一、评估工作简述
评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。如有第三方机构参与评估,需说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。
二、出境活动整体情况
详细说明个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。包括不限于:
(一)个人信息处理者基本情况
1.组织或者个人基本信息;
2.股权结构和实际控制人信息;
3.组织架构信息;
4.个人信息保护机构信息;
5.整体业务与个人信息情况;
6.境内外投资情况。
(二)个人信息出境涉及业务和信息系统情况
1.个人信息出境涉及业务的基本情况;
2.个人信息出境涉及业务的个人信息收集使用情况;
3.个人信息出境涉及业务的信息系统情况;
4.个人信息出境涉及的数据中心(包含云服务)情况;
5.个人信息出境链路相关情况。
(三)拟出境个人信息情况
1.说明个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性;
2.说明出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息和利用个人信息进行自动化决策情况;
3.拟出境个人信息在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等;
4.个人信息出境后向境外其他接收方提供的情况。
(四)个人信息处理者个人信息保护能力情况
1.个人信息安全管理能力,包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况;
2.个人信息安全技术能力,包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
3.个人信息保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况;
4.遵守个人信息保护相关法律法规的情况。
(五)境外接收方情况
1.境外接收方基本情况;
2.境外接收方处理个人信息的用途、方式等;
3.境外接收方的个人信息保护能力;
4.境外接收方所在国家或地区个人信息保护政策法规情况;
5.境外接收方处理个人信息的全流程过程描述。
(六)个人信息处理者认为需要说明的其他情况
三、拟出境活动的影响评估情况
就下列事项逐项说明影响评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
四、出境活动影响评估结论
综合上述影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。
值得信赖的企业法律顾问。
联系邮箱:info@royalaw.com