數據出境安全評估辦法

第一條 為了規范數據出境活動，保護個人信息權益(yi)(yi)，維(wei)護國(guo)家安全(quan)和社會公共(gong)利益(yi)(yi)，促進(jin)數據跨境安全(quan)、自由流(liu)動，根據《中華人民共(gong)和國(guo)網(wang)絡安全(quan)法》、《中華人民共(gong)和國(guo)數據安全(quan)法》、《中華人民共(gong)和國(guo)個人信息保護法》等法律法規，制定本(ben)辦法。

第二條 數據(ju)處理者向境(jing)外(wai)提供在中華人民共和國(guo)境(jing)內運營中收集和產生(sheng)的(de)重要數據(ju)和個人信息的(de)安(an)全評估，適用本辦法(fa)(fa)。法(fa)(fa)律、行(xing)政法(fa)(fa)規另有(you)規定的(de)，依(yi)照其(qi)規定。

第三條 數(shu)據(ju)出境(jing)安全評估堅持事前(qian)評估和(he)持續監督相(xiang)結合(he)、風險(xian)自評估與安全評估相(xiang)結合(he)，防(fang)范數(shu)據(ju)出境(jing)安全風險(xian)，保(bao)障數(shu)據(ju)依法(fa)有序自由流動。

第四條 數(shu)(shu)據(ju)處理者向境外提供數(shu)(shu)據(ju)，有下(xia)列情(qing)形之一的，應(ying)當通過所在地省級(ji)網(wang)(wang)信部門(men)向國家網(wang)(wang)信部門(men)申報數(shu)(shu)據(ju)出(chu)境安全評估：

（一）數據處理者(zhe)向境外提(ti)供重要數據；

（二）關鍵信(xin)息(xi)(xi)基(ji)礎設(she)施(shi)運營者(zhe)和處理100萬(wan)人以上(shang)個(ge)人信(xin)息(xi)(xi)的數據(ju)處理者(zhe)向境外提供(gong)個(ge)人信(xin)息(xi)(xi)；

（三）自上年1月1日(ri)起累計向境外提供10萬(wan)人(ren)個(ge)(ge)人(ren)信息或者(zhe)1萬(wan)人(ren)敏感個(ge)(ge)人(ren)信息的數據處理者(zhe)向境外提供個(ge)(ge)人(ren)信息；

（四）國家(jia)網信部門(men)規定的(de)(de)其(qi)他需(xu)要申報數據(ju)出境安(an)全評估的(de)(de)情形。

第五條 數據(ju)處理者在申報數據(ju)出境安(an)全評估前，應當開展數據(ju)出境風險自評估，重點評估以(yi)下事項(xiang)：

（一）數據出境和境外接收方處理(li)數據的目(mu)的、范圍、方式等的合法(fa)性、正當性、必要(yao)性；

（二）出境數據(ju)的規模、范圍、種(zhong)類、敏感程度，數據(ju)出境可能對國(guo)家安全、公共利益、個人或(huo)者組(zu)織合法權(quan)益帶來的風險；

（三）境外接收方承諾承擔的(de)責(ze)任義務(wu)，以及(ji)履行責(ze)任義務(wu)的(de)管理和技術(shu)措(cuo)施(shi)、能(neng)力(li)等能(neng)否保(bao)障出境數(shu)據的(de)安(an)全；

（四）數據出境中和出境后遭(zao)到篡改、破壞(huai)、泄露、丟失、轉(zhuan)移或者被(bei)非法(fa)獲取、非法(fa)利(li)用等的風險(xian)，個人(ren)信(xin)息權益(yi)維護的渠道(dao)是否通(tong)暢等；

（五(wu)）與境外接收方(fang)擬訂立的數(shu)據出境相(xiang)關合同或者其他具有法律(lv)效力的文(wen)件等（以下(xia)統稱法律(lv)文(wen)件）是否充分約定了(le)數(shu)據安全保護責任(ren)義務(wu)；

