国家网办《数据出境安全评估办法（征求意见稿）》公开征求意见。

10月29日，据国家互联网信息办公室网站消息，国家互联网信息办公室于《数据出境安全评估办法（征求意见稿）》公开征求意见：数据出境安全评估要将预评估与持续监管相结合，将风险自评与安全评估相结合，防范数据出境安全风险，依法保障数据有序自由流动。数据处理方在境外提供数据，符合下列情形之一的，应当通过所在地省级网信部门向国家网信部门报告数据出口安全评估情况。(一)关键信息基础设施运营者收集生成的个人信息和重要数据；(2)退出数据包含重要数据；(3)个人信息处理者处理过100万条个人信息的，在境外提供个人信息；(四)向境外提供十万条以上个人信息或者一万条以上敏感个人信息的；(五)国家网信部门要求申报出境安全评估资料的其他情形。

附原文：

为规范数据出站活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全和自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，我厅起草了《数据出境安全评估办法（征求意见稿）》，现公开征求意见。公众可以通过以下方式和途径给予反馈：

1.登录中华人民共和国司法部中国政府法律信息网(www.chinalaw.gov.cn和www.chinalaw.gov.cn)，进入首页主菜单“立法意见征集”栏目提出意见。

2.通过电子邮件将评论发送到：shujuju@cac.gov.cn。

3.意见以信函方式发送至北京市西城区车公庄街11号国家互联网信息办公室网络数据管理局，邮编：100044，并在信封上注明“数据出境安全评估办法征求意见”。

反馈截止日期为2021年11月28日。

国家互联网信息办公室

2021年10月29日。

数据出境安全评估办法（征求意见稿）

第一条为规范数据出站活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。

第二条数据处理者提供在中华人民共和国境内作业过程中收集、生成的境外重要数据和依法应当评估的个人信息，应当按照本办法的规定进行安全评估；法律、行政法规另有规定的，从其规定。

第三条数据出口安全评估应当坚持事前评估与持续监管相结合、风险自我评估与安全评估相结合，防范数据出口安全风险，保障数据依法有序自由流动。

第四条数据处理者向境外提供数据，符合下列情形之一的，应当通过所在地省级网信部门向国家网信部门报告数据出口安全评估情况。

(一)关键信息基础设施运营者收集生成的个人信息和重要数据；

(2)退出数据包含重要数据；

(3)个人信息处理者处理过100万条个人信息的，在境外提供个人信息；

(四)向境外提供十万条以上个人信息或者一万条以上敏感个人信息的；

(五)国家网信部门要求申报出境安全评估资料的其他情形。

第五条数据处理方在向境外提供数据前，应提前对数据退出风险进行自我评估，重点关注以下事项：

(一)数据输出方和境外接收方处理数据的目的、范围和方法的合法性、正当性和必要性；

(二)出境数据的数量、范围、类型和敏感性，出境数据可能给国家安全、公共利益和个人或者组织合法权益带来的风险；

(3)数据处理方在数据传输方面的管理、技术措施和能力是否能够防范数据泄露、损坏等风险；

(4)海外接收方承担的责任和义务以及管理

(6)与境外接收方签订的数据退出合同是否充分规定了数据安全保护的责任和义务。

第六条申请数据安全出口评估，应当提交以下材料：

(一)声明；

(2)数据退出风险自评报告；

(三)数据处理人与境外接收人之间拟订立的合同或者其他具有法律效力的文件(以下简称合同)；

(4)安全评估所需的其他材料。

第七条国家网络信息主管部门应当自收到申请材料之日起七个工作日内确定是否受理评价，并以书面通知形式反馈受理结果。

第八条数据出境安全评估重点评估数据出境活动可能给国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下内容：

(1)数据退出的目的、范围和方式的合法性、正当性和必要性；

(2)境外收件人所在国家或地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外收件人的数据保护水平是否符合中华人民共和国法律、行政法规和强制性国家标准的要求；

(三)出库数据的数量、范围、类型和敏感性，出库过程中和出库后的泄露、篡改、丢失、销毁、转移、非法获取、非法利用等风险；

(4)数据安全和个人信息权益是否能够得到充分有效的保障；

(五)数据处理方与境外接收方签订的合同是否充分约定了数据安全保护责任和义务；

(六)符合中国法律、行政法规和部门规章；

(七)全国网信。

部门认为需要评估的其他事项。

第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；

（三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；

（五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；

（六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

第十条 国家网信部门受理申报后，组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。

涉及重要数据出境的，国家网信部门征求相关行业主管部门意见。

第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估；情况复杂或者需要补充材料的，可以适当延长，但一般不超过六十个工作日。

评估结果以书面形式通知数据处理者。

第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；

（二）境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有效期届满，需要继续开展原数据出境活动的，数据处理者应当在有效期届满六十个工作日前重新申报评估。

未按本条规定重新申报评估的，应当停止数据出境活动。

第十三条 数据处理者应当按照本办法的规定提交评估材料，材料不齐全或者不符合要求的，应当及时补充或者更正，拒不补充或者更正的，国家网信部门可以终止安全评估；数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理。

第十四条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

第十五条 任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的，可以向省级以上网信部门投诉、举报。

第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当撤销评估结果并书面通知数据处理者，数据处理者应当终止数据出境活动。需要继续开展数据出境活动的，数据处理者应当按照要求进行整改，并在整改完成后重新申报评估。

第十七条 违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

第十八条 本办法自 年 月 日起施行。