《數據出境安全評估辦法（征求意見稿）》公開征求意見

國家互聯網信息辦公室關于《數據出境安全評估辦法（征求意見稿）》公開征求意見的通知

       為了規范數(shu)(shu)據(ju)出境活動(dong)，保(bao)護(hu)個人(ren)信息權益，維(wei)護(hu)國(guo)家安全(quan)(quan)(quan)和(he)(he)社(she)會公共(gong)利(li)益，促進數(shu)(shu)據(ju)跨(kua)境安全(quan)(quan)(quan)、自(zi)由(you)流動(dong)，依據(ju)《中華人(ren)民共(gong)和(he)(he)國(guo)網絡安全(quan)(quan)(quan)法》、《中華人(ren)民共(gong)和(he)(he)國(guo)數(shu)(shu)據(ju)安全(quan)(quan)(quan)法》、《中華人(ren)民共(gong)和(he)(he)國(guo)個人(ren)信息保(bao)護(hu)法》等(deng)法律法規，我(wo)辦(ban)起草了《數(shu)(shu)據(ju)出境安全(quan)(quan)(quan)評估(gu)辦(ban)法（征求意見稿(gao)）》，現向社(she)會公開征求意見。公眾可(ke)通(tong)過以下途徑(jing)和(he)(he)方式提出反饋意見：

       1.登錄(lu)中華人民共和國司法(fa)(fa)部 中國政府法(fa)(fa)制信息網（www.moj.gov.cn、www.chinalaw.gov.cn），進入(ru)首頁主菜單(dan)的“立法(fa)(fa)意見征集(ji)”欄目提(ti)出意見。

       2.通過電子郵件將意見發送(song)至：shujuju@cac.gov.cn。

       3.通(tong)過(guo)信函將意見(jian)寄至(zhi)：北京市西城(cheng)區車公(gong)莊大街11號國(guo)家互聯網(wang)(wang)信息辦公(gong)室網(wang)(wang)絡數據管理局，郵(you)編：100044，并在信封上注明“數據出境安(an)全評估辦法征求(qiu)意見(jian)”。

       意見反饋截止(zhi)時間為2021年(nian)11月28日。

       附件：數據(ju)出境安全評估(gu)辦法(fa)（征求意見稿）

                                                                                                        國家互(hu)聯網信(xin)息(xi)辦(ban)公室

                                                                                                            2021年10月29日

數據出境安全評估(gu)辦(ban)法(fa)

（征求意見稿）

第一條 為了規(gui)范數(shu)據出境活動，保(bao)護個(ge)人信(xin)(xin)息權益，維護國(guo)(guo)(guo)家(jia)安(an)全(quan)和社會公共利益，促(cu)進數(shu)據跨境安(an)全(quan)、自由流(liu)動，根據《中(zhong)華(hua)人民(min)共和國(guo)(guo)(guo)網絡(luo)安(an)全(quan)法(fa)》、《中(zhong)華(hua)人民(min)共和國(guo)(guo)(guo)數(shu)據安(an)全(quan)法(fa)》、《中(zhong)華(hua)人民(min)共和國(guo)(guo)(guo)個(ge)人信(xin)(xin)息保(bao)護法(fa)》等法(fa)律法(fa)規(gui)，制定(ding)本(ben)辦法(fa)。

第二條(tiao) 數據處理者(zhe)向境外提供在(zai)中華人民(min)共和(he)國境內運營中收集和(he)產生的重要數據和(he)依法(fa)應當(dang)進(jin)行(xing)安全(quan)評(ping)估的個人信息，應當(dang)按照本(ben)辦法(fa)的規定進(jin)行(xing)安全(quan)評(ping)估；法(fa)律、行(xing)政法(fa)規另(ling)有(you)規定的，依照其(qi)規定。

第三條(tiao) 數(shu)據出(chu)境(jing)安全評(ping)估(gu)堅持(chi)(chi)事前評(ping)估(gu)和持(chi)(chi)續監督相結合、風險自(zi)評(ping)估(gu)與安全評(ping)估(gu)相結合，防(fang)范數(shu)據出(chu)境(jing)安全風險，保障數(shu)據依法(fa)有序自(zi)由流(liu)動。

