附件2 《個(gè)人信息跨境處理活動(dòng)安全規(guī)范 》 (編制說(shuō)明)

《個(gè)人信息跨境處理活動(dòng)安全規(guī)范》編制說(shuō)明1.項(xiàng)目背景在全球化的背景下，個(gè)人信息跨境流動(dòng)日益頻繁。無(wú)論是個(gè)人旅游、留學(xué)、工作，還是企業(yè)跨國(guó)經(jīng)營(yíng)、跨境貿(mào)易等活動(dòng)，都涉及到個(gè)人信息的跨境傳輸和處理。這種跨境流動(dòng)對(duì)于促進(jìn)全球經(jīng)濟(jì)發(fā)展和人文交流具有重要意義，但同時(shí)也對(duì)個(gè)人信息的保護(hù)提出了新的挑戰(zhàn)。近年來(lái)，各國(guó)政府紛紛加強(qiáng)了對(duì)個(gè)人信息保護(hù)的法律法規(guī)建設(shè)。例如，歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國(guó)的《加利福尼亞州消費(fèi)者隱私權(quán)利法案》（CCPA）以及中國(guó)的《個(gè)人信息保護(hù)法》等，都對(duì)個(gè)人信息保護(hù)提出了明確的要求和規(guī)定。這些法律法規(guī)的出臺(tái)，為個(gè)人信息跨境處理活動(dòng)提供了法律依據(jù)和保障。個(gè)人信息跨境處理活動(dòng)依然面臨諸多安全風(fēng)險(xiǎn)。一方面，由于不同國(guó)家和地區(qū)的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、監(jiān)管機(jī)制等存在差異，導(dǎo)致個(gè)人信息在跨境傳輸和處理過(guò)程中容易受到攻擊和泄露；另一方面，一些不法分子利用個(gè)人信息跨境流動(dòng)的漏洞，進(jìn)行非法獲取、濫用和誤用等違法行為，給個(gè)人和社會(huì)帶來(lái)嚴(yán)重的損害。為了保障個(gè)人信息的合法權(quán)益，加強(qiáng)個(gè)人信息跨境處理活動(dòng)的安全管理，本項(xiàng)目旨在制定一套全面、科學(xué)、有效的個(gè)人信息跨境處理活動(dòng)安全規(guī)范。2.工作簡(jiǎn)況 2.1立項(xiàng)計(jì)劃該標(biāo)準(zhǔn)任務(wù)來(lái)源于浙江省產(chǎn)品與工程標(biāo)準(zhǔn)化協(xié)會(huì)關(guān)于《個(gè)人信息跨境處理活動(dòng)安全規(guī)范》等2項(xiàng)團(tuán)體標(biāo)準(zhǔn)的立項(xiàng)公告（2024年第57號(hào)），該標(biāo)準(zhǔn)符合標(biāo)準(zhǔn)立項(xiàng)條件，批準(zhǔn)立項(xiàng)。2.2起草單位本標(biāo)準(zhǔn)主要起草單位：連連數(shù)字科技股份有限公司、杭州市金融人才協(xié)會(huì)2.3主要工作過(guò)程2.3.1明確標(biāo)準(zhǔn)起草人員和工作計(jì)劃2024年6月，連連數(shù)字科技股份有限公司組建標(biāo)準(zhǔn)起草小組，明確各參與單位或人員職責(zé)分工、研制計(jì)劃、時(shí)間進(jìn)度安排等情況。2.3.2起草標(biāo)準(zhǔn)初稿2024年7月，標(biāo)準(zhǔn)起草小組開(kāi)展調(diào)研學(xué)習(xí)工作，編制標(biāo)準(zhǔn)初稿。標(biāo)準(zhǔn)初稿的基本框架主要包括范圍、規(guī)范性引用文件、術(shù)語(yǔ)與定義、縮略語(yǔ)、基本要求、個(gè)人信息主體、信息跨境處理等內(nèi)容。2.3.3討論會(huì)2024年8月2日，連連數(shù)字科技股份有限公司組織召開(kāi)了文本研討會(huì)，杭州市金融人才協(xié)會(huì)虞群娥、葉嘉怡、金娟娟及浙江省長(zhǎng)三角標(biāo)準(zhǔn)技術(shù)研究院金昕航參會(huì)，對(duì)文本具體內(nèi)容展開(kāi)了充分討論，明確標(biāo)準(zhǔn)初稿的基本框架為“范圍、規(guī)范性引用文件、術(shù)語(yǔ)與定義、個(gè)人信息主體、組織管理、信息跨境處理、個(gè)人信息影響評(píng)估”，對(duì)標(biāo)題、內(nèi)容框架結(jié)構(gòu)進(jìn)行了較大的修改。