国家互联网信息办公室@@关于@@《个人@@信息@@出境安全评估办法@@（征求意见稿@@）》公开征求意见的通知@@

　　为保障个人@@信息@@安全@@，维护网络空间@@主权@@、国家安全@@、社会公共利益@@，保护公民@@、法人的合法权益@@，依据@@《中华人民共和国网络安全法@@》等法律法规@@，国家互联网信息办公室@@会同有关部门起草了@@《个人@@信息@@出境安全评估办法@@（征求意见稿@@）》，现向社会公开征求意见@@。有关单位和各界人士可以在@@2019年@@7月@@13日@@前@@，通过以下方式@@提出意见@@@@：

　　1.登录中国政府法制信息网@@（网址@@：http://www.chinalaw.gov.cn），进入首页@@的@@“立法意见征集@@”提出意见@@。

　　2.通过电子邮件方式发送至@@：security@cac.gov.cn

　　3.通过信函@@方式将意见寄至@@：北京市西城区车公庄大街@@11号国家互联网信息办公室@@网络安全协调局@@，邮编@@100044，并在信封上注明@@“个人@@信息@@出境安全评估办法@@征求意见@@”。

　　附件@@：个人@@信息@@出境安全评估办法@@（征求意见稿@@）

　　国家互联网信息办公室@@

　　2019年@@6月@@13日@@

个人@@信息@@出境安全评估办法@@

（征求意见稿@@）

　　第一@@条@@ 为保障数据跨境流动中的个人@@信息@@安全@@，根据@@《中华人民共和国网络安全法@@》等相关法律法规@@，制定本办法@@。

　　第二@@条@@ 网络运营者@@向境外提供在中华人民共和国境内运营中收集的个人@@信息@@@@（以下称个人@@信息@@出境@@），应当按照本办法进行安全评估@@。经安全评估认定个人@@信息@@出境可能影响国家安全@@@@、损害公共利益@@，或者难以有效保障个人@@信息@@安全的@@，不得出境@@。

　　国家关于个人@@信息@@出境另有规定的@@，从其规定@@。

　　第三@@条@@ 个人@@信息@@出境前@@，网络运营者@@应当向所在地省级网信部门申报个人@@信息@@出境安全评估@@。

　　向不同的接收者提供个人@@信息@@应当分别申报安全评估@@，向同一@@接收者多次或连续提供个人@@信息@@无@@需多次评估@@。

　　每@@2年@@或者个人@@信息@@出境目的@@、类型@@和境外保存时间发生变化时应当重新评估@@。

　　第四@@条@@ 网络运营者@@申报个人@@信息@@出境安全评估应当提供以下材料@@，并对材料的真实性@@、准确性负责@@：

　　（一@@）申报书@@。

　　（二@@）网络运营者@@与接收者签订的合同@@。

　　（三@@）个人@@信息@@出境安全风险及安全保障措施分析报告@@。

　　（四@@）国家网信部门要求提供的其他材料@@。

　　第五@@条@@ 省级网信部门在收到个人@@信息@@出境安全评估申报材料并核查其完备性后@@，应当组织专家或技术力量进行安全评估@@。安全评估应当在@@15个工作日@@内完成@@，情况复杂的可以适当延长@@。

