前几天6月24日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。
不管是否正式实施,也是一个风向标了。按照个保法,个人信息处理者因业务等需要,向境外提供个人信息的,应按照国家网信部门的规定经专业机构进行个人信息保护认证。还是继续看下本认证规范中一些信息吧。
谁认证或什么情况下认证
跨国公司之间的个人信息跨境处理活动
同一经济、事业实体下属子公司之间的个人信息跨境处理活动
关联公司间的个人信息跨境处理活动(股权关联、业务关联)
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动
在认证的时候,还是由境内一方申请认证,并承担法律责任。
找谁认证
网信部门尚未指定认证机构,还需要等待
认证需要哪些材料或者需要准备什么
有法律约束力的协议,至少包含:个人信息处理者和境外接收方;跨境处理的目的、个人信息的类别和范围;个人信息主体权益保护措施;境外接收方承诺接受认证机构监督、接受中华人民共和国个人信息保护相关法律等;明确在境内承担法律责任的组织;
个人信息处理者和境外接收方指定个人信息保护负责人、个人信息保护机构,旅行个人信息保护义务;
个人信息处理者和境外接收方遵守统一的个人信息跨境处理规则;
跨境的个人信息处理者事前进行个人信息保护影响评估;
个人信息处理者和境外接收方告知个人信息主体开展跨境活动并取得单独同意,响应个人信息主体的权利,发生个人信息泄漏、篡改、丢失事件时,个人信息处理者及境外接收方采取补救措施,并通知履行个人信息保护职责的部门和个人
参考: