國(guó)家互聯(lián)網(wǎng)信息辦公室令 

第11號(hào)

        《數(shù)據(jù)出境安全評(píng)估辦法》已經(jīng)2022年5月19日國(guó)家互聯(lián)網(wǎng)信息辦公室2022年第10次室務(wù)會(huì)議審議通過，現(xiàn)予公布，自2022年9月1日起施行。

 國(guó)家互聯(lián)網(wǎng)信息辦公室主任 莊榮文

2022年7月7日

數(shù)據(jù)出境安全評(píng)估辦法

        第一條 為了規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。 

       第二條 數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。 

       第三條 數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)。 

       第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估： 

     （一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)； 

     （二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息； 

     （三）自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息； 

     （四）國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。 

       第五條 數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，重點(diǎn)評(píng)估以下事項(xiàng)： 

     （一）數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性； 

     （二）出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)； 

     （三）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全； 

     （四）數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等； 

     （五）與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等（以下統(tǒng)稱法律文件）是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)； 

     （六）其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。 

       第六條 申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)提交以下材料： 

     （一）申報(bào)書； 

     （二）數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告； 

     （三）數(shù)據(jù)處理者與境外接收方擬訂立的法律文件； 

     （四）安全評(píng)估工作需要的其他材料。 

       第七條 省級(jí)網(wǎng)信部門應(yīng)當(dāng)自收到申報(bào)材料之日起5個(gè)工作日內(nèi)完成完備性查驗(yàn)。申報(bào)材料齊全的，將申報(bào)材料報(bào)送國(guó)家網(wǎng)信部門；申報(bào)材料不齊全的，應(yīng)當(dāng)退回?cái)?shù)據(jù)處理者并一次性告知需要補(bǔ)充的材料。 

       國(guó)家網(wǎng)信部門應(yīng)當(dāng)自收到申報(bào)材料之日起7個(gè)工作日內(nèi)，確定是否受理并書面通知數(shù)據(jù)處理者。 

       第八條 數(shù)據(jù)出境安全評(píng)估重點(diǎn)評(píng)估數(shù)據(jù)出境活動(dòng)可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)，主要包括以下事項(xiàng)： 

     （一）數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性； 

     （二）境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求； 

     （三）出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)； 

     （四）數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障； 

     （五）數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)； 

     （六）遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況； 

     （七）國(guó)家網(wǎng)信部門認(rèn)為需要評(píng)估的其他事項(xiàng)。 

       第九條 數(shù)據(jù)處理者應(yīng)當(dāng)在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，至少包括以下內(nèi)容： 

     （一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等； 

     （二）數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施； 

     （三）對(duì)于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求； 

     （四）境外接收方在實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國(guó)家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施； 

     （五）違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭(zhēng)議解決方式； 

     （六）出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)時(shí)，妥善開展應(yīng)急處置的要求和保障個(gè)人維護(hù)其個(gè)人信息權(quán)益的途徑和方式。 

       第十條 國(guó)家網(wǎng)信部門受理申報(bào)后，根據(jù)申報(bào)情況組織國(guó)務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估。 

       第十一條 安全評(píng)估過程中，發(fā)現(xiàn)數(shù)據(jù)處理者提交的申報(bào)材料不符合要求的，國(guó)家網(wǎng)信部門可以要求其補(bǔ)充或者更正。數(shù)據(jù)處理者無正當(dāng)理由不補(bǔ)充或者更正的，國(guó)家網(wǎng)信部門可以終止安全評(píng)估。 

       數(shù)據(jù)處理者對(duì)所提交材料的真實(shí)性負(fù)責(zé)，故意提交虛假材料的，按照評(píng)估不通過處理，并依法追究相應(yīng)法律責(zé)任。 

       第十二條 國(guó)家網(wǎng)信部門應(yīng)當(dāng)自向數(shù)據(jù)處理者發(fā)出書面受理通知書之日起45個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估；情況復(fù)雜或者需要補(bǔ)充、更正材料的，可以適當(dāng)延長(zhǎng)并告知數(shù)據(jù)處理者預(yù)計(jì)延長(zhǎng)的時(shí)間。 

       評(píng)估結(jié)果應(yīng)當(dāng)書面通知數(shù)據(jù)處理者。 

       第十三條 數(shù)據(jù)處理者對(duì)評(píng)估結(jié)果有異議的，可以在收到評(píng)估結(jié)果15個(gè)工作日內(nèi)向國(guó)家網(wǎng)信部門申請(qǐng)復(fù)評(píng)，復(fù)評(píng)結(jié)果為最終結(jié)論。 

       第十四條 通過數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期為2年，自評(píng)估結(jié)果出具之日起計(jì)算。在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評(píng)估： 

      （一）向境外提供數(shù)據(jù)的目的、方式、范圍、種類和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化影響出境數(shù)據(jù)安全的，或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的； 

      （二）境外接收方所在國(guó)家或者地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的； 

      （三）出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。 

        有效期屆滿，需要繼續(xù)開展數(shù)據(jù)出境活動(dòng)的，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿60個(gè)工作日前重新申報(bào)評(píng)估。 

       第十五條 參與安全評(píng)估工作的相關(guān)機(jī)構(gòu)和人員對(duì)在履行職責(zé)中知悉的國(guó)家秘密、個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供、非法使用。 

       第十六條 任何組織和個(gè)人發(fā)現(xiàn)數(shù)據(jù)處理者違反本辦法向境外提供數(shù)據(jù)的，可以向省級(jí)以上網(wǎng)信部門舉報(bào)。 

       第十七條 國(guó)家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評(píng)估的數(shù)據(jù)出境活動(dòng)在實(shí)際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應(yīng)當(dāng)書面通知數(shù)據(jù)處理者終止數(shù)據(jù)出境活動(dòng)。數(shù)據(jù)處理者需要繼續(xù)開展數(shù)據(jù)出境活動(dòng)的，應(yīng)當(dāng)按照要求整改，整改完成后重新申報(bào)評(píng)估。 

       第十八條 違反本辦法規(guī)定的，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。 

       第十九條 本辦法所稱重要數(shù)據(jù)，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。 

       第二十條 本辦法自2022年9月1日起施行。本辦法施行前已經(jīng)開展的數(shù)據(jù)出境活動(dòng)，不符合本辦法規(guī)定的，應(yīng)當(dāng)自本辦法施行之日起6個(gè)月內(nèi)完成整改。