国家互联网信息办公室
澳门特别行政区政府经济及科技发展局
澳门特别行政区政府个人资料保护局
公　告
2024年第1号

落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司　关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施，加强个人信息跨境标准合同备案管理”的合作措施，国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》，现予公布。

特此公告。

附件：《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》

国家互联网信息办公室　王京涛

澳门特别行政区政府经济及科技发展局　戴建业

澳门特别行政区政府个人资料保护局　杨崇蔚

2024年9月10日

粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引
第一条 为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司　关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称备忘录），国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定本实施指引。
第二条 《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同》（以下简称标准合同，见附件1）为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求，通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
个人信息处理者及接收方应注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者澳门特别行政区。
第三条 通过订立标准合同的方式开展个人信息跨境提供的，应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合，保障个人信息跨境安全、自由流动。
第四条 按照本实施指引，通过订立标准合同跨境提供个人信息的，应当履行标准合同列明的义务和责任，包括满足以下条件：
（一）个人信息处理者跨境提供个人信息前，应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意；
（二）不得向粤港澳大湾区以外的组织、个人提供。
第五条 个人信息处理者按照本实施指引，通过订立标准合同跨境提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：
（一）个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；
（二）对个人信息主体权益的影响及安全风险；
（三）接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
第六条 标准合同应当严格按照本实施指引附件订立，合同生效后方可开展个人信息跨境提供。
个人信息处理者可以与接收方约定其他条款，但不得与标准合同相冲突。
第七条 个人信息处理者及接收方应在标准合同生效之日起10个工作日内按照属地向广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局进行标准合同备案，提交如下材料：
（一）承诺书（模板见附件2）；
（二）标准合同；
（三）属地监管机构要求的其他材料。
个人信息处理者及接收方应当对所备案材料的真实性负责。
第八条 跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响或者可能影响个人信息权益其他情况的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并按照个人信息处理者属地法律法规要求履行备案手续和法定通知义务。
第九条 任何组织和个人发现个人信息处理者或接收方按照本实施指引进行粤港澳大湾区内的个人信息跨境流动，但不履行本实施指引及标准合同要求的义务和责任的，可以向国家互联网信息办公室、广东省互联网信息办公室或者澳门特别行政区政府个人资料保护局投诉、举报。
收到投诉、举报的部门发现个人信息跨境活动存在较大安全风险或者发生个人信息安全事件的，可以要求个人信息处理者或者接收方整改；需要交由其他执法部门处置的，交由相关部门依法处置。
第十条 个人信息处理者或接收方在处理个人信息时发生个人信息泄露等安全事件的，应立即采取补救措施，按照属地规定通知国家互联网信息办公室、广东省互联网信息办公室，或者澳门特别行政区政府个人资料保护局等相关监管实体。
第十一条 以上规定并不影响内地履行个人信息保护职责的部门和澳门特别行政区政府个人资料保护局在职责范围内依法加强个人信息保护和监督管理工作，包括处理与个人信息保护有关的投诉、举报，调查、处理违法个人信息处理活动等。
第十二条 有关部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。
第十三条 国家互联网信息办公室和澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局可以根据实际情况，经协商一致后对本实施指引及附件进行修订。
第十四条 本实施指引自公布之日起生效。

附件1：粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同

国家互联网信息办公室澳门特别行政区政府个人资料保护局制定

为促进粤港澳大湾区个人信息跨境安全有序流动，明确个人信息处理者和接收方个人信息保护的权利、义务和责任，经双方协商一致，订立本合同。

个人信息处理者：

地址：联系方式：

联系人：                                        职务：

接收方:地址：

联系方式：

联系人：                                        职务：

（注：个人信息处理者及接收方应注册于（适用于组织）／位于（适用于个人）粤港澳大湾区内地部分，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，或者澳门特别行政区）

个人信息处理者与接收方依据本合同约定开展个人信息跨境活动，与此活动相关的商业行为，双方【已】/【约定】于    年  月  _日订立                                                        （商业合同，如有）。

本合同正文按照《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司关于促进粤港澳大湾区数据跨境流动的合作备忘录》的精神而拟定，在不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二中详述，附录构成本合同的组成部分。

