白丝 萝莉 数据出境安全评估方针
国度互联网信息办公室令白丝 萝莉
第11号
《数据出境安全评估方针》一经2022年5月19日国度互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起扩充。
国度互联网信息办公室主任 庄荣文
2022年7月7日
数据出境安全评估方针
第一条 为了范例数据出境算作,保护个东谈主信息职权,珍爱国度安全和社会宇宙利益,促进数据跨境安全、目田流动,证据《中华东谈主民共和国集会安全法》、《中华东谈主民共和国数据安全法》、《中华东谈主民共和国个东谈主信息保护法》等法律法例,制定本方针。
第二条 数据处理者向境外提供在中华东谈主民共和国境内运营中网罗和产生的进犯数据和个东谈主信息的安全评估,适用本方针。法律、行政法例另有公法的,依照其公法。
第三条 数据出境安全评估坚捏事先评估和捏续监督相聚会、风险自评估与安全评估相聚会,防护数据出境安全风险,保险数据照章有序目田流动。
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国度网信部门呈报数据出境安全评估:
(一)数据处理者向境外提供进犯数据;
(二)要道信息基础门径运营者和处理100万东谈主以上个东谈主信息的数据处理者向境外提供个东谈主信息;
(三)自上年1月1日起累计向境外提供10万东谈主个东谈主信息或者1万东谈主敏锐个东谈主信息的数据处理者向境外提供个东谈主信息;
(四)国度网信部门公法的其他需要呈报数据出境安全评估的情形。
第五条 数据处理者在呈报数据出境安全评估前,应当开展数据出境风险自评估,要点评估以下事项:
(一)数据出境和境外接收方处理数据的狡计、范围、形貌等的正当性、正派性、必要性;
(二)出境数据的范围、范围、种类、敏锐进程,数据出境可能对国度安全、宇宙利益、个东谈主或者组织正当职权带来的风险;
(三)境外接收方欢跃承担的背负义务,以及履行背负义务的照管和期间算作、智力等能否保险出境数据的安全;
(四)数据出境中庸出境后遭到批改、破裂、清晰、丢失、滚动或者被违警取得、违警诈骗等的风险,个东谈主信息职权珍爱的渠谈是否流通等;
(五)与境外接收方拟签订的数据出境联系左券或者其他具有法律着力的文献等(以下统称法律文献)是否充分商定了数据安全保护背负义务;
(六)其他可能影响数据出境安全的事项白丝 萝莉。
第六条 呈报数据出境安全评估,应当提交以下材料:
(一)呈报书;
(二)数据出境风险自评估说明;
(三)数据处理者与境外接收方拟签订的法律文献;
(四)安全评估使命需要的其他材料。
第七条 省级网信部门应当自收到呈报材料之日起5个使命日内完成完备性搜检。呈报材料王人全的,将呈报材料报送国度网信部门;呈报材料不王人全的,应当归赵数据处理者并一次性见告需要补充的材料。
国度网信部门应当自收到呈报材料之日起7个使命日内,细目是否受理并书面讲演数据处理者。
第八条 数据出境安全评估要点评估数据出境算作可能对国度安全、宇宙利益、个东谈主或者组织正当职权带来的风险,主要包括以下事项:
(一)数据出境的狡计、范围、形貌等的正当性、正派性、必要性;
(二)境外接收方所在国度或者地区的数据安全保护战术法例和集会安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华东谈主民共和国法律、行政法例的公法和强制性国度表率的条款;
(三)出境数据的范围、范围、种类、敏锐进程,出境中庸出境后遭到批改、破裂、清晰、丢失、滚动或者被违警取得、违警诈骗等的风险;
(四)数据安全和个东谈主信息职权是否巧合得到充分有用保险;
(五)数据处理者与境外接收方拟签订的法律文献中是否充分商定了数据安全保护背负义务;
(六)投诚中国法律、行政法例、部门规矩情况;
