技術驗證：機構一名稱機構二名稱申請方選擇技術驗證機構入場方式：技術驗證機構單獨入場技術驗證機構和審核組一同入場其他需要說明的問題：。附件C.1場所地址序號名稱地址）職工數(shù)所涉及的部門所涉及的業(yè)務活動所涉及的個人信息處理活動固定/臨時行政區(qū)劃代碼收集存儲使用委托處理共享、轉讓、公開第三境外接收方基本情況序號注冊地址聯(lián)系人聯(lián)系方式接收數(shù)據(jù)基本情況涉及的業(yè)務涉及數(shù)據(jù)量目的范圍類型敏感程度方式保存期限存儲地點1境外接收方110萬人以上個人信息10萬人以上個人信息1萬人以上敏感個人信息1萬人以下敏感個人信息2境外接收方2……附件C.2承載業(yè)務的系統(tǒng)列表序號業(yè)務名稱業(yè)務系統(tǒng)名稱業(yè)務系統(tǒng)描述是否涉及跨境XX業(yè)務系統(tǒng)業(yè)務系統(tǒng)框架及功能介紹請描述系統(tǒng)功能架構圖和介紹材料XX業(yè)務系統(tǒng)框架圖請描述實際業(yè)務系統(tǒng)架構圖XX業(yè)務系統(tǒng)序號業(yè)務系統(tǒng)名稱業(yè)務功能列表所涉及的個人信息所涉及的處理活動XX業(yè)務和數(shù)據(jù)流程圖請描述數(shù)據(jù)流圖（主要是個人信息）以及與業(yè)務活動的關系跨境業(yè)務和數(shù)據(jù)流程圖如涉及跨境提供，請描述跨境業(yè)務流和數(shù)據(jù)流圖（主要是跨境提供的個人信息），以及與跨境業(yè)務活動的關系。附件C.3XXXX（模板）發(fā)布日期：XXXX年XX月XX日，版本號：XXX數(shù)據(jù)類型類型1級子類類型2級子類……處理活動級別個人信息示例，個人基本信息示例，敏感個人信息如涉及跨境提供，請?zhí)峁┫卤恚荷婕翱缇程峁?shù)據(jù)目錄（模板）數(shù)據(jù)類型類型1級子類類型2級子類……境外接收方國別個人信息示例，個人基本信息示例，敏感個人信息注：B.3.1和B.3.2應滿足以下要求：1、本目錄的數(shù)據(jù)類型、分類層級及分級可參考相應標準細化和調(diào)整。2（3、提供數(shù)據(jù)目錄的范圍應是此次申請認證的范圍，版本的控制應該遵循申請組織相關的要求。附件C.4適用性聲明編號標準條款評價項不適用原因備注123456789申請方代表（簽名）：申請方（蓋章）：年 月 日附錄D常見實務問題Q&A一、 什么是“數(shù)據(jù)出境”？有哪幾種常見類型？根據(jù)《辦法》規(guī)定和國家網(wǎng)信辦答記者問，《辦法》所稱數(shù)據(jù)出境活動主要如下兩種：第一種：數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。第二種：以訪問或者調(diào)用。數(shù)據(jù)類型境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)或個人信息出境方式向境外提供，包括物理跨越和遠程訪問境外的含義中華人民共和國大陸地區(qū)的以外的其他國家/地區(qū)，包括港澳臺地區(qū)開展數(shù)據(jù)出境活動的雙方涉及數(shù)據(jù)傳輸方和數(shù)據(jù)接收方如下圖所示：常見場景如下表所示：場景判斷某境外公司A情形1AAPP某境外公司A境內(nèi)有子公司B情形21A公司在境外使用云服務器CA與C情形3BAPPB信息同步給其總部A，B與C情形4BIT系統(tǒng)是境外技術服務提供D本地化部署的，且DITBug修復，B與D二、 “數(shù)據(jù)出境安全評估”的觸發(fā)條件有哪幾種？觸發(fā)條件有四種，達到其中之一即應當啟動出境安全評估，分別為：向境外提供重要數(shù)據(jù)；關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；11日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；國家網(wǎng)信部門規(guī)定的其他需要進行安全評估的情況。名稱定義標準關鍵信息基礎設施企業(yè)要判斷其數(shù)據(jù)出境行為是否適用《辦法》的規(guī)定，就要判斷企業(yè)是否屬于關鍵信息基礎設施運營者。企業(yè)應根據(jù)以上情況判定是否應當進行出境安全評估。三、 什么是“關鍵信息基礎設施運營者”與“重要名稱定義標準關鍵信息基礎設施企業(yè)要判斷其數(shù)據(jù)出境行為是否適用《辦法》的規(guī)定，就要判斷企業(yè)是否屬于關鍵信息基礎設施運營者。運營者2021第二基于此，企業(yè)一旦被認定為關鍵信息基礎設施的運營者將會收到相關主管部門的通知?？梢岳斫猓髽I(yè)如未收到主管部門的認定關鍵信息基礎設施的運營者的通知，企業(yè)可以暫時認為自己不是CIIO。