个人信息出境保护指南

一. 编制说明

为确保《个人信息保护制度》的具体落地实施，保障广州市第一人民医院（以下简称“医院”）在业务运营和内部管理过程中可能发生的个人信息出境活动的合法性、合规性和安全性，发布并实施本指南。

二. 术语和定义

本指南所使用术语和定义与《个人信息保护制度》的一致。

三. 适用范围

1. 本指南适用于医院在境内运营过程中将在中国境内收集和产生的个人信息向境外提供的情形，包括：

(1) 将在境内运营中收集和产生的个人信息传输至境外；

(2) 将收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

(3) 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的，分析、评估境内自然人的行为以及法律、行政法规规定的其他情形。

2. 以下不构成个人信息出境的可以不适用本指南：

(1) 非在中国境内运营中收集和产生的个人信息经由本国出境，未经任何变动或加工处理的；

(2) 非在中国境内运营中收集和产生的个人信息在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息的。

四. 个人信息保护影响评估

1. 医院在业务运营和内部管理开展过程中发现涉及个人信息出境的，或者在开展时未发现但在过程中发现涉及个人信息出境的，应开展个人信息保护影响评估，重点评估以下事项并形成评估报告：

(1) 出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险。

(2) 境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。

(3) 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等。

(4) 按照《个人信息出境标准合同》第四条评估当地个人信息保护政策和法规对合同履行的影响。

(5) 其他可能影响个人信息出境安全的事项。

2. 个人信息保护影响评估应由各部门、各分支机构的负责人在数据安全管理负责人的指导下填写，在境外接收方的配合协助下开展，最终的评估报告应由数据安全管理负责人签署提请广州市第一人民医院信息中心审批。

3. 出现以下情形的，应重新进行个人信息保护影响评估并提交广州市第一人民医院信息中心机构审批：

(1) 向境外提供个人信息的目的、方式、范围、类型和数据进口方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

(2) 境外接收方所在国家或者地区法律环境发生变化、实际控制权发生变化等可能影响出境个人信息安全的；

(3) 出现影响出境个人信息安全的其他情形。

在出现上述第（1）种情形时，在评估报告未获得审批通过前不得进行变更或者暂停相应个人信息出境活动；当出现上述第（2）种情况时，在评估报告未获得审批通过前应暂停个人信息出境活动。

五. 个人信息出境保护协议

1. 开展个人信息出境活动之前，医院应当与境外接收方签订如个人信息出境保护协议等有法律约束力和执行力的文件，确保个人信息主体权益得到充分保障，协议应当至少明确下列内容：

（1） 开展个人信息出境活动的境内外双方主体信息；

（2） 出境个人信息的目的以及个人信息的类别、范围；

（3） 个人信息主体权益保护措施；

（4） 境外接收方承诺履行合同的管理和技术保障措施，以确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准；

（5） 境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖；

（6） 其他应当遵守的法律、行政法规规定的义务。

2. 在具体的合同拟定过程中，可依据网信部门发布的《个人信息出境标准合同范本》进行。

六. 个人信息出境合规程序

1. 医院在业务运营和内部管理开展过程中发现涉及个人信息出境的，或者在开展时未发现但在过程中发现涉及个人信息出境的，符合以下情形的，应当向监管机构（即中华人民共和国省级以上网信部门）进行个人信息出境标准合同备案，或者向认证机构（即中国网络安全审查认证和市场监管大数据中心）申请取得个人信息保护认证：

（1） 关键信息基础设施运营者以外的数据处理者自当年1月1日起，累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）的；

（2） 关键信息基础设施运营者以外的数据处理者自当年1月1日起，累计向境外提供不满1万人敏感个人信息的；

（3） 法律、行政法规或者国家网信部门另有规定的，从其规定。

2. 医院在业务运营和内部管理开展过程中发现涉及个人信息出境的，或者在开展时未发现但在过程中发现涉及个人信息出境的，符合以下情形的，无需进行个人信息出境标准合同备案或申请取得个人信息保护认证：

（1） 在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的；

（2） 为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预定、签证办理、考试服务等，确需向境外提供个人信息的；

（3） 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（4） 紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

（5） 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的；

（6） 自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单；自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。如医院符合自由贸易试验区数据出境负面清单的适用范围和条件，可另行依据自由贸易试验区的制度和程序履行个人信息出境合规程序；

（7） 法律、行政法规或者国家网信部门另有规定的，从其规定。

3. 医院在业务运营和内部管理开展过程中发现涉及个人信息出境的，或者在开展时未发现但在过程中发现涉及个人信息出境的，符合以下情形的，应当向监管机构（即中华人民共和国省级以上网信部门）申报数据出境安全评估：

（1） 关键信息基础设施运营者向境外提供个人信息；

（2） 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息；

（3） 法律、行政法规或者国家网信部门另有规定的，从其规定。

4. 医院在业务运营和内部管理开展过程中发现涉及个人信息出境的，或者在开展时未发现但在过程中发现涉及个人信息出境的，且境外接收方位于香港特别行政区或澳门特别行政区的，可分别选择适用《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》、《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》等粤港澳大湾区数据跨境流动便利化政策规定的内容和程序履行合规程序。

