为支撑个人信息保护认证实施，指导个人信息处理者规范开展个人信息跨境处理活动，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称《实践指南》）。

《实践指南》规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。

《实践指南》规定，申请认证的个人信息处理者应取得合法的法人资格，正常经营且具有良好的信誉、商誉。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证，并承担法律责任。《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。

其中，个人信息跨境处理规则如下：

开展个人信息跨境处理活动的个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则，规则应至少包括下列事5项：

• 明确跨境处理个人信息的基本情况，包括个人信息数量、范围、种类、敏感程度等；

• 明确跨境处理个人信息的目的、方式和范围；

• 明确个人信息境外存储的起止时间及期满后的处理方式；

• 明确跨境处理个人信息需要中转的国家或者地区；

• 明确保障个人信息主体权益所需资源和采取的措施；

• 明确个人信息安全事件的赔偿、处置规则。