今日，國家互聯(lián)網(wǎng)信息辦公室、澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局發(fā)布公告：

落實《中華人民共和國國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟財政司　關(guān)于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》關(guān)于“共同制定粵港澳大灣區(qū)個人信息跨境標準合同并組織推動實施，加強個人信息跨境標準合同備案管理”的合作措施，國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局共同制定《粵港澳大灣區(qū)（內(nèi)地、澳門）個人信息跨境流動標準合同實施指引》，現(xiàn)予公布。

特此公告。

國家互聯(lián)網(wǎng)信息辦公室　王京濤

澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局 戴建業(yè)

澳門特別行政區(qū)政府個人資料保護局　楊崇蔚

2024年9月10日

粵港澳大灣區(qū)（內(nèi)地、澳門）個人信息跨境流動標準合同實施指引

第一條 為促進粵港澳大灣區(qū)個人信息跨境安全有序流動，推動粵港澳大灣區(qū)高質(zhì)量發(fā)展，落實《中華人民共和國國家互聯(lián)網(wǎng)信息辦公室與澳門特別行政區(qū)政府經(jīng)濟財政司　關(guān)于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》（以下簡稱備忘錄），國家互聯(lián)網(wǎng)信息辦公室、澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局共同制定本實施指引。

第二條 《粵港澳大灣區(qū)（內(nèi)地、澳門）個人信息跨境流動標準合同》（以下簡稱標準合同，見附件1）為備忘錄下有關(guān)促進粵港澳大灣區(qū)個人信息跨境流動的便利措施。粵港澳大灣區(qū)個人信息處理者及接收方可以按照本實施指引要求，通過訂立標準合同的方式進行粵港澳大灣區(qū)內(nèi)內(nèi)地和澳門之間的個人信息跨境流動。被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的個人信息除外。

個人信息處理者及接收方應(yīng)注冊于（適用于組織）/位于（適用于個人）粵港澳大灣區(qū)內(nèi)地部分，即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市，或者澳門特別行政區(qū)。

第三條 通過訂立標準合同的方式開展個人信息跨境提供的，應(yīng)當堅持自主締約與備案管理相結(jié)合、保護個人信息權(quán)益與防范風險相結(jié)合，保障個人信息跨境安全、自由流動。

第四條 按照本實施指引，通過訂立標準合同跨境提供個人信息的，應(yīng)當履行標準合同列明的義務(wù)和責任，包括滿足以下條件：

（一）個人信息處理者跨境提供個人信息前，應(yīng)當按照個人信息處理者屬地法律法規(guī)要求告知個人信息主體或者取得個人信息主體的同意；

（二）不得向粵港澳大灣區(qū)以外的組織、個人提供。

第五條 個人信息處理者按照本實施指引，通過訂立標準合同跨境提供個人信息前，應(yīng)當開展個人信息保護影響評估，重點評估以下內(nèi)容：

（一）個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性；

（二）對個人信息主體權(quán)益的影響及安全風險；

（三）接收方承諾承擔的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障跨境提供的個人信息安全。

第六條 標準合同應(yīng)當嚴格按照本實施指引附件訂立，合同生效后方可開展個人信息跨境提供。

個人信息處理者可以與接收方約定其他條款，但不得與標準合同相沖突。

第七條 個人信息處理者及接收方應(yīng)在標準合同生效之日起10個工作日內(nèi)按照屬地向廣東省互聯(lián)網(wǎng)信息辦公室或者澳門特別行政區(qū)政府個人資料保護局進行標準合同備案，提交如下材料：

（一）承諾書（模板見附件2）；

（二）標準合同；

（三）屬地監(jiān)管機構(gòu)要求的其他材料。

個人信息處理者及接收方應(yīng)當對所備案材料的真實性負責。

第八條 跨境提供個人信息的目的、范圍、種類、方式，或者接收方處理個人信息的用途、方式發(fā)生變化，延長保存期限，以及發(fā)生影響或者可能影響個人信息權(quán)益其他情況的，個人信息處理者應(yīng)當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并按照個人信息處理者屬地法律法規(guī)要求履行備案手續(xù)和法定通知義務(wù)。

第九條 任何組織和個人發(fā)現(xiàn)個人信息處理者或接收方按照本實施指引進行粵港澳大灣區(qū)內(nèi)的個人信息跨境流動，但不履行本實施指引及標準合同要求的義務(wù)和責任的，可以向國家互聯(lián)網(wǎng)信息辦公室、廣東省互聯(lián)網(wǎng)信息辦公室或者澳門特別行政區(qū)政府個人資料保護局投訴、舉報。

收到投訴、舉報的部門發(fā)現(xiàn)個人信息跨境活動存在較大安全風險或者發(fā)生個人信息安全事件的，可以要求個人信息處理者或者接收方整改；需要交由其他執(zhí)法部門處置的，交由相關(guān)部門依法處置。

第十條 個人信息處理者或接收方在處理個人信息時發(fā)生個人信息泄露等安全事件的，應(yīng)立即采取補救措施，按照屬地規(guī)定通知國家互聯(lián)網(wǎng)信息辦公室、廣東省互聯(lián)網(wǎng)信息辦公室，或者澳門特別行政區(qū)政府個人資料保護局等相關(guān)監(jiān)管實體。

第十一條 以上規(guī)定并不影響內(nèi)地履行個人信息保護職責的部門和澳門特別行政區(qū)政府個人資料保護局在職責范圍內(nèi)依法加強個人信息保護和監(jiān)督管理工作，包括處理與個人信息保護有關(guān)的投訴、舉報，調(diào)查、處理違法個人信息處理活動等。

第十二條 有關(guān)部門及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當依法予以保密，不得泄露或者非法向他人提供、非法使用。

第十三條 國家互聯(lián)網(wǎng)信息辦公室和澳門特別行政區(qū)政府經(jīng)濟及科技發(fā)展局、澳門特別行政區(qū)政府個人資料保護局可以根據(jù)實際情況，經(jīng)協(xié)商一致后對本實施指引及附件進行修訂。

第十四條 本實施指引自公布之日起生效。