11月8日,全国信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》,相较于《认证规范V1.0》,《认证规范V2.0》在内容上做出诸多调整。适用情形方面,《认证规范V1.0》将适用范围限定在跨国公司之间的数据跨境行为或者个保法第三条第二款的情形,《认证规范V2.0》明确个人信息保护认证适用于“个人信息处理者开展个人信息跨境处理活动”。
认证主体方面,《认证规范V2.0》新增要求申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。这意味着没有法人资格的分公司、代表处、办事处将无法作为申请认证的主体。
基本原则方面,《认证规范V2.0》将适用基本原则的主体扩张至境外接收方,并从条文表述上明确了境外接收方个人信息违规处理活动的承担责任主体为指定的境内一方、多方或者境外接收方在境内设置的机构。
个人信息保护机构方面,《认证规范V2.0》新增涉及出境活动的双方的个人信息合规审计义务,以及配合认证机构监督工作的义务。
个人信息主体权利方面,《认证规范V2.0》新增个人信息主体在个人信息跨境处理活动中权益受损时的赔偿请求权。
此外,《认证规范V2.0》还细化并新增了个人信息保护影响评估的内容和要求(第5.4条),以及个人信息处理者和境外接收方的责任义务(第6.2条),包括及时通知(个人信息处理者及认证机构)境外接收方的法律环境变化、保存个人信息跨境处理活动记录、个人信息事件的通知与报告、承担相关责任义务已履行的举证责任、适用中国法等。
