第一 条 为了 规范 数据 出境 活动 , 保护 个人 信息 权益 , 维护 国家 和 社会 公共 利益 , 跨境 安全 《中华人民共和国 权益 、 中华人民共和国 《中华人民共和国《中华人民共和国 个人 信息 保护 法》 等 法律 法规 , 制定 本 办法。
第二 条 数据 处理 者 向 境外 提供 在 中华人民共和国 境内 运营 中 收集 和 产生 的 重要 数据 和 的 安全 评估 , 办法 法律 、 行政 , 评估 , 、 行政 的 , 依照
第三 条 数据 出境 安全 评估 坚持 事前 评估 和 持续 监督 相 结合 、 风险 自 评估 与 安全 结合 , 防范 数据 保障 数据 依法
第四 条 数据 处理 者 向 境外 提供 数据 , 有 下列 情形 之一 的 , 应当 通过 所在地 省级 向 国家 网 申报 数据 出境 安全
(一) 数据 处理 者 向 境外 提供 重要 数据 ;
(二) 关键 信息 基础 设施 运营 者 和 处理 100 万人 以上 个人 信息 的 数据 处理 者 向 境外 提供 个人 信息
(三) 自 上年 1 月 1 日 起 累计 向 境外 提供 10 万人 个人 信息 或者 1 万人 敏感 个人 信息 的 数据 处理 者 向 境外 提供 个人 信息 ;
(四) 国家 网 信 部门 规定 的 其他 需要 申报 数据 出境 安全 评估 的 情形。
第五 条 数据 处理 者 在 申报 数据 出境 安全 评估 前 , 应当 开展 数据 出境 风险 自 评估 , 重点 评估 以下 事项
(一) 数据 出境 和 境外 接收 方 处理 数据 的 目的 、 范围 、 方式 等 的 合法性 、 正当性 、 必要性
(二) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 数据 出境 可能 对 安全 利益 、 、 合法 权益 带来 的
(三) 境外 接收 方 承诺 承担 的 责任 义务 , 以及 履行 责任 义务 的 管理 和 技术 等 等 保障 数据 的 安全
(四) 数据 出境 中 和 出境 后 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 获取 、 非法 利用 , 个人 信息 权益
(五) 与 境外 接收 方 拟订 立 的 数据 出境 相关 合同 或者 其他 具有 法律 效力 统称 统称 约定 了 数据
(六) 其他 可能 影响 数据 出境 安全 的 事项。
第六 条 申报 数据 出境 安全 评估 , 应当 提交 以下 材料 :
(一) 申报 书 ;
(二) 数据 出境 风险 自 评估 报告 ;
(三) 数据 处理 者 与 境外 接收 方 拟订 立 的 法律 文件 ;
(四) 安全 评估 工作 需要 的 其他 材料。
第七 条 省级 网 信 部门 应当 自 收到 申报 材料 之 日 5 个 工作 日内 完成 完备 性 申报 材料 齐全 齐全 报送 国家 网 材料 完成 国家 申报 材料 不数据 处理 者 并 一次性 告知 需要 补充 的 材料。
国家 网 信 部门 应当 自 收到 申报 材料 之 日 起 7 个 工作 日内 , 确定 是否 受理 并 书面 通知 数据 处理 者
第八 条 数据 出境 安全 评估 重点 评估 数据 出境 活动 可能 对 国家 安全 、 公共 利益 、 合法 权益 带来 的 主要 包括 以下 利益
(一) 数据 出境 的 目的 、 范围 、 方式 等 的 合法性 、 正当性 、 必要性 ;
(二) 境外 接收 方 所在 国家 或者 地区 的 数据 安全 保护 政策 和 网络 安全 安全 的 影响 数据 保护 水平 法律的 要求 ;
(三) 出境 数据 的 规模 、 范围 、 种类 、 敏感 程度 , 出境 中 和 出境 后 破坏 、 泄露 、 或者 被 等 、 泄露 被 非法 利用 等 等
(四) 数据 安全 和 个人 信息 权益 是否 能够 得到 充分 有效 保障 ;
(五) 数据 处理 者 与 境外 接收 方 拟订 立 的 法律 文件 中 是否 充分 约定 了 数据 安全 保护 责任 义务
(六) 遵守 中国 法律 、 行政 法规 、 部门 规章 情况 ;