2024年9月20日，連連數(shù)字科技股份有限公司組織召開(kāi)了文本討論會(huì)，浙江省長(zhǎng)三角標(biāo)準(zhǔn)技術(shù)研究院金昕航參會(huì)，對(duì)文本已修改部分進(jìn)行細(xì)節(jié)完善，并對(duì)編制說(shuō)明進(jìn)行了修改完善，最終形成征求意見(jiàn)稿。2.3.4征求意見(jiàn)2024年11月5日-2024年11月30日，標(biāo)準(zhǔn)起草小組在全國(guó)團(tuán)體標(biāo)準(zhǔn)網(wǎng)上公開(kāi)征求意見(jiàn)。2.4主要起草人及其所做的工作連連數(shù)字科技股份有限公司：主持標(biāo)準(zhǔn)編制工作和標(biāo)準(zhǔn)文本編寫(xiě)及文本語(yǔ)句修改。3．標(biāo)準(zhǔn)編制原則和確定地方標(biāo)準(zhǔn)主要技術(shù)要求的依據(jù)3.1標(biāo)準(zhǔn)編制原則標(biāo)準(zhǔn)兼顧科學(xué)性、客觀性、合理性、適用性的原則，嚴(yán)格按照GB/T1.1-2020給出的規(guī)則起草?？茖W(xué)性：標(biāo)準(zhǔn)的制定應(yīng)建立在充分調(diào)研和論證的基礎(chǔ)上，各項(xiàng)技術(shù)指標(biāo)的設(shè)置應(yīng)合理有效?？陀^性：標(biāo)準(zhǔn)應(yīng)符合相關(guān)法律、法規(guī)以及強(qiáng)制性標(biāo)準(zhǔn)要求。標(biāo)準(zhǔn)研制過(guò)程應(yīng)符合標(biāo)準(zhǔn)化相關(guān)法律法規(guī)要求。按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》、GB/T20000的系列標(biāo)準(zhǔn)的規(guī)定及有關(guān)規(guī)定進(jìn)行編制。合理性：標(biāo)準(zhǔn)應(yīng)與國(guó)家相關(guān)政策、法律法規(guī)、其他國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)在主要內(nèi)容上協(xié)調(diào)，不應(yīng)有沖突。適用性：標(biāo)準(zhǔn)各項(xiàng)技術(shù)指標(biāo)應(yīng)具備可復(fù)制、可驗(yàn)證，不應(yīng)產(chǎn)生歧義，便于工作的開(kāi)展。3.2主要技術(shù)要求的依據(jù)《個(gè)人信息跨境處理活動(dòng)安全規(guī)范》從范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、基本要求、個(gè)人信息主體、組織管理、信息跨境處理、個(gè)人信息影響評(píng)估等內(nèi)容進(jìn)行規(guī)定，主要技術(shù)要求的依據(jù)如下：（一）范圍（二）規(guī)范性引用文件（三）術(shù)語(yǔ)與定義：本章對(duì)“個(gè)人信息”“個(gè)人信息主體”“境外接收方”“個(gè)人信息處理者”等術(shù)語(yǔ)進(jìn)行了標(biāo)準(zhǔn)化的定義。（四）基本要求：本章主要對(duì)個(gè)人信息跨境處理活動(dòng)的基本內(nèi)容進(jìn)行規(guī)定，其內(nèi)容包含開(kāi)展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方應(yīng)簽訂具有法律約束力和可執(zhí)行的合同，及合同內(nèi)容。（五）個(gè)人信息主體：本章對(duì)個(gè)人信息跨境處理活動(dòng)中的個(gè)人信息主體進(jìn)行了規(guī)定，主要內(nèi)容包含了主體義務(wù)及主體權(quán)利。