痴汉 数据出境安全评估见地

国度互联网信息办公室令痴汉

第11号

《数据出境安全评估见地》照旧2022年5月19日国度互联网信息办公室2022年第10次室务会议审议通过，现予公布，自2022年9月1日起扩展。

国度互联网信息办公室主任 庄荣文

2022年7月7日

数据出境安全评估见地

第一条 为了范例数据出境活动，保护个东谈主信息权利，留神国度安全和社会行家利益，促进数据跨境安全、解放流动，把柄《中华东谈主民共和国采集安全法》、《中华东谈主民共和国数据安全法》、《中华东谈主民共和国个东谈主信息保护法》等法律法令，制定本见地。

第二条 数据处理者向境外提供在中华东谈主民共和国境内运营中采集和产生的弥留数据和个东谈主信息的安全评估，适用本见地。法律、行政法令另有章程的，依照其章程。

第三条 数据出境安全评估坚捏事先评估和捏续监督相聚合、风险自评估与安全评估相聚合，驻守数据出境安全风险，保险数据照章有序解放流动。

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国度网信部门呈文数据出境安全评估：

（一）数据处理者向境外提供弥留数据；

（二）环节信息基础法子运营者和处理100万东谈主以上个东谈主信息的数据处理者向境外提供个东谈主信息；

（三）自上年1月1日起累计向境外提供10万东谈主个东谈主信息或者1万东谈主敏锐个东谈主信息的数据处理者向境外提供个东谈主信息；

（四）国度网信部门章程的其他需要呈文数据出境安全评估的情形。

第五条 数据处理者在呈文数据出境安全评估前，应当开展数据出境风险自评估，要点评估以下事项：

（一）数据出境和境外给与方处理数据的指标、鸿沟、神志等的正当性、梗直性、必要性；

（二）出境数据的限制、鸿沟、种类、敏锐进度，数据出境可能对国度安全、行家利益、个东谈主或者组织正当权利带来的风险；

（三）境外给与方容许承担的包袱义务，以及履行包袱义务的料理和技艺措施、材干等能否保险出境数据的安全；

（四）数据出境中庸出境后遭到蜕变、破损、显露、丢失、移动或者被罪人获得、罪人诈欺等的风险，个东谈主信息权利留神的渠谈是否绽放等；

（五）与境外给与方拟刚烈的数据出境干系协议或者其他具有法律效率的文献等（以下统称法律文献）是否充分商定了数据安全保护包袱义务；

（六）其他可能影响数据出境安全的事项痴汉。

第六条 呈文数据出境安全评估，应当提交以下材料：

（一）呈通知；

（二）数据出境风险自评估论说；

（三）数据处理者与境外给与方拟刚烈的法律文献；

（四）安全评估责任需要的其他材料。

第七条 省级网信部门应当自收到呈文材料之日起5个责任日内完成完备性搜检。呈文材料王人全的，洋萝莉系将呈文材料报送国度网信部门；呈文材料不王人全的，应当退回数据处理者并一次性见知需要补充的材料。

国度网信部门应当自收到呈文材料之日起7个责任日内，详情是否受理并书面陈说数据处理者。

第八条 数据出境安全评估要点评估数据出境活动可能对国度安全、行家利益、个东谈主或者组织正当权利带来的风险，主要包括以下事项：

（一）数据出境的指标、鸿沟、神志等的正当性、梗直性、必要性；

（二）境外给与方所在国度或者地区的数据安全保护战术法令和采集安全环境对出境数据安全的影响；境外给与方的数据保护水平是否达到中华东谈主民共和国法律、行政法令的章程和强制性国度圭表的条款；