(七) 国家 网 信 部门 认为 需要 评估 的 其他 事项。
第九条 数据 处理 者 应当 在 与 境外 接收 方 订立 的 法律 文件 中 明确 约定 数据 安全 保护 , 至少 包括 包括
(一) 数据 出境 的 目的 、 方式 和 数据 范围 , 境外 接收 方 处理 数据 的 用途 、 方式 等
(二) 数据 在 境外 保存 地点 、 期限 , 以及 达到 保存 期限 、 完成 约定 目的 法律 文件 后 后 出境 措施
(三) 对于 境外 接收 方 将 出境 数据 再 转移 给 其他 组织 、 个人 的 约束 性 要求
(四) 境外 接收 方 在 实际 控制 权 或者 经营 范围 发生 变化 , 或者 所在 所在 安全 保护 政策 安全 环境 发生 变化 以及 或者 范围 所在 环境 发生 情形措施 ;
(五) 违反 法律 文件 约定 的 数据 安全 保护 义务 的 补救 措施 、 违约 责任 和 争议 解决 方式
(六) 出境 数据 遭到 篡改 、 破坏 、 泄露 、 丢失 、 转移 被 非法 获取 时 要求
第十 条 国家 网 信 部门 受理 申报 后 , 根据 申报 情况 组织 国务院 有关部门 、 省级 网 信 专门 机构 等 等
第十一条 安全 评估 过程 中 , 发现 数据 处理 者 提交 的 申报 材料 不 要求 的 , 要求 处理终止 安全 评估。
数据 处理 者 对 所 提交 材料 的 真实性 负责 , 故意 提交 虚假 材料 的 , 按照 评估 通过 处理 并 并 依法 责任
第十二 条 国家 网 信 部门 应当 自 向 数据 处理 者 发出 书面 受理 通知书 之 日 45 个 工作 日内 完成 数据 出境 安全 评估 情况 复杂 或者 需要 补充 、 更正 材料 ,者 预计 延长 的 时间。
评估 结果 应当 书面 通知 数据 处理 者。
第十三 条 数据 处理 者 对 评估 结果 有 异议 的 , 可以 在 收到 评估 15 个 工作日 内向 国家 信 信 部门 申请 复 评 复 复 评 为 为
第十四 条 通过 数据 出境 安全 评估 的 结果 有效期 为 2 年 , 自 评估 结果 出具 之 日 起 计算 在 在 有效期 内 出现 之一 的 , 数据 数据 应当
(一) 向 境外 提供 数据 的 目的 、 方式 、 范围 、 种类 境外 接收 方 方式 的
(二) 境外 接收 方 所在 国家 或者 地区 数据 安全 保护 政策 和 网络 安全 环境 发生 发生 其他 不可抗力 情形 、 者 或者 境外 接收 方 控制 发生 变化 境外 接收 方 发生 变化等 影响 出境 数据 安全 的 ;
(三) 出现 影响 出境 数据 安全 的 其他 情形。
有效期 届满 , 需要 继续 开展 数据 出境 活动 的 , 数据 处理 者 应当 在 有效期 届满 60 个 工作 日前 重新 申报 评估。
第十五 条 参与 安全 评估 工作 的 相关 机构 和 人员 对 在 履行 中 知悉 的 国家 秘密 、 个人 信息 、 、 保密 商务 信息 等 数据 予以 保密 商务 予以 保密 向非法 使用。
第十六 条 任何 组织 和 个人 发现 数据 处理 者 违反 本 办法 向 境外 提供 数据 的 , 可以 以 上网 信 信
第十七 条 国家 网 信 部门 发现 已经 通过 评估 的 数据 出境 活动 在 处理 过程 中 中 管理 要求 数据 处理 者 活动活动 的 , 应当 按照 要求 整改 , 整改 完成 后 重新 申报 评估。
第十八 条 违反 本 办法 规定 的 , 依据 《中华人民共和国 网络 安全 法》 、 《中华人民共和国 数据 安全 、 《中华人民共和国 个人 法 等 法律 法规 的 中华人民共和国 个人 法律 法规 犯罪 的 ,责任。
第十九 条 本 办法 所称 重要 数据 , 是 指 一旦 遭到 篡改 、 破坏 泄露 或者 非法 获取 、 等 , 经济 运行 遭到 可能 运行 健康 和
第二十条 本 办法 自 2022 9 月 1 日 起 施行。 本 办法 施行 前 已经 开展 的 数据 出境 , 不 符合 本 , 应当 自 本 6 个 月 内