一
背景
2022年7月7日,国家互联网信息办公室(“网信办”)发布《数据出境安全评估办法》(“《办法》”),《办法》自2022年9月1日起施行。随着《办法》的发布和即将生效,我国数据出境安全评估制度终于得以尘埃落定。
2017年6月1日正式施行的《网络安全法》第三十七条是我国数据出境安全评估制度的开端,要求关键信息基础设施的运营者(“CIIO”)在因业务需要,确需向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据时,应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
2021年相继发布并生效的《数据安全法》和《个人信息保护法》奠定和强化了我国数据出境安全评估制度的重要制度地位。《数据安全法》第三十一条重申数据出境安全评估制度的重要性,将适用主体由《网络安全法》下的CIIO扩展到CIIO和其他数据处理者。《个人信息保护法》在提供三种个人信息出境安全管理机制的情况下,对CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息提出了监管力度更加严格的出境安全评估要求。
建立在《网络安全法》《数据安全法》《个人信息保护法》的立法基础上,《办法》的出台是业界翘首以盼的制度规定,也将在规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动方面发挥关键作用。
二
《办法》适用范围
《办法》第二条规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。”
图 1 《办法》适用范围
对此,应当对以上四项要件进行理解:
1
数据处理者
《办法》并未对何为“数据处理者”做出定义。事实上,《数据安全法》和《个人信息保护法》亦未做出相关规定。根据《数据安全法》,“数据”指的是“任何以电子或者其他方式对信息的记录”,“数据处理”包括“数据的收集、存储、使用、加工、传输、提供、公开等。”《个人信息保护法》第七十三条对“个人信息处理者”做出定义,指的是“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”
在《数据安全法》和《个人信息保护法》之下,各行政法规、部门规章中对于“数据处理者”的定义存在不同规定。我们将相关定义总结如下:
表 1 数据处理者相关定义 | |||
编号 | 法规名称 | 规定 | 特点 |
1 | 《个人信息保护法》 | 个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 | 强调处理者对处理目的和处理方式的决定权 |
2 | 《网络数据安全管理条例(征求意见稿)》 | 数据处理者,是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。 | |
3 | 《汽车数据安全管理若干规定(试行)》 | 汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。 | 基于数据全生命周期处理活动的定义方式,未强调相关企业对数据的处理目的和处理方式的决定权 |
4 | 《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》 | 工业和信息化领域数据处理者,是指对工业和信息化领域数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。 |
尽管存在以上定义上的分歧,我们仍倾向于认为,《办法》中所指“数据处理者”与《个人信息保护法》和《网络数据安全管理条例(征求意见稿)》中的具有相同含义,这意味着,在受委托处理数据的主体向境外传输数据的情况下,应当由相应的数据处理者开展安全评估工作,而受委托处理数据的主体仅需根据数据处理者的要求提供配合。
这一点在一定程度上也与全国信息安全标准化技术委员会(“信安标委”)于2017年发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《评估指南》”)中有关安全自评估的规定保持一致。《评估指南》规定,如果数据出境涉及多方主体(如:云服务、转包服务等),应根据数据出境发起方,确定安全自评估责任主体。如:云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。我们认为,在《评估指南》所述“云服务提供商主动要求进行数据出境”的场景下,该云服务提供商已经超出了受委托处理数据的范畴,具备自主决定该数据出境行为的目的和方式的属性,也因此具备了“数据处理者”的内涵。
2
向境外提供
《办法》答记者问明确,《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
除上述两种情形外,《评估指南》规定,向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据也属于数据出境。在此情况下,则将向位于我国境内的使领馆、外国航空器、外国船舶等传输重要数据和个人信息也列入进来。
此外,《评估指南》还明确,“非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的”和“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的” 两种情形,不属于数据出境。
3
在我国境内运营中收集和产生
《办法》并未进一步解释何为“在我国境内运营中收集和产生”。根据《评估指南》,未在我国境内注册的网络运营者,但在我国境内开展业务,或向我国境内提供产品或服务的,属于境内运营;但如果我国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。判断是否在我国境内开展业务,或向我国境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
4
重要数据和个人信息
《个人信息保护法》对“个人信息”做出了明确定义,指的是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
对于“重要数据”,尽管《网络安全法》、《数据安全法》均提出应当将对其予以重点保护,但并未对“重要数据”做出定义。《网络数据安全管理条例(征求意见稿)》、《信息安全技术 重要数据识别指南(征求意见稿)》、《评估指南》等对“重要数据”的内涵和识别规则做出了规定,但是均未形成最终生效稿。
对此,《办法》明确“重要数据”是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。鉴于《办法》的定义仍然较为宽泛,我们建议,有关“重要数据”的具体内容,还应当以各地区、各部门以及相关行业、领域的重要数据目录为准。例如,对于汽车行业重要数据,应当参照《汽车数据安全管理若干规定(试行)》中的范围。
三
出境风险自评估和申报安全评估
《办法》规定了两种评估形式:出境风险自评估和申报数据出境安全评估,且出境风险自评估是申报数据出境安全评估的前置程序。
1
出境风险自评估
《办法》第五条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
图 2 自评估评估要点
2
申报安全评估
《办法》第四条规定了数据处理者应当向网信部门申报数据出境安全评估的情形,具体如下:
图 3 申报安全评估的情形
