7月7日,國家網際網路資訊辦公室公佈《資料出境安全評估辦法》(以下簡稱《辦法》),自2022年9月1日起施行。國家網際網路資訊辦公室有關負責人表示,出臺《辦法》旨在落實《網路安全法》、《資料安全法》、《個人資訊保護法》的規定,規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,切實以安全保發展、以發展促安全。
近年來,隨著數字經濟的蓬勃發展,資料跨境活動日益頻繁,資料處理者的資料出境需求快速增長。明確資料出境安全評估的具體規定,是促進數字經濟健康發展、防範化解資料跨境安全風險的需要,是維護國家安全和社會公共利益的需要,是保護個人資訊權益的需要。《辦法》規定了資料出境安全評估的範圍、條件和程式,為資料出境安全評估工作提供了具體指引。
《辦法》明確,資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和個人資訊的安全評估適用本辦法。提出資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。
《辦法》規定了應當申報資料出境安全評估的情形,包括資料處理者向境外提供重要資料、關鍵資訊基礎設施運營者和處理100萬人以上個人資訊的資料處理者向境外提供個人資訊、自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊以及國家網信部門規定的其他需要申報資料出境安全評估的情形。
《辦法》提出了資料出境安全評估的具體要求,規定資料處理者在申報資料出境安全評估前應當開展資料出境風險自評估並明確了重點評估事項。規定資料處理者在與境外接收方訂立的法律檔案中明確約定資料安全保護責任義務,在資料出境安全評估有效期內發生影響資料出境安全的情形應當重新申報評估。此外,還明確了資料出境安全評估程式、監督管理制度、法律責任以及合規整改要求等。
附辦法全文:
國家網際網路資訊辦公室令
第11號
《資料出境安全評估辦法》已經2022年5月19日國家網際網路資訊辦公室2022年第10次室務會議審議通過,現予公佈,自2022年9月1日起施行。
國家網際網路資訊辦公室主任 莊榮文
2022年7月7日
資料出境安全評估辦法
第一條 為了規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規,制定本辦法。
第二條 資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和個人資訊的安全評估,適用本辦法。法律、行政法規另有規定的,依照其規定。
第三條 資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範資料出境安全風險,保障資料依法有序自由流動。
第四條 資料處理者向境外提供資料,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估:
(一)資料處理者向境外提供重要資料;
(二)關鍵資訊基礎設施運營者和處理100萬人以上個人資訊的資料處理者向境外提供個人資訊;
(三)自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊;
(四)國家網信部門規定的其他需要申報資料出境安全評估的情形。
第五條 資料處理者在申報資料出境安全評估前,應當開展資料出境風險自評估,重點評估以下事項:
(一)資料出境和境外接收方處理資料的目的、範圍、方式等的合法性、正當性、必要性;
(二)出境資料的規模、範圍、種類、敏感程度,資料出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境資料的安全;
(四)資料出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人資訊權益維護的渠道是否通暢等;
(五)與境外接收方擬訂立的資料出境相關合同或者其他具有法律效力的檔案等(以下統稱法律檔案)是否充分約定了資料安全保護責任義務;
(六)其他可能影響資料出境安全的事項。
第六條 申報資料出境安全評估,應當提交以下材料:
(一)申報書;
(二)資料出境風險自評估報告;
(三)資料處理者與境外接收方擬訂立的法律檔案;
(四)安全評估工作需要的其他材料。
第七條 省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的,將申報材料報送國家網信部門;申報材料不齊全的,應當退回資料處理者並一次性告知需要補充的材料。
國家網信部門應當自收到申報材料之日起7個工作日內,確定是否受理並書面通知資料處理者。
第八條 資料出境安全評估重點評估資料出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)資料出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外接收方所在國家或者地區的資料安全保護政策法規和網路安全環境對出境資料安全的影響;境外接收方的資料保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
(三)出境資料的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險;
(四)資料安全和個人資訊權益是否能夠得到充分有效保障;
(五)資料處理者與境外接收方擬訂立的法律檔案中是否充分約定了資料安全保護責任義務;
(六)遵守中國法律、行政法規、部門規章情況;
(七)國家網信部門認為需要評估的其他事項。
第九條 資料處理者應當在與境外接收方訂立的法律檔案中明確約定資料安全保護責任義務,至少包括以下內容:
(一)資料出境的目的、方式和資料範圍,境外接收方處理資料的用途、方式等;
(二)資料在境外儲存地點、期限,以及達到儲存期限、完成約定目的或者法律檔案終止後出境資料的處理措施;
(三)對於境外接收方將出境資料再轉移給其他組織、個人的約束性要求;
(四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區資料安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形導致難以保障資料安全時,應當採取的安全措施;
(五)違反法律檔案約定的資料安全保護義務的補救措施、違約責任和爭議解決方式;
(六)出境資料遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人資訊權益的途徑和方式。
第十條 國家網信部門受理申報後,根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。
第十一條 安全評估過程中,發現資料處理者提交的申報材料不符合要求的,國家網信部門可以要求其補充或者更正。資料處理者無正當理由不補充或者更正的,國家網信部門可以終止安全評估。
資料處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,並依法追究相應法律責任。
第十二條 國家網信部門應當自向資料處理者發出書面受理通知書之日起45個工作日內完成資料出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知資料處理者預計延長的時間。
評估結果應當書面通知資料處理者。
第十三條 資料處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果為最終結論。
第十四條 通過資料出境安全評估的結果有效期為2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,資料處理者應當重新申報評估:
(一)向境外提供資料的目的、方式、範圍、種類和境外接收方處理資料的用途、方式發生變化影響出境資料安全的,或者延長個人資訊和重要資料境外儲存期限的;
(二)境外接收方所在國家或者地區資料安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形、資料處理者或者境外接收方實際控制權發生變化、資料處理者與境外接收方法律檔案變更等影響出境資料安全的;
(三)出現影響出境資料安全的其他情形。
有效期屆滿,需要繼續開展資料出境活動的,資料處理者應當在有效期屆滿60個工作日前重新申報評估。
第十五條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家祕密、個人隱私、個人資訊、商業祕密、保密商務資訊等資料應當依法予以保密,不得洩露或者非法向他人提供、非法使用。
第十六條 任何組織和個人發現資料處理者違反本辦法向境外提供資料的,可以向省級以上網信部門舉報。
第十七條 國家網信部門發現已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的,應當書面通知資料處理者終止資料出境活動。資料處理者需要繼續開展資料出境活動的,應當按照要求整改,整改完成後重新申報評估。
第十八條 違反本辦法規定的,依據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
第十九條 本辦法所稱重要資料,是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟執行、社會穩定、公共健康和安全等的資料。
第二十條 本辦法自2022年9月1日起施行。本辦法施行前已經開展的資料出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。
來源:網信中國
每日漲知識
非對稱加密
非對稱加密演算法需要兩個金鑰:公開金鑰(publickey:簡稱公鑰)和私有金鑰(privatekey:簡稱私鑰)。公鑰與私鑰是一對,如果用公鑰對資料進行加密,只有用對應的私鑰才能解密。
推薦文章++++
* 伊朗大型鋼鐵公司IT系統遭網路攻擊
* 烏克蘭人損失2262萬元!一犯罪團伙通過經濟援助釣魚網站實施詐騙
* HackerOne內部員工竊取漏洞報告
* RansomHouse團伙聲稱從AMD竊取了450GB的資料
* 涉案金額超8800萬美元!Avaya員工因銷售盜版許可證被起訴
* CafePress因資料保護不力被罰款50萬美元
* 價值近一億美元,Harmony鉅額加密貨幣資產失竊
﹀
﹀
﹀