数据出境安全评估办法.docx

国家网信办公布《数据出境安全评估办法》 7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。 近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。 《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。 《办法》规定了应当申报数据出境安全评估的情形，包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。 《办法》提出了数据出境安全评估的具体要求，规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外，还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。 《数据出境安全评估办法》答记者问 1、请简要介绍《办法》出台的背景？ 近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发，对数据跨境安全管理作了制度探索。 制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。 2、《办法》所称数据出境活动是指什么？ 《办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。 3、哪些情形需要申报数据出境安全评估？ 《办法》明确了4种应当申报数据出境安全评估的情形：一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。 4、数据出境安全评估主要评估哪些内容？ 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项： 一是数据出境的目的、范围、方式等的合法性、正当性、必要性。 二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。 三是出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。 四是数据安全和个人信息权益是否能够得到充分有效保障。 五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。 六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。 5、为了规范数据出境安全评估活动，《办法》明确了哪些具体流程？ 《办法》明确了数据出境的具体流程。一是事前评估，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。 二是申报评估，符合申报数据出境安全评估情形的，数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 三是开展评估，国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估；自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预