（六）其他(ta)可能影響數據出境安(an)全的(de)事項。

第六條 申報數據出境安全評估(gu)，應(ying)當提交以(yi)下材料：

（一(yi)）申報書；

（二）數據出境風(feng)險(xian)自(zi)評估報告；

（三）數(shu)據處理(li)者與境外接(jie)收方擬訂立(li)的法律文(wen)件；

（四）安全評估工作需(xu)要(yao)的其他材(cai)料(liao)。

第七條 省級(ji)網信(xin)部(bu)門應當自(zi)收到申(shen)報(bao)(bao)(bao)材(cai)料(liao)之(zhi)日起5個工作日內完(wan)成完(wan)備性(xing)查驗。申(shen)報(bao)(bao)(bao)材(cai)料(liao)齊(qi)全(quan)的(de)，將申(shen)報(bao)(bao)(bao)材(cai)料(liao)報(bao)(bao)(bao)送國家網信(xin)部(bu)門；申(shen)報(bao)(bao)(bao)材(cai)料(liao)不齊(qi)全(quan)的(de)，應當退回數據處理者(zhe)并一次(ci)性(xing)告知需要補充的(de)材(cai)料(liao)。

國(guo)家網信部門應當自收到(dao)申報(bao)材(cai)料之日(ri)(ri)起7個工作(zuo)日(ri)(ri)內，確(que)定是否受理并書(shu)面通知(zhi)數據處理者。

第八條 數(shu)據出境安全評(ping)估(gu)重點(dian)評(ping)估(gu)數(shu)據出境活(huo)動可能對國家(jia)安全、公共利益、個人或者(zhe)組織合法權(quan)益帶(dai)來的風險，主要包括以下事項：

（一）數(shu)據(ju)出(chu)境的目的、范(fan)圍(wei)、方式(shi)等的合法性、正當性、必(bi)要性；

（二(er)）境(jing)外(wai)接(jie)收方所在國家(jia)或者(zhe)地區(qu)的(de)(de)(de)數據(ju)(ju)安(an)(an)全(quan)保護政(zheng)策法(fa)規和網絡安(an)(an)全(quan)環境(jing)對出境(jing)數據(ju)(ju)安(an)(an)全(quan)的(de)(de)(de)影響(xiang)；境(jing)外(wai)接(jie)收方的(de)(de)(de)數據(ju)(ju)保護水平是否達到中華(hua)人民共和國法(fa)律(lv)、行(xing)政(zheng)法(fa)規的(de)(de)(de)規定和強制性國家(jia)標準的(de)(de)(de)要求(qiu)；

（三）出(chu)境數據的規(gui)模、范圍、種(zhong)類(lei)、敏感(gan)程度，出(chu)境中和出(chu)境后(hou)遭(zao)到篡改、破(po)壞、泄露、丟失、轉移或者被非法獲取、非法利用(yong)等的風險；

（四）數據(ju)安全和個人信息權(quan)益是(shi)否能(neng)夠得(de)到充分有效保(bao)障；

（五）數據(ju)處理者(zhe)與境外接(jie)收方擬(ni)訂立的(de)法律(lv)文件中是否充分約定了數據(ju)安全保護責任義務(wu)；

（六）遵(zun)守中國法律、行政法規(gui)、部門規(gui)章情況；

（七）國家網信部門認為需要(yao)評估(gu)的(de)其他(ta)事項。

第九條 數據處理者應(ying)當在與境外接收方訂立的法律文件(jian)中明確約(yue)定數據安全保護責任義務，至(zhi)少包括以下內容(rong)：

（一(yi)）數據(ju)出境的(de)(de)目的(de)(de)、方(fang)(fang)式和數據(ju)范圍，境外接收方(fang)(fang)處理數據(ju)的(de)(de)用(yong)途、方(fang)(fang)式等；

（二）數據(ju)在境外保(bao)存地點、期限，以及達到保(bao)存期限、完(wan)成約定(ding)目的或者法律文件終(zhong)止后(hou)出境數據(ju)的處理(li)措施；