第一条  定义

在本合同中，除上下文另有规定外：

（一）“个人信息处理者”，就内地而言，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人；就澳门特别行政区而言，亦涵盖“负责处理个人资料的实体”，是指就个人资料处理的目的和方法，单独或与他人共同作出决定的自然人或法人，公共实体、部门或任何其他机构。

本合同所称个人信息处理者为个人信息跨境提供方。

（二）“接收方”是指自个人信息处理者处跨境接收个人信息的组织、个人。

（三）个人信息处理者或者接收方单称“一方”，合称“双方”。

（四）粤港澳大湾区在内地的个人信息处理，按照《中华人民共和国个人信息保护法》确定；在澳门特别行政区内的个人信息处理，按照澳门特别行政区《个人资料保护法》确定。

（五）“个人信息主体”，就内地而言，是指个人信息所识别或者关联的自然人；就澳门特别行政区而言，亦涵盖“资料当事人”，是指其资料被处理的自然人。

（六）“监管机构”，就内地而言，是指国家互联网信息办公室及广东省互联网信息办公室；就澳门特别行政区而言，是指澳门特别行政区政府个人资料保护局。

（七）“相关法律法规”，就内地而言，是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规；就澳门特别行政区而言，是指《个人资料保护法》《网络安全法》等法律法规。

第二条
个人信息处理者的义务和责任

个人信息处理者应当履行下列义务和责任：

（一）按照属地相关法律法规及本合同要求处理个人信息，向接收方提供的个人信息仅限于实现处理目的所需的最小范围。

（二）向个人信息主体告知接收方的名称或者姓名、联系方式、附录一“个人信息跨境提供说明”中处理目的、处理方式、个人信息的种类、保存期限、个人信息向同辖区第三方提供的情况，以及行使个人信息主体权利的方式和程序等事项。属地相关法律法规要求不需要告知的，从其规定。

（三）向接收方跨境提供个人信息前，应当按照属地法律法规要求取得个人信息主体同意。

（四）向个人信息主体告知其与接收方通过本合同约定个人信息主体为第三方受益人，如个人信息主体未在30日内明确拒绝，则可以依据本合同享有第三方受益人的权利。

（五）尽合理的努力确保接收方采取如下技术和管理措施（综合考虑个人信息处理目的、个人信息的种类、规模、范围、传输的数量和频率、个人信息传输及接收方的保存期限等可能带来的个人信息安全风险），以履行本合同约定的义务和责任。

(如加密、匿名化、去标识化、访问控制等技术和管理措施)

（六）根据接收方的要求向接收方提供属地相关法律法规规定和技术标准的副本。

（七）答复属地监管机构关于接收方的个人信息处理活动的询问。

（八）对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容：

1.个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；

2.对个人信息主体权益的影响及安全风险；

3.接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。

保存个人信息保护影响评估报告至少3年。

（九）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。

（十）对本合同义务和责任的履行承担举证责任。

（十一）根据属地相关法律法规及本合同要求，向属地监管机构提供本合同第三条第十项所述的信息，包括所有合规审计结果。

第三条接收方的义务和责任接收方应当履行下列义务和责任：

（一）按照附录一“个人信息跨境提供说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类，应当事先告知个人信息处理者，补充或者重新订立标准合同，并履行相应备案手续。个人信息处理者属地相关法律法规要求不需要告知的，从其规定。

（二）根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。

（三）采取对个人权益影响最小的方式处理个人信息。

（四）个人信息的保存期限为实现处理目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息处理者委托处理个人信息，委托合同未生效、无效、被撤销、终止或者按个人信息处理者要求，应当将个人信息予以删除，并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。

