國家互聯(lián)網(wǎng)信息辦公室關于《數(shù)據(jù)出境安全評估辦法(征求意見稿)》公開征求意見的通知
發(fā)布時間:2021-11-01 10:40
為了規(guī)范數(shù)據(jù)出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全�����、自由流動����,依據(jù)《中華人民共和國網(wǎng)絡安全法》��、《中華人民共和國數(shù)據(jù)安全法》��、《中華人民共和國個人信息保護法》等法律法規(guī)�,我辦起草了《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,現(xiàn)向社會公開征求意見����。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn)����,進入首頁主菜單的“立法意見征集”欄目提出意見�����。 2.通過電子郵件將意見發(fā)送至:shujuju@cac.gov.cn。 3.通過信函將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡數(shù)據(jù)管理局����,郵編:100044,并在信封上注明“數(shù)據(jù)出境安全評估辦法征求意見”����。 附件:數(shù)據(jù)出境安全評估辦法(征求意見稿)國家互聯(lián)網(wǎng)信息辦公室
2021年10月29日
數(shù)據(jù)出境安全評估辦法
(征求意見稿)
第一條 為了規(guī)范數(shù)據(jù)出境活動��,保護個人信息權益�,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全����、自由流動,根據(jù)《中華人民共和國網(wǎng)絡安全法》��、《中華人民共和國數(shù)據(jù)安全法》��、《中華人民共和國個人信息保護法》等法律法規(guī)���,制定本辦法���。 第二條 數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應當進行安全評估的個人信息�,應當按照本辦法的規(guī)定進行安全評估�;法律、行政法規(guī)另有規(guī)定的�,依照其規(guī)定。 第三條 數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結合����、風險自評估與安全評估相結合,防范數(shù)據(jù)出境安全風險��,保障數(shù)據(jù)依法有序自由流動�。 第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),符合以下情形之一的��,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估��。 (一)關鍵信息基礎設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)��; (二)出境數(shù)據(jù)中包含重要數(shù)據(jù)�����; (三)處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息����; (四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息����; (五)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形�����。 第五條 數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前���,應事先開展數(shù)據(jù)出境風險自評估,重點評估以下事項: (一)數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的��、范圍���、方式等的合法性����、正當性�、必要性; (二)出境數(shù)據(jù)的數(shù)量��、范圍��、種類、敏感程度�,數(shù)據(jù)出境可能對國家安全、公共利益��、個人或者組織合法權益帶來的風險�; (三)數(shù)據(jù)處理者在數(shù)據(jù)轉移環(huán)節(jié)的管理和技術措施、能力等能否防范數(shù)據(jù)泄露��、毀損等風險��; (四)境外接收方承諾承擔的責任義務����,以及履行責任義務的管理和技術措施、能力等能否保障出境數(shù)據(jù)的安全�; (五)數(shù)據(jù)出境和再轉移后泄露、毀損��、篡改��、濫用等的風險�,個人維護個人信息權益的渠道是否通暢等; (六)與境外接收方訂立的數(shù)據(jù)出境相關合同是否充分約定了數(shù)據(jù)安全保護責任義務����。 第六條 申報數(shù)據(jù)出境安全評估��,應當提交以下材料: ?�。ㄒ唬┥陥髸?��;
(二)數(shù)據(jù)出境風險自評估報告���;
?����。ㄈ?shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等(以下統(tǒng)稱合同)��;
?��。ㄋ模┌踩u估工作需要的其他材料。
第七條 國家網(wǎng)信部門自收到申報材料之日起七個工作日內(nèi)�����,確定是否受理評估并以書面通知形式反饋受理結果��。 第八條 數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益����、個人或者組織合法權益帶來的風險,主要包括以下事項: ?����。ㄒ唬?shù)據(jù)出境的目的����、范圍、方式等的合法性��、正當性�����、必要性���;
