國家互聯(lián)網(wǎng)信息辦公室關(guān)于《數據出境安全評估辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知

為了規范數據出境活動(dòng)，保護個(gè)人信息權益，維護國家安全和社會(huì )公共利益，促進(jìn)數據跨境安全、自由流動(dòng)，依據《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》等法律法規，我辦起草了《數據出境安全評估辦法（征求意見(jiàn)稿）》，現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可通過(guò)以下途徑和方式提出反饋意見(jiàn)：

1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。

2.通過(guò)電子郵件將意見(jiàn)發(fā)送至：shujuju@cac.gov.cn。

3.通過(guò)信函將意見(jiàn)寄至：北京市西城區車(chē)公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )數據管理局，郵編：100044，并在信封上注明“數據出境安全評估辦法征求意見(jiàn)”。

意見(jiàn)反饋截止時(shí)間為2021年11月28日。

附件：數據出境安全評估辦法（征求意見(jiàn)稿）

國家互聯(lián)網(wǎng)信息辦公室

2021年10月29日

數據出境安全評估辦法

（征求意見(jiàn)稿）

第一條 為了規范數據出境活動(dòng)，保護個(gè)人信息權益，維護國家安全和社會(huì )公共利益，促進(jìn)數據跨境安全、自由流動(dòng)，根據《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》等法律法規，制定本辦法。

第二條 數據處理者向境外提供在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據和依法應當進(jìn)行安全評估的個(gè)人信息，應當按照本辦法的規定進(jìn)行安全評估；法律、行政法規另有規定的，依照其規定。

第三條 數據出境安全評估堅持事前評估和持續監督相結合、風(fēng)險自評估與安全評估相結合，防范數據出境安全風(fēng)險，保障數據依法有序自由流動(dòng)。

第四條 數據處理者向境外提供數據，符合以下情形之一的，應當通過(guò)所在地省級網(wǎng)信部門(mén)向國家網(wǎng)信部門(mén)申報數據出境安全評估。

（一）關(guān)鍵信息基礎設施的運營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數據；

（二）出境數據中包含重要數據；

（三）處理個(gè)人信息達到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息；

（四）累計向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息；

（五）國家網(wǎng)信部門(mén)規定的其他需要申報數據出境安全評估的情形。

第五條 數據處理者在向境外提供數據前，應事先開(kāi)展數據出境風(fēng)險自評估，重點(diǎn)評估以下事項：

（一）數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；

（二）出境數據的數量、范圍、種類(lèi)、敏感程度，數據出境可能對國家安全、公共利益、個(gè)人或者組織合法權益帶來(lái)的風(fēng)險；

（三）數據處理者在數據轉移環(huán)節的管理和技術(shù)措施、能力等能否防范數據泄露、毀損等風(fēng)險；

（四）境外接收方承諾承擔的責任義務(wù)，以及履行責任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數據的安全；

（五）數據出境和再轉移后泄露、毀損、篡改、濫用等的風(fēng)險，個(gè)人維護個(gè)人信息權益的渠道是否通暢等；

（六）與境外接收方訂立的數據出境相關(guān)合同是否充分約定了數據安全保護責任義務(wù)。

第六條 申報數據出境安全評估，應當提交以下材料：

（一）申報書(shū)；

（二）數據出境風(fēng)險自評估報告；

（三）數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等（以下統稱(chēng)合同）；

（四）安全評估工作需要的其他材料。

第七條 國家網(wǎng)信部門(mén)自收到申報材料之日起七個(gè)工作日內，確定是否受理評估并以書(shū)面通知形式反饋受理結果。

第八條 數據出境安全評估重點(diǎn)評估數據出境活動(dòng)可能對國家安全、公共利益、個(gè)人或者組織合法權益帶來(lái)的風(fēng)險，主要包括以下事項：

（一）數據出境的目的、范圍、方式等的合法性、正當性、必要性；

（二）境外接收方所在國家或者地區的數據安全保護政策法規及網(wǎng)絡(luò )安全環(huán)境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求；

（三）出境數據的數量、范圍、種類(lèi)、敏感程度，出境中和出境后泄露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風(fēng)險；