（五）按下列方式保障个人信息处理安全：

1.采取包括但不限于本合同第二条第五项的技术和管理措施，并定期进行检查，确保个人信息安全。

2.确保授权处理个人信息的人员履行保密义务和责任，并建立最小授权的访问控制权限。

（六）如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅，应当开展下列工作：

1.及时采取适当补救措施，减轻对个人信息主体造成的不利影响。

2.立即通知个人信息处理者，并报告属地监管机构。通知应当包含下列事项：

(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅的个人信息种类、原因和可能造成的危害。

(2)已采取的补救措施。

(3)个人信息主体可以采取的减轻危害的措施。

(4)负责处理相关情况的负责人或者负责团队的联系方式。

3.相关法律法规要求通知个人信息主体的，通知的内容包含本项第2目的事项

4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问、查阅有关的情况，包括采取的所有补救措施。

（七）不得向粤港澳大湾区以外的组织、个人提供据此合同接收的个人信息。

（八）同时符合下列条件的，方可向粤港澳大湾区内地或澳门特别行政区同辖区内的第三方提供个人信息：

1.确有业务需要。

2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。个人信息处理者属地相关法律法规要求不需要告知的，从其规定。

3.基于个人同意处理个人信息的，应当按照个人信息处理者属地法律法规要求取得个人信息主体同意。

4.按照附录一“个人信息跨境提供说明”所列约定向同辖区内的第三方提供个人信息。

（九）受个人信息处理者委托处理个人信息，转委托第三方处理的，应当事先征得个人信息处理者同意，要求该第三方不得超出本合同附录一“个人信息跨境提供说明”中约定的处理目的、处理方式等处理个人信息，并对该第三方的个人信息处理活动进行监督。

（十）承诺向个人信息处理者提供已遵守本合同义务和责任所需的必要信息，允许个人信息处理者对本合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合规审计提供便利。

（十一）对开展的个人信息处理活动进行客观记录，保存记录至少3年。

（十二）同意在本合同实施的相关监督程序中接受属地监管机构的监督管理，包括但不限于答复属地监管机构询问、配合属地监管机构检查、服从属地监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。

（十三）接收方所在地的政府部门、司法机构要求接收方提供本合同项下的个人信息的，应当立即通知个人信息处理者。

第四条个人信息主体的权利双方约定个人信息主体作为本合同第三方受益人享有以下权利：

（一）个人信息主体依据个人信息处理者属地相关法律法规及本合同对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，有权要求查阅、复制、更正、补充、删除其个人信息，有权要求对其个人信息处理规则进行解释说明。

（二）当个人信息主体要求对依据本合同传输的个人信息行使上述权利时，个人信息主体可以请求个人信息处理者采取适当措施实现，或者直接向接收方提出请求。个人信息处理者无法实现的，应当通知并要求接收方协助实现。

（三）接收方应当按照个人信息处理者的通知，或者根据个人信息主体的请求，在合理期限内实现个人信息主体依照个人信息处理者属地相关法律法规及本合同所享有的权利。接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。

（四）接收方拒绝个人信息主体的请求的，应当告知个人信息主体其拒绝的原因，以及个人信息主体向个人信息处理者或者接收方属地相关监管机构提出投诉和寻求司法救济的途径。

（五）个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和接收方的一方或者双方主张要求履行本合同项下与个人信息主体权利相关的下列条款：

1.第二条，但第二条第五项、第六项、第七项、第十一项除外。

2.第三条，但第三条第六项第2目和第4目、第九项、第十项、第十一项、第十二项、第十三项除外。

3.第四条。

4.第五条。

5.第七条第二项、第三项。

6.第八条第五项。

上述约定不影响个人信息主体依据个人信息处理者或者接收方属地相关法律法规享有的权益。

第五条救济

（一）接收方应当确定一个联系人，授权其答复有关个人信息处理的询问或者投诉，并应当及时处理个人信息主体的询问或者投诉。接收方应当将联系人信息告知个人信息处理者，并以简洁易懂的方式，通过单独通知或者在其网站公告，告知个人信息主体该联系人信息，具体为：

联系人及联系方式(办公电话或电子邮箱)

（二）一方因履行本合同与个人信息主体发生争议的，应当通知另一方，双方应当合作解决争议。

（三）争议未能友好解决，个人信息主体根据第四条行使第三方受益人的权利的，接收方接受个人信息主体通过下列形式维护权利：

1.向相关监管机构投诉。

2.向本条第五项约定的法院提起诉讼。

（四）双方同意个人信息主体就本合同争议行使第三方受益人权利，个人信息主体选择适用个人信息处理者属地相关法律法规的，从其选择。

（五）双方同意个人信息主体就本合同争议行使第三方受益人权利的，个人信息主体可以依据《中华人民共和国民事诉讼法》或澳门法律法规向内地或者澳门有管辖权的法院提起诉讼。

