第一 条 为了 规范 数据 出境 活动 , 保护 个人 信息 权益 , 维护 安全 和 和 社会 公 公 利益 , 促进 数据 跨境 安全 、 自由 流动 , 根据 中华 人民 和国 和国 网络 网络 安全法》 、 《中华 人民 人民 数据 数据 安全法》》》》 《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二 条 数据 处理者 向 境外 提供 在 中华 人民 和国 境内 运营 中 收集 和 产生 的 重要 重要 数据 和 个人 的 的 安全 评估 , 适用 本 办法 法律 、 行政 行政 法规 另 有 规定 的 , 依照 其 规定 规定
第三 条 数据 出境 安全 评估 坚持 事前 评估 和 持续 监督 相 结合 、 风险 自 评估 与 安全 评估 相 结合 , 防范 数据 出境 安全 风险 , 保障 数据 依法 有序 自由 流动 流动 流动 流动 流动 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由 自由
第四 条 数据 处理者 向 境外 提供 数据 , 有 下列 情形 之一 的 , 应当 通过 所在地 省级 网信 部门 向 国家 网信 部门 申报 数据 出境 : :
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息
(三) 自 上 年 1月 1日 起 累计 向 境外 10 万 人 个人 信息 或者 1 万人 敏感 个人 信息 的 数据 处理者 向 境外 境外 提供 信息 信息
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形.
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以+下:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 数据 出境 可能 对 国家 安全 、 公 公 利益 利益 、 个人 或者 组织 合法 带来 的 风险 风险
(三) 境外 接收方 承诺 承担 的 责任 义务 , 以及 履行 责任 义务 的 管理 和 技术 措施 措施 、 等 能否 保障 保障 出境 数据 的 安全
(四) 数据 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 利用 等 的 风险 , 个人 权益 维护 的 渠道 渠道 是否 通畅 等 等 ; ; ; ; ; ; ; ; ; ; ; 等 等 等 等 等 等 等 等 等 等 等 等 等 等 等 tivamente
(五) 与 境外 接收方 拟 订立 的 数据 出境 相关 合同 或者 其他 具有 法律 效力 的 文件 等 (以下 统 称 法律 文件) 是否 充分 约定 数据 安全 保护 责任 责任 义务 义务 义务 义务
(六)其他可能影响数据出境安全的事项.
Ti invitiamo a contattarci per ulteriori informazioni:
(一) 申报 书 ;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料.
第七 条 省级 网信 部门 应当 自 收到 申报 材料 之 日 5 个 工作 日内 完成 完备性 查验。。 申报 齐全 的 , 将 申报 材料 材料 国家 网信 ; 申报 材料 不齐全 不齐全 的 , 应当 应当 退回 退回数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内, 确定是否受理并书面通知数据处理者.
第 八 条 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 对 国家 安全 、 公 公 利益 、 个人 或者 组织 合法 权益 带来 的 风险 , 主要 包括 : :
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二) 境外 接收方 所在 国家 或者 地区 的 数据 安全 保护 政策 法规 网络 网络 安全 环境 对 出境 数据 安全 的 影响 ; 境外 接收方 的 数据 水平 是否 达到 中华 人民 人民 和国 法律 法律 、 法规 的 的 规定 和 国家 国家 国家 国家 国家 国家 国家 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 强制性 °的要求;
(三) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 非法 获取 、 非法 非法 利用 等 的 风险 风险 ; ; ; ; ; ; 风险 风险 风险 风险 风险 风险 风险 风险 风险
(四)数据安全和个人信息权益是否能够得到充分有效保障;
Per saperne di più ;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项.
