促進(jìn)和規範數據跨境流動規定
2024-03-25
國(guó)家互聯網信息辦公室令
國(guó)家互聯網信息辦公室主任 莊榮文 2024年3月22日 促進(jìn)和規範數據 第二條 數據處理者應當按照相關規定識别、申報重要數據。未被(bèi)相關部門、地區告知或者公開(kāi)發(fā)布爲重要數據的,數據處理者不需要作爲重要數據申報數據出境安全評估。 第三條 國(guó)際貿易、跨境運輸、學(xué)術合作、跨國(guó)生産制造和市場營銷等活動中收集和産生的數據向(xiàng)境外提供,不包含個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境标準合同、通過(guò)個人信息保護認證。 第四條 數據處理者在境外收集和産生的個人信息傳輸至境内處理後(hòu)向(xiàng)境外提供,處理過(guò)程中沒(méi)有引入境内個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境标準合同、通過(guò)個人信息保護認證。 第五條 數據處理者向(xiàng)境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境标準合同、通過(guò)個人信息保護認證: (一)爲訂立、履行個人作爲一方當事(shì)人的合同,如跨境購物、跨境寄遞、跨境彙款、跨境支付、跨境開(kāi)戶、機票酒店預訂、簽證辦理、考試服務等,确需向(xiàng)境外提供個人信息的; (二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,确需向(xiàng)境外提供員工個人信息的; (三)緊急情況下爲保護自然人的生命健康和财産安全,确需向(xiàng)境外提供個人信息的; (四)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起(qǐ)累計向(xiàng)境外提供不滿10萬人個人信息(不含敏感個人信息)的。 前款所稱向(xiàng)境外提供的個人信息,不包括重要數據。 第六條 自由貿易試驗區在國(guó)家數據分類分級保護制度框架下,可以自行制定區内需要納入數據出境安全評估、個人信息出境标準合同、個人信息保護認證管理範圍的數據清單(以下簡稱負面(miàn)清單),經(jīng)省級網絡安全和信息化委員會批準後(hòu),報國(guó)家網信部門、國(guó)家數據管理部門備案。 自由貿易試驗區内數據處理者向(xiàng)境外提供負面(miàn)清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境标準合同、通過(guò)個人信息保護認證。 第七條 數據處理者向(xiàng)境外提供數據,符合下列條件之一的,應當通過(guò)所在地省級網信部門向(xiàng)國(guó)家網信部門申報數據出境安全評估: (一)關鍵信息基礎設施運營者向(xiàng)境外提供個人信息或者重要數據; (二)關鍵信息基礎設施運營者以外的數據處理者向(xiàng)境外提供重要數據,或者自當年1月1日起(qǐ)累計向(xiàng)境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。 屬于本規定第三條、第四條、第五條、第六條規定情形的,從其規定。 第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起(qǐ)累計向(xiàng)境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境标準合同或者通過(guò)個人信息保護認證。 屬于本規定第三條、第四條、第五條、第六條規定情形的,從其規定。 第九條 通過(guò)數據出境安全評估的結果有效期爲3年,自評估結果出具之日起(qǐ)計算。有效期屆滿,需要繼續開(kāi)展數據出境活動且未發(fā)生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日内通過(guò)所在地省級網信部門向(xiàng)國(guó)家網信部門提出延長(cháng)評估結果有效期申請。經(jīng)國(guó)家網信部門批準,可以延長(cháng)評估結果有效期3年。 第十條 數據處理者向(xiàng)境外提供個人信息的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進(jìn)行個人信息保護影響評估等義務。 第十一條 數據處理者向(xiàng)境外提供數據的,應當遵守法律、法規的規定,履行數據安全保護義務,采取技術措施和其他必要措施,保障數據出境安全。發(fā)生或者可能(néng)發(fā)生數據安全事(shì)件的,應當采取補救措施,及時向(xiàng)省級以上網信部門和其他有關主管部門報告。 第十二條 各地網信部門應當加強對(duì)數據處理者數據出境活動的指導監督,健全完善數據出境安全評估制度,優化評估流程;強化事(shì)前事(shì)中事(shì)後(hòu)全鏈條全領域監管,發(fā)現數據出境活動存在較大風險或者發(fā)生數據安全事(shì)件的,要求數據處理者進(jìn)行整改,消除隐患;對(duì)拒不改正或者造成(chéng)嚴重後(hòu)果的,依法追究法律責任。 第十三條 2022年7月7日公布的《數據出境安全評估辦法》(國(guó)家互聯網信息辦公室令第11号)、2023年2月22日公布的《個人信息出境标準合同辦法》(國(guó)家互聯網信息辦公室令第13号)等相關規定與本規定不一緻的,适用本規定。 第十四條 本規定自公布之日起(qǐ)施行。