（六）組織管理：本章對(duì)個(gè)人信息跨境處理活動(dòng)的組織管理進(jìn)行了相關(guān)規(guī)定，其內(nèi)容包含信息保護(hù)負(fù)責(zé)人、信息保護(hù)機(jī)構(gòu)、境外接收方等。（七）信息跨境處理：本章從個(gè)人信息跨境處理活動(dòng)信息跨境處理方面的處理?xiàng)l件、處理規(guī)則等幾個(gè)方面進(jìn)行了詳細(xì)的規(guī)定。主要參考《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》進(jìn)行編制。（八）個(gè)人信息影響評(píng)估：本章從個(gè)人信息跨境處理活動(dòng)信息跨境處理方面的處理?xiàng)l件、處理規(guī)則等幾個(gè)方面進(jìn)行了詳細(xì)的規(guī)定。主要參考《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》進(jìn)行編制。4．國(guó)內(nèi)外現(xiàn)行相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)情況目前國(guó)內(nèi)已發(fā)布GB/T25069-2022《信息安全技術(shù)術(shù)語(yǔ)》、GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》等國(guó)家標(biāo)準(zhǔn)，為編制本次標(biāo)準(zhǔn)提供相應(yīng)的技術(shù)支撐。本標(biāo)準(zhǔn)的編寫(xiě)，將完善個(gè)人信息跨境處理活動(dòng)安全相關(guān)標(biāo)準(zhǔn)的制定，為信息跨境處理服務(wù)提供指導(dǎo)，進(jìn)一步提升安全性和可信度，保護(hù)用戶的合法權(quán)益，促進(jìn)行業(yè)的持續(xù)健康發(fā)展。該標(biāo)準(zhǔn)的實(shí)施將為全省市信息跨境產(chǎn)業(yè)提供更加全面、優(yōu)質(zhì)、高效的服務(wù)。5．定量、定性技術(shù)要求在本行政區(qū)域內(nèi)的驗(yàn)證情況無(wú)6．重大意見(jiàn)分歧的處理依據(jù)和結(jié)果無(wú)7．預(yù)期的社會(huì)、經(jīng)濟(jì)、生態(tài)效益及貫徹實(shí)施標(biāo)準(zhǔn)的要求、措施等建議社會(huì)經(jīng)濟(jì)效益?zhèn)€人信息跨境處理活動(dòng)安全規(guī)范的要求，推進(jìn)整個(gè)企業(yè)的發(fā)展。本標(biāo)準(zhǔn)緊密結(jié)合個(gè)人信息跨境處理活動(dòng)的現(xiàn)狀，規(guī)范了個(gè)人信息跨境處理活動(dòng)的基本要求、個(gè)人信息主體、組織管理、管理跨境處理、個(gè)人信息影響評(píng)估等內(nèi)容，為個(gè)人信息跨境處理活動(dòng)提供了清晰的數(shù)據(jù)安全管理規(guī)范，確保了個(gè)人信息跨境處理活動(dòng)的高效穩(wěn)定安全運(yùn)行。通過(guò)實(shí)施該規(guī)范，能夠確保個(gè)人信息在跨境處理中得到充分保護(hù)，減少信息泄露和濫用的風(fēng)險(xiǎn)，為跨境數(shù)據(jù)流動(dòng)提供安全保障，促進(jìn)國(guó)際貿(mào)易和數(shù)字經(jīng)濟(jì)的健康發(fā)展，為經(jīng)濟(jì)增長(zhǎng)注入新動(dòng)力。同時(shí)可以填補(bǔ)浙江省個(gè)人信息跨境處理活動(dòng)安全規(guī)范的空白，使得其技術(shù)方法統(tǒng)一，規(guī)范整個(gè)操作流程。（二）貫徹實(shí)施標(biāo)準(zhǔn)的要求、措施1.組織標(biāo)準(zhǔn)宣貫會(huì)，使相關(guān)人員及時(shí)了解、熟悉并執(zhí)行標(biāo)準(zhǔn)；2.成立標(biāo)準(zhǔn)貫徹實(shí)施小組