第一 条 为了 规范 数据 出境 出境 活动, 保护 个人 信息 权益, 维护 国家 安全 和 社会 公 利益 利益, 促进 数据 跨境 安全 自由 流动, 根据 《人民 和国 网络》 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二 条 数据 处理者 向 境外 境外 在 中华 人民 和国 和国 境内 运营 中 收集 和 产生 的 重要 数据 和 个人 信息 的 的 安全 评估, 适用 本 办法。 、 行政 法规 另 有 规定 的 依照 依照。
第三 条 数据 出境 安全 评估 评估 事前 评估 和 持续 监督 相 结合 、 风险 自 评估 与 安全 评估 相 结合 结合, 防范 数据 出境 安全 风险, 保障 数据 有序 自由 流动。
第四 条 数据 处理者 向 境外 提供 提供, 有 下列 情形 之一 的, 应当 通过 所在地 省级 网信 部门 向 国家 网信 部门 申报 数据 出境 : :
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向万人以上个人信息的数据处理者向更理者向曾更
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信恐了外伏供XNUMX万人个人信息或者XNUMX万人敏感个人信恐他大社
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出:境风险丰中中中文
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、倭、当
(二) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度, 数据 出境 可能 对 国家 安全 、 公 利益 利益 、 个人 或者 组织 合法 权益 的 风险 ;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术怎理和技术怎盪施行
(四) 数据 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 利用 等 的 风险, 个人 信息 维护 的 渠道 是否 通畅
(五) 与 境外 接收方 拟 订立 的 数据 出境 相关 合同 或者 其他 具有 法律 效力 的 文件 等 等 (以下 统 称 法律 文件) 是否 充分 约定 了 数据 保护 责任 义务 ;
(六)其他可能影响数据出境安全的事项。
第六条 申报数据出境安全评估,应当提交以下材料:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第七 条 省级 网信 部门 应当 应当 自 申报 材料 之 之 日 起 5 个 工作 日内 完成 完备性 查验。 申报 材料 齐全 的, 将 申报 材料 报送 国家 网信 部门 ; 材料 不齐全 不齐全 的 退回数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书材料之日起XNUMX个工作日内,确定是否受理并书受理并书矆照逕。
第 八 条 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 对 国家 安全 、 公 利益 利益 、 个人 组织 组织 合法 权益 带来 的 风险, 主要 包括 事项 :
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二) 境外 接收方 所在 国家 或者 地区 的 数据 安全 保护 政策 法规 和 网络 安全 环境 对 出境 数据 安全 的 影响 ; 境外 接收方 的 数据 保护 水平 达到 人民 和国 行政的要求;
(三) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度, 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 或者 非法 获取 、 非法 利用 等 风险 ;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据定了数据说
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据一定数据一定数据一定数据安定数据一定数据安定数据中
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方弛物
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或度定目的或定目的或定目的或定目的或度碅
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四) 境外 接收方 在 实际 控制权 或者 经营 范围 发生 实质性 变化, 或者 所在 国家 、 地区 数据 安全 保护 政策 法规 和 网络 安全 环境 发生 变化 以及 其他 可 情形措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和亦责任和争安全保护义务的补救措施、违约责任和争安讳讳
(六) 出境 数据 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 等 风险 时, 妥善 开展 应急 处置 的 要求 和 个人 维护 个人 个人 的 的
第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门有关部门、罗中中中文
第十一 条 安全 评估 过程 中, 发现 数据 处理者 提交 的 申报 材料 不 符合 要求 的, 国家 网信 部门 可以 要求 其 补充 或者 更 正。。 数据 无正当 理由 不 补充 或者 更 的 的 国家 国家终止安全评估。
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通紟责,故意提交虚假材料的,按照评估不通羳估不通羳估不通羳估不通美会
第十二 条 国家 网信 部门 应当 应当 数据 处理者 发出 书面 受理 受理 通知书 之 日 起 45 个 工作 日内 完成 数据 出境 安全 评估 ; 情况 复杂 或者 或者 需要 补充 、 正 材料 的 的 的者预计延长的时间。
评估结果应当书面通知数据处理者。
第十三 条 数据 处理者 对 评估 结果 有 异议 的, 可以 在 收到 评估 结果 结果 15 个 工作 日内 向 国家 网信 部门 申请 复评, 复评 结果 最终 结论。
第十四 条 通过 数据 出境 安全 安全 的 结果 有效期 为 为 2 年, 自 评估 结果 出具 之 日 起 计算。 在 有效 期 内 出现 以下 情形 之一 之一 的, 数据 处理者 应当 重新 申报
(一) 向 境外 提供 数据 的 目的 、 方式 、 范围 、 种类 和 境外 接收方 处理 数据 的 用途 、 方式 发生 发生 变化 影响 出境 数据 安全 的 的, 或者 个人 信息 和 重要 境外 保存 保存
(二) 境外 接收方 所在 国家 或者 地区 数据 安全 保护 政策 法规 和 网络 安全 环境 发生 变化 以及 发生 其他 不 可 抗力 情形 、 数据 处理者 或者 境外 实际 控制权 变化 、等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届有效期届据出境活动的,数据处理者应当在有效期届有效期届有效期届滅使从从从从从从从他们一们一一一么一住
第十五 条 参与 安全 评估 工作 的 相关 机构 和 人员 对 对 履行 职责 职责 中知悉 的 国家 秘密 、 个人 隐私 、 个人 信息 、 商业 秘密 、 保密 商务 信息 等 应当 依法 保密非法使用。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,向供数据的,向供数据的,向以稱。
第十七 条 国家 网信 部门 发现 已经 通过 评估 的 数据 出境 出境 活动 在 实际 处理 过程 中 不 再 符合 数据 出境 安全 管理 要求 的, 应当 书面 通知 数据 终止 出境 出境。 处理者 需要 需要活动的,应当按照要求整改,整改完成后重新申报评估。
第十八 条 违反 本 办法 规定 规定, 依据 《中华 人民 和国 网络 网络 安全法》 、 《中华 和国 和国 数据 安全法》 、 《中华 人民 和国 和国 个人 信息 保护法 等 法律 法规责任。
第十九 条 本 办法 所 称 称 重要 数据, 是 指 一旦 遭到 篡改 、 破坏 、 泄露 或者 非法 获取 、 非法 利用 等, 可能 危害 国家 安全 、 经济 、 社会 稳定 公 健康 和 安全
第二 十 条 本 办法 自 2022 年 9月 1日 起 施行。 本 办法 施行 前 已经 开展 的 数据 出境 活动, 不 符合 本 办法 规定 的 的, 应当 自本 施行 之 日 起 个 月 月 内 整改