第一 条 为了 数据 出境 , , 保护 信息 , , 维护 安全 和 社会 公 利益 , , 促进 数据 安全 、 自由 流动 , 根据 《中华 人民 和国 和国 网络》 、 、 , , 和国 《人民 和国 和国 和国 网络》》 、 中华 人民 和国 和国 中华 和国 和国 ' 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二 条 处理者 向 境外 提供 在 中华 和国 和国 境内 中 收集 和 产生 的 重要 数据 和 个人 信息 的 评估 , 适用 本 办法。 法律 、 行政 法规 有 规定 的 , , 依照 其 规定 法律 、 、 法规 有 规定 的 , , 依照 规定。。
第三 条 出境 安全 评估 坚持 事前 评估 持续 监督 相 结合 风险 自 自 评估 安全 安全 评估 结合 , 防范 数据 出境 安全 风险 , 保障 依法 依法 有序 自由 流动。。。 安全 风险 , 保障 依法 依法 有序 自由 流动
第四 条 处理者 向 境外 提供 , , 下列 情形 之一 的 , 应当 通过 所在地 网信 网信 部门 向 国家 部门 申报 数据 出境 安全 ::
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;;
(三) 自 上 年 1月 1日 起 累计 向 境外 10 万 人 个人 信息 或者 1 万人 敏感 个人 信息 的 处理者 向 境外 提供 个人 信息 ; ; 敏感 个人 的 数据 向 境外 提供 个人 信息 ; ;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下估以下
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二) 出境 数据 规模 规模 、 范围 种类 、 敏感 , , 数据 出境 可能 对 国家 安全 、 公 利益 、 个人 或者 组织 合法 权益 带来 风险 ; ; ;
(三) 境外 接收方 承诺 承担 的 责任 , 以及 履行 责任 义务 的 管理 和 措施 措施 、 能力 等 能否 出境 数据 的 安全 ; ;
(四) 数据 中 和 出境 后 遭到 篡改 、 破坏 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 等 的 , , 个人 权益 权益 维护 渠道 是否 通畅 等 ; , , 个人 权益 权益 维护 渠道 是否 通畅 等 ; , , , 信息 权益 维护 的 渠道 通畅 等 ;
(五) 与 接收方 拟 拟 订立 数据 出境 相关 合同 或者 具有 法律 法律 效力 的 等 (以下 统 称 法律 文件) 是否 充分 约定 了 数据 安全 保护 责任 义务 ; ; ; ; ; 是否 约定 数据 安全 安全 责任 义务 ;
(六)其他可能影响数据出境安全的事项。
第六条 申报数据出境安全评估,应当提交以下材料:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第七 条 网信 部门 应当 自 收到 申报 之 日 起 5 个 日内 日内 完成 完备性 查验。 申报 材料 的 , 将 申报 材料 报送 国家 网信 部门 ; 申报 材料 的 , 应当 退回 退回 国家 国家 部门 ; 申报 材料 的 , 应当 应当数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
第 八 数据 出境 安全 评估 重点 评估 数据 活动 可能 对 国家 安全 、 公 利益 利益 、 个人 或者 组织 权益 带来 的 风险 , 主要 包括 事项 ::
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三) 出境 的 规模 规模 范围 、 种类 、 敏感 , 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 丢失 、 转移 转移 或者 非法 非法 、 非法 利用 等 的 风险 ; 转移 或者 或者 非法 获取 、 非法 利用 等 的 风险
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九 条 处理者 应当 在 与 境外 接收方 订立 的 法律 文件 明确 约定 数据 安全 保护 责任 义务 , 至少 包括 内容 ::
