7月7日,国家互联信息办公室发布《数据出境安全评价方法》(以下简称《方法》),自2022年9月1日起实施。国家互联信息办公室有关担任人表明,出台《方法》旨在执行《络安全法》、《数据安全法》、《个人信息维护法》的规则,标准数据出境活动,维护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自在活动,实在以安全保展开、以展开促安全。

近年来,跟着数字经济的蓬勃展开,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。清晰数据出境安全评价的详细规则,是促进数字经济健康展开、防备化解数据跨境安全危险的需求,是维护国家安全和社会公共利益的需求,是维护个人信息权益的需求。《方法》规则了数据出境安全评价的规划、条件和程序,为数据出境安全评价作业供给了详细指引。

《方法》清晰,数据处理者向境外供给在中华人民共和国境内运营中搜集和产生的重要数据和个人信息的安全评价适用本方法。提出数据出境安全评价坚持事前评价和持续监督相结合、危险自评价与安全评价相结合等准则。

《方法》规则了应当申报数据出境安全评价的景象,包含数据处理者向境外供给重要数据、要害信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外供给个人信息、自上年1月1日起累计向境外供给10万人个人信息或许1万人灵敏个人信息的数据处理者向境外供给个人信息以及国家信部分规则的其他需求申报数据出境安全评价的景象。

《方法》提出了数据出境安全评价的详细要求,规则数据处理者在申报数据出境安全评价前应当展开数据出境危险自评价并清晰了要点评价事项。规则数据处理者在与境外接纳方缔结的法令文件中清晰约好数据安全维护职责职责,在数据出境安全评价有用期内产生影响数据出境安全的景象应当从头申报评价。此外,还清晰了数据出境安全评价程序、监督办理制度、法令职责以及合规整改要求等。

方法全文

数据出境安全评价方法

第一条 为了标准数据出境活动,维护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自在活动,根据《中华人民共和国络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息维护法》等法令法规,拟定本方法。

第二条 数据处理者向境外供给在中华人民共和国境内运营中搜集和产生的重要数据和个人信息的安全评价,适用本方法。法令、行政法规还有规则的,依照其规则。

第三条 数据出境安全评价坚持事前评价和持续监督相结合、危险自评价与安全评价相结合,防备数据出境安全危险,保证数据依法有序自在活动。

第四条 数据处理者向境外供给数据,有下列景象之一的,应当经过地址地省级信部分向国家信部分申报数据出境安全评价:

(一)数据处理者向境外供给重要数据;

(二)要害信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外供给个人信息;

(三)自上年1月1日起累计向境外供给10万人个人信息或许1万人灵敏个人信息的数据处理者向境外供给个人信息;

(四)国家信部分规则的其他需求申报数据出境安全评价的景象。

第五条 数据处理者在申报数据出境安全评价前,应当展开数据出境危险自评价,要点评价以下事项:

(一)数据出境和境外接纳方处理数据的意图、规划、方法等的合法性、正当性、必要性;

(二)出境数据的规划、规划、品种、灵敏程度,数据出境或许对国家安全、公共利益、个人或许安排合法权益带来的危险;

(三)境外接纳方许诺承当的职责职责,以及实行职责职责的办理和技术办法、才能等能否保证出境数据的安全;

(四)数据出境中和出境后遭到篡改、损坏、走漏、丢掉、搬运或许被不合法获取、不合法运用等的危险,个人信息权益维护的途径是否晓畅等;

(五)与境外接纳方拟缔结的数据出境相关合同或许其他具有法令效力的文件等(以下总称法令文件)是否充沛约好了数据安全维护职责职责;

(六)其他或许影响数据出境安全的事项。

第六条 申报数据出境安全评价,应当提交以下资料:

(一)申报书;

(二)数据出境危险自评价陈述;

(三)数据处理者与境外接纳方拟缔结的法令文件;

(四)安全评价作业需求的其他资料。

第七条 省级信部分应当自收到申报资料之日起5个作业日内完结齐备性查验。申报资料完全的,将申报资料报送国家信部分;申报资料不完全的,应当退回数据处理者并一次性奉告需求弥补的资料。

国家信部分应当自收到申报资料之日起7个作业日内,确认是否受理并书面通知数据处理者。

第八条 数据出境安全评价要点评价数据出境活动或许对国家安全、公共利益、个人或许安排合法权益带来的危险,首要包含以下事项:

(一)数据出境的意图、规划、方法等的合法性、正当性、必要性;

