為(wèi)了規範數據出境活動，保護個人信息權益，維護國(guó)家安(ān)全和社會公(gōng)共利益，促進數據跨境安(ān)全、自由流動，依據《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等法律法規，我辦(bàn)起草(cǎo)了《數據出境安(ān)全評估辦(bàn)法（征求意見稿）》，現向社會公(gōng)開征求意見。公(gōng)衆可(kě)通過以下途徑和方式提出反饋意見：

1.登錄中(zhōng)華人民(mín)共和國(guó)司法部 中(zhōng)國(guó)政府法制信息網（www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁(yè)主菜單的“立法意見征集”欄目提出意見。

2.通過電(diàn)子郵件将意見發送至：shujuju@cac.gov.cn。

3.通過信函将意見寄至：北京市西城區(qū)車(chē)公(gōng)莊大街(jiē)11号國(guó)家互聯網信息辦(bàn)公(gōng)室網絡數據管理(lǐ)局，郵編：100044，并在信封上注明“數據出境安(ān)全評估辦(bàn)法征求意見”。

意見反饋截止時間為(wèi)2021年11月28日。

國(guó)家互聯網信息辦(bàn)公(gōng)室

2021年10月29日

數據出境安(ān)全評估辦(bàn)法

（征求意見稿）

第一條 為(wèi)了規範數據出境活動，保護個人信息權益，維護國(guó)家安(ān)全和社會公(gōng)共利益，促進數據跨境安(ān)全、自由流動，根據《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等法律法規，制定本辦(bàn)法。

第二條 數據處理(lǐ)者向境外提供在中(zhōng)華人民(mín)共和國(guó)境内運營中(zhōng)收集和産(chǎn)生的重要數據和依法應當進行安(ān)全評估的個人信息，應當按照本辦(bàn)法的規定進行安(ān)全評估；法律、行政法規另有(yǒu)規定的，依照其規定。

第三條 數據出境安(ān)全評估堅持事前評估和持續監督相結合、風險自評估與安(ān)全評估相結合，防範數據出境安(ān)全風險，保障數據依法有(yǒu)序自由流動。

第四條 數據處理(lǐ)者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國(guó)家網信部門申報數據出境安(ān)全評估。

（一）關鍵信息基礎設施的運營者收集和産(chǎn)生的個人信息和重要數據；

（二）出境數據中(zhōng)包含重要數據；

（三）處理(lǐ)個人信息達到一百萬人的個人信息處理(lǐ)者向境外提供個人信息；

（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；

（五）國(guó)家網信部門規定的其他(tā)需要申報數據出境安(ān)全評估的情形。

第五條 數據處理(lǐ)者在向境外提供數據前，應事先開展數據出境風險自評估，重點評估以下事項：

（一）數據出境及境外接收方處理(lǐ)數據的目的、範圍、方式等的合法性、正當性、必要性；

（二）出境數據的數量、範圍、種類、敏感程度，數據出境可(kě)能(néng)對國(guó)家安(ān)全、公(gōng)共利益、個人或者組織合法權益帶來的風險；

（三）數據處理(lǐ)者在數據轉移環節的管理(lǐ)和技(jì )術措施、能(néng)力等能(néng)否防範數據洩露、毀損等風險；

（四）境外接收方承諾承擔的責任義務(wù)，以及履行責任義務(wù)的管理(lǐ)和技(jì )術措施、能(néng)力等能(néng)否保障出境數據的安(ān)全；

（五）數據出境和再轉移後洩露、毀損、篡改、濫用(yòng)等的風險，個人維護個人信息權益的渠道是否通暢等；

（六）與境外接收方訂立的數據出境相關合同是否充分(fēn)約定了數據安(ān)全保護責任義務(wù)。

第六條 申報數據出境安(ān)全評估，應當提交以下材料：

（一）申報書；

（二）數據出境風險自評估報告；

（三）數據處理(lǐ)者與境外接收方拟訂立的合同或者其他(tā)具(jù)有(yǒu)法律效力的文(wén)件等（以下統稱合同）；

（四）安(ān)全評估工(gōng)作(zuò)需要的其他(tā)材料。

第七條 國(guó)家網信部門自收到申報材料之日起七個工(gōng)作(zuò)日内，确定是否受理(lǐ)評估并以書面通知形式反饋受理(lǐ)結果。

第八條 數據出境安(ān)全評估重點評估數據出境活動可(kě)能(néng)對國(guó)家安(ān)全、公(gōng)共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：

（一）數據出境的目的、範圍、方式等的合法性、正當性、必要性；

（二）境外接收方所在國(guó)家或者地區(qū)的數據安(ān)全保護政策法規及網絡安(ān)全環境對出境數據安(ān)全的影響；境外接收方的數據保護水平是否達到中(zhōng)華人民(mín)共和國(guó)法律、行政法規規定和強制性國(guó)家标準的要求；

