為了規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,依據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規,我辦起草了《資料出境安全評估辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見:
1、登入中華人民共和國司法部 中國政府法制資訊網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主選單的“立法意見徵集”欄目提出意見。
2、通過電子郵件將意見傳送至:shujuju@cac.gov.cn。
3、通過信函將意見寄至:北京市西城區車公莊大街11號國家網際網路資訊辦公室網路資料管理局,郵編:100044,並在信封上註明“資料出境安全評估辦法徵求意見”。
意見反饋截止時間為2021年11月28日。
附件:資料出境安全評估辦法(徵求意見稿)
國家網際網路資訊辦公室
2021年10月29日
資料出境安全評估辦法
(徵求意見稿)
第一條 為了規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規,制定本辦法。
第二條 資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和依法應當進行安全評估的個人資訊,應當按照本辦法的規定進行安全評估;法律、行政法規另有規定的,依照其規定。
第三條 資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範資料出境安全風險,保障資料依法有序自由流動。
第四條 資料處理者向境外提供資料,符合以下情形之一的,應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估。
(一)關鍵資訊基礎設施的運營者收集和產生的個人資訊和重要資料;
(二)出境資料中包含重要資料;
(三)處理個人資訊達到一百萬人的個人資訊處理者向境外提供個人資訊;
(四)累計向境外提供超過十萬人以上個人資訊或者一萬人以上敏感個人資訊;
(五)國家網信部門規定的其他需要申報資料出境安全評估的情形。
第五條 資料處理者在向境外提供資料前,應事先開展資料出境風險自評估,重點評估以下事項:
(一)資料出境及境外接收方處理資料的目的、範圍、方式等的合法性、正當性、必要性;
(二)出境資料的數量、範圍、種類、敏感程度,資料出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)資料處理者在資料轉移環節的管理和技術措施、能力等能否防範資料洩露、毀損等風險;
(四)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境資料的安全;
(五)資料出境和再轉移後洩露、毀損、篡改、濫用等的風險,個人維護個人資訊權益的渠道是否通暢等;
(六)與境外接收方訂立的資料出境相關合同是否充分約定了資料安全保護責任義務。
第六條 申報資料出境安全評估,應當提交以下材料:
(一)申報書;
(二)資料出境風險自評估報告;
(三)資料處理者與境外接收方擬訂立的合同或者其他具有法律效力的檔案等(以下統稱合同);
(四)安全評估工作需要的其他材料。
第七條 國家網信部門自收到申報材料之日起七個工作日內,確定是否受理評估並以書面通知形式反饋受理結果。
第八條 資料出境安全評估重點評估資料出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)資料出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外接收方所在國家或者地區的資料安全保護政策法規及網路安全環境對出境資料安全的影響;境外接收方的資料保護水平是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求;
(三)出境資料的數量、範圍、種類、敏感程度,出境中和出境後洩露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險;
(四)資料安全和個人資訊權益是否能夠得到充分有效保障;
(五)資料處理者與境外接收方訂立的合同中是否充分約定了資料安全保護責任義務;
(六)遵守中國法律、行政法規、部門規章情況;
(七)國家網信部門認為需要評估的其他事項。
第九條 資料處理者與境外接收方訂立的合同充分約定資料安全保護責任義務,應當包括但不限於以下內容:
(一)資料出境的目的、方式和資料範圍,境外接收方處理資料的用途、方式等;
(二)資料在境外儲存地點、期限,以及達到儲存期限、完成約定目的或者合同終止後出境資料的處理措施;
(三)限制境外接收方將出境資料再轉移給其他組織、個人的約束條款;
(四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障資料安全時,應當採取的安全措施;
(五)違反資料安全保護義務的違約責任和具有約束力且可執行的爭議解決條款;
(六)發生資料洩露等風險時,妥善開展應急處置,並保障個人維護個人資訊權益的通暢渠道。
第十條 國家網信部門受理申報後,組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。
涉及重要資料出境的,國家網信部門徵求相關行業主管部門意見。
第十一條 國家網信部門自出具書面受理通知書之日起四十五個工作日內完成資料出境安全評估;情況複雜或者需要補充材料的,可以適當延長,但一般不超過六十個工作日。
評估結果以書面形式通知資料處理者。
第十二條 資料出境評估結果有效期二年。在有效期內出現以下情形之一的,資料處理者應當重新申報評估:
(一)向境外提供資料的目的、方式、範圍、型別和境外接收方處理資料的用途、方式發生變化,或者延長個人資訊和重要資料境外儲存期限的;
(二)境外接收方所在國家或者地區法律環境發生變化,資料處理者或者境外接收方實際控制權發生變化,資料處理者與境外接收方合同變更等可能影響出境資料安全的;
(三)出現影響出境資料安全的其他情形。
有效期屆滿,需要繼續開展原資料出境活動的,資料處理者應當在有效期屆滿六十個工作日前重新申報評估。
未按本條規定重新申報評估的,應當停止資料出境活動。
第十三條 資料處理者應當按照本辦法的規定提交評估材料,材料不齊全或者不符合要求的,應當及時補充或者更正,拒不補充或者更正的,國家網信部門可以終止安全評估;資料處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理。
第十四條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家祕密、個人隱私、個人資訊、商業祕密、保密商務資訊等資料應當依法予以保密,不得洩露或者非法向他人提供。
第十五條 任何組織和個人發現資料處理者未按照本辦法規定進行評估向境外提供資料的,可以向省級以上網信部門投訴、舉報。
第十六條 國家網信部門發現已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的,應當撤銷評估結果並書面通知資料處理者,資料處理者應當終止資料出境活動。需要繼續開展資料出境活動的,資料處理者應當按照要求進行整改,並在整改完成後重新申報評估。
第十七條 違反本辦法規定的,依照《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規的規定處理;構成犯罪的,依法追究刑事責任。
第十八條 本辦法自 年 月 日起施行。
轉載自:中國網信網
推薦文章++++
* 17歲少年將不義之財投資加密貨幣獲利200萬英鎊
* 暗網黑市1.4億交易流水背後的150名非法交易者被捕
* 多國打擊下REvil再次關閉,勒索軟體團伙號召聯合對抗
* 今年對俄羅斯公司的DDoS攻擊是去年兩倍
* 賽門鐵克發現新APT組織,針對阿富汗電信、IT及政府機構
* 美國大範圍電視臺停播,最大廣播集團之一遭勒索軟體攻擊
* 小心Excel文件,TA505黑客組織利用其執行攻擊
﹀
﹀
﹀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com