(二)境外接纳方地址国家或许区域的数据安全维护政策法规和络安全环境对出境数据安全的影响;境外接纳方的数据维护水平是否到达中华人民共和国法令、行政法规的规则和强制性国家标准的要求;

(三)出境数据的规划、规划、品种、灵敏程度,出境中和出境后遭到篡改、损坏、走漏、丢掉、搬运或许被不合法获取、不合法运用等的危险;

(四)数据安全和个人信息权益是否能够得到充沛有用保证;

(五)数据处理者与境外接纳方拟缔结的法令文件中是否充沛约好了数据安全维护职责职责;

(六)恪守我国法令、行政法规、部分规章状况;

(七)国家信部分以为需求评价的其他事项。

第九条 数据处理者应当在与境外接纳方缔结的法令文件中清晰约好数据安全维护职责职责,至少包含以下内容:

(一)数据出境的意图、方法和数据规划,境外接纳方处理数据的用处、方法等;

(二)数据在境外保存地址、期限,以及到达保存期限、完结约好意图或许法令文件停止后出境数据的处理办法;

(三)关于境外接纳方将出境数据再搬运给其他安排、个人的束缚性要求;

(四)境外接纳方在实践控制权或许经营规划产生实质性改变,或许地址国家、区域数据安全维护政策法规和络安全环境产生改变以及产生其他不可抗力景象导致难以保证数据安全时,应当采纳的安全办法;

(五)违背法令文件约好的数据安全维护职责的补救办法、违约职责和争议处理方法;

(六)出境数据遭到篡改、损坏、走漏、丢掉、搬运或许被不合法获取、不合法运用等危险时,妥善展开应急处置的要求和保证个人维护其个人信息权益的途径和方法。

第十条 国家信部分受理申报后,根据申报状况安排国务院有关部分、省级信部分、专门安排等进行安全评价。

第十一条 安全评价过程中,发现数据处理者提交的申报资料不契合要求的,国家信部分能够要求其弥补或许更正。数据处理者无正当理由不弥补或许更正的,国家信部分能够停止安全评价。

数据处理者对所提交资料的真实性担任,成心提交虚伪资料的,依照评价不经过处理,并依法追究相应法令职责。

第十二条 国家信部分应当自向数据处理者宣布书面受理通知书之日起45个作业日内完结数据出境安全评价;状况复杂或许需求弥补、更正资料的,能够恰当延伸并奉告数据处理者估计延伸的时刻。

评价成果应当书面通知数据处理者。

第十三条 数据处理者对评价成果有贰言的,能够在收到评价成果15个作业日内向国家信部分请求复评,复评成果为终究定论。

第十四条 经过数据出境安全评价的成果有用期为2年,自评价成果出具之日起核算。在有用期内呈现以下景象之一的,数据处理者应当从头申报评价:

(一)向境外供给数据的意图、方法、规划、品种和境外接纳方处理数据的用处、方法产生改变影响出境数据安全的,或许延伸个人信息和重要数据境外保存期限的;

(二)境外接纳方地址国家或许区域数据安全维护政策法规和络安全环境产生改变以及产生其他不可抗力景象、数据处理者或许境外接纳方实践控制权产生改变、数据处理者与境外接纳方法令文件改变等影响出境数据安全的;

(三)呈现影响出境数据安全的其他景象。

国家互联信息办公室公新华优选布《数据出境安全评估办法》

有用期届满,需求持续展开数据出境活动的,数据处理者应当在有用期届满60个作业日前从头申报评价。

第十五条 参加安全评价作业的相关安排和人员对在实行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得走漏或许不合法向别人供给、不合法运用。

第十六条 任何安排和个人发现数据处理者违背本方法向境外供给数据的,能够向省级以上信部分告发。

第十七条 国家信部分发现现现已过评价的数据出境活动在实践处理过程中不再契合数据出境安全办理要求的,应当书面通知数据处理者停止数据出境活动。数据处理者需求持续展开数据出境活动的,应当依照要求整改,整改完结后从头申报评价。

第十八条 违背本方法规则的,根据《中华人民共和国络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息维护法》等法令法规处理;构成犯罪的,依法追究刑事职责。

第十九条 本方法所称重要数据,是指一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用等,或许损害国家安全、经济运转、社会安稳、公共健康和安全等的数据。

第二十条 本方法自2022年9月1日起实施。本方法实施前现已展开的数据出境活动,不契合本方法规则的,应当自本方法实施之日起6个月内完结整改。