（四）數據安全和個(gè)人信息權益是否能夠得到充分有效保障；

（五）數據處理者與境外接收方訂立的合同中是否充分約定了數據安全保護責任義務(wù)；

（六）遵守中國法律、行政法規、部門(mén)規章情況；

（七）國家網(wǎng)信部門(mén)認為需要評估的其他事項。

第九條 數據處理者與境外接收方訂立的合同充分約定數據安全保護責任義務(wù)，應當包括但不限于以下內容：

（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；

（二）數據在境外保存地點(diǎn)、期限，以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施；

（三）限制境外接收方將出境數據再轉移給其他組織、個(gè)人的約束條款；

（四）境外接收方在實(shí)際控制權或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國家、地區法律環(huán)境發(fā)生變化導致難以保障數據安全時(shí)，應當采取的安全措施；

（五）違反數據安全保護義務(wù)的違約責任和具有約束力且可執行的爭議解決條款；

（六）發(fā)生數據泄露等風(fēng)險時(shí)，妥善開(kāi)展應急處置，并保障個(gè)人維護個(gè)人信息權益的通暢渠道。

第十條 國家網(wǎng)信部門(mén)受理申報后，組織行業(yè)主管部門(mén)、國務(wù)院有關(guān)部門(mén)、省級網(wǎng)信部門(mén)、專(zhuān)門(mén)機構等進(jìn)行安全評估。

涉及重要數據出境的，國家網(wǎng)信部門(mén)征求相關(guān)行業(yè)主管部門(mén)意見(jiàn)。

第十一條 國家網(wǎng)信部門(mén)自出具書(shū)面受理通知書(shū)之日起四十五個(gè)工作日內完成數據出境安全評估；情況復雜或者需要補充材料的，可以適當延長(cháng)，但一般不超過(guò)六十個(gè)工作日。

評估結果以書(shū)面形式通知數據處理者。

第十二條 數據出境評估結果有效期二年。在有效期內出現以下情形之一的，數據處理者應當重新申報評估：

（一）向境外提供數據的目的、方式、范圍、類(lèi)型和境外接收方處理數據的用途、方式發(fā)生變化，或者延長(cháng)個(gè)人信息和重要數據境外保存期限的；

（二）境外接收方所在國家或者地區法律環(huán)境發(fā)生變化，數據處理者或者境外接收方實(shí)際控制權發(fā)生變化，數據處理者與境外接收方合同變更等可能影響出境數據安全的；

（三）出現影響出境數據安全的其他情形。

有效期屆滿(mǎn)，需要繼續開(kāi)展原數據出境活動(dòng)的，數據處理者應當在有效期屆滿(mǎn)六十個(gè)工作日前重新申報評估。

未按本條規定重新申報評估的，應當停止數據出境活動(dòng)。

第十三條 數據處理者應當按照本辦法的規定提交評估材料，材料不齊全或者不符合要求的，應當及時(shí)補充或者更正，拒不補充或者更正的，國家網(wǎng)信部門(mén)可以終止安全評估；數據處理者對所提交材料的真實(shí)性負責，故意提交虛假材料的，按照評估不通過(guò)處理。

第十四條 參與安全評估工作的相關(guān)機構和人員對在履行職責中知悉的國家秘密、個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

第十五條 任何組織和個(gè)人發(fā)現數據處理者未按照本辦法規定進(jìn)行評估向境外提供數據的，可以向省級以上網(wǎng)信部門(mén)投訴、舉報。

第十六條 國家網(wǎng)信部門(mén)發(fā)現已經(jīng)通過(guò)評估的數據出境活動(dòng)在實(shí)際處理過(guò)程中不再符合數據出境安全管理要求的，應當撤銷(xiāo)評估結果并書(shū)面通知數據處理者，數據處理者應當終止數據出境活動(dòng)。需要繼續開(kāi)展數據出境活動(dòng)的，數據處理者應當按照要求進(jìn)行整改，并在整改完成后重新申報評估。

第十七條 違反本辦法規定的，依照《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》等法律法規的規定處理；構成犯罪的，依法追究刑事責任。

第十八條 本辦法自 年 月 日起施行。

來(lái)源： 中國網(wǎng)信網(wǎng)