ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T XXXXX—XXXX 信息安全技术 个人信息跨境传输认证要求 Information security technology -Certification requirements for cross- borde r transmission of personal information （征求意见稿） （本草案完成时间： 2023年2月10日） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX发布 XXXX - XX - XX实施 GB/T XXXXX —XXXX I 目 次 前言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 基本原则 ............................................................................ 2 4.1 合法、正当、必要和诚信原则 ...................................................... 2 4.2 公开、透明原则 .................................................................. 2 4.3 信息质量保障原则 ................................................................ 2 4.4 同等保护原则 .................................................................... 2 4.5 责任明确原则 .................................................................... 2 4.6 自愿认证原则 .................................................................... 2 5 基本要求 ............................................................................ 2 5.1 具有法律约束力的 文件 ............................................................ 2 5.2 组织管理 ........................................................................ 3 5.2.1 个人信息保护负责人 .......................................................... 3 5.2.2 个人信息保护机构 ............................................................ 3 5.3 个人信息跨境处理规则 ............................................................ 3 5.4 个人信息保护影响评估 ............................................................ 4 6 个人信息主体权益保障要求 ............................................................ 4 6.1 个人信息主体权利 ................................................................ 4 6.2 个人信息处理者和境外接收方的责任义务 ............................................ 5 参考文献 .............................................................................. 6 GB/T XXXXX —XXXX II 前 言 本文件按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。 本文件起草单位：中认信安（北京）技术服务有限公司、中国网络安全审查技术与认证中心、中国 电子标准化研究院、国家计算机网络应急技术处理协调中心、 国家信息技术安全研究中心、中国科学技 术大学、中央财经大学、银行卡检测中心、 深信服科技股份有限公司、 阿里巴巴（北京）软件服务有限 公司、蚂蚁科技集团股份有限公司、华为技术有限公司、北京百度网讯科技有限公司、腾讯云计算（北京）有限责 任公司、 深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、 北京快手科技有限公司、 北京同城必应科技有限公司、上海商汤智能科技有限公司、中国软件评测中心、成都卫士通信息产业股 份有限公司、奇安信科技集团股份有限公司等。 本文件主要起草人： 布宁、陈世翔、王凤娇、胡影、史大为、左晓栋、张金平、王晖、段静辉等。GB/T XXXXX —XXXX 1 信息安全技术 个人信息跨境传输认证要求 1 范围 本文件规定了个人信息处理者跨境提供个人信息的基本原则、 基本要求和个人信息主体权益保障要 求。 本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证， 也适用于 主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 -2022 信息安全技术 术语 GB/T 35273 -2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T25069- 2022、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息， 不包括匿名化处理后的信息。 [来源：GB/T 35273- 2020，3.1，有修改] 3.2 敏感个人信息 sensitive personal information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 [来源：GB/T 35273- 2020，3.2，有修改 ] 3.3 个人信息主体 personal information subject 个人信息所标识或者关联的自然人。 [来源：GB/T 35273- 2020，3.3] 3.4 个人信息处理者 personal information processor 在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。 3.5 境外接收方 outland receiver 位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。 GB/T XXXXX -XXXX 2 3.6 单独同意 separate consent 对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意 。 4 基本原则 4.1 合法、正当、必要和诚信原则 个人信息处理者和境外接收方在跨境处理个人信息时应满足法律法规的规 定， 按照约定目的并采取 对个人信息权益影响最小的方式处理个人信息，遵守合同、协议等具有法律约束力文件的约定和承诺， 不应违背约定和承诺损害个人信息主体的合法权益。 4.2 公开、透明原则 个人信息处理者和境外接收方在跨境处理个人信息时应满足处理规则公开、处理过程透明要求，及 时向个人信息主体告知境外接收方的名称或者姓名 、联系方式，个人信息跨境处理的目的、范围和处理 方式，以及权利、行使权利的方式和程序等，确保