重要數(shù)據(jù)依據(jù)《辦法》第十九條，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。據(jù)此可以判斷，重要數(shù)據(jù)的識別主要聚焦于數(shù)據(jù)的性質和對國家安全和公共利益影響。重要數(shù)據(jù)采用的是定性與定量相結合判斷的方法。若單條信息對國家安全可能造成影響的，單條信息亦可能構成重要數(shù)據(jù)，如國家戰(zhàn)略物資的儲備量。但若單條或少量信息不會影響國家安全或社會公共利益，但覆蓋較大范圍或較長時間的，或是涉及某些重要區(qū)域或時期的信息集合亦可能構成重要數(shù)據(jù)。從實務角度出發(fā)，雖然《數(shù)據(jù)安全法》規(guī)定由各地區(qū)、各部門負責確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)目錄，但目前，汽車領域出臺了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》對此做出嘗試，通信行業(yè)發(fā)布了行標《YD/T3867-2021基礎電信企業(yè)重要數(shù)據(jù)識別指南》，正在制定的國標《信息安全技術重要數(shù)據(jù)識別指南》已被終止，其他領域的重要數(shù)據(jù)識別指南仍有待進一步細化。以下為各標準規(guī)范（含在制定中）中的“重要數(shù)據(jù)”定義：四、什么是“敏感個人信息”？如何判斷？敏感個人信息屬于個人信息的一部分，凡是能夠定位到特定主體、特定自然人活動的信息就是個人信息，而在全部個人信息中，一旦泄露能夠對個人人身、財產(chǎn)、人格尊嚴造成傷害的信息屬于敏感個人信息。最新發(fā)布的《中華人民共和國個人信息保護法》對于敏感個人信息進行了列舉，歸納為7類：生物識別：如人臉識別；宗教信仰；特定身份（十四周歲以下未成年人等）；醫(yī)療健康；金融賬戶；行蹤軌跡；等信息（現(xiàn)在不能列舉的敏感個人信息）。但對于敏感個人信息的具體認定與適用，目前需要結合個人信息的信息主體、信息處理者、使用目的、危害后果等多個維度，以及需要對個案或個別企業(yè)的情況及業(yè)務場景進行綜合考慮來判斷相關信息是否應屬于敏感個人信息，可以從以下四個方面進行考慮：要素描述信息主體281信息處理者一是信息處理者的規(guī)模會導致信息由非敏感變?yōu)槊舾校欢切畔⑻幚碚叩募夹g操控能力可能會使信息由非敏感變?yōu)槊舾?；三是第三方主體往往是敏感個人信息的接收方，其與信息處理者或信息主體的關系可能影響信息的敏感度，比如一般而言，作為信息處理者的委托處理方相較作為信息主體指定的接收信息方更敏感。使用目的對于具體的個人信息，還應當依據(jù)使用場景的不同，使用目的的不同，來對其是否屬于敏感個人信息進行判斷。例如，在金融機構辦理相關業(yè)務時，提供個人的身份信息、金融賬戶信息，由于這些信息與個人的財產(chǎn)安全緊密相關，基于處理目的的敏感性，上述信息屬于敏感個人信息。使用打車軟件時，所提供的個人位置信息、個人電話號碼，上述信息與個人的人身自由與安全密切相關，同樣屬于敏感個人信息。危害后果與人格尊嚴、人身財產(chǎn)權益相關的個人信息一旦被信息處理者利用來謀取利益，那對個人可能會造成危害將難以預料和控制。比如掌握自然人的基因、指紋、聲紋、掌紋、臉部特征等生物識別信息，就可以精準且永久識別特定自然人。若個人的上述身份識別信息被他人竊取并濫用，則極容易導致個人金融賬戶被遠程盜取、個人的行蹤信息被定位追蹤、個人的肖像被替換濫用，對個人的人身、財產(chǎn)、人格尊嚴造成巨大的危害后果。五、 企業(yè)內(nèi)部自評估與國家網(wǎng)信部安全評估有什么差異？企業(yè)內(nèi)部自評估主管部門評估（一）數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性；（一（二）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數(shù)據(jù)的安全；（二（（三（四）數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（四）數(shù)據(jù)安全和個人信息權益是否能夠得到充分有效保障；（五）與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件等（以下統(tǒng)稱法律文件）是否充分約定了數(shù)據(jù)安全保護責任義務；（五）數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責任義務；_（六）其他可能影響數(shù)據(jù)出境安全的事項。（七）國家網(wǎng)信部門認為需要評估的其他事項。六、數(shù)據(jù)出境自評估只能由企業(yè)自行開展嗎？數(shù)據(jù)出境風險自評估可由企業(yè)自行開展，也可委托第三方機構開展。