9.2 個人信息共享、轉讓

個人信息控制者共享、轉讓個人信息時，應充分重視風險。共享、轉讓個人信息，非因收購、兼并、重組、破產原因的，應符合以下要求：

a) 事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；

b) 向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的后果，并事先征得個人信息主體的授權同意。共享、轉讓經去標識化處理的個人信息，且確保數據接收方無法重新識別或者關聯個人信息主體的除外；

c) 共享、轉讓個人敏感信息前，除9.2 b）中告知的內容外，還應向個人信息主體告知涉及的個人敏感信息類型、數據接收方的身份和數據安全能力，并事先征得個人信息主體的明示同意；

d) 通過合同等方式規定數據接收方的責任和義務；

e) 準確記錄和存儲個人信息的共享、轉讓情況，包括共享、轉讓的日期、規模、目的，以及數據接收方基本情況等；

f) 個人信息控制者發現數據接收方違反法律法規要求或雙方約定處理個人信息的，應立即要求數據接收方停止相關行為，且采取或要求數據接收方采取有效補救措施（例如更改口令、回收權限、斷開網絡連接等）控制或消除個人信息面臨的安全風險；必要時個人信息控制者應解除與數據接收方的業務關系，并要求數據接收方及時刪除從個人信息控制者獲得的個人信息。

g) 因共享、轉讓個人信息發生安全事件而對個人信息主體合法權益造成損害的，個人信息控制者應承擔相應的責任；

h) 幫助個人信息主體了解數據接收方對個人信息的存儲、使用等情況，以及個人信息主體的權利，例如，訪問、更正、刪除、注銷賬戶等。