个人信息安全规范（五）：数据生命周期--个人信息对外提供

    个人信息数据在个人信息控制者使用之后的下一个环节便是对外提供。对外提供可分为委托处理、共享、转让以及公开披露等几种方式。

    委托处理，《个人信息安全规范》规定个人信息控制者做出的委托行为应当在法律法规以及个人信息主体授权同意的范围内。此外个人信息控制者需对授权行为进行个人信息安全影响评估（该评估应针对合规、个人权益、技术措施、管理制度、安全风险等各方面进行分析）；并对受委托人处理个人信息的行为进行监督。个人信息控制者作为委托方应当严格审核受委托人的资格且对其进行必要的监督，以防止发生无法估量的危害后果。

委托处理个人信息时，应遵守以下要求:

a)  个人信息控制者作出委托行为，不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;

b)  个人信息控制者应对委托行为进行个人信息安全影响评估，确保受委托者具备足够的数据安全能力，提供了足够的安全保护水平;

c)  受委托者应:1)  严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息，应及时向个人信息控制者反馈;2)  如受委托者确需再次委托时，应事先征得个人信息控制者的授权;3)  协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求;4) 如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向个人信息控制者反馈;5) 在委托关系解除时不再保存个人信息。

d)  个人信息控制者应对受委托者进行监督，方式包括但不限于:1) 通过合同等方式规定受委托者的责任和义务;2) 对受委托者进行审计。

e)  个人信息控制者应准确记录和保存委托处理个人信息的情况。

    共享&转让，《个人信息安全规范》规定原则上不允许，但确需共享&转让时应充分重视风险并遵守以下要求：

1、非因收购、兼并、重组原因：此项操作存在安全风险，所以需要开展个人信息安全影响评估，根据结果采取响应的安全措施来应对可能的风险源；共享未去标识化的数据时应得到信息主体的明示同意，并且涉及到敏感信息的部分还需告知信息主体涉及的信息类型、接收方的身份和数据安全能力；对共享&转让的数据要进行准确的记录并承担此项操作带来的相应责任；数据接收方的安全能力将直接影响共享&转让时造成的安全风险，需要对数据接收方进行全方位的考察，并通过合同、审计等方式进行约束。

    个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时，应充分重视风险。共享、转让个人信息，非因收购、兼并、重组原因的，应遵守以下要求:

a)  事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施;

b)  向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别个人信息主体的除外;

c)  共享、转让个人敏感信息前，除8.2 b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意;

d)  准确记录和保存个人信息的共享、转让的情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等;

e)  承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;

f)  帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等。

2、收购、兼并、重组时：向信息主体告知有关情况，并在使用个人信息的目的、范围有变化时，重新获取信息主体的明示同意。

    当个人信息控制者发生收购、兼并、重组等变更时，个人信息控制者应:

a)  向个人信息主体告知有关情况;

b)  变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。

    公开披露，《个人信息安全规范》规定原则上不允许，经由法律授权或者其他合理事由确需公开披露时应充分重视风险并遵守以下要求：对可能造成的安全风险进行影响评估，并获得个人信息主体的明示同意，针对敏感信息还需告知具体的内容后才可以披露相关信息。对于个人生物识别信息，由于可单独识别生物个体，因而不可公开披露。

    个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求:

a)  事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施;

b)  向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意;

c)  公开披露个人敏感信息前，除8.4b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容;

d)  准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等;

e)  承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;

f) 不得公开披露个人生物识别信息。

    《个人信息安全规范》中还规定了一些例外的情况，可直接进行共享、转让、公开披露个人信息。

    以下情形中，个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:

a)  与国家安全、国防安全直接相关的;

b)  与公共安全、公共卫生、重大公共利益直接相关的;

c)  与犯罪侦查、起诉、审判和判决执行等直接相关的;

d)  出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

e)  个人信息主体自行向社会公众公开的个人信息;

f)  从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道。

    针对共同个人信息控制者的情况《个人信息安全规范》中规定应通过合同的方式明确安全要求和各自的责任义务，并告知信息主体。

    当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家)，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

    对境内收集的数据需要向境外提供的应通过“个人信息和重要数据出境安全评估”并符合其具体的要求（关于该评估的具体内容将在其他的章节展开）

    在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估，并符合其要求。