第一 条 为了 规范 数据 出境 活动 ← 保护 信息 权益 , , 维护 国家 安全 和 社会 公 mikhom 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
Mer适用本办法。法律、行政法规另有规定的,依照其规定。
第三 条 数据 出境 安全 评估 坚持 事前 评估 和 持续 监督 相 结合 、 风险 自 与 安全 安全 评估 相 结合 , 防范 出境 安全 风险 , 保障 依法 有序 自由 自由 流动。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
第四 条 数据 处理者 向 境外 提供 数据 , 有 下列 情形 之一 的 , 应当 通过 所在地 省级 网信 部门 向 国家 部门 申报 数据 出境 安全 评估 :
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处的数据处琑倅
(三) 自 上 年 1月 1日 起 累计 向 境外 提供 10 万 人 个人 信息 或者 1 万人 敏感 个人 信息 数据 数据 向 境外 提供 个人 信息 ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
Mer
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合泀性〦
(二) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 数据 出境 可能 对 国家 安全 、 公共 利益 、 或者 组织 合法 权益 带来 的 风险
(三) 境外 接收方 承诺 承担 的 责任 义务 , 以及 履行 责任 义务 的 管理 和 技术 措施 、 能力 等 保障 出境 数据 的 安全 安全 ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或遭到篡改、破坏、泄露、丢失、转移或遭到篡改人信息权益维护的渠道是否通畅等;
(五) 与 与 接收方 拟 订立 的 数据 出境 相关 合同 或者 其他 具有 法律 效力 的 文件 等 (以下 称 法律 文件) 是否 约定 数据 安全 保护 责任 义务 义务 ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
(六)其他可能影响数据出境安全的事项。
第六条 申报数据出境安全评估,应当提交以下材料:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料.
第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料.
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理理并否受理睥并
第 八 条 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 对 国家 安全 、 公ite 利益 、 个人 或者 合法 权益 带来 的 风险 , 主要 包括 : :
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
Mer Mer的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篅被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定亮啰捣
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九条 数据处理者应当在与境外接收方订立的法徊
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用逼值
(二) 数据 在 境外 保存 地点 、 期限 , 以及 达到 保存 期限 、 完成 约定目的 或者 法律 文件 终止 后 数据 的 处理 措施 ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性蛦求
(四)境外接收方在实际控制权或者经营范围发生实质性变化朌方在实际控制权或者经营范围发生实质性变化歧变化,或耳夰地或耳夰在Mer措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责伆和
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法鎷嶔妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
第十 条 国家 网信 部门 受理 申报 后 , 根据 申报 情况 组织 国务院 有关 部门 、 省级 网信 部门 、 专门 机构 进行 进行 评估。。。。。。。。。。。。。。。。。。。。。。。。。。。。
第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估.
数据 处理者 对 所 提交 材料 的 真实性 负责 , 故意 提交 虚假 材料 的 , 按照 评估 不 通过 处理 , 并 追究 相应 法律 责任。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间.
评估结果应当书面通知数据处理者.
第十三 条 数据 处理者 对 评估 结果 有 异议 的 , 可以 在 收到 评估 结果 15 个 工作 日内 向 国家 网信 申请 复评 , , 结果 为 最终 结论。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
第十四 条 通过 数据 出境 安全 评估 的 结果 有效期 为 2 年 , 自 评估 结果 出具 之 日 起 计算。 有效 期 期 出现 以下 情形 的 , , 处理者 应当 重新 申报 申报 : : 有效 期 期 出现 以下 情形 之一 的 , 数据 处理者 应当 重新 申报 评估 : : 有效 期 期 出现 以下 情形 之一 , , 数据 处理者 应当 重新 申报 评估 :
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理瀄獰捇外接收方处理甄異捌据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与化、数据处理者与墥等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形.
Mer
第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用.
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数捁六条
Mer的,应当书面通知数据处理者终止数据出境活动。数据处理倅需要继续弰活动的,应当按照要求整改,整改完成后重新申报评估。
第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任.
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露数据重要数据,是指一旦遭到篡改、破坏、泄露数据是指一旦遭到篡改、破坏、泄露鈖輕录坷彮嶔录坳录遳安全、经济运行、社会稳定、公共健康和安全等的数据。
第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据烬凌口自本办法施行之日起6个月内完成整改。