國家網(wǎng)信辦公布《數(shù)據(jù)出境安全評估辦法》 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2022-07-08 瀏覽次數(shù): |
信息來源:安全內(nèi)參
7月7日,國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),自2022年9月1日起施行。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人表示,出臺《辦法》旨在落實《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》的規(guī)定,規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,切實以安全保發(fā)展、以發(fā)展促安全。 近年來,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。明確數(shù)據(jù)出境安全評估的具體規(guī)定,是促進數(shù)字經(jīng)濟健康發(fā)展、防范化解數(shù)據(jù)跨境安全風險的需要,是維護國家安全和社會公共利益的需要,是保護個人信息權(quán)益的需要。《辦法》規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序,為數(shù)據(jù)出境安全評估工作提供了具體指引。 《辦法》明確,數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估適用本辦法。提出數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合等原則。 《辦法》規(guī)定了應當申報數(shù)據(jù)出境安全評估的情形,包括數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息以及國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。 《辦法》提出了數(shù)據(jù)出境安全評估的具體要求,規(guī)定數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前應當開展數(shù)據(jù)出境風險自評估并明確了重點評估事項。規(guī)定數(shù)據(jù)處理者在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務,在數(shù)據(jù)出境安全評估有效期內(nèi)發(fā)生影響數(shù)據(jù)出境安全的情形應當重新申報評估。此外,還明確了數(shù)據(jù)出境安全評估程序、監(jiān)督管理制度、法律責任以及合規(guī)整改要求等。 國家互聯(lián)網(wǎng)信息辦公室令 第11號 《數(shù)據(jù)出境安全評估辦法》已經(jīng)2022年5月19日國家互聯(lián)網(wǎng)信息辦公室2022年第10次室務會議審議通過,現(xiàn)予公布,自2022年9月1日起施行。 國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文 2022年7月7日 數(shù)據(jù)出境安全評估辦法 第一條 為了規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī),制定本辦法。 第二條 數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估,適用本辦法。法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。 第三條 數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合,防范數(shù)據(jù)出境安全風險,保障數(shù)據(jù)依法有序自由流動。 第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估: (一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù); (二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息; (三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息; (四)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。 第五條 數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前,應當開展數(shù)據(jù)出境風險自評估,重點評估以下事項: (一)數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性; (二)出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險; (三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全; (四)數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風險,個人信息權(quán)益維護的渠道是否通暢等; (五)與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等(以下統(tǒng)稱法律文件)是否充分約定了數(shù)據(jù)安全保護責任義務; (六)其他可能影響數(shù)據(jù)出境安全的事項。 第六條 申報數(shù)據(jù)出境安全評估,應當提交以下材料: (一)申報書; (二)數(shù)據(jù)出境風險自評估報告; (三)數(shù)據(jù)處理者與境外接收方擬訂立的法律文件; (四)安全評估工作需要的其他材料。 第七條 省級網(wǎng)信部門應當自收到申報材料之日起5個工作日內(nèi)完成完備性查驗。申報材料齊全的,將申報材料報送國家網(wǎng)信部門;申報材料不齊全的,應當退回數(shù)據(jù)處理者并一次性告知需要補充的材料。 國家網(wǎng)信部門應當自收到申報材料之日起7個工作日內(nèi),確定是否受理并書面通知數(shù)據(jù)處理者。 第八條 數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險,主要包括以下事項: (一)數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當性、必要性; (二)境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求; (三)出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風險; (四)數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障; (五)數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責任義務; (六)遵守中國法律、行政法規(guī)、部門規(guī)章情況; (七)國家網(wǎng)信部門認為需要評估的其他事項。 