　　第六@@条@@ 个人@@信息@@出境安全评估重点评估以下内容@@：

　　（一@@）是否符合国家有关法律法规和政策规定@@。

　　（二@@）合同条款是否能够充分保障个人@@信息@@主体@@合法权益@@。

　　（三@@）合同能否得到有效执行@@。

　　（四@@）网络运营者@@或接收者是否有损害个人@@信息@@主体@@合法权益的历史@@、是否发生过重大网络安全事件@@。

　　（五@@）网络运营者@@获得个人@@信息@@是否合法@@、正当@@。

　　（六@@）其他应当评估的内容@@。

　　第七条@@ 省级网信部门在将个人@@信息@@出境安全评估结论通报网络运营者@@的同时@@，将个人@@信息@@出境安全评估情况报国家网信部门@@。

　　网络运营者@@对省级网信部门的个人@@信息@@出境安全评估结论存在异议的@@，可以向国家网信部门提出申诉@@。

　　第八条@@ 网络运营者@@应当建立个人@@信息@@出境记录并且至少保存@@5年@@，记录包括@@：

　　（一@@）向境外提供个人@@信息@@的日@@期时间@@。

　　（二@@）接收者的身份@@，包括但不限于接收者的名称@@、地址@@、联系方式等@@。

　　（三@@）向境外提供的个人@@信息@@的类型@@及数量@@、敏感程度@@。

　　（四@@）国家网信部门规定的其他内容@@。

　　第九条@@ 网络运营者@@应当每@@年@@@@12月@@31日@@前@@将本年@@度个人@@信息@@出境情况@@、合同履行情况等报所在地省级网信部门@@。

　　发生较大数据安全事件时@@，应及时报所在地省级网信部门@@。

　　第十条@@ 省级网信部门应当定期组织检查运营者的个人@@信息@@出境记录等个人@@信息@@出境情况@@，重点检查合同规定义务的履行情况@@、是否存在违反国家规定或损害个人@@信息@@主体@@合法权益的行为等@@。

　　发现损害个人@@信息@@主体@@合法权益@@、数据泄露安全事件等情况时@@，应当及时要求网络运营者@@整改@@，通过网络运营者@@督促接收者整改@@。

　　第十一@@条@@ 出现以下情况之一@@时@@，网信部门可以要求网络运营者@@暂停或终止向境外提供个人@@信息@@@@：

　　（一@@）网络运营者@@或接收者发生较大数据泄露@@、数据滥用等事件@@。

　　（二@@）个人@@信息@@主体@@不能或者难以维护个人@@合法权益@@。

　　（三@@）网络运营者@@或接收者无@@力保障个人@@信息@@安全@@。

　　第十二@@条@@ 任何个人@@和组织有权对违反本办法规定向境外提供个人@@信息@@的行为@@，向省级以上网信部门或者相关部门举报@@。

　　第十三@@条@@ 网络运营者@@与个人@@信息@@接收者签订的合同或者其他有法律效力的文件@@（统称合同@@），应当明确@@：

　　（一@@）个人@@信息@@出境的目的@@、类型@@、保存时限@@。

　　（二@@）个人@@信息@@主体@@是合同中涉及个人@@信息@@主体@@权益的条款的受益人@@。

　　（三@@）个人@@信息@@主体@@合法权益受到损害时@@，可以自行或者委托代理人向网络运营者@@或者接收者或者双方索赔@@，网络运营者@@或者接收者应当予以赔偿@@，除非证明没有责任@@。

　　（四@@）接收者所在国家法律环境发生变化导致合同难以履行时@@，应当终止合同@@，或者重新进行安全评估@@。

　　（五@@）合同的终止不能免除合同中涉及个人@@信息@@主体@@合法权益有关条款规定的网络运营者@@和接收者的责任和义务@@，除非接收者已经销毁了接收到的个人@@信息@@或作了匿名化处理@@。

　　（六@@）双方约定的其他内容@@。

　　第十四@@条@@ 合同应当明确@@网络运营者@@承担以下责任和义务@@：

　　（一@@）以电子邮件@@、即时通信@@、信函@@、传真等方式告知个人@@信息@@主体@@网络运营者@@和接收者的基本情况@@，以及向境外提供个人@@信息@@的目的@@、类型@@和保存时间@@。

