附件： 个人信息出境标准合同 中华人民共和国国家互联网信息办公室制定1为了确保境外接收方处理个人信息的活动达到中华人民共和国 相关法律法规规定的个人信息保护标准，明确个人信息处理者和境外 接收方个人信息保护的义务和责任，双方经协商一致，特签订本合同， 以便共同遵守。 个人信息处理者： 地址： 电话： 邮箱： 联系人： 职务： 国籍： 境外接收方： 地址： 电话： 邮箱： 联系人： 职务： 国籍：2个人信息处理者与境外接收方依据本合同附录一“个人信息出境 说明”所列约定开展与个人信息出境有关的活动，与此活动相关的商 业行为，双方【已】/【约定】于年月日签署关于XX的 商业合同，如有。 本合同正文系根据《个人信息出境标准合同规定》的要求拟定， 双方如有其他约定可在附录二中详述，附录构成本合同的组成部分。 第一条定义 在本合同中，除上下文另有规定外： （一）个人信息处理者或境外接收方单称“一方”，合称“双方”。 （二）“个人信息”和“敏感个人信息”与《中华人民共和国个 人信息保护法》所规定的含义相同。 （三）“个人信息主体”是指个人信息所标识或者关联的自然人。 （四）“个人信息处理者”与《中华人民共和国个人信息保护法》 所规定的含义相同。 （五）“境外接收方”是指位于中华人民共和国境外并自个人信 息处理者处接收个人信息的组织或个人。 （六）“监管机构”是指中华人民共和国省级以上网信部门。 （七）“相关法律法规”是指《中华人民共和国民法典》《中华人 民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和 国个人信息保护法》《个人信息出境标准合同规定》等中华人民共和 国法律法规和部门规章，以及对前述法律法规和部门规章作出修订、 修改或补充的法律法规和部门规章，包括取代原法律法规和部门规章3的后续法律法规和部门规章。 （八）本合同其他未定义术语的含义应与相关法律法规规定的含 义保持一致。 第二条个人信息处理者的义务 个人信息处理者在此陈述、保证、承诺如下： （一）个人信息系按照相关法律法规进行收集、使用等处理；出 境个人信息范围仅限于实现处理目的所需的最小范围。 （二）已向个人信息主体告知境外接收方的名称或姓名、联系方 式、附录一“个人信息出境说明”中的相关情况，以及行使个人信息 主体权利的方式和程序等事项，并已取得个人单独同意，但相关法律 法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息，已 向个人信息主体告知传输敏感个人信息的必要性及对个人的影响；涉 及不满十四周岁未成年人个人信息的，已取得未成年人的父母或者其 他监护人的同意；法律、行政法规规定应当取得书面同意的，已取得 书面同意，相关法律法规规定无需取得书面同意的除外。 （三）已向个人信息主体告知其与境外接收方通过本合同约定个 人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒 绝，则可以依据该合同享有第三方受益人的权利。 （四）已尽合理的努力确保境外接收方能够履行本合同规定的义 务并采取如下技术和管理措施（综合考虑个人信息的类型、数量、范 围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存 的期限、个人信息处理目的等可能带来的个人信息安全风险）： （如加密、匿名化、去标识化、访问控制等技术和管理措施）4（五）经境外接收方要求，向境外接收方提供相关法律规定和技 术标准的副本。 （六）将答复来自监管机构关于境外接收方的个人信息处理活动 的询问，但双方均同意由境外接收方作出答复的除外；在此情况下， 若境外接收方在要求答复的期限内未答复，个人信息处理者仍将根据 其合理掌握的信息在合理期限内作出答复。 （七）已经按照相关法律法规对拟向境外接收方提供个人信息的 活动开展了个人信息保护影响评估。评估已考虑： 1.个人信息处理者和境外接收方处理个人信息的目的、范围、方 式等的合法性、正当性、必要性； 2.出境个人信息的数量、范围、类型、敏感程度，个人信息出境 可能对个人信息权益带来的风险； 3.境外接收方承诺承担的责任义务，以及履行责任义务的管理和 技术措施、能力等能否保障出境个人信息的安全； 4.个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护 个人信息权益的渠道是否通畅等； 5.按本合同第四条评估当地个人信息保护政策法规对遵守本合 同条款可能造成的影响； 6.其他可能影响个人信息出境安全的事项。 保存个人信息保护影响评估报告至少3年。 （八）根据个人信息主体要求向个人信息主体提供本合同的副 本。在为保护商业秘密或其他机密信息（例如受保护的知识产权内容 等）所必需的范围内，可以在提供副本之前对本合同相关内容进行适 当遮蔽，但承诺向个人信息主体提供有效摘要以助其理解合同内容。 （九）承担证明本合同义务已履行的举证责任。 （十）根据相关法律法规要求向监管机构提供第三条第（十）款5所述的信息，包括所有审计结果。 第三条境外接收方的义务 境外接收方在此陈述、保证、承诺如下： （一）按照附录一“个人信息出境说明”所列约定处理个人信息， 除非取得个人信息主体的事先同意。 （二）根据个人信息主体要求向个人信息主体提供本合同的副 本。在为保护商业秘密或其他机密信息（例如受保护的知识产权内容 等）所必需的范围内，可以在提供副本之前对本合同相关内容进行适 当遮蔽，但承诺向个人信息主体提供有效摘要以助其理解合同内容。 （三）出境个人信息范围仅限于实现处理目的所需的最小范围。 （四）存储个人信息的期限为实现处理目的所必要的最短时间； 超出上述存储期限后，对个人信息（包括所有备份）进行删除或匿名 化处理，除非取得个人信息主体关于存储期限的单独同意。受个人信 息处理者委托处理个人信息时，在删除或匿名化后，向个人信息处理 者提供相关审计报告。 （五）按以下方式保障个人信息处理安全： 1.采取有效的技术和管理措施，以确保个人信息的安全，包括防 止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问 （以下简称“数据泄露”）。为了履行这一义务，采取第二条第（四） 款中规定的技术和管理措施。进行定期检查，以确保这些措施持续维 持适当的安全水平； 2.确保授权处理个人信息的人员履行保密义务，并建立最小授权 的访问控制策略，使前述人员只能访问职责所需的最小必要的个人信 息，且仅具备完成职责所需的最少的数据操作权限。 （六）如果处理的个人信息发生了数据泄露，将：61.及时采取适当补救措施，以减轻对个人信息主体造成的不利影 响； 2.立即通知个人信息处理者，并根据相关法律法规要求报告中华 人民共和国监管机构。通知包含以下内容： （1）个人信息泄露的原因； （2）泄露的个人信息种类和可能造成的危害； （3）已采取的补救措施； （4）个人可以采取的减轻危害的措施； （5）负责处理数据泄露的负责人或负责团队的联系方式。 3.相关法律法规要求通知个人信息主体的，通知的内容包含前述 第2项的内容； 4.记录并留存所有与数据泄露有关的事实及其影响，包括采取的 所有补救措施； 5.受个人信息处理者委托处理个人信息时，由个人信息处理者承 担前述第3项所规定的向个人信息主体通知的义务。 （七）不将个人信息提供给位于中华人民共和国境外的第三方， 除非同时符合以下要求： 1.确有业务需要提供个人信息； 2.已告知个人信息主体该第三方身份、联系方式、处理目的、处 理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事 项，并已取得个人单独同意，相关法律法规规定无需取得个人单独同 意的除外；涉及敏感个人信息的，向个人信息主体告知传输敏感个人 信息的必要性及对个人的影响；涉及不满十四周岁未成年人个人信息 的，取得未成年人的父母或者其他监护人的同意；法律、行政法规规 定应当取得书面同意的，取得书面同意，相关法律法规规定无需取得 书面同意的除外。在难以告知或者难以取得个人信息主体单独同意7时，及时告知个人信息处理者，并请求个人信息处理者协助其告知个 人信息主体或者取得个人信息主体单独同意； 3.与第三方达成书面协议，以保障第三方对个人信息的保护水平 不低于中华人民共和国相关法律法规规定的个人信息保护标准，并承 担因再提供而可能导致对个人信息主体造成损害的连带责任； 4.向个人信息处理者提供该协议副本。 （八）受个人信息处理者委托处理个人信息，转委托第三方处理 时，事先征得个人信息处理者同意；确保转委托的第三方不超出本合 同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理 个人信息，并对该第三方的个人信息处理活动进行监督。 （九）利用个人信息进行自动化决策，保证决策的透明度和结果 公平、公正，不对个人在交易价格等交易条件上实行不合理的差别待 遇。通过自动化决策方式向个人进行信息推送、商业营销，同时提供 不针对其个人特征的选项，或者提供便捷的拒绝方式。 （十）承诺向个人信息处理者提供所有必要的信息，用以证明遵 守本合同中规定的义务，允许个人信息处理者对数据文件和文档进行 查阅，或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计 时，为个人信息处理者自行开展或者委托第三方开展的审计提供便 利，并按个人信息处理者的要求向其提供所持有的个人信息保护方面 的资质认证情况。 （十一）对开展的个人信息处理活动进行客观记录，保存记录至 少3年；按相关法律法规要求直接或通过个人信息处理者向监管机构 提供相关记录文件。 （十二）同意在监督本合同实施的相关程序中接受监管机构的监 督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从 监管机构采取的措施或作出的决定，并提供已采取必要行动的书面证