為了規(guī)范數(shù)據(jù)出境活動(dòng),,保護(hù)個(gè)人信息權(quán)益,,維護(hù)國(guó)家安全和社會(huì)公共利益,促進(jìn)數(shù)據(jù)跨境安全,、自由流動(dòng),,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī),,我辦起草了《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》,,現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。公眾可通過(guò)以下途徑和方式提出反饋意見(jiàn): 1.登錄中華人民共和國(guó)司法部 中國(guó)政府法制信息網(wǎng)(www.moj.gov.cn,、www.chinalaw.gov.cn),,進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。 2.通過(guò)電子郵件將意見(jiàn)發(fā)送至:[email protected],。 3.通過(guò)信函將意見(jiàn)寄至:北京市西城區(qū)車(chē)公莊大街11號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局,,郵編:100044,并在信封上注明“數(shù)據(jù)出境安全評(píng)估辦法征求意見(jiàn)”。 意見(jiàn)反饋截止時(shí)間為2021年11月28日,。 附件:數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿) 國(guó)家互聯(lián)網(wǎng)信息辦公室 2021年10月29日
數(shù)據(jù)出境安全評(píng)估辦法
(征求意見(jiàn)稿)
第一條 為了規(guī)范數(shù)據(jù)出境活動(dòng),,保護(hù)個(gè)人信息權(quán)益,維護(hù)國(guó)家安全和社會(huì)公共利益,,促進(jìn)數(shù)據(jù)跨境安全,、自由流動(dòng),根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,、《中華人民共和國(guó)數(shù)據(jù)安全法》,、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī),制定本辦法,。
第二條 數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息,,應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估;法律,、行政法規(guī)另有規(guī)定的,,依照其規(guī)定。
第三條 數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合,、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合,,防范數(shù)據(jù)出境安全風(fēng)險(xiǎn),保障數(shù)據(jù)依法有序自由流動(dòng),。
第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),,符合以下情形之一的,應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估,。
(一)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),;
(二)出境數(shù)據(jù)中包含重要數(shù)據(jù);
(三)處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息,;
(四)累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息,;
(五)國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。
第五條 數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前,,應(yīng)事先開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,,重點(diǎn)評(píng)估以下事項(xiàng):
(一)數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍,、方式等的合法性,、正當(dāng)性、必要性,;
(二)出境數(shù)據(jù)的數(shù)量、范圍,、種類(lèi),、敏感程度,數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益,、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn),;
(三)數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露,、毀損等風(fēng)險(xiǎn),;
(四)境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施,、能力等能否保障出境數(shù)據(jù)的安全,;
(五)數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損,、篡改,、濫用等的風(fēng)險(xiǎn),個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否通暢等,;
(六)與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),。
第六條 申報(bào)數(shù)據(jù)出境安全評(píng)估,應(yīng)當(dāng)提交以下材料:
(一)申報(bào)書(shū),;
(二)數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告,;
(三)數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等(以下統(tǒng)稱(chēng)合同);
(四)安全評(píng)估工作需要的其他材料,。
第七條 國(guó)家網(wǎng)信部門(mén)自收到申報(bào)材料之日起七個(gè)工作日內(nèi),,確定是否受理評(píng)估并以書(shū)面通知形式反饋受理結(jié)果。
第八條 數(shù)據(jù)出境安全評(píng)估重點(diǎn)評(píng)估數(shù)據(jù)出境活動(dòng)可能對(duì)國(guó)家安全,、公共利益,、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn),主要包括以下事項(xiàng):
(一)數(shù)據(jù)出境的目的,、范圍,、方式等的合法性、正當(dāng)性,、必要性,;
(二)境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國(guó)法律,、行政法規(guī)規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求,;