（六）双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。

第六条合同解除

（一）接收方违反本合同约定的义务和责任，或者被采取强制性措施导致无法履行本合同的，个人信息处理者可以暂停向接收方提供个人信息，直到违约行为被改正或者合同被解除。

（二）有下列情形之一的，个人信息处理者有权解除本合同，并通知个人信息处理者属地监管机构：

1.个人信息处理者根据本条第一项的规定暂停向接收方提供个人信息的时间超过1个月。

2.接收方严重或者持续违反本合同约定的义务和责任。

3.根据主管法院或者监管机构作出的终局决定，接收方或者个人信息处理者违反了本合同约定的义务和责任。

在本项第3目的情况下，接收方可以解除本合同。

（三）合同解除不免除双方在个人信息处理过程中的个人信息保护义务和责任。

（四）合同解除时，接收方应当及时返还或者删除其根据本合同所接收到的个人信息（包括所有备份），并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。

第七条违约责任

（一）双方应就其违反本合同而给对方造成的损失承担责任。

（二）任何一方因违反本合同而侵害个人信息主体享有的权利，应当对个人信息主体承担民事法律责任，且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。

（三）双方依法承担连带责任的，个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时，有权向另一方追偿。

第八条其他

（一）如本合同与双方订立的任何其他法律文件发生冲突，本合同的条款优先适用。

（二）本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议，适用个人信息处理者属地相关法律法规。

（三）发出的通知应当以电子邮件、电报、电传、传真（以航空信件寄送确认副本）   或者航空挂号信发往（具体地址）或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知，在邮戳日期后的     天应当视为收讫；如以电子邮件、电报、电传或者传真发出，在发出以后的     个工作日应当视为收讫。

（四）双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿，双方应当协商解决；协商解决不成的，任何一方可以采取下列第    种方式加以解决（如选择仲裁，请勾选仲裁机构）：

1.仲裁。将该争议提交

中国国际经济贸易仲裁委员会

中国海事仲裁委员会

中国广州国际仲裁委员会

粤港澳大湾区国际仲裁中心

按其届时有效的仲裁规则在（仲裁地点）进行仲裁：

2.诉讼。依法向内地或者澳门有管辖权的法院提起诉讼。

（五）本合同应当按照个人信息处理者属地相关法律法规适用的规定进行解释，不得以与个人信息处理者属地相关法律法规适用的规定的权利、义务和责任相抵触的方式解释本合同。

（六）本合同正本一式        份， 双方各执         份，其法律效力相同。

本合同在（地点）

签订个人信息处理者：

年      月      日

接   收   方：

年      月       日

附录一个人信息跨境提供说明根据本合同向接收方提供个人信息的详情约定如下：

（一）处理目的：

（二）处理方式：

（三）跨境提供个人信息的规模：

（四）跨境提供个人信息的种类（参考GB/T35273《信息安全技术个人信息安全规范》或个人信息处理者属地相关标准）：（五）接收方只向注册于（适用于组织）／位于（适用于个人）粤港澳大湾区内地或澳门特别行政区同辖区内的第三方提供个人信息（如适用）：

（六）传输方式：

（七）跨境提供后保存期限：（      年    月    日至      年    月    日）

（八）跨境提供后保存地点：

（九）其他事项（视情况填写）：

附录二双方约定的其他条款（如需要）

附件2承诺书（模板）本人（适用于个人）/本单位（适用于组织）郑重承诺：

一、备案材料所有内容真实、完整、准确和有效；

二、为粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同备案工作提供必要的配合和支持；

三、个人信息保护影响评估工作为备案之日前3个月内完成，且至备案之日未发生重大变化。本人/本单位知晓并充分理解上述承诺内容，若承诺不实或者违背承诺，愿意承担相应法律责任。

法定代表人（签字）：

单位（盖章）（适用于组织）：

承诺人（签字）（适用于个人）：

年       月       日