（三(san)）對于境外接收方將(jiang)出境數(shu)據再轉移給其他組織、個(ge)人(ren)的約束(shu)性要求；

（四）境(jing)外接收方在實際控制權或(huo)者(zhe)經營(ying)范圍發生(sheng)實質(zhi)性變化，或(huo)者(zhe)所在國家、地區數據安(an)全(quan)保護政策法規和網絡安(an)全(quan)環境(jing)發生(sheng)變化以及發生(sheng)其(qi)他不(bu)可抗力情形(xing)導致難以保障(zhang)數據安(an)全(quan)時，應(ying)當采取的安(an)全(quan)措施；

（五(wu)）違(wei)反法律文件(jian)約定(ding)的數據(ju)安全保護義務(wu)的補救(jiu)措(cuo)施、違(wei)約責(ze)任和爭(zheng)議解決方(fang)式；

（六）出境數(shu)據遭到(dao)篡改、破壞、泄露、丟失、轉移或者被非法(fa)獲取(qu)、非法(fa)利用(yong)等風險時，妥善開展應急處(chu)置的要求和(he)(he)保障個人維護其(qi)個人信息權益的途徑和(he)(he)方(fang)式。

第十條 國(guo)家網(wang)信部(bu)門受(shou)理申(shen)報后，根據申(shen)報情況(kuang)組織國(guo)務院(yuan)有關(guan)部(bu)門、省級網(wang)信部(bu)門、專門機(ji)構等(deng)進行安全評估。

第十一條 安全(quan)評估過(guo)程中，發現數據處(chu)理者(zhe)提交的申報材料不符合要求(qiu)的，國家網信部門(men)可(ke)以要求(qiu)其補(bu)(bu)充或(huo)者(zhe)更(geng)正(zheng)。數據處(chu)理者(zhe)無(wu)正(zheng)當理由(you)不補(bu)(bu)充或(huo)者(zhe)更(geng)正(zheng)的，國家網信部門(men)可(ke)以終止安全(quan)評估。

數據(ju)處理者對所提交(jiao)材料(liao)(liao)的真實性負責(ze)，故意(yi)提交(jiao)虛假材料(liao)(liao)的，按(an)照評(ping)估不通(tong)過處理，并依法追究相應法律責(ze)任。

第十二條 國家(jia)網信(xin)部門應(ying)當自向數(shu)據(ju)處理(li)者發出(chu)書面受理(li)通知書之日起(qi)45個工作(zuo)日內完成數(shu)據(ju)出(chu)境安全(quan)評估；情(qing)況復雜或(huo)者需要補(bu)充、更正材料的，可以(yi)適當延長(chang)并告知數(shu)據(ju)處理(li)者預計(ji)延長(chang)的時間(jian)。

評估結果應(ying)當書面通知(zhi)數(shu)據處理者。

第十三條 數據處理者(zhe)對評(ping)(ping)估結(jie)(jie)果(guo)(guo)有異議(yi)的(de)，可以在(zai)收(shou)到評(ping)(ping)估結(jie)(jie)果(guo)(guo)15個工作日內向國家網信部門(men)申請復(fu)評(ping)(ping)，復(fu)評(ping)(ping)結(jie)(jie)果(guo)(guo)為最終結(jie)(jie)論。

第十四條 通過數據出(chu)境安(an)全評估(gu)的結果有效期為2年，自評估(gu)結果出(chu)具之日起計算。在有效期內出(chu)現(xian)以下(xia)情(qing)形之一的，數據處(chu)理者應(ying)當重新申(shen)報評估(gu)：

（一）向(xiang)境(jing)外提供數(shu)據(ju)的(de)目的(de)、方(fang)(fang)式、范圍(wei)、種類和境(jing)外接(jie)收(shou)方(fang)(fang)處理數(shu)據(ju)的(de)用途、方(fang)(fang)式發生變化(hua)影響(xiang)出境(jing)數(shu)據(ju)安全(quan)的(de)，或者(zhe)延(yan)長個人(ren)信息和重(zhong)要數(shu)據(ju)境(jing)外保存期限的(de)；