(七)国度网信部门合计需要评估的其他事项。
第九条 数据处理者应当在与境外接收方签订的法律文献中明确商定数据安全保护背负义务,至少包括以下内容:
(一)数据出境的狡计、形貌和数据范围,境外接收方处理数据的用途、形貌等;
(二)数据在境外保存方位、期限,以及达到保存期限、完成商定狡计或者法律文献断绝后出境数据的处理算作;
(三)关于境外接收方将出境数据再滚动给其他组织、个东谈主的不绝性条款;
(四)境外接收方在执行适度权或者谋略范围发生本体性变化,或者所在国度、地区数据安全保护战术法例和集会安全环境发生变化以及发生其他不成抗力情形导致难以保险数据安全时,应当接收的安全算作;
(五)违背法律文献商定的数据安全保护义务的支援算作、误期背负和争议处分心情;
免费午夜电影(六)出境数据遭到批改、破裂、清晰、丢失、滚动或者被违警取得、违警诈骗等风险时,妥善开展救急处置的要乞降保险个东谈主珍爱其个东谈主信息职权的道路和形貌。
第十条 国度网信部门受理呈报后,证据呈报情况组织国务院推敲部门、省级网信部门、专门机构等进行安全评估。
第十一条 安全评估流程中,发现数据处理者提交的呈报材料不妥当条款的,国度网信部门不错条款其补充或者雠校。数据处理者无正派原理不补充或者雠校的,国度网信部门不错断绝安全评估。
数据处理者对所提交材料的真正性精致,挑升提交造作材料的,按照评估欠亨过处理,并照章根究相应法律背负。
第十二条 国度网信部门应当自向数据处理者发出版面受理讲演书之日起45个使命日内完成数据出境安全评估;情况复杂或者需要补充、雠校材料的,不错适合延伸并见告数据处理者瞻望延伸的时期。
评估后果应当书面讲演数据处理者。
第十三条 数据处理者对评估后果有异议的,不错在收到评估后果15个使命日内向国度网信部门苦求复评,复评后果为最终论断。
第十四条 通过数据出境安全评估的后果有用期为2年,自评估后果出具之日起计较。在有用期内出现以下情形之一的,数据处理者应当从头呈报评估:
(一)向境外提供数据的狡计、形貌、范围、种类和境外接收方处理数据的用途、形貌发生变化影响出境数据安全的,或者延伸个东谈主信息和进犯数据境外保存期限的;
(二)境外接收方所在国度或者地区数据安全保护战术法例和集会安全环境发生变化以及发生其他不成抗力情形、数据处理者或者境外接收方执行适度权发生变化、数据处理者与境外接收形式律文献变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有用期届满,需要连接开展数据出境算作的,数据处理者应当在有用期届满60个使命日前从头呈报评估。
第十五条 参与安全评估使命的联系机构和东谈主员对在履行职责中洞悉的国度神秘、个东谈主诡秘、个东谈主信息、营业神秘、隐蔽商务信息等数据应当照章给予隐蔽,不得清晰或者违警向他东谈主提供、违警使用。
第十六条 任何组织和个东谈主发现数据处理者违背本方针向境外提供数据的,不错向省级以上网信部门举报。
第十七条 国度网信部门发现一经通过评估的数据出境算作在执行处理流程中不再妥当数据出境安全照管条款的,应当书面讲演数据处理者断绝数据出境算作。数据处理者需要连接开展数据出境算作的,应当按照条款整改,整改完成后从头呈报评估。
第十八条 违背本方针例则的,依据《中华东谈主民共和国集会安全法》、《中华东谈主民共和国数据安全法》、《中华东谈主民共和国个东谈主信息保护法》等法律法例处理;组成犯警的,照章根究处分。
第十九条 本方针所称进犯数据,是指一朝遭到批改、破裂、清晰或者违警取得、违警诈骗等,可能危害国度安全、经济驱动、社会踏实、宇宙健康和安全等的数据。
第二十条 本方针自2022年9月1日起扩充。本方针扩充前一经开展的数据出境算作白丝 萝莉,不妥当本方针例则的,应当自本方针扩充之日起6个月内完成整改。