为保障安全,维护网络空间主权、、社会公共利益,保护公民、法人的合法权益,依据等法律法规,国家互联网信息办公室会同有关部门起草了《出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前,通过以下方式提出意见:
1.登录中国政府法制信息网(网址:),进入首页的“立法意见征集”提出意见。
3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室协调局,邮编100044,并在信封上注明“出境安全评估办法征求意见”。
第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的(以下称出境),应当按照本办法进行安全评估。经安全评估认定出境可能影响、损害公共利益,或者难以有效保障安全的,不得出境。
向不同的接收者提供应当分别申报安全评估,向同一接收者多次或连续提供无需多次评估。
第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第七条 省级网信部门在将出境安全评估结论通报网络运营者的同时,将出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
第十条 省级网信部门应当定期组织检查运营者的出境记录等出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害主体合法权益的行为等。
发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:
第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。
第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的或作了匿名化处理。
(一)以电子邮件、即时通信、信函、传真等方式告知主体网络运营者和接收者的基本情况,以及向境外提供的目的、类型和保存时间。
(三)应请求向接收者转达主体诉求,包括向接收者索赔;主体不能从接收者获得赔偿时,先行赔付。
(一)为主体提供访问其的途径,主体要求更正或者删除其时,应在合理的代价和时限内予以响应、更正或者删除。
(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:
(一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将传输给第三方的目的、第三方的身份和国别,以及传输的类型、第三方保留时限等通知主体。
(二)接收者承诺在主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的。
(四)因向第三方传输对主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
第十七条 网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括:
(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
(二)出境计划,包括持续时间、涉及的主体数量、向境外提供的规模、出境后是否会再向第三方传输等。
第十八条 网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
第十九条 我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。
第二十条 境外机构经营活动中,通过等收集境内用户,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
(二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
(三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害主体人身、财产安全,或导致主体名誉、身心健康受到损害等的。