　　（二@@）应个人@@信息@@主体@@的请求@@，提供本合同的副本@@。

　　（三@@）应请求向接收者转达个人@@信息@@主体@@诉求@@，包括向接收者索赔@@；个人@@信息@@主体@@不能从接收者获得赔偿时@@，先行赔付@@。

　　第十五@@条@@ 合同应当明确@@接收者承担以下责任和义务@@：

　　（一@@）为个人@@信息@@主体@@提供访问其个人@@信息@@的途径@@，个人@@信息@@主体@@要求更正或者删除@@其个人@@信息@@时@@，应在合理的代价和时限内予以响应@@、更正或者删除@@。

　　（二@@）按照合同约定的目的使用个人@@信息@@@@，个人@@信息@@的境外保存期限不得超出合同约定的时限@@。

　　（三@@）确认签署合同及履行合同义务不会违背接收者所在国家的法律要求@@，当接收者所在国家和地区法律环境发生变化可能影响合同执行时@@，应当及时通知网络运营者@@@@，并通过网络运营者@@报告网络运营者@@所在地省级网信部门@@。

　　第十六@@条@@ 合同应当明确@@接收者不得将接收到的个人@@信息@@传输给第三@@方@@，除非满足以下条件@@：

　　（一@@）网络运营者@@已经通过电子邮件@@、即时通信@@、信函@@、传真等方式将个人@@信息@@传输给第三@@方的目的@@、第三@@方的身份和国别@@，以及传输的个人@@信息@@类型@@@@、第三@@方保留时限等通知个人@@信息@@主体@@@@。

　　（二@@）接收者承诺在个人@@信息@@主体@@请求停止向第三@@方传输时@@，停止传输并要求第三@@方销毁已经接收到的个人@@信息@@@@。

　　（三@@）涉及到个人@@敏感信息@@时@@，已征得个人@@信息@@主体@@同意@@。

　　（四@@）因向第三@@方传输个人@@信息@@对个人@@信息@@主体@@合法权益带来损害时@@，网络运营者@@同意先行承担赔付责任@@。

　　第十七条@@ 网络运营者@@关于个人@@信息@@出境安全风险及安全保障措施分析报告@@应当至少包括@@：

　　（一@@）网络运营者@@和接收者的背景@@、规模@@、业务@@、财务@@、信誉@@、网络安全能力等@@。

　　（二@@）个人@@信息@@出境计划@@，包括持续时间@@、涉及的个人@@信息@@主体@@数量@@、向境外提供的个人@@信息@@规模@@@@、个人@@信息@@出境后是否会再向第三@@方传输等@@。

　　（三@@）个人@@信息@@出境风险分析和保障个人@@信息@@安全和个人@@信息@@主体@@合法权益的措施@@。

　　第十八条@@ 网络运营者@@违反本办法规定向境外提供个人@@信息@@的@@，依照有关法律法规进行处理@@。

　　第十九条@@ 我国参与的或者与其他国家和地区@@、国际组织缔结的条约@@、协议等对个人@@信息@@出境有明确规定的@@，适用其规定@@，我国声明保留的条款除外@@。

　　第二@@十条@@ 境外机构经营活动中@@，通过互联网等收集境内用户个人@@信息@@@@，应当在境内通过法定代表人或者机构履行本办法中网络运营者@@的责任和义务@@。

　　第二@@十一@@条@@ 本办法下列用语的含义@@：

　　（一@@）网络运营者@@，是指网络的所有者@@、管理者和网络服务提供者@@。

　　（二@@）个人@@信息@@，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人@@身份的各种信息@@，包括但不限于自然人的姓名@@、出生日@@期@@、身份证件号码@@、个人@@生物识别信息@@、住址@@、电话号码等@@。

　　（三@@）个人@@敏感信息@@，是指一@@旦被泄露@@、窃取@@、篡改@@、非法使用可能危害个人@@信息@@主体@@人身@@、财产安全@@，或导致个人@@信息@@主体@@名誉@@、身心健康受到损害等的个人@@信息@@@@。

　　第二@@十二@@条@@ 本办法自@@ 年@@ 月@@ 日@@起实施@@。