若企業(yè)自行開展自評估，建議評估團隊涵蓋數(shù)據(jù)出境安全相關人員；若企業(yè)委托第三方機構開展自評估，評估報告應加蓋評估機構公章，第三方機構在自評估過程中對知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密；若選擇有涉外背景的第三方機構開展自評估，應注意規(guī)避數(shù)據(jù)二次出境或轉移風險。七、已訂立標準合同或經(jīng)過個人信息認證的，還需要進行安全評估嗎？路徑依據(jù)路徑一通過國家網(wǎng)信部門組織的安全評估《數(shù)據(jù)出境安全評估管理辦法》路徑二經(jīng)專業(yè)機構進行個人信息保護認證《個人信息跨境處理活動認證技術規(guī)范》路徑三與境外接受方訂立合同《個人信息出境標準合同規(guī)定（征求意見稿）》路徑四《個人信息出境標準合同規(guī)定（征求意見稿）》_八、 “法律文件”與“標準合同”有什么區(qū)別？在《辦法》所要求提交的申報資料包括“數(shù)據(jù)處理者與境外接收方擬訂立的法律文件”（“法律文件”），《評估辦法》第九條規(guī)定：數(shù)據(jù)處理者應當在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務，至少包括以下內(nèi)容：（一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；（二）數(shù)據(jù)在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；（三）對于境外接收方將出境數(shù)據(jù)再轉移給其他組織、個人的約束性要求；（四境外接收方在實際控制權或者經(jīng)營范圍發(fā)生實質性變化，或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導致難以保障數(shù)據(jù)安全時，應當采取的安全措施；（五）違反法律文件約定的數(shù)據(jù)安全保護義務的補救措施、違約責任和爭議解決方式；（六）出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。雖然“法律文件”在內(nèi)容要求上類似合同，但是不限于合同一種形式，例如有約束的集團公司內(nèi)部管理制度理論上也符合要求?！秱€人信息保護法》第三十八條第一款規(guī)定：個人信息處理者因業(yè)務等需要,確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務：（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！稊?shù)據(jù)出境安全評估辦法》提到的“法律文件”與《個人信息保護法》提到的“標準合同”不同，兩者區(qū)別主要包括如下幾個方面：序號法律文件標準合同一安全評估的申報資料之一與安全評估并列的個人信息出境的安全管理制度之一二由數(shù)據(jù)處理者與境外接收方在滿足安全評估要求的前提下自由約定主要條款由國家網(wǎng)信部門制定三事前監(jiān)管事后監(jiān)管九、如何理解境外“接收方”與再轉移“接收方”之間的關系？根據(jù)《辦法》第九條以及《指南》當中的要求，數(shù)據(jù)處理者在與境外接收方訂立的法律文件中，應當明確境外接收方將出境數(shù)據(jù)再轉移給其他組織、個人的約束性要求。同時，在制作《數(shù)據(jù)出境風險自評估報告》（《報告》）的過程中，數(shù)據(jù)處理者還需要在專門章節(jié)描述數(shù)據(jù)出境后向境外其他接收方提供的情況。因此，境內(nèi)數(shù)據(jù)處理者與境外接收方在訂立法律文件時，需要專門約定境外接收方將接收到的數(shù)據(jù)再轉移給第三方時，所應承擔的對第三方的約束性義務。并在申報安全評估時，對再轉移第三方的信息于《報告》中進行披露。結合《個人信息出境標準合同》第三條第（七）款的內(nèi)容，以及上一問中闡釋的對《個人信息出境標準合同》與“法律文件”的關系的理解，境外接收方在進行數(shù)據(jù)跨境的再轉移之前，應當保證（1）原則上不進行數(shù)據(jù)再轉移，除非確有需要；（2）充分履行告知義務，包括告知個人信息主體再轉移接收方的身份、聯(lián)系方式、處理目的、處理方式、個人信息種類以及行使個人信息主體權利的方式和程序等；（3）除非法律另有規(guī)定，取得個人信息主體的單獨同意；（4）接收方與再轉移接收方達成書面協(xié)議并向個人信息主體提供協(xié)議副本。另外，根據(jù)我們咨詢網(wǎng)信辦所得到的答復，再轉移接收方無需按照《報告》對接收方的要求，描述并提供所在國家或者地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境的分析。