數(shù)據(jù)出境安全評估辦法

　?。ㄕ髑笠庖姼澹?/p>

　　第一條  為了規(guī)范數(shù)據(jù)出境活動，保護(hù)個人信息權(quán)益，維護(hù)國家安全和社會公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》等法律法規(guī)，制定本辦法。

　　第二條  數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　第三條  數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險，保障數(shù)據(jù)依法有序自由流動。

　　第四條  數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。

　?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)；

　　（二）出境數(shù)據(jù)中包含重要數(shù)據(jù)；

　　（三）處理個人信息達(dá)到一百萬人的個人信息處理者向境外提供個人信息；

　?。ㄋ模├塾嬒蚓惩馓峁┏^十萬人以上個人信息或者一萬人以上敏感個人信息；

　　（五）國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。

　　第五條  數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前，應(yīng)事先開展數(shù)據(jù)出境風(fēng)險自評估，重點評估以下事項：

　?。ㄒ唬?shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

　?。ǘ┏鼍硵?shù)據(jù)的數(shù)量、范圍、種類、敏感程度，數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險；

　?。ㄈ?shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險；

　?。ㄋ模┚惩饨邮辗匠兄Z承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；

　?。ㄎ澹?shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險，個人維護(hù)個人信息權(quán)益的渠道是否通暢等；

　　（六）與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。

　　第六條  申報數(shù)據(jù)出境安全評估，應(yīng)當(dāng)提交以下材料：

　?。ㄒ唬┥陥髸?；

　?。ǘ?shù)據(jù)出境風(fēng)險自評估報告；

　?。ㄈ?shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等（以下統(tǒng)稱合同）；

　?。ㄋ模┌踩u估工作需要的其他材料。

　　第七條  國家網(wǎng)信部門自收到申報材料之日起七個工作日內(nèi)，確定是否受理評估并以書面通知形式反饋受理結(jié)果。

　　第八條  數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險，主要包括以下事項：

　?。ㄒ唬?shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

　?。ǘ┚惩饨邮辗剿趪一蛘叩貐^(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國法律、行政法規(guī)規(guī)定和強制性國家標(biāo)準(zhǔn)的要求；

　　（三）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，出境中和出境后泄露、篡改、丟失、破壞、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險；

　?。ㄋ模?shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障；

　?。ㄎ澹?shù)據(jù)處理者與境外接收方訂立的合同中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)；

　　（六）遵守中國法律、行政法規(guī)、部門規(guī)章情況；

　?。ㄆ撸﹪揖W(wǎng)信部門認(rèn)為需要評估的其他事項。

　　第九條  數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，應(yīng)當(dāng)包括但不限于以下內(nèi)容：

　?。ㄒ唬?shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；

　?。ǘ?shù)據(jù)在境外保存地點、期限，以及達(dá)到保存期限、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施；

　?。ㄈ┫拗凭惩饨邮辗綄⒊鼍硵?shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束條款；

　　（四）境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導(dǎo)致難以保障數(shù)據(jù)安全時，應(yīng)當(dāng)采取的安全措施；

　?。ㄎ澹┻`反數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款；

　　（六）發(fā)生數(shù)據(jù)泄露等風(fēng)險時，妥善開展應(yīng)急處置，并保障個人維護(hù)個人信息權(quán)益的通暢渠道。

　　第十條  國家網(wǎng)信部門受理申報后，組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評估。

　　涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見。

　　第十一條  國家網(wǎng)信部門自出具書面受理通知書之日起四十五個工作日內(nèi)完成數(shù)據(jù)出境安全評估；情況復(fù)雜或者需要補充材料的，可以適當(dāng)延長，但一般不超過六十個工作日。

　　評估結(jié)果以書面形式通知數(shù)據(jù)處理者。

　　第十二條  數(shù)據(jù)出境評估結(jié)果有效期二年。在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報評估：

　?。ㄒ唬┫蚓惩馓峁?shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長個人信息和重要數(shù)據(jù)境外保存期限的；

　　（二）境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；

　?。ㄈ┏霈F(xiàn)影響出境數(shù)據(jù)安全的其他情形。

　　有效期屆滿，需要繼續(xù)開展原數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個工作日前重新申報評估。

　　未按本條規(guī)定重新申報評估的，應(yīng)當(dāng)停止數(shù)據(jù)出境活動。

　　第十三條  數(shù)據(jù)處理者應(yīng)當(dāng)按照本辦法的規(guī)定提交評估材料，材料不齊全或者不符合要求的，應(yīng)當(dāng)及時補充或者更正，拒不補充或者更正的，國家網(wǎng)信部門可以終止安全評估；數(shù)據(jù)處理者對所提交材料的真實性負(fù)責(zé)，故意提交虛假材料的，按照評估不通過處理。

　　第十四條  參與安全評估工作的相關(guān)機(jī)構(gòu)和人員對在履行職責(zé)中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。

　　第十五條  任何組織和個人發(fā)現(xiàn)數(shù)據(jù)處理者未按照本辦法規(guī)定進(jìn)行評估向境外提供數(shù)據(jù)的，可以向省級以上網(wǎng)信部門投訴、舉報。

　　第十六條  國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應(yīng)當(dāng)撤銷評估結(jié)果并書面通知數(shù)據(jù)處理者，數(shù)據(jù)處理者應(yīng)當(dāng)終止數(shù)據(jù)出境活動。需要繼續(xù)開展數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)按照要求進(jìn)行整改，并在整改完成后重新申報評估。

　　第十七條  違反本辦法規(guī)定的，依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第十八條  本辦法自 年 月 日起施行。