數據出境安全評估辦法

國(guó)家互聯網信息辦公室令

第11号

《數據出境安全評估辦法》已經(jīng)2022年5月19日國(guó)家互聯網信息辦公室2022年第10次室務會議審議通過(guò)，現予公布，自2022年9月1日起(qǐ)施行。

國(guó)家互聯網信息辦公室主任 莊榮文

2022年7月7日

數據出境安全評估辦法

第一條 爲了規範數據出境活動，保護個人信息權益，維護國(guó)家安全和社會公共利益，促進(jìn)數據跨境安全、自由流動，根據《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》、《中華人民共和國(guó)個人信息保護法》等法律法規，制定本辦法。

第二條 數據處理者向(xiàng)境外提供在中華人民共和國(guó)境内運營中收集和産生的重要數據和個人信息的安全評估，适用本辦法。法律、行政法規另有規定的，依照其規定。

第三條 數據出境安全評估堅持事(shì)前評估和持續監督相結合、風險自評估與安全評估相結合，防範數據出境安全風險，保障數據依法有序自由流動。

第四條 數據處理者向(xiàng)境外提供數據，有下列情形之一的，應當通過(guò)所在地省級網信部門向(xiàng)國(guó)家網信部門申報數據出境安全評估：

（一）數據處理者向(xiàng)境外提供重要數據；

（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向(xiàng)境外提供個人信息；

（三）自上年1月1日起(qǐ)累計向(xiàng)境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向(xiàng)境外提供個人信息；

（四）國(guó)家網信部門規定的其他需要申報數據出境安全評估的情形。

第五條 數據處理者在申報數據出境安全評估前，應當開(kāi)展數據出境風險自評估，重點評估以下事(shì)項：

（一）數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性；

（二）出境數據的規模、範圍、種(zhǒng)類、敏感程度，數據出境可能(néng)對(duì)國(guó)家安全、公共利益、個人或者組織合法權益帶來的風險；

（三）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能(néng)力等能(néng)否保障出境數據的安全；

（四）數據出境中和出境後(hòu)遭到篡改、破壞、洩露、丢失、轉移或者被(bèi)非法獲取、非法利用等的風險，個人信息權益維護的渠道(dào)是否通暢等；

（五）與境外接收方拟訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統稱法律文件）是否充分約定了數據安全保護責任義務；

（六）其他可能(néng)影響數據出境安全的事(shì)項。

第六條 申報數據出境安全評估，應當提交以下材料：

（一）申報書；

（二）數據出境風險自評估報告；

（三）數據處理者與境外接收方拟訂立的法律文件；

（四）安全評估工作需要的其他材料。

第七條 省級網信部門應當自收到申報材料之日起(qǐ)5個工作日内完成(chéng)完備性查驗。申報材料齊全的，將(jiāng)申報材料報送國(guó)家網信部門；申報材料不齊全的，應當退回數據處理者并一次性告知需要補充的材料。

國(guó)家網信部門應當自收到申報材料之日起(qǐ)7個工作日内，确定是否受理并書面(miàn)通知數據處理者。

第八條 數據出境安全評估重點評估數據出境活動可能(néng)對(duì)國(guó)家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事(shì)項：

（一）數據出境的目的、範圍、方式等的合法性、正當性、必要性；

（二）境外接收方所在國(guó)家或者地區的數據安全保護政策法規和網絡安全環境對(duì)出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國(guó)法律、行政法規的規定和強制性國(guó)家标準的要求；