（二(er)）境外(wai)(wai)接(jie)收(shou)方(fang)所在(zai)國家(jia)或者(zhe)(zhe)地區(qu)數(shu)據(ju)(ju)安全保(bao)護政策法規和網絡安全環境發(fa)(fa)生(sheng)變(bian)(bian)化(hua)以及發(fa)(fa)生(sheng)其他不可抗力情形、數(shu)據(ju)(ju)處(chu)理(li)者(zhe)(zhe)或者(zhe)(zhe)境外(wai)(wai)接(jie)收(shou)方(fang)實際控(kong)制權發(fa)(fa)生(sheng)變(bian)(bian)化(hua)、數(shu)據(ju)(ju)處(chu)理(li)者(zhe)(zhe)與境外(wai)(wai)接(jie)收(shou)方(fang)法律文件(jian)變(bian)(bian)更等影響出境數(shu)據(ju)(ju)安全的；

（三(san)）出現(xian)影響出境數據安全的其他情形。

有效(xiao)期(qi)屆(jie)滿，需(xu)要繼(ji)續開展(zhan)數據(ju)出境活動的，數據(ju)處(chu)理者(zhe)應當在(zai)有效(xiao)期(qi)屆(jie)滿60個(ge)工作(zuo)日前重新申報評估(gu)。

第十五條 參(can)與安(an)全(quan)評(ping)估工作的相關機(ji)構和人(ren)員對在履行職責中知(zhi)悉的國家(jia)秘(mi)密(mi)(mi)、個人(ren)隱私、個人(ren)信(xin)息、商業秘(mi)密(mi)(mi)、保(bao)密(mi)(mi)商務信(xin)息等(deng)數據(ju)應當(dang)依法(fa)予以保(bao)密(mi)(mi)，不(bu)得泄露或者非法(fa)向(xiang)他(ta)人(ren)提(ti)供、非法(fa)使用。

第十六條 任何組織(zhi)和(he)個人發(fa)現數據處理者違反本辦(ban)法向(xiang)境外提供數據的，可(ke)以(yi)向(xiang)省級(ji)以(yi)上網(wang)信部門舉報。

第十七(qi)條 國家(jia)網信(xin)部(bu)門發現(xian)已經通(tong)過評(ping)估(gu)的(de)數據(ju)(ju)出境(jing)活動在(zai)實際(ji)處(chu)理(li)過程(cheng)中不再符合數據(ju)(ju)出境(jing)安全管理(li)要求的(de)，應當書面(mian)通(tong)知數據(ju)(ju)處(chu)理(li)者(zhe)終止數據(ju)(ju)出境(jing)活動。數據(ju)(ju)處(chu)理(li)者(zhe)需要繼續開展數據(ju)(ju)出境(jing)活動的(de)，應當按照要求整(zheng)改(gai)，整(zheng)改(gai)完成(cheng)后重新申報評(ping)估(gu)。

第十(shi)八條 違反(fan)本辦法(fa)規(gui)定的(de)，依據《中(zhong)華人民(min)共和國(guo)網絡安全法(fa)》、《中(zhong)華人民(min)共和國(guo)數據安全法(fa)》、《中(zhong)華人民(min)共和國(guo)個人信息保護法(fa)》等法(fa)律法(fa)規(gui)處理；構成(cheng)犯(fan)罪的(de)，依法(fa)追究(jiu)刑事責任。

第十九條 本辦法(fa)(fa)所(suo)稱重要(yao)數據(ju)，是指(zhi)一旦(dan)遭到篡改、破壞、泄露(lu)或者非法(fa)(fa)獲取、非法(fa)(fa)利用等(deng)，可能危害國家安全、經濟運行、社會穩定(ding)、公共健康和(he)安全等(deng)的數據(ju)。

第二十條 本(ben)(ben)(ben)(ben)辦(ban)法(fa)(fa)自2022年9月1日起(qi)施(shi)行(xing)。本(ben)(ben)(ben)(ben)辦(ban)法(fa)(fa)施(shi)行(xing)前(qian)已經開展的數(shu)據出(chu)境(jing)活(huo)動(dong)，不符合(he)本(ben)(ben)(ben)(ben)辦(ban)法(fa)(fa)規定的，應當自本(ben)(ben)(ben)(ben)辦(ban)法(fa)(fa)施(shi)行(xing)之日起(qi)6個月內(nei)完成整改。