第九條 數(shù)據(jù)處理者應當在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務,至少包括以下內(nèi)容: (一)數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)的用途、方式等; (二)數(shù)據(jù)在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施; (三)對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求; (四)境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導致難以保障數(shù)據(jù)安全時,應當采取的安全措施; (五)違反法律文件約定的數(shù)據(jù)安全保護義務的補救措施、違約責任和爭議解決方式; (六)出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式。 第十條 國家網(wǎng)信部門受理申報后,根據(jù)申報情況組織國務院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。 第十一條 安全評估過程中,發(fā)現(xiàn)數(shù)據(jù)處理者提交的申報材料不符合要求的,國家網(wǎng)信部門可以要求其補充或者更正。數(shù)據(jù)處理者無正當理由不補充或者更正的,國家網(wǎng)信部門可以終止安全評估。 數(shù)據(jù)處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,并依法追究相應法律責任。 第十二條 國家網(wǎng)信部門應當自向數(shù)據(jù)處理者發(fā)出書面受理通知書之日起45個工作日內(nèi)完成數(shù)據(jù)出境安全評估;情況復雜或者需要補充、更正材料的,可以適當延長并告知數(shù)據(jù)處理者預計延長的時間。 評估結(jié)果應當書面通知數(shù)據(jù)處理者。 第十三條 數(shù)據(jù)處理者對評估結(jié)果有異議的,可以在收到評估結(jié)果15個工作日內(nèi)向國家網(wǎng)信部門申請復評,復評結(jié)果為最終結(jié)論。 第十四條 通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年,自評估結(jié)果出具之日起計算。在有效期內(nèi)出現(xiàn)以下情形之一的,數(shù)據(jù)處理者應當重新申報評估: (一)向境外提供數(shù)據(jù)的目的、方式、范圍、種類和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化影響出境數(shù)據(jù)安全的,或者延長個人信息和重要數(shù)據(jù)境外保存期限的; (二)境外接收方所在國家或者地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的; (三)出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。 有效期屆滿,需要繼續(xù)開展數(shù)據(jù)出境活動的,數(shù)據(jù)處理者應當在有效期屆滿60個工作日前重新申報評估。 第十五條 參與安全評估工作的相關(guān)機構(gòu)和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密,不得泄露或者非法向他人提供、非法使用。 第十六條 任何組織和個人發(fā)現(xiàn)數(shù)據(jù)處理者違反本辦法向境外提供數(shù)據(jù)的,可以向省級以上網(wǎng)信部門舉報。 第十七條 國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的,應當書面通知數(shù)據(jù)處理者終止數(shù)據(jù)出境活動。數(shù)據(jù)處理者需要繼續(xù)開展數(shù)據(jù)出境活動的,應當按照要求整改,整改完成后重新申報評估。 第十八條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責任。 第十九條 本辦法所稱重要數(shù)據(jù),是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。 第二十條 本辦法自2022年9月1日起施行。本辦法施行前已經(jīng)開展的數(shù)據(jù)出境活動,不符合本辦法規(guī)定的,應當自本辦法施行之日起6個月內(nèi)完成整改。 《數(shù)據(jù)出境安全評估辦法》答記者問 7月7日,國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》)。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《辦法》相關(guān)問題回答了記者提問。 問:請簡要介紹《辦法》出臺的背景?
答:近年來,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。同時,由于不同國家和地區(qū)法律制度、保護水平等的差異,數(shù)據(jù)出境安全風險也相應凸顯。數(shù)據(jù)跨境活動既影響個人信息權(quán)益,又關(guān)系國家安全和社會公共利益。世界上許多國家和地區(qū)相繼從本國、本地區(qū)實際出發(fā),對數(shù)據(jù)跨境安全管理作了制度探索。制定出臺《辦法》是落實《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》有關(guān)數(shù)據(jù)出境規(guī)定的重要舉措,目的是進一步規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動。 問:《辦法》所稱數(shù)據(jù)出境活動是指什么? 答:《辦法》所稱數(shù)據(jù)出境活動主要包括:一是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以訪問或者調(diào)用。 問:哪些情形需要申報數(shù)據(jù)出境安全評估?
答:《辦法》明確了4種應當申報數(shù)據(jù)出境安全評估的情形:一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)。二是關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息。三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息。四是國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。 問:數(shù)據(jù)出境安全評估主要評估哪些內(nèi)容? 答:數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險,主要包括以下事項:一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求。三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風險。四是數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障。五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責任義務。六是遵守中國法律、行政法規(guī)、部門規(guī)章情況。七是國家網(wǎng)信部門認為需要評估的其他事項。 問:為了規(guī)范數(shù)據(jù)出境安全評估活動,《辦法》明確了哪些具體流程?