（三）出境數據的數量、範圍、種類、敏感程度，出境中(zhōng)和出境後洩露、篡改、丢失、破壞、轉移或者被非法獲取、非法利用(yòng)等風險；

（四）數據安(ān)全和個人信息權益是否能(néng)夠得到充分(fēn)有(yǒu)效保障；

（五）數據處理(lǐ)者與境外接收方訂立的合同中(zhōng)是否充分(fēn)約定了數據安(ān)全保護責任義務(wù)；

（六）遵守中(zhōng)國(guó)法律、行政法規、部門規章情況；

（七）國(guó)家網信部門認為(wèi)需要評估的其他(tā)事項。

第九條 數據處理(lǐ)者與境外接收方訂立的合同充分(fēn)約定數據安(ān)全保護責任義務(wù)，應當包括但不限于以下内容：

（一）數據出境的目的、方式和數據範圍，境外接收方處理(lǐ)數據的用(yòng)途、方式等；

（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者合同終止後出境數據的處理(lǐ)措施；

（三）限制境外接收方将出境數據再轉移給其他(tā)組織、個人的約束條款；

（四）境外接收方在實際控制權或者經營範圍發生實質(zhì)性變化，或者所在國(guó)家、地區(qū)法律環境發生變化導緻難以保障數據安(ān)全時，應當采取的安(ān)全措施；

（五）違反數據安(ān)全保護義務(wù)的違約責任和具(jù)有(yǒu)約束力且可(kě)執行的争議解決條款；

（六）發生數據洩露等風險時，妥善開展應急處置，并保障個人維護個人信息權益的通暢渠道。

第十條 國(guó)家網信部門受理(lǐ)申報後，組織行業主管部門、國(guó)務(wù)院有(yǒu)關部門、省級網信部門、專門機構等進行安(ān)全評估。

涉及重要數據出境的，國(guó)家網信部門征求相關行業主管部門意見。

第十一條 國(guó)家網信部門自出具(jù)書面受理(lǐ)通知書之日起四十五個工(gōng)作(zuò)日内完成數據出境安(ān)全評估；情況複雜或者需要補充材料的，可(kě)以适當延長(cháng)，但一般不超過六十個工(gōng)作(zuò)日。

評估結果以書面形式通知數據處理(lǐ)者。

第十二條 數據出境評估結果有(yǒu)效期二年。在有(yǒu)效期内出現以下情形之一的，數據處理(lǐ)者應當重新(xīn)申報評估：

（一）向境外提供數據的目的、方式、範圍、類型和境外接收方處理(lǐ)數據的用(yòng)途、方式發生變化，或者延長(cháng)個人信息和重要數據境外保存期限的；

（二）境外接收方所在國(guó)家或者地區(qū)法律環境發生變化，數據處理(lǐ)者或者境外接收方實際控制權發生變化，數據處理(lǐ)者與境外接收方合同變更等可(kě)能(néng)影響出境數據安(ān)全的；

（三）出現影響出境數據安(ān)全的其他(tā)情形。

有(yǒu)效期屆滿，需要繼續開展原數據出境活動的，數據處理(lǐ)者應當在有(yǒu)效期屆滿六十個工(gōng)作(zuò)日前重新(xīn)申報評估。

未按本條規定重新(xīn)申報評估的，應當停止數據出境活動。

第十三條 數據處理(lǐ)者應當按照本辦(bàn)法的規定提交評估材料，材料不齊全或者不符合要求的，應當及時補充或者更正，拒不補充或者更正的，國(guó)家網信部門可(kě)以終止安(ān)全評估；數據處理(lǐ)者對所提交材料的真實性負責，故意提交虛假材料的，按照評估不通過處理(lǐ)。

第十四條 參與安(ān)全評估工(gōng)作(zuò)的相關機構和人員對在履行職責中(zhōng)知悉的國(guó)家秘密、個人隐私、個人信息、商(shāng)業秘密、保密商(shāng)務(wù)信息等數據應當依法予以保密，不得洩露或者非法向他(tā)人提供。

第十五條 任何組織和個人發現數據處理(lǐ)者未按照本辦(bàn)法規定進行評估向境外提供數據的，可(kě)以向省級以上網信部門投訴、舉報。

第十六條 國(guó)家網信部門發現已經通過評估的數據出境活動在實際處理(lǐ)過程中(zhōng)不再符合數據出境安(ān)全管理(lǐ)要求的，應當撤銷評估結果并書面通知數據處理(lǐ)者，數據處理(lǐ)者應當終止數據出境活動。需要繼續開展數據出境活動的，數據處理(lǐ)者應當按照要求進行整改，并在整改完成後重新(xīn)申報評估。

第十七條 違反本辦(bàn)法規定的，依照《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》、《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》等法律法規的規定處理(lǐ)；構成犯罪的，依法追究刑事責任。

第十八條 本辦(bàn)法自 年 月 日起施行。