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二) 数据 在 境外 保存 地点 、 , 以及 达到 保存 期限 、 完成 约定目的 法律 法律 文件 终止 后 数据 的 处理 措施 ;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四) 境外 在 实际 控制权 或者 经营 范围 实质性 变化 , 或者 所在 国家 地区 地区 数据 保护 政策 法规 和 网络 安全 环境 发生 变化 以及 发生 其他 不 抗力 情形 导致 难以 保障 数据 安全 以及 发生 其他 不 可 情形 情形 导致 保障 数据 数据 时 发生 其他 其他 其他 其他 不 不 抗力 情形 情形 导致 保障 数据 安全 时 发生 其他 其他 其他 其他 不 不 不措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六) 出境 遭到 篡改 、 破坏 、 泄露 丢失 、 转移 或者 被 非法 获取 、 非法 利用 等 时 , 妥善 开展 应急 处置 的 要求 和 保障 个人 其 个人 信息 权益 的 途径 和 要求 和 保障 个人 维护 个人 信息 权益 的 途径 和 方式 方式 和 和 保障 个人 其 个人 信息 的 的 途径 和 方式 方式
第十 条 网信 部门 受理 申报 , , 根据 情况 组织 国务院 有关 部门 、 省级 网信 部门 、 专门 机构 等 安全 评估。。
第十一 条 安全 过程 , , 发现 处理者 提交 的 申报 不 符合 要求 的 , 国家 网信 部门 可以 要求 补充 或者 更 正。 数据 处理者 无正当 理由 不 或者 更 正 的 的。 国家 处理者 无正当 无正当 不 补充 或者 更 的 的 , 国家 网信 部门 部门终止安全评估。
数据 处理者 所 提交 材料 的 真实性 , , 故意 虚假 材料 的 , 按照 评估 通过 处理 , , 并 追究 相应 法律 责任。
第十二 条 网信 部门 应当 自向 数据 处理者 书面 受理 通知书 之 起 45 个 日内 日内 完成 数据 出境 评估 ; 情况 复杂 或者 需要 补充 、 更 正 材料 , 可以 适当 延长 并 告知 数据 处理 更 更 材料 , , 可以 适当 并 告知 数据 处理 处理 处理 更 材料 , 可以 可以 延长 并 数据 处理 处理者预计延长的时间。
评估结果应当书面通知数据处理者。
第十三 条 处理者 对 评估 结果 有 异议 , 可以 在 收到 评估 结果 15 个 工作 日内 向 国家 网信 部门 复评 , 复评 结果 为 最终 结论。。。 网信 部门 , , 结果 为 最终 结论。。
第十四 条 数据 出境 安全 评估 的 结果 为 2 年 , 自 结果 出具 出具 日 日 起。。 在 期 内 出现 以下 情形 情形 的 , 数据 处理者 应当 重新 评估 评估 : : 情形 , , 数据 处理者 应当 评估 评估 ::
(一) 向 提供 数据 的 目的 、 方式 范围 、 种类 和 境外 接收方 处理 数据 的 用途 、 方式 变化 影响 出境 数据 安全 的 , 或者 延长 个人 信息 重要 数据 境外 期限 期限 , , 或者 延长 个人 信息 重要 数据 境外 保存 期限 的 , , 或者 延长 信息 和 重要 数据 境外 期限 的 ;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申满
第十五 条 安全 评估 工作 的 相关 机构 人员 对 在 职责 中知悉 的 国家 秘密 、 个人 隐私 、 个人 信息 、 秘密 、 、 保密 商务 信息 等 数据 依法 保密 保密 , 不 得 泄露 或者 等 数据 数据 应当 依法 保密 , 不 得 '非法使用。
第十六条任何组织和个人发现数据处理者违反本办法向境外提供数据的
第十七 条 网信 部门 发现 已经 通过 评估 数据 出境 活动 在 处理 过程 中 不 再 符合 数据 出境 安全 管理 要求 , , 书面 通知 通知 数据 处理者 数据 出境。。 数据 需要 继续 继续 开展 处理者 处理者 终止 数据 活动。 数据 需要 需要 继续 开展 数据 数据 处理者 处理者 终止 出境 活动。 数据 需要 继续 继续 开展 数据 数据活动的,应当按照要求整改,整改完成后重新申报评估。
第十八 条 违反 办法 规定 的 , 依据 中华 人民 和国 和国 安全法》 、 《中华 人民 和国 和国 数据 安全法》 《中华 人民 和国 和国 和国 个人 保护法 保护法 等 法规 法规 处理 构成 构成 和国 的 个人 信息 保护法》 法律 法规 处理 ; 构成 犯罪 的 的 信息 保护法 保护法 保护法 等 法规 法规 处理 构成 犯罪 的 的 , 信息 保护法 保护法 保护法 等 法律 法规 处理 ; 构成 犯罪 的 的 信息 保护法 保护法责任。
第十九 条 本 所 称 重要 , , 指 一旦 遭到 篡改 破坏 、 泄露 或者 非法 获取 、 非法 利用 , , 可能 国家 国家 、 、 运行 运行 社会 稳定 、 公 健康 和 安全 安全 的 运行 运行 、 社会 、 公 健康 和 和 安全 等 的 数据 运行 运行 、 社会 、 公 健康 和 和 安全 等 的 数据 运行
第二 条 本 办法 自 2022 年 9月 1日 起。 本 办法 施行 前 已经 开展 的 数据 出境 , , 不 本 本 办法 规定 , , 应当 自本 施行 之 起 起 6 个 月 内 , 整改 应当 自本 办法 施行 日 起 XNUMX 个 月 内 完成 整改 整改