七. 个人信息出境保护要求

1. 个人信息出境的合法性、正当性和必要性

(1) 出境的个人信息应不属于国家法律法规明令禁止和监管部门认定不能出境的个人信息；

(2) 出境的个人信息应是医院为了业务经营和内部管理开展所必需向境外提供的个人信息；

(3) 不得超出个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外接收方提供个人信息；境外接收方不得超出个人信息保护影响评估报告中明确的用途、方式、保存期限处理个人信息。

2. 告知同意

(1) 向境外提供个人信息的，应当向个人信息主体告知境外接收方范围的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人信息主体向境外接收方行使个人信息权利的方式和程序等事项，并取得个人信息主体的单独同意。

(2) 收集个人信息时已单独就个人信息出境取得个人信息主体同意，且按照取得同意的事项出境的，无需再次取得个人信息主体的单独同意。

(3) 向境外提供个人信息的目的、方式、范围、类型和境外接收方处理个人信息的用途、方式发生变更的，应重新取得个人信息主体同意。

3. 个人信息出境再转移

除非中国境内相关法律法规规定和监管部门要求所必需，境外接收方原则上不得将出境的个人信息转移给任何其他境外个人或组织，不管是对外提供还是委托处理，因开展业务所必需转移的，视为一次新增的个人信息出境活动，应满足《个人信息保护法》等相关法律法规和监管部门关于个人信息出境的全部条件和要求，详情请见本指南“六 个人信息出境合规程序”。

4. 安全保障措施

(1) 应采取技术措施确保出境个人信息的后续流转、访问、使用等可被全流程追溯；

(2) 应采取技术和管理方面的安全保障措施，防止出境个人信息被未经授权的访问、泄露、篡改、丢失。

5. 个人信息主体的申诉处置

医院应确保个人信息主体行使其个人信息权利、维护其个人信息权益的渠道通畅，按照《个人信息保护制度》的规定和流程处理个人信息主体的权利请求、投诉和申诉。

6. 个人信息安全事件的应急处置

当发生个人信息安全事件时，应按照《数据安全管理规定》《个人信息保护制度》的规定和流程对安全事件进行响应和处置。

八. 个人信息出境记录

1. 应建立、维护和更新提供和接收个人信息的活动记录，记录内容应包括所涉及的个人信息类型、数量、来源；个人信息出境目的、数据接收方；与出境活动各环节相关的信息系统、组织和人员以及权限管理。

2. 应妥善保存个人信息出境合规程序申请材料、个人信息保护影响评估报告和相关风险处置情况，以及出境活动记录和相关系统的日志记录，保存期至少三年。

九. 附则

1. 本规范由广州市第一人民医院负责解释，随着法律法规和技术的发展，本规范将适时进行修订和完善。

2. 本办法自【2025年7月 1日起施行】。

附录：个人信息保护影响评估报告模板

个人信息保护影响评估报告（模板）

（出境版）

个人信息处理者名称：    （盖章）

年   月   日

说明：

（一）个人信息处理者备案个人信息出境标准合同时需提供个人信息保护影响评估报告，并对所提交的评估报告真实性负责；

（二）报告所述评估工作为本次申报前3个月内完成；

（三）如有第三方机构参与评估，须在评估报告中说明第三方机构的基本情况及参与评估的情况；

（四）评估报告严格按照模板撰写。评估报告必须使用中文撰写，正文字体四号“仿宋”（其中，正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑），数字、字母使用四号“Times New Roman”字体，行距固定值26磅，段落首行缩进2字符。页面设置：A4纸，上下页边距为2.54cm，左右页边距为3.18cm。

一、出境活动整体情况

（一）个人信息处理者基本情况

1.基本情况简介，包括股权结构、实际控制人、境内外投资情况、组织架构和个人信息保护机构信息等。

2.整体业务与处理个人信息情况。

3.拟出境个人信息情况。

（1）个人信息出境涉及业务、个人信息收集使用、信息系统等情况；

（2）个人信息处理者和境外接收方处理个人信息的目的、范围、方式，及其合法性、正当性、必要性；

（3）出境个人信息的规模、范围、种类、敏感程度，处理敏感个人信息情况；

（4）拟出境个人信息在境内存储的系统平台、数据中心等情况，个人信息出境链路相关情况，计划出境后存储的系统平台、数据中心等；

（5）个人信息出境后向境外其他接收方提供的情况。

4.遵守个人信息保护相关法律法规的情况。

（二）境外接收方情况

1.境外接收方基本情况；

2.境外接收方处理个人信息的用途、方式等；

3.境外接收方履行责任义务的管理和技术措施、能力等。

（三）个人信息处理者认为需要说明的其他情况

二、拟出境活动的影响评估情况及结论

对照《个人信息出境标准合同办法》第五条规定事项，说明个人信息保护影响评估情况，重点说明评估发现的问题和整改情况。

综合影响评估情况和相应整改情况，对个人信息出境活动作出客观的影响评估结论，充分说明得出评估结论的理由和论据。