《数据出境安全评估办法》：促进数据跨境安全、自由流动

监管零壹财经 · 中共中央网络安全和信息化委员会办公室 2022-07-08 阅读：7739

关键词：数据跨境安全 数据处理 数据出境安全 个人信息

《办法》明确4种应当申报数据出境安全评估的情形。

来源：中共中央网络安全和信息化委员会办公室

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室于7月7日公布了《数据出境安全评估办法》，该《办法》自2022年9月1日起施行。

《办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

《办法》重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。

《办法》明确了4种应当申报数据出境安全评估的情形：一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

《办法》明确了数据出境的具体流程。一是事前评估，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。二是申报评估，符合申报数据出境安全评估情形的，数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估，国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估；自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境，评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的，数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，在收到国家网信部门书面通知后，数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

《办法》还明确了国家网信部门负责决定是否受理安全评估，并根据申报情况组织国务院有关部门、省级网信部门、专门机构等开展安全评估。省级网信部门负责接收数据出境安全评估申请材料，并完成完备性查验。任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。

END.

关注微信公众号：数字化讲习所

（零壹智库旗下，聚焦数字化转型，输出专业研究分析和最新资讯.）