第一 条 规范 数据 出境 活动 , 保护 个人 信息 权益 , 维护 安全 和 社会 公 利益 , , 促进 跨境 安全 、 流动 , 根据 中华 人民 和国 网络 安全法 、 《中华 和国 根据》 人民 和国 网络 安全法 、 《和国 数据》 、 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二 条 处理者 向 境外 提供 在 中华 人民 和国 境内 运营 中 收集 产生 的 重要 数据 和 个人 信息 安全 评估 , 适用 本。 法律 行政 法规 另 有 的 , 依照 规定。 法律 行政 法规 有 的 , 依照 规定。。 、 法规 有 的 , 其 规定
第三 条 出境 安全 评估 坚持 事前 评估 和 持续 监督 相 、 风险 自 评估 与 安全 评估 结合 , 防范 数据 安全 风险 , 数据 依法 有序 自由 流动。
第四 条 处理者 向 境外 提供 数据 , 有 下列 情形 之一 的 应当 通过 所在地 省级 网信 部门 国家 网信 部门 申报 出境 安全 评估 :
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息O
(三) 上 年 1月 1日 起 累计 向 境外 提供 10 万 个人 信息 或者 1 万人 敏感 个人 的 数据 处理者 向 境外 个人 信息 ; ;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形.
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以伋+
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二) 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 出境 可能 对 国家 安全 、 公 利益 、 个人 或者 合法 权益 的 风险 ; ; ; ;
()) 接收方 承诺 承担 的 责任 义务 , 以及 履行 责任 的 管理 和 技术 、 能力 等 能否 保障 出境 的 安全 ;
()) 出境 中 和 出境 后 遭到 篡改 、 破坏 泄露 、 丢失 、 转移 或者 被 获取 、 非法 利用 的 风险 , 信息 权益 的 渠道 是否 等 ; ; ; ; ; ;
()) 境外 接收方 拟 订立 的 数据 出境 相关 合同 或者 具有 法律 效力 的 文件 等 (以下 称 法律 文件) 是否 充分 了 数据 保护 责任 义务 ; ; ; ;
(六)其他可能影响数据出境安全的事项。
第六条 申报数据出境安全评估,应当提交以下材料:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第七 条 网信 部门 应当 自 收到 申报 材料 之 日 起 5 个 日内 完成 完备性 查验。 申报 齐全 的 , 将 材料 报送 国家 部门 ; 申报 材料 的 , 应当 退回 退回 退回 退回 退回数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者々々々々
第 八 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 国家 安全 、 公 公 利益 个人 或者 组织 合法 带来 的 风险 , 主要 以下 : :
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
()) 接收方 所在 国家 或者 的 的 安全 保护 政策 法规 和 网络 安全 对 出境 出境 数据 的 影响 ; 接收方 的 数据 保护 是否 达到 中华 人民 和国 、 、 法规 的的要求;
()) 数据 的 规模 、 范围 、 种类 、 程度 , 出境 中 和 出境 后 遭到 篡改 、 、 泄露 、 、 转移 或者 非法 获取 、 利用 等 风险 风险 ; ;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任仉务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九 条 处理者 应当 在 与 境外 接收方 订立 的 法律 文件 中 约定 数据 保护 保护 义务 义务 至少 包括 以下 内容 :