(三)出境數(shù)據(jù)的數(shù)量、范圍,、種類(lèi),、敏感程度,出境中和出境后泄露,、篡改,、丟失,、破壞、轉(zhuǎn)移或者被非法獲取,、非法利用等風(fēng)險(xiǎn),;
(四)數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障;
(五)數(shù)據(jù)處理者與境外接收方訂立的合同中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),;
(六)遵守中國(guó)法律,、行政法規(guī)、部門(mén)規(guī)章情況,;
(七)國(guó)家網(wǎng)信部門(mén)認(rèn)為需要評(píng)估的其他事項(xiàng),。
第九條 數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),應(yīng)當(dāng)包括但不限于以下內(nèi)容:
(一)數(shù)據(jù)出境的目的,、方式和數(shù)據(jù)范圍,,境外接收方處理數(shù)據(jù)的用途、方式等,;
(二)數(shù)據(jù)在境外保存地點(diǎn),、期限,以及達(dá)到保存期限,、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施,;
(三)限制境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束條款,;
(四)境外接收方在實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化,,或者所在國(guó)家、地區(qū)法律環(huán)境發(fā)生變化導(dǎo)致難以保障數(shù)據(jù)安全時(shí),,應(yīng)當(dāng)采取的安全措施,;
(五)違反數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭(zhēng)議解決條款;
(六)發(fā)生數(shù)據(jù)泄露等風(fēng)險(xiǎn)時(shí),,妥善開(kāi)展應(yīng)急處置,,并保障個(gè)人維護(hù)個(gè)人信息權(quán)益的通暢渠道。
第十條 國(guó)家網(wǎng)信部門(mén)受理申報(bào)后,,組織行業(yè)主管部門(mén),、國(guó)務(wù)院有關(guān)部門(mén)、省級(jí)網(wǎng)信部門(mén),、專(zhuān)門(mén)機(jī)構(gòu)等進(jìn)行安全評(píng)估,。
涉及重要數(shù)據(jù)出境的,國(guó)家網(wǎng)信部門(mén)征求相關(guān)行業(yè)主管部門(mén)意見(jiàn),。
第十一條 國(guó)家網(wǎng)信部門(mén)自出具書(shū)面受理通知書(shū)之日起四十五個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估,;情況復(fù)雜或者需要補(bǔ)充材料的,可以適當(dāng)延長(zhǎng),,但一般不超過(guò)六十個(gè)工作日,。
評(píng)估結(jié)果以書(shū)面形式通知數(shù)據(jù)處理者,。
第十二條 數(shù)據(jù)出境評(píng)估結(jié)果有效期二年。在有效期內(nèi)出現(xiàn)以下情形之一的,,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評(píng)估:
(一)向境外提供數(shù)據(jù)的目的、方式,、范圍,、類(lèi)型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化,,或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的,;
(二)境外接收方所在國(guó)家或者地區(qū)法律環(huán)境發(fā)生變化,數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化,,數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的,;
(三)出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。
有效期屆滿(mǎn),,需要繼續(xù)開(kāi)展原數(shù)據(jù)出境活動(dòng)的,,數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿(mǎn)六十個(gè)工作日前重新申報(bào)評(píng)估。
未按本條規(guī)定重新申報(bào)評(píng)估的,,應(yīng)當(dāng)停止數(shù)據(jù)出境活動(dòng),。
第十三條 數(shù)據(jù)處理者應(yīng)當(dāng)按照本辦法的規(guī)定提交評(píng)估材料,材料不齊全或者不符合要求的,,應(yīng)當(dāng)及時(shí)補(bǔ)充或者更正,,拒不補(bǔ)充或者更正的,國(guó)家網(wǎng)信部門(mén)可以終止安全評(píng)估,;數(shù)據(jù)處理者對(duì)所提交材料的真實(shí)性負(fù)責(zé),,故意提交虛假材料的,按照評(píng)估不通過(guò)處理,。
第十四條 參與安全評(píng)估工作的相關(guān)機(jī)構(gòu)和人員對(duì)在履行職責(zé)中知悉的國(guó)家秘密,、個(gè)人隱私、個(gè)人信息,、商業(yè)秘密,、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供,。
第十五條 任何組織和個(gè)人發(fā)現(xiàn)數(shù)據(jù)處理者未按照本辦法規(guī)定進(jìn)行評(píng)估向境外提供數(shù)據(jù)的,,可以向省級(jí)以上網(wǎng)信部門(mén)投訴、舉報(bào),。
第十六條 國(guó)家網(wǎng)信部門(mén)發(fā)現(xiàn)已經(jīng)通過(guò)評(píng)估的數(shù)據(jù)出境活動(dòng)在實(shí)際處理過(guò)程中不再符合數(shù)據(jù)出境安全管理要求的,,應(yīng)當(dāng)撤銷(xiāo)評(píng)估結(jié)果并書(shū)面通知數(shù)據(jù)處理者,數(shù)據(jù)處理者應(yīng)當(dāng)終止數(shù)據(jù)出境活動(dòng),。需要繼續(xù)開(kāi)展數(shù)據(jù)出境活動(dòng)的,,數(shù)據(jù)處理者應(yīng)當(dāng)按照要求進(jìn)行整改,,并在整改完成后重新申報(bào)評(píng)估。
第十七條 違反本辦法規(guī)定的,,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)的規(guī)定處理,;構(gòu)成犯罪的,,依法追究刑事責(zé)任。
第十八條 本辦法自 年 月 日起施行,。