第(di)四條(tiao) 數據(ju)處理者向境(jing)外(wai)提供數據(ju)，符(fu)合以下(xia)情形之一的(de)，應當(dang)通過(guo)所(suo)在地(di)省級(ji)網信部(bu)門向國家網信部(bu)門申報數據(ju)出境(jing)安全評估(gu)。

（一）關鍵(jian)信息(xi)基礎設施的運營者收(shou)集和產生(sheng)的個人(ren)信息(xi)和重要(yao)數據；

（二(er)）出(chu)境數(shu)(shu)據(ju)中包含重要數(shu)(shu)據(ju)；

（三）處理(li)個(ge)人信(xin)息達到一百(bai)萬人的個(ge)人信(xin)息處理(li)者向境外(wai)提供個(ge)人信(xin)息；

（四）累計向(xiang)境外提供超過十萬人(ren)以上(shang)個人(ren)信(xin)息或者一萬人(ren)以上(shang)敏感個人(ren)信(xin)息；

（五）國家網信部門規(gui)定的其他需要申報數據出境安(an)全評估(gu)的情形。

第(di)五條 數據(ju)處理者(zhe)在向境外提供數據(ju)前，應事(shi)先開展數據(ju)出境風險自評估，重點評估以下事(shi)項：

（一）數(shu)(shu)據(ju)出境及境外接(jie)收方處理數(shu)(shu)據(ju)的(de)目的(de)、范圍、方式等(deng)的(de)合(he)法(fa)性、正當性、必(bi)要性；

（二）出(chu)境(jing)數(shu)(shu)據的數(shu)(shu)量、范圍、種類、敏感程度，數(shu)(shu)據出(chu)境(jing)可(ke)能對國家(jia)安全、公共利(li)益(yi)、個人或(huo)者組織合法權(quan)益(yi)帶來的風險(xian)；

（三）數(shu)(shu)據處理者在數(shu)(shu)據轉(zhuan)移(yi)環節的管理和技術(shu)措施、能力(li)等能否防范(fan)數(shu)(shu)據泄露、毀損等風(feng)險(xian)；

（四）境外(wai)接收方承諾承擔(dan)的責(ze)任義務，以(yi)及(ji)履行責(ze)任義務的管理和技術措施、能力(li)等能否保障(zhang)出境數(shu)據的安全；

（五）數(shu)據出(chu)境和再(zai)轉移后(hou)泄(xie)露、毀損、篡(cuan)改、濫用等的風(feng)險，個人維護(hu)個人信息權益的渠道是(shi)否通暢等；

（六）與境(jing)外接收方訂立的(de)數(shu)據(ju)出(chu)境(jing)相(xiang)關合同是否充分(fen)約(yue)定了數(shu)據(ju)安全保護(hu)責任(ren)義務。

第(di)六(liu)條 申報數據出(chu)境(jing)安全評(ping)估，應當提交(jiao)以下材料(liao)：

（一）申報書(shu)；

（二）數據出境風險自評估報告；

（三）數據處理(li)者與境外接收方擬訂立的(de)合同或者其他具有法律(lv)效力的(de)文件等（以下統稱(cheng)合同）；

（四）安全(quan)評估工作(zuo)需要的其(qi)他材料。

第(di)七條 國(guo)家(jia)網信部門自收(shou)到申報材料之(zhi)日(ri)(ri)起七個工作(zuo)日(ri)(ri)內，確定是否受理評估并以(yi)書面通知(zhi)形(xing)式(shi)反饋受理結果(guo)。

第八條(tiao) 數(shu)據出境安(an)全(quan)評估(gu)重點評估(gu)數(shu)據出境活動可能對國家(jia)安(an)全(quan)、公共利益(yi)、個人或者(zhe)組織(zhi)合法權益(yi)帶來的風(feng)險，主(zhu)要包括以下事項：