（三）出境數據的規模、範圍、種(zhǒng)類、敏感程度，出境中和出境後(hòu)遭到篡改、破壞、洩露、丢失、轉移或者被(bèi)非法獲取、非法利用等的風險；

（四）數據安全和個人信息權益是否能(néng)夠得到充分有效保障；

（五）數據處理者與境外接收方拟訂立的法律文件中是否充分約定了數據安全保護責任義務；

（六）遵守中國(guó)法律、行政法規、部門規章情況；

（七）國(guó)家網信部門認爲需要評估的其他事(shì)項。

第九條 數據處理者應當在與境外接收方訂立的法律文件中明确約定數據安全保護責任義務，至少包括以下内容：

（一）數據出境的目的、方式和數據範圍，境外接收方處理數據的用途、方式等；

（二）數據在境外保存地點、期限，以及達到保存期限、完成(chéng)約定目的或者法律文件終止後(hòu)出境數據的處理措施；

（三）對(duì)于境外接收方將(jiāng)出境數據再轉移給其他組織、個人的約束性要求；

（四）境外接收方在實際控制權或者經(jīng)營範圍發(fā)生實質性變化，或者所在國(guó)家、地區數據安全保護政策法規和網絡安全環境發(fā)生變化以及發(fā)生其他不可抗力情形導緻難以保障數據安全時，應當采取的安全措施；

（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和争議解決方式；

（六）出境數據遭到篡改、破壞、洩露、丢失、轉移或者被(bèi)非法獲取、非法利用等風險時，妥善開(kāi)展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。

第十條 國(guó)家網信部門受理申報後(hòu)，根據申報情況組織國(guó)務院有關部門、省級網信部門、專門機構等進(jìn)行安全評估。

第十一條 安全評估過(guò)程中，發(fā)現數據處理者提交的申報材料不符合要求的，國(guó)家網信部門可以要求其補充或者更正。數據處理者無正當理由不補充或者更正的，國(guó)家網信部門可以終止安全評估。

數據處理者對(duì)所提交材料的真實性負責，故意提交虛假材料的，按照評估不通過(guò)處理，并依法追究相應法律責任。

第十二條 國(guó)家網信部門應當自向(xiàng)數據處理者發(fā)出書面(miàn)受理通知書之日起(qǐ)45個工作日内完成(chéng)數據出境安全評估；情況複雜或者需要補充、更正材料的，可以适當延長(cháng)并告知數據處理者預計延長(cháng)的時間。

評估結果應當書面(miàn)通知數據處理者。

第十三條 數據處理者對(duì)評估結果有異議的，可以在收到評估結果15個工作日内向(xiàng)國(guó)家網信部門申請複評，複評結果爲最終結論。

第十四條 通過(guò)數據出境安全評估的結果有效期爲2年，自評估結果出具之日起(qǐ)計算。在有效期内出現以下情形之一的，數據處理者應當重新申報評估：

（一）向(xiàng)境外提供數據的目的、方式、範圍、種(zhǒng)類和境外接收方處理數據的用途、方式發(fā)生變化影響出境數據安全的，或者延長(cháng)個人信息和重要數據境外保存期限的；

（二）境外接收方所在國(guó)家或者地區數據安全保護政策法規和網絡安全環境發(fā)生變化以及發(fā)生其他不可抗力情形、數據處理者或者境外接收方實際控制權發(fā)生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的；

（三）出現影響出境數據安全的其他情形。

有效期屆滿，需要繼續開(kāi)展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。

第十五條 參與安全評估工作的相關機構和人員對(duì)在履行職責中知悉的國(guó)家秘密、個人隐私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得洩露或者非法向(xiàng)他人提供、非法使用。

第十六條 任何組織和個人發(fā)現數據處理者違反本辦法向(xiàng)境外提供數據的，可以向(xiàng)省級以上網信部門舉報。

第十七條 國(guó)家網信部門發(fā)現已經(jīng)通過(guò)評估的數據出境活動在實際處理過(guò)程中不再符合數據出境安全管理要求的，應當書面(miàn)通知數據處理者終止數據出境活動。數據處理者需要繼續開(kāi)展數據出境活動的，應當按照要求整改，整改完成(chéng)後(hòu)重新申報評估。

第十八條 違反本辦法規定的，依據《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》、《中華人民共和國(guó)個人信息保護法》等法律法規處理；構成(chéng)犯罪的，依法追究刑事(shì)責任。

第十九條 本辦法所稱重要數據，是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等，可能(néng)危害國(guó)家安全、經(jīng)濟運行、社會穩定、公共健康和安全等的數據。

第二十條 本辦法自2022年9月1日起(qǐ)施行。本辦法施行前已經(jīng)開(kāi)展的數據出境活動，不符合本辦法規定的，應當自本辦法施行之日起(qǐ)6個月内完成(chéng)整改。