第一 条 为了 规范 数据 出境 活动 , 保护 个人 信息 权益 , 维护 国家 安全 和 社会 公 公 利益 , 促进 跨境 跨境 安全 自由 流动 , 根据 《中华 人民 和国 网络 安全法》 、 《中华 人民 根据 数据 安全法》 网络 安全法 安全法》 、 中华 人民 人民 数据 数据》》》 、 、 、 、 、 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二 条 数据 处理者 向 境外 提供 在 中华 人民 和国 境内 境内 运营 中 收集 和 产生 的 重要 数据 和 个人 信息 的 安全 评估 , 适用 本 办法。 、 行政 法规 另 有 规定 的 , 依照 办法 法律 、 行政 另 另 有 规定 , 依照 依照 规定。。
第三 条 数据 出境 安全 评估 坚持 事前 评估 和 持续 监督 相 结合 、 风险 自 评估 与 安全 评估 相 , , 防范 数据 出境 风险 , , 保障 依法 有序 自由 流动。。 数据 出境 风险 , 保障 数据 依法 有序 流动。。
第四 条 数据 处理者 向 境外 提供 数据 , 有 下列 情形 之一 的 , 应当 通过 所在地 省级 网信 部门 向 国家 网信 部门 申报 数据 出境 安全 ::
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息
(三) 自 上 年 1月 1日 起 累计 向 境外 提供 10 万 人 个人 信息 或者 1 万人 敏感 个人 信息 的 数据 处理者 向 境外 提供 个人 信息 ;
。
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以鸋ﺚ
(一)
(二) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 数据 出境 可能 对 国家 安全 、 公 利益 利益 、 或者 组织 合法 权益 带来 的 风险 ; ; 利益 利益 个人 或者 组织 合法 权益 带来 的 风险 ;
(三) 境外 接收方 承诺 承担 的 责任 义务 , 以及 履行 责任 义务 的 管理 和 技术 措施 、 能力 等 能否 保障 出境 数据 的 安全 ;
(四) 数据 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 等 风险 , , 个人 权益 维护 的 渠道 是否 通畅 等 ; 风险 , 个人 权益 维护 的 是否 是否 通畅 等 ;
(五) 与 境外 接收方 拟 订立 的 数据 出境 相关 合同 或者 其他 具有 法律 效力 的 文件 等 (以下 统 称 法律 文件) 是否 充分 约定 了 数据 安全 责任 义务 义务 ; ; 文件 是否 充分 约定 了 安全 保护 责任 义务 义务 ;
(六)其他可能影响数据出境安全的事项。
第六条 申报数据出境安全评估,应当提交以下材料:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第七 条 省级 网信 部门 应当 自 收到 申报 材料 之 日 起 5 个 工作 日内 完成 完备性 查验。 申报 材料 齐全 的 , 将 材料 材料 报送 国家 网信 ; 申报 材料 不齐全 的 , 应当 退回 报送 国家 网信 ; 申报 不齐全 不齐全 的 , 应当 退回数据处理者并一次性告知需要补充的材料。
个工作日内,确定是否受理并书面通知数据处理者。
第 八 条 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 对 国家 安全 、 公 公 利益 、 个人 或者 组织 合法 权益 带来 的 风险 , 主要 包括 以下 ::
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二) 境外 接收方 所在 国家 或者 地区 的 数据 安全 保护 政策 法规 和 网络 安全 环境 对 出境 数据 的 的 影响 ; 境外 的 的 数据 保护 是否 达到 中华 人民 和国 法律 法律 行政 法规 的 规定 和 国家 国家 人民 和国 法律 法律 行政 法规 的 规定 强制性 国家 国家 国家 标准 标准的要求;
(三) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 、 转移 转移 或者 非法 获取 、 非法 利用 等 的 风险 ; 转移 或者 非法 获取 、 利用 利用 等 的 风险 ;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五) ;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九 条 数据 处理者 应当 在 与 境外 接收方 订立 的 法律 文件 中 明确 约定 数据 安全 保护 责任 义务 , 至少 包括 : :
(一)