（一）數據出境的目的、范圍、方(fang)式等的合法性(xing)、正當性(xing)、必要(yao)性(xing)；

（二）境外接收方(fang)所在(zai)國(guo)家(jia)或者地(di)區(qu)的(de)數(shu)(shu)(shu)據安(an)全保(bao)(bao)護政策法(fa)規及網(wang)絡安(an)全環境對出(chu)境數(shu)(shu)(shu)據安(an)全的(de)影響；境外接收方(fang)的(de)數(shu)(shu)(shu)據保(bao)(bao)護水平是(shi)否達到中(zhong)華(hua)人民共(gong)和國(guo)法(fa)律、行政法(fa)規規定和強制性國(guo)家(jia)標準的(de)要求；

（三(san)）出(chu)(chu)境(jing)數據(ju)的數量、范圍、種類(lei)、敏感程度，出(chu)(chu)境(jing)中和出(chu)(chu)境(jing)后泄露、篡(cuan)改、丟失(shi)、破壞、轉移或者被非(fei)法獲取、非(fei)法利用等風險；

（四）數據(ju)安全(quan)和個(ge)人信(xin)息權益(yi)是否能夠得到充分有效(xiao)保障；

（五）數據處理(li)者與(yu)境外接收方訂立(li)的(de)合同中是否(fou)充分約定(ding)了數據安全保護責任義務；

（六(liu)）遵守中(zhong)國法(fa)律、行政法(fa)規、部(bu)門規章(zhang)情(qing)況；

（七）國(guo)家(jia)網信部(bu)門認為需要評(ping)估的(de)其他事項。

第九條 數據(ju)處理者(zhe)與(yu)境(jing)外接收方訂(ding)立的(de)合同(tong)充分約(yue)定數據(ju)安(an)全保護責任義務(wu)，應當包括(kuo)但不限于以下(xia)內容：

（一）數據(ju)出(chu)境的目的、方式(shi)和數據(ju)范圍，境外接收(shou)方處理數據(ju)的用途(tu)、方式(shi)等；

（二）數據(ju)在境外保存地點、期限(xian)，以及達到保存期限(xian)、完成約定目的或者合同終止后出境數據(ju)的處理措施；

（三）限制境外接收方(fang)將出境數據再轉移給其他(ta)組織、個人(ren)的約束條(tiao)款(kuan)；

（四）境外接收方(fang)在(zai)實(shi)際控制權或者經營范圍發生實(shi)質性變化，或者所在(zai)國家(jia)、地區法律環境發生變化導致難(nan)以(yi)保障(zhang)數據安全時，應(ying)當(dang)采取的安全措施；

（五(wu)）違(wei)反數據(ju)安全保護義務的違(wei)約責任和(he)具(ju)有(you)約束力且可執(zhi)行的爭議解決(jue)條(tiao)款(kuan)；

（六(liu)）發生數據(ju)泄(xie)露(lu)等(deng)風險時(shi)，妥善開展應急(ji)處置，并保障個人維護(hu)個人信息權益(yi)的(de)通暢渠道(dao)。

第(di)十條 國家網信部(bu)門受理(li)申報后(hou)，組(zu)織行(xing)業主管(guan)部(bu)門、國務院有關部(bu)門、省級網信部(bu)門、專門機構等進(jin)行(xing)安(an)全(quan)評(ping)估。

涉及重(zhong)要數(shu)據出境(jing)的，國家網信部(bu)門征求相關行業(ye)主管部(bu)門意見。

第十(shi)一條 國家網信部門自出具書面(mian)受理通知(zhi)書之日(ri)起四十(shi)五個工作日(ri)內(nei)完成數據出境安全評估；情況復(fu)雜或者需要補充材料的，可以(yi)適當延(yan)長，但一般(ban)不(bu)超過六十(shi)個工作日(ri)。

評估結果以書面形(xing)式通(tong)知數據處理者。

第十二條 數據出境評估(gu)結(jie)果(guo)有效期二年。在有效期內出現以下情(qing)形之一(yi)的，數據處理者(zhe)應(ying)當(dang)重新申報評估(gu)：