（三）出境数据的限制、鸿沟、种类、敏锐进度，出境中庸出境后遭到蜕变、破损、显露、丢失、移动或者被罪人获得、罪人诈欺等的风险；

（四）数据安全和个东谈主信息权利是否或者得到充分灵验保险；

（五）数据处理者与境外给与方拟刚烈的法律文献中是否充分商定了数据安全保护包袱义务；

（六）顺从中国法律、行政法令、部门方式情况；

（七）国度网信部门以为需要评估的其他事项。

第九条 数据处理者应当在与境外给与方刚烈的法律文献中明确商定数据安全保护包袱义务，至少包括以下内容：

（一）数据出境的指标、神志和数据鸿沟，境外给与方处理数据的用途、神志等；

（二）数据在境外保存所在、期限，以及达到保存期限、完成商定指标或者法律文献休止后出境数据的处理措施；

（三）关于境外给与方将出境数据再移动给其他组织、个东谈主的拘谨性条款；

（四）境外给与方在执行戒指权或者缱绻鸿沟发生骨子性变化，或者所在国度、地区数据安全保护战术法令和采集安全环境发生变化以及发生其他不行抗力情形导致难以保险数据安全时，应当汲取的安全措施；

（五）违抗法律文献商定的数据安全保护义务的转圜措施、背约包袱和争议处治神志；

（六）出境数据遭到蜕变、破损、显露、丢失、移动或者被罪人获得、罪人诈欺等风险时，妥善开展救急处置的要乞降保险个东谈主留神其个东谈主信息权利的门道和神志。

第十条 国度网信部门受理呈文后，把柄呈文情况组织国务院量度部门、省级网信部门、专门机构等进行安全评估。

第十一条 安全评估经过中，发现数据处理者提交的呈文材料不稳健条款的，国度网信部门不错条款其补充或者鼎新。数据处理者无梗直根由不补充或者鼎新的，国度网信部门不错休止安全评估。

数据处理者对所提交材料的真正性认真，挑升提交无理材料的，按照评估欠亨过处理，并照章根究相应法律包袱。

第十二条 国度网信部门应当自向数据处理者发出版面受理陈评话之日起45个责任日内完成数据出境安全评估；情况复杂或者需要补充、鼎新材料的，不错适合延迟并见知数据处理者瞻望延迟的时辰。

评估效率应当书面陈说数据处理者。

第十三条 数据处理者对评估效率有异议的，不错在收到评估效率15个责任日内向国度网信部门肯求复评，复评效率为最终论断。

第十四条 通过数据出境安全评估的效率灵验期为2年，自评估效率出具之日起狡计。在灵验期内出现以下情形之一的，数据处理者应当再行呈文评估：

（一）向境外提供数据的指标、神志、鸿沟、种类和境外给与方处理数据的用途、神志发生变化影响出境数据安全的，或者延迟个东谈主信息和弥留数据境外保存期限的；

（二）境外给与方所在国度或者地区数据安全保护战术法令和采集安全环境发生变化以及发生其他不行抗力情形、数据处理者或者境外给与方执行戒指权发生变化、数据处理者与境外给与方式律文献变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

灵验期届满，需要不竭开展数据出境活动的，数据处理者应当在灵验期届满60个责任日前再行呈文评估。

第十五条 参与安全评估责任的干系机构和东谈主员对在履行职责中瞻念察的国度机密、个东谈主诡秘、个东谈主信息、交易机密、守密商务信息等数据应当照章赐与守密，不得显露或者罪人向他东谈主提供、罪人使用。

第十六条 任何组织和个东谈主发现数据处理者违抗本见地向境外提供数据的，不错向省级以上网信部门举报。

第十七条 国度网信部门发现照旧通过评估的数据出境活动在执行处理经过中不再稳健数据出境安全料理条款的，应当书面陈说数据处理者休止数据出境活动。数据处理者需要不竭开展数据出境活动的，应当按照条款整改，整改完成后再行呈文评估。

第十八条 违抗本见地章程的，依据《中华东谈主民共和国采集安全法》、《中华东谈主民共和国数据安全法》、《中华东谈主民共和国个东谈主信息保护法》等法律法令处理；组成违警的，照章根究处分。

第十九条 本见地所称弥留数据，是指一朝遭到蜕变、破损、显露或者罪人获得、罪人诈欺等，可能危害国度安全、经济初始、社会融会、行家健康和安全等的数据。

第二十条 本见地自2022年9月1日起扩展。本见地扩展前照旧开展的数据出境活动，不稳健本见地章程的痴汉，应当自本见地扩展之日起6个月内完成整改。