因此,在数据处理者拟对外传输个人信息和/或重要数据前,除应当开展数据出境风险自评估、形成数据出境风险自评估报告外,还应当自评是否属于以上四种情况之一。如果属于,则应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,申报评估应当提交的材料包括:
图 4 申报评估提交材料
对于数据处理者提交的申报评估申请,《办法》规定,应重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。我们将其主要评估事项和上述数据出境风险自评估评估要点进行比较发现,相比于出境风险自评估,出境安全评估更加强调境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响。
表 2 出境风险自评估和出境安全评估要点对比 | ||
编号 | 出境风险自评估 评估要点 | 出境安全评估 评估要点 |
1 | (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; | (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (六)遵守中国法律、行政法规、部门规章情况; |
2 | (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; | NA |
3 | (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; | (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; |
4 | (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; | (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; |
5 | (四)数据安全和个人信息权益是否能够得到充分有效保障; | |
6 | (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; | (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; |
7 | (六)其他可能影响数据出境安全的事项。 | (七)国家网信部门认为需要评估的其他事项。 |
另外,《办法》也对数据处理者应当在与境外接收方订立的法律文件中明确约定的数据安全保护责任义务做出了规定,明确至少应当包括以下内容:
图 5 法律文件主要内容
四
评估流程
不同于《办法》征求意见稿,《办法》对申报数据出境安全评估的情形规定了分层审核:将申报材料的完备性查验交由省级网信部门完成,具体的安全评估审查工作则由国家网信部门根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行。具体评估流程如下图所示:
图 6 申报出境评估流程图
对于通过数据出境安全评估的结果,《办法》设置了2年有效期,有效期自评估结果出具之日起计算。如果有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
此外,如果在有效期内出现以下情形之一的,数据处理者还应当重新申报评估:
图 7 重新申报评估的情形
五
持续监督
《办法》规定数据出境安全评估应当坚持事前评估和持续监督相结合,因此,《办法》规定任何组织和个人发现数据处理者违反《办法》向境外提供数据的,均可向省级以上网信部门举报。
另外,对于已经通过评估的数据出境活动,如果国家网信部门发现在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
六
合规建议
《办法》对数据处理者跨境传输重要数据和个人信息时的出境安全评估义务进行了规定,因此,对于拟向境外跨境传输数据的企业,我们建议,应当根据跨境传输数据的类型进行如下自评工作:
首先,应当关注本地区、本行业、本领域主管部门制定的重要数据目录,如果涉及向境外提供目录上的数据的,应当严格按照《办法》的要求进行出境前的自评估和安全评估申报。
其次,如果不涉及传输重要数据,仅涉及传输个人信息的,应当判断是否属于“CIIO和处理100万人以上个人信息的数据处理者”以及是否“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”,如果属于也应当严格按照《办法》的要求进行出境前的自评估和安全评估申报。对于CIIO身份的判定,应当关注本行业和本领域的主管部门、监督管理部门是否下发过属于CIIO的通知。而对于是否处理个人信息达100万人以上,以及累计向境外传输个人信息/敏感个人信息的数量,则要求数据处理者应当在日常合规工作中做好数据处理活动的记录工作。
再次,对于满足以上条件的数据处理者,在实践中,宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件前,申报数据出境安全评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。
最后,如果企业仅跨境传输个人信息,但不属于CIIO且处理或跨境传输的个人信息不满足以上相关条件的,建议企业根据境外接收方的类型相应选择个人信息保护认证或者订立标准合同等出境路径。
另外,《办法》明确,对于在《办法》施行前已经开展数据出境活动且不符合《办法》规定的,应当自《办法》施行之日起6个月内(即2023年3月1日前)完成整改。因此,对于此类企业,我们建议应当尽快对标《办法》开展出境活动的补充自评估,对于有合规差距的,应尽快整改并相应开展申报评估。
作者:薛颖
薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。
作者:陈 扬
陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师具有中国律师执业资格,并获得国际隐私专业协会(IAPP)的注册信息隐私管理师(CIPM)和欧盟注册信息隐私专家(CIPP/E)资质,在数据合规领域有丰富的经验。
附件 《数据出境安全评估办法》和《数据出境安全评估办法(征求意见稿)》对比稿 | |
红色为新增部分 绿色为删改部分 黑色为不变部分 | |
数据出境安全评估办法 (征求意见稿) | 数据出境安全评估办法 |
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 | 第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 |
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。 | 第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 |
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 | 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 |
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 (一)关键信息基础设施的运营者收集和产生的个人信息和重要数据; (二)出境数据中包含重要数据; (三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; (四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息; (五)国家网信部门规定的其他需要申报数据出境安全评估的情形。 | 第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 |
