国家互联网信息办公室网站消息,为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,国家网信办起草了《数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。
《数据出境安全评估办法(征求意见稿)》指出,数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《数据出境安全评估办法(征求意见稿)》明确,数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。