第九 条 数据 处理者 应当 在 与 境外 接收方 订立 的 法律 文件 中 明确 约定 数据 安全 保护 责任 义务 , 至少 包括 以下 内容 :
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二) 数据 在 境外 保存 地点 、 期限 , 以及 达到 保存 期限 、 完成 约定目的 或者 法律 法律 文件 后 出境 出境 数据 的 处理 措施
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四) 境外 接收方 在 实际 控制权 或者 经营 范围 发生 实质性 变化 , 或者 所在 国家 、 地区 数据 数据 保护 政策 法规 和 网络 安全 安全 发生 变化 以及 其他 其他 不 可 抗力 情形 导致 导致 难以 数据 安全 时 , , 应当 应当 采取 采取措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六) 出境 数据 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 或者 被 非法 获取 、 非法 非法 等 风险 时 , 妥善 开展 应急 处置 的 要求 和 保障 个人 维护 其 其 个人 信息 权益 的 途径 和 方式 方式
第十 条 国家 网信 部门 受理 申报 后 , 根据 申报 情况 组织 国务院 有关 部门 、 省级 网信 部门 部门 、 机构 等 等 进行 安全 评估
第十一 条 安全 评估 过程 中 , 发现 数据 处理者 提交 的 申报 材料 不 要求 的 , , 国家 网信 部门 可以 要求 其 补充 或者 更 正。 数据 处理者 理由 理由 不 补充 或者 更 正 的 的 , 国家 网信 部门 部门终止安全评估。
数据 处理者 对 所 提交 材料 的 真实性 负责 , 故意 提交 虚假 材料 的 , 按照 评估 不 通过 处理 , 并 依法 追究 追究 相应 法律 责任
第十二 条 国家 网信 部门 应当 自向 数据 处理者 发出 书面 受理 通知书 之 起 45 个 工作 日内 日内 完成 出境 安全 评估 ; 情况 复杂 复杂 需要 补充 、 更 正 材料 的 , , 可以 适当 延长 并 告知 数据 数据者预计延长的时间。
评估结果应当书面通知数据处理者.
第十三 条 数据 处理者 对 评估 结果 有 异议 的 , 可以 在 收到 评估 15 个 工作 日内 向 向 国家 部门 申请 复评 复评 , 复评 结果 为 最终 结论 结论
第十四 条 通过 数据 出境 安全 评估 的 结果 有效期 为 2 年 , 自 评估 结果 出具 之 日 起 起 计算 在 有效 期 内 出现 以下 情形 之一 , 数据 处理者 应当 重新 申报 评估 :
(一) 向 境外 提供 数据 的 目的 、 方式 、 范围 、 种类 和 境外 接收方 处理 数据 数据 的 、 方式 发生 变化 影响 出境 数据 安全 的 , 或者 延长 个人 信息 和 重要 重要 数据 境外 保存 期限 的 的
(二) 境外 接收方 所在 国家 或者 地区 数据 安全 保护 政策 法规 和 安全 安全 环境 发生 变化 以及 发生 其他 不 可 抗力 情形 、 数据 处理者 境外 接收方 实际 控制权 控制权 发生 变化 、 数据 处理者 与 境外 接收 方 法律 文件 文件 文件等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形.
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工佀日前重新申
第十五 条 参与 安全 评估 工作 的 相关 机构 和 人员 对 在 履行 中知悉 的 的 国家 秘密 、 个人 隐私 、 个人 信息 、 商业 秘密 、 保密 商务 等 数据 应当 依法 依法 予以 保密 , 不 得 泄露 或者 非法 向 他人 他人 提供 提供非法使用。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以吸省级以上騗网外提供数据的,可以吸省级以上网
第十七 条 国家 网信 部门 发现 已经 通过 评估 的 数据 出境 活动 在 实际 过程 过程 中 不 再 符合 数据 出境 安全 管理 要求 的 , , 书面 通知 数据 处理者 终止 数据 数据 活动 活动。 数据 处理者 需要 继续 开展 数据 数据活动的,应当按照要求整改,整改完成后重新申报评估。
第十八 条 违反 本 办法 规定 的 , 依据 《中华 和国 和国 网络 安全法》 、 《中华 中华 人民 和国 数据 安全法》 、 《中华 人民 和国 和国 个人 信息 保护法》 等 法律 法规 处理 ; ; 犯罪 的 , , 依法 追究 追究责任。
第十九 条 本 办法 所 称 重要 数据 , 是 指 一旦 遭到 篡改 破坏 、 、 泄露 或者 非法 获取 、 非法 利用 等 , 可能 危害 国家 安全 、 运行 、 、 社会 社会 稳定 、 、 公 健康 和 安全 等 的 的 数据
第二 十 条 本 办法 自 2022 年 9月 1日 起 施行。 本 办法 施行 前 已经 开展 的 的 数据 活动 , 不 符合 本 本 办法 的 , 应当 自本 办法 施行 之 日 起 6 个 个 内 完成 整改 整改 整改