(二) 数据 在 境外 保存 地点 、 期限 , 以及 达到 保存 期限 、 完成 约定目的 或者 法律 文件 终止 出境 出境 数据 的 处理 措施 ;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四) 境外 接收方 在 实际 控制权 或者 经营 范围 发生 实质性 变化 , 或者 所在 国家 、 地区 数据 安全 保护 政策 法规 和 网络 环境 发生 发生 变化 发生 其他 不 可 抗力 情形 导致 难以 保障 数据 安全 时 应当 采取 的 抗力 情形 情形 难以 保障 数据 安全 时 应当 采取 的 的 安全 安全措施;
(五)
(六) 出境 数据 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 风险 风险 时 , 妥善 应急 处置 处置 的 和 保障 个人 维护 其 个人 信息 权益 的 途径 和 和 保障 个人 维护 其 个人 信息 权益 的 途径 和 方式。
第十 条 国家 网信 部门 受理 申报 后 , 根据 申报 情况 组织 国务院 有关 部门 、 省级 网信 部门 、 专门 机构 等 进行 安全 评估。
第十一 条 安全 评估 过程 中 , 发现 数据 处理者 提交 的 申报 材料 不 符合 要求 的 , 国家 网信 部门 要求 要求 其 补充 或者 正。 数据 处理者 无正当 理由 不 或者 或者 更 正 的 , 国家 部门 无正当 理由 不 或者 或者 更 的 , 国家 网信 部门 可以终止安全评估。
数据 处理者 对 所 提交 材料 的 真实性 负责 , 故意 提交 虚假 材料 的 , 按照 评估 不 通过 处理 , 并 依法 追究 相应 法律 责任。
第十二 条 国家 网信 部门 应当 自向 数据 处理者 发出 书面 受理 通知书 之 日 起 45 个 工作 日内 完成 数据 安全 安全 评估 ; 情况 复杂 或者 需要 补充 、 正 材料 的 , 可以 适当 延长 并 告知 数据 处理 正 材料 , , 可以 适当 并 并 告知 处理 处理者预计延长的时间。
评估结果应当书面通知数据处理者。
第十三 条 数据 处理者 对 评估 结果 有 异议 的 , 可以 在 收到 评估 结果 15 个 工作 日内 向 国家 网信 部门 申请 复评 , 复评 结果 为 最终 结论。
第十四 条 通过 数据 出境 安全 评估 的 结果 有效期 为 2 年 , 自 评估 结果 出具 之 日 起 计算。 在 有效 期 内 出现 以下 情形 之一 的 , 数据 应当 重新 申报 申报 : : 出现 情形 之一 的 , 数据 应当 重新 申报 : :
(一) 向 境外 提供 数据 的 目的 、 方式 、 范围 、 种类 和 境外 接收方 处理 数据 的 用途 方式 方式 发生 变化 影响 数据 数据 安全 的 , 延长 个人 信息 和 重要 数据 境外 保存 安全 的 , 延长 个人 信息 和 重要 数据 境外 保存 期限 的 ;
(二) 境外 接收方 所在 国家 或者 地区 数据 安全 保护 政策 法规 和 网络 安全 环境 发生 变化 以及 发生 不 不 可 抗力 情形 数据 处理者 处理者 或者 接收方 实际 控制权 发生 变化 、 数据 处理者 与 境外 接收 方 文件 控制权 发生 变化 、 数据 处理者 与 境外 接收 法律 文件 文件 变更 变更 变更 变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日弰甂。
第十五 条 参与 安全 评估 工作 的 相关 机构 和 人员 对 在 履行 职责 中知悉 的 国家 秘密 、 个人 隐私 、 个人 信息 、 商业 、 保密 保密 商务 等 数据 应当 依法 予以 保密 , 不 得 泄露 或者 非法 他人 提供 、 予以 保密 , 不 得 泄露 或者 向 他人 提供 提供 、 、非法使用。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以渊网信郗
第十七 条 国家 网信 部门 发现 已经 通过 评估 的 数据 出境 活动 在 实际 处理 过程 中 不 再 符合 数据 安全 安全 管理 要求 的 , 应当 书面 通知 处理者 终止 数据 出境 活动。 数据 处理者 需要 继续 开展 出境 终止 数据 出境 活动。 数据 处理者 需要 继续 开展 数据 出境活动的,应当按照要求整改,整改完成后重新申报评估。
第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安、《中华人民共和国数据安、《中华人民共和国数据安、《中华人民共和国数据安、《中华人民共和国数据安》华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十九 条 本 办法 所 称 重要 数据 , 是 指 一旦 遭到 篡改 、 破坏 、 泄露 或者 非法 获取 、 利用 利用 等 , 可能 国家 安全 安全 、 运行 、 社会 、 、 公 健康 和 安全 安全 的 数据 、 社会 稳定 、 公 健康 健康 安全 等 的 数据。。
第二 十 条 本 办法 自 2022 年 9月 1日 起 施行。 本 办法 施行 前 已经 开展 的 数据 出境 活动 , 不 符合 本 办法 规定 的 , 应当 自本 施行 之 日 起 6 个 月 内 ,。 自本 办法 之 之 日 起 XNUMX 个 月 内 完成 整改。