當然，網(wǎng)信辦在答復中并未禁止企業(yè)對再轉移接收方所在國家或地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境進行分析。我們認為，如果再轉移接收方所在的國家或地區(qū)本身能夠對所接收的境外數(shù)據(jù)提供強有力的保障（比如加入特定國際公約，承諾對成員國數(shù)據(jù)提供同等保護等），則建議企業(yè)增加相關描述。十、 如何理解《個人信息保護影響評估報告》（“PIA報告”）與《數(shù)據(jù)出境安全自評估報告》之間的關系？按照《個人信息保護法》第五十五條的要求，個人信息跨境活動屬于需要進行個人信息保護影響評估的個人信息處理活動?？紤]到時間與效率的問題，根據(jù)PIA報告具有一定的可操作性。但是我們并不推介企業(yè)采取這種方式履行個人信息保護影響評估義務。《報告》所要求的是對數(shù)據(jù)跨境活動進行評估，而《個人信息保護法》第五十五條還要求對個人信息跨境以外的敏感個人信息處理活動、自動化決策、委托處理、對外提供以及公開個人信息等進行個人信息保護影響評估。如果境內(nèi)數(shù)據(jù)處理者根據(jù)《報告》內(nèi)容出具PIA報告，而在跨境活動中還涉及對敏感個人信息的處理，則事實上所出具的PIA報告并不能全面覆蓋《個人信息保護法》五十五條提出的合規(guī)要求。十一、若企業(yè)為境外接收方提供了可訪問中國境內(nèi)數(shù)據(jù)的通道，但事實上境外接收方從未訪問境內(nèi)數(shù)據(jù)，此種情形是否屬于數(shù)據(jù)出境行為？屬于。根據(jù)《數(shù)據(jù)出境安全評估申報指南（第一版）》對“數(shù)據(jù)出境”概念的闡述，只要境內(nèi)數(shù)據(jù)處理者為境外機構開設了查詢、調(diào)取、下載、導出數(shù)據(jù)的端口即視為數(shù)據(jù)出境。根據(jù)我們咨詢網(wǎng)信辦所得到的答復，可訪問境內(nèi)數(shù)據(jù)而實際未訪問的境外主體，仍然會被認定為《辦法》意義下的“境外接收方”，且只有境內(nèi)數(shù)據(jù)處理者完全關閉為境外機構開設的訪問渠道，同時停止其他一切積極跨境傳輸行為時，才能被認定為不進行數(shù)據(jù)跨境。十二、如企業(yè)集團辦理標準合同備案，能否向子公司或關聯(lián)公司住所地的屬地網(wǎng)信辦提交備案申請？目前還沒有統(tǒng)一的監(jiān)管口徑。企業(yè)在提交標準合同備案申請之前，可就集團企業(yè)的具體情況向網(wǎng)信辦做情況說明和咨詢，針對不同省級行政區(qū)的境內(nèi)關聯(lián)主體，建議根據(jù)本集團的組織架構情況，按照便利、統(tǒng)籌的原則與監(jiān)管進行溝通。十三、國內(nèi)有多家企業(yè)可以合并備案嗎？合并與不合并的標準是什么？關于標準合同場景下的聯(lián)合申報方式，原則上不同地區(qū)的境內(nèi)關聯(lián)主體應當獨立向屬地網(wǎng)信部門辦理標準合同備案；同一地區(qū)的不同實體合并備案的，原則上應當滿足：同一場景、同一服務器/系統(tǒng)、同一部署（個人信息分塊管理邏輯）。因各地網(wǎng)信部門的要求可能有差異以及各家公司的具體情況各不相同，就個人信息出境標準合同的備案場景而言，有聯(lián)合備案需求的企業(yè)可提前與屬地網(wǎng)信辦進行溝通。十四、如果企業(yè)已經(jīng)簽署基于GDPR的標準合同，是否還要簽署中國版的標準合同？需要。基于《個人系信息出境標準合同辦法》的要求，如企業(yè)選擇通過訂立標準合同的方式開展個人信息出境活動，則企業(yè)與境外接收方必須嚴格按照官方模板，訂立標準合同。對于已經(jīng)簽署GDPR項下的SCCs的跨國企業(yè)，需注意處理中國版標準合同與已有數(shù)據(jù)處理協(xié)議之間的兼容與沖突問題。十五、若企業(yè)屬于應申報數(shù)據(jù)出境安全評估的情況，卻未進行評估申報，會有什么后果？我們認為，未履行出境安全評估義務的，行政機關有權依據(jù)《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》中的相關規(guī)定對企業(yè)進行處罰。具體而言，根據(jù)上述法規(guī)應開展數(shù)據(jù)出境安全評估而未開展數(shù)據(jù)出境安全評估的企業(yè)：根據(jù)《個人信息保護法》，將由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。根據(jù)《網(wǎng)絡安全法》，關鍵信息基礎設施的運營者違反本法第三十七條規(guī)定，在境外存儲網(wǎng)絡數(shù)據(jù)，或者向境外提供網(wǎng)絡數(shù)據(jù)的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴重的，處一