(二)境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響�;境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律��、行政法規(guī)規(guī)定和強制性國家標準的要求���;
(三)出境數(shù)據(jù)的數(shù)量����、范圍、種類���、敏感程度���,出境中和出境后泄露、篡改���、丟失、破壞��、轉移或者被非法獲取�、非法利用等風險;
(四)數(shù)據(jù)安全和個人信息權益是否能夠得到充分有效保障���;
(五)數(shù)據(jù)處理者與境外接收方訂立的合同中是否充分約定了數(shù)據(jù)安全保護責任義務���;
(六)遵守中國法律、行政法規(guī)���、部門規(guī)章情況���;
(七)國家網(wǎng)信部門認為需要評估的其他事項����。
第九條 數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護責任義務����,應當包括但不限于以下內(nèi)容: (一)數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍�����,境外接收方處理數(shù)據(jù)的用途���、方式等�����;
(二)數(shù)據(jù)在境外保存地點��、期限�,以及達到保存期限���、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施���;
(三)限制境外接收方將出境數(shù)據(jù)再轉移給其他組織����、個人的約束條款��;
?��。ㄋ模┚惩饨邮辗皆趯嶋H控制權或者經(jīng)營范圍發(fā)生實質(zhì)性變化�,或者所在國家���、地區(qū)法律環(huán)境發(fā)生變化導致難以保障數(shù)據(jù)安全時����,應當采取的安全措施�;
(五)違反數(shù)據(jù)安全保護義務的違約責任和具有約束力且可執(zhí)行的爭議解決條款�;
(六)發(fā)生數(shù)據(jù)泄露等風險時,妥善開展應急處置���,并保障個人維護個人信息權益的通暢渠道����。
第十條 國家網(wǎng)信部門受理申報后,組織行業(yè)主管部門����、國務院有關部門、省級網(wǎng)信部門�、專門機構等進行安全評估。 涉及重要數(shù)據(jù)出境的�����,國家網(wǎng)信部門征求相關行業(yè)主管部門意見�。
第十一條 國家網(wǎng)信部門自出具書面受理通知書之日起四十五個工作日內(nèi)完成數(shù)據(jù)出境安全評估;情況復雜或者需要補充材料的��,可以適當延長���,但一般不超過六十個工作日�。 評估結果以書面形式通知數(shù)據(jù)處理者��。
第十二條 數(shù)據(jù)出境評估結果有效期二年�。在有效期內(nèi)出現(xiàn)以下情形之一的,數(shù)據(jù)處理者應當重新申報評估: (一)向境外提供數(shù)據(jù)的目的���、方式�、范圍、類型和境外接收方處理數(shù)據(jù)的用途��、方式發(fā)生變化�,或者延長個人信息和重要數(shù)據(jù)境外保存期限的;
(二)境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化�����,數(shù)據(jù)處理者或者境外接收方實際控制權發(fā)生變化���,數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的�;
(三)出現(xiàn)影響出境數(shù)據(jù)安全的其他情形����。
有效期屆滿,需要繼續(xù)開展原數(shù)據(jù)出境活動的�����,數(shù)據(jù)處理者應當在有效期屆滿六十個工作日前重新申報評估�。
未按本條規(guī)定重新申報評估的��,應當停止數(shù)據(jù)出境活動。
第十三條 數(shù)據(jù)處理者應當按照本辦法的規(guī)定提交評估材料��,材料不齊全或者不符合要求的����,應當及時補充或者更正,拒不補充或者更正的�����,國家網(wǎng)信部門可以終止安全評估��;數(shù)據(jù)處理者對所提交材料的真實性負責���,故意提交虛假材料的���,按照評估不通過處理。 第十四條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密���、個人隱私����、個人信息、商業(yè)秘密�、保密商務信息等數(shù)據(jù)應當依法予以保密,不得泄露或者非法向他人提供����。 第十五條 任何組織和個人發(fā)現(xiàn)數(shù)據(jù)處理者未按照本辦法規(guī)定進行評估向境外提供數(shù)據(jù)的,可以向省級以上網(wǎng)信部門投訴���、舉報�。 第十六條 國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的����,應當撤銷評估結果并書面通知數(shù)據(jù)處理者,數(shù)據(jù)處理者應當終止數(shù)據(jù)出境活動���。需要繼續(xù)開展數(shù)據(jù)出境活動的���,數(shù)據(jù)處理者應當按照要求進行整改,并在整改完成后重新申報評估�。 第十七條 違反本辦法規(guī)定的,依照《中華人民共和國網(wǎng)絡安全法》��、《中華人民共和國數(shù)據(jù)安全法》����、《中華人民共和國個人信息保護法》等法律法規(guī)的規(guī)定處理;構成犯罪的��,依法追究刑事責任���。