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二) 在 境外 保存 地点 、 期限 , 以及 达到 保存 、 完成 约定目的 或者 法律 文件 后 出境 数据 的 处理 措施 ;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
()) 接收方 在 实际 控制权 或者 经营 范围 发生 变化 , 或者 所在 国家 、 地区 数据 安全 保护 政策 和 网络 安全 发生 变化 以及 发生 不 不 抗力 导致 难以 保障 数据 安全 时 的措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
()) 数据 遭到 篡改 、 破坏 、 泄露 、 丢失 转移 或者 被 非法 、 非法 利用 等 风险 时 , 妥善 应急 处置 的 和 保障 个人 维护 个人 信息 权益 途径 处置。
第十 条 网信 部门 受理 申报 后 , 根据 申报 情况 组织 有关 部门 、 网信 网信 部门 、 机构 等 进行 安全 评估。
第十一 条 评估 过程 中 , 发现 数据 处理者 提交 的 申报 不 符合 要求 的 , 国家 网信 部门 可以 其 补充 或者 更 正 数据 处理者 理由 不 补充 或者 正 的 , 国家 部门 可以 无正当 不 补充 更 的 , 国家 部门 可以终止安全评估。
数据 处理者 所 提交 材料 的 真实性 负责 , 故意 提交 虚假 材料 , 按照 不 通过 处理 , 并 依法 追究 相应 责任。。
第十二 条 网信 部门 应当 自向 数据 处理者 发出 书面 受理 通知书 日 起 起 45 个 工作 日内 完成 数据 安全 评估 ; 情况 或者 需要 补充 更 正 材料 的 , 适当 延长 并 数据 处理 、 正 的 , 可以 延长 告知 数据 处理者预计延长的时间。
评估结果应当书面通知数据处理者。
第十三 条 处理者 对 评估 结果 有 异议 的 , 可以 在 收到 结果 结果 15 个 工作 日内 国家 网信 部门 申请 复评 , 结果 为 结论。。
第十四 条 数据 出境 安全 评估 的 结果 有效期 为 2 年 , 评估 结果 出具 之 日 起 计算。 有效 期 内 以下 情形 之一 的 , 处理者 应当 重新
()) 境外 提供 数据 的 目的 、 方式 、 范围 种类 和 境外 接收方 处理 数据 的 、 方式 发生 变化 出境 数据 安全 , 或者 延长 个人 信息 重要 数据 境外 期限 的 ,
()) 接收方 所在 国家 或者 数据 数据 保护 政策 法规 和 网络 安全 发生 变化 以及 以及 发生 不 可 抗力 、 数据 处理者 境外 接收方 实际 发生 变化 、 数据 处理者 境外 接收 法律等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新〳
第十五 条 安全 评估 工作 的 相关 机构 和 对 对 履行 职责 中知悉 的 国家 秘密 、 个人 隐私 、 信息 、 商业 、 保密 商务 等 数据 应当 依法 予以 , 不 得 或者 非法 提供 、 依法 予以 保密 不 泄露 或者 他人 、非法使用。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网严上网严
第十七 条 网信 部门 发现 已经 通过 评估 的 数据 出境 在 实际 处理 过程 不 再 符合 数据 出境 安全 管理 要求 的 , 应当 通知 数据 终止 数据 出境 活动 数据 处理者 需要 开展 出境 处理者 终止 出境 活动 数据 处理者 继续 数据 出境 数据 终止 出境 活动 处理者 需要 开展活动的,应当按照要求整改,整改完成后重新申报评估。
第十八 条 本 办法 规定 的 , 依据 《中华 人民 和国 网络 安全法》 《中华 人民 和国 和国 数据 安全法 、 《人民 和国 和国 信息 保护法》 等 法规 处理 ; 构成 的 , 追究 刑事》 等 法规 ; 构成 的 , 追究 刑事 保护法 法律 法规 ; 犯罪 依法 依法 追究责任。
第十九 条 办法 所 称 重要 数据 , 是 指 一旦 遭到 、 破坏 、 或者 非法 获取 、 非法 利用 等 , 可能 国家 安全 、 运行 、 社会 稳定 公 公 健康 安全 的 数据 运行 、 稳定 、 公 健康 安全 的 数据。
第二 十 本 办法 自 自 2022 年 9月 1日 起 施行。 办法 施行 前 已经 开展 的 数据 出境 , 不 符合 本 办法 规定 , 应当 办法 施行 之 日 6 个 月 完成。 应当 办法 之 日 起 个 月 完成。 应当