（一）向境(jing)外(wai)提供數(shu)據的(de)(de)目的(de)(de)、方(fang)(fang)式、范圍、類型和(he)境(jing)外(wai)接收方(fang)(fang)處理(li)數(shu)據的(de)(de)用途、方(fang)(fang)式發生變化，或者(zhe)延長個(ge)人信(xin)息和(he)重要(yao)數(shu)據境(jing)外(wai)保(bao)存期(qi)限的(de)(de)；

（二）境(jing)外(wai)接(jie)(jie)收(shou)方(fang)(fang)(fang)所在(zai)國(guo)家或者地區法律環(huan)境(jing)發(fa)生變化，數據處(chu)理者或者境(jing)外(wai)接(jie)(jie)收(shou)方(fang)(fang)(fang)實際控制權發(fa)生變化，數據處(chu)理者與境(jing)外(wai)接(jie)(jie)收(shou)方(fang)(fang)(fang)合同變更(geng)等可能影響出境(jing)數據安(an)全的(de)；

（三）出現影(ying)響出境數據安全的其他情(qing)形(xing)。

有效(xiao)期(qi)屆滿(man)，需要繼續(xu)開(kai)展原數(shu)據(ju)出境活動的，數(shu)據(ju)處(chu)理者應(ying)當(dang)在有效(xiao)期(qi)屆滿(man)六十個(ge)工作日前重新申報評估。

未按本條規定重新申報評估的，應(ying)當停止(zhi)數據(ju)出境活動。

第十三(san)條 數(shu)據處理者應當按(an)照本辦法的(de)規(gui)定提交評估材料，材料不(bu)(bu)齊全或(huo)者不(bu)(bu)符合要求的(de)，應當及時補充或(huo)者更正(zheng)，拒(ju)不(bu)(bu)補充或(huo)者更正(zheng)的(de)，國家網信部(bu)門可以(yi)終止(zhi)安全評估；數(shu)據處理者對所(suo)提交材料的(de)真(zhen)實(shi)性負(fu)責，故(gu)意提交虛假材料的(de)，按(an)照評估不(bu)(bu)通過(guo)處理。

第十四條 參(can)與安全評估工作的相關機構和人(ren)員對在履(lv)行(xing)職責中知悉的國家秘密、個(ge)人(ren)隱私、個(ge)人(ren)信息、商業秘密、保(bao)密商務信息等數(shu)據應(ying)當依法(fa)予以保(bao)密，不得泄露(lu)或者非法(fa)向(xiang)他人(ren)提供。

第十五條 任(ren)何組織和(he)個人發現數據處理者未按照本辦法規定進行(xing)評估向境外提供(gong)數據的，可以向省級(ji)以上(shang)網信部門投訴、舉報。

第十(shi)六條 國家網信(xin)部門(men)發(fa)現已(yi)經通過評估(gu)的數(shu)據(ju)(ju)出境(jing)活動(dong)在實際處(chu)(chu)理(li)過程(cheng)中不再符合數(shu)據(ju)(ju)出境(jing)安全管理(li)要求的，應(ying)當撤銷評估(gu)結果并書面通知數(shu)據(ju)(ju)處(chu)(chu)理(li)者，數(shu)據(ju)(ju)處(chu)(chu)理(li)者應(ying)當終(zhong)止數(shu)據(ju)(ju)出境(jing)活動(dong)。需要繼續開展數(shu)據(ju)(ju)出境(jing)活動(dong)的，數(shu)據(ju)(ju)處(chu)(chu)理(li)者應(ying)當按照要求進行整改，并在整改完成后重新申報評估(gu)。

第(di)十七條(tiao) 違反(fan)本辦(ban)法(fa)規(gui)定的(de)(de)，依照(zhao)《中華人民共和國(guo)網(wang)絡安(an)全(quan)法(fa)》、《中華人民共和國(guo)數據安(an)全(quan)法(fa)》、《中華人民共和國(guo)個人信息保護(hu)法(fa)》等法(fa)律法(fa)規(gui)的(de)(de)規(gui)定處理；構成犯(fan)罪的(de)(de)，依法(fa)追究刑(xing)事責任。

第十八(ba)條 本辦法自(zi) 年 月 日起施(shi)行。

       （來源： 中國網信網）