ICS35.030 CCSL80 中华人民共和国国家标准 GB/T46068—2025 数据安全技术 个人信息跨境处理活动安全认证要求 Datasecuritytechnology—Securitycertificationrequirementsfor cross-borderprocessingactivityofpersonalinformation 2025-08-29发布 2026-03-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 基本原则 2 ………………………………………………………………………………………………… 5 基本要求 2 ………………………………………………………………………………………………… 6 个人信息主体权益保障要求 5 …………………………………………………………………………… 附录A(资料性) 典型个人信息跨境处理场景 7 ………………………………………………………… 附录B(资料性) 个人信息保护影响评估报告模板 10 …………………………………………………… 参考文献 17 …………………………………………………………………………………………………… ⅠGB/T46068—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中认信安(北京)技术服务有限公司、中国网络安全审查认证和市场监管大数据中 心、中央财经大学、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术 安全研究中心、国家计算机网络与信息安全管理中心北京分中心、中国软件评测中心、中电科网络安全 科技股份有限公司、清华大学、中国科学技术大学、北京市经济和信息化局网络安全管理中心、北京快手 科技有限公司、北京银联金卡科技有限公司、华为技术有限公司、蚂蚁科技集团股份有限公司、深信服科 技股份有限公司、阿里巴巴(北京)软件服务有限公司、北京百度网讯科技有限公司、奇安信科技集团股 份有限公司。 本文件主要起草人:布宁、陈世翔、王凤娇、张金平、胡影、王晖、孙晓丽、陈琦、史大为、陈特、陈亮、 杨婷、晏慧、望娅露、卢磊、李海东、金涛、左晓栋、霍然、李媛、李安伦、落红卫、程瑜琦、段静辉、樊华、 王惠莅、郑峥、郑云文、白晓媛、叶润国、李子涵、刘斌、于园园、董华凌、郭建领、刘前伟、吴梦婷。 ⅢGB/T46068—2025 数据安全技术 个人信息跨境处理活动安全认证要求 1 范围 本文件规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障 要求。 本文件适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动,也适用于主管部门、第 三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T35273—2020 信息安全技术 个人信息安全规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 个人信息 personalinformation 以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。 注:不包括匿名化处理后的信息。 3.2 敏感个人信息 sensitivepersonalinformation 一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人 信息。 注:包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人 信息。 3.3 个人信息主体 personalinformationsubject 个人信息所标识或关联的自然人。 [来源:GB/T35273—2020,3.3] 3.4 个人信息处理者 personalinformationprocessor 在个人信息处理活动中自主决定处理目的、处理方式的组织。 3.5 境外接收方 overseasrecipient 位于中华人民共和国境外并自个人信息处理者处接收、处理个人信息的组织或个人。 1GB/T46068—2025 注:包含接收并处理、受托处理及共同处理个人信息的组织或个人。 3.6 单独同意 separateconsent 个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的 或方式的个人信息处理活动作出的同意。 注1:单独同意的告知内容与取得同意的方式需与其他处理活动予以区分。 注2:单独同意适用于以同意为合法性基础的场景。 [来源:GB/T42574—2023,3.7] 3.7 个人信息跨境处理活动 cross-borderprocessingactivityofpersonalinformation 境外接收方自个人信息处理者处接收个人信息并在境外开展存储、使用、加工、传输、提供、公开、删 除等处理活动,或境外接收方直接通过查询、调取、下载、导出的方式处理存储在境内个人信息处理者处 个人信息的活动,及符合《中华人民共和国个人信息保护法》第三条第二款情形,在境外处理境内自然人 个人信息的活动。 4 基本原则 4.1 合法、正当、必要和诚信原则 个人信息处理者和境外接收方在跨境处理个人信息时需遵守法律法规的规定,按约定目的并采取 对个人信息权益影响最小的方式处理个人信息,遵守合同、协议等具有法律约束力文件的约定和承 诺,保障个人信息主体的合法权益。 4.2 公开、透明原则 个人信息处理者和境外接收方在跨境处理个人信息时需按处理规则公开、处理过程透明要求,及时 向个人信息主体告知境外接收方的名称或姓名、联系方式,个人信息跨境处理的目的、处理方式、个人信 息的种类、权利以及行使权利的方式和程序等,便于个人信息主体了解自身个人信息的跨境处理情况。 4.3 同等保护原则 个人信息处理者和境外接收方在跨境处理个人信息时均需采取必要措施,保护所处理个人信息的 安全,个人信息跨境处理活动需达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护 标准,典型个人信息跨境处理场景见附录A。 4.4 责任明确原则 个人信息处理者和境外接收方在跨境处理个人信息时需履行法律法规规定的责任义务,保障个人 信息主体权益。境外接收方需指定境内一方、多方代表或在境内设置的机构对境外接收方损害个人信 息权益的个人信息处理活动承担民事法律责任。 注:境外个人信息处理者、接收方在境内设置的机构需为法人实体,设置的机构或指定代表均需具备承担法律责任 的能力。 5 基本要求 5.1 具有法律约束力的文件 开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订合同或其他具有法律约束力和 2GB/T46068—2025