答:《辦法》明確了數(shù)據(jù)出境的具體流程。一是事前評估,數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前,應首先開展數(shù)據(jù)出境風險自評估。二是申報評估,符合申報數(shù)據(jù)出境安全評估情形的,數(shù)據(jù)處理者應通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。三是開展評估,國家網(wǎng)信部門自收到申報材料之日起7個工作日內(nèi)確定是否受理評估;自出具書面受理通知書之日起45個工作日內(nèi)完成數(shù)據(jù)出境安全評估;情況復雜或者需要補充、更正材料的,可以適當延長并告知數(shù)據(jù)處理者預計延長的時間。四是重新評估和終止出境,評估結(jié)果有效期屆滿或者在有效期內(nèi)出現(xiàn)本辦法中規(guī)定重新評估情形的,數(shù)據(jù)處理者應當重新申報數(shù)據(jù)出境安全評估。已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的,在收到國家網(wǎng)信部門書面通知后,數(shù)據(jù)處理者應終止數(shù)據(jù)出境活動。數(shù)據(jù)處理者需要繼續(xù)開展數(shù)據(jù)出境活動的,應當按照要求整改,整改完成后重新申報評估。 問:評估過程中如何保障數(shù)據(jù)處理者的商業(yè)秘密等合法權(quán)益?
答:《辦法》規(guī)定了參與安全評估工作的相關(guān)機構(gòu)和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密,不得泄露或者非法向他人提供、非法使用。 問:《辦法》還明確了哪些規(guī)定? 答:除了上述評估內(nèi)容、具體流程、保密要求等管理措施以外,《辦法》還明確了國家網(wǎng)信部門負責決定是否受理安全評估,并根據(jù)申報情況組織國務院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等開展安全評估。省級網(wǎng)信部門負責接收數(shù)據(jù)出境安全評估申請材料,并完成完備性查驗。任何組織和個人發(fā)現(xiàn)數(shù)據(jù)處理者違反本辦法向境外提供數(shù)據(jù)的,可以向省級以上網(wǎng)信部門舉報。 問:數(shù)據(jù)處理者何時申報數(shù)據(jù)出境安全評估?
答:數(shù)據(jù)處理者應當在數(shù)據(jù)出境活動發(fā)生前申報并通過數(shù)據(jù)出境安全評估。實踐中,數(shù)據(jù)處理者宜在與境外接收方簽訂數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件(以下統(tǒng)稱法律文件)前,申報數(shù)據(jù)出境安全評估。如果在簽訂法律文件后申報評估,建議在法律文件中注明此文件須在通過數(shù)據(jù)出境安全評估后生效,以避免可能因未通過評估而造成損失。 問:企業(yè)申報數(shù)據(jù)出境安全評估的結(jié)果可能有哪幾類? 答:一是申報不予受理。對于不屬于安全評估范圍的,數(shù)據(jù)處理者接到國家網(wǎng)信部門不予受理的書面通知后,可以通過法律規(guī)定的其他合法途徑開展數(shù)據(jù)出境活動。二是通過安全評估。數(shù)據(jù)處理者可以在收到通過評估的書面通知后,嚴格按照申報事項開展數(shù)據(jù)出境活動。三是未通過安全評估。未通過數(shù)據(jù)出境安全評估的,數(shù)據(jù)處理者不得開展所申報的數(shù)據(jù)出境活動。 問:對評估結(jié)果有異議如何處理?
答:數(shù)據(jù)處理者對評估結(jié)果有異議的,可以在收到評估結(jié)果15個工作日內(nèi)向國家網(wǎng)信部門申請復評,復評結(jié)果為最終結(jié)論。 問:通過數(shù)據(jù)出境安全評估的結(jié)果有效期是多久? 答:通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年,自評估結(jié)果出具之日起計算。有效期屆滿,需要繼續(xù)開展數(shù)據(jù)出境活動的,數(shù)據(jù)處理者應當在有效期屆滿60個工作日前重新申報評估。 問:違反《辦法》如何追究法律責任?
答:《辦法》明確數(shù)據(jù)處理者違反本辦法規(guī)定的,依照《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等法律法規(guī)的規(guī)定處理;構(gòu)成犯罪的,依法追究刑事責任。 問:對于個人信息向境外提供,安全評估與標準合同、個人信息保護認證之間的關(guān)系,三種方式如何銜接? 答:《辦法》適用范圍已經(jīng)明確,對于適用安全評估的個人信息處理者的數(shù)據(jù)出境情形應當申報安全評估;《辦法》適用范圍外的個人信息處理者的數(shù)據(jù)出境情形,可以通過個人信息保護認證或者簽訂國家網(wǎng)信部門制定的標準合同來滿足個人信息跨境提供條件,便利個人信息處理者依法開展數(shù)據(jù)出境活動。
|
上一篇:2022年7月7日聚銘安全速遞 |