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项: (一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险; (四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。 | 第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 |
第六条 申报数据出境安全评估,应当提交以下材料: (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同); (四)安全评估工作需要的其他材料。 | 第六条 申报数据出境安全评估,应当提交以下材料: (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的法律文件; (四)安全评估工作需要的其他材料。 |
第七条 国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。 | 第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 |
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求; (三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险; (四)数据安全和个人信息权益是否能够得到充分有效保障; (五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务; (六)遵守中国法律、行政法规、部门规章情况; (七)国家网信部门认为需要评估的其他事项。 | 第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; (四)数据安全和个人信息权益是否能够得到充分有效保障; (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; (六)遵守中国法律、行政法规、部门规章情况; (七)国家网信部门认为需要评估的其他事项。 |
第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容: (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施; (三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施; (五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款; (六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。 | 第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容: (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 |
第十条 国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。 涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。 | 第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 |
第十三条 数据处理者应当按照本办法的规定提交评估材料,材料不齐全或者不符合要求的,应当及时补充或者更正,拒不补充或者更正的,国家网信部门可以终止安全评估;数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理。 | 第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。 数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 |
第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日。 评估结果以书面形式通知数据处理者。 | 第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 评估结果应当书面通知数据处理者。 |
第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 | |
第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: (一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的; (二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的; (三)出现影响出境数据安全的其他情形。有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。 未按本条规定重新申报评估的,应当停止数据出境活动。 | 第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: (一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (三)出现影响出境数据安全的其他情形。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 |
第十四条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 | 第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 |
第十五条 任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的,可以向省级以上网信部门投诉、举报。 | 第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 |
第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。 | 第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 |
第十七条 违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 | 第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 |
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 | |
第十八条 本办法自 年 月 日起施行。 | 第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 |