国家互联网信息办公室@@令@@

  第@@16号@@

  《促进和规范数据跨境流动规定@@》已经@@2023年@@11月@@28日@@国家互联网信息办公室@@@@2023年@@第@@@@26次室务会议审议通过@@,现予公布@@,自公布之日@@起施行@@。

  国家互联网信息办公室@@主任@@ 庄荣文@@

  2024年@@3月@@22日@@

  促进和规范数据跨境流动规定@@

  第@@一@@条@@ 为了保障数据安全@@,保护个人信息权益@@,促进数据依法有序自由流动@@,根据@@《中华人民共和国网络安全法@@》、《中华人民共和国数据安全法@@》、《中华人民共和国个人信息保护法@@》等法律法规@@,对于数据出境安全评估@@、个人信息出境标@@准合同@@、个人信息保护认证等数据出境制度的@@施行@@,制定本规定@@。

  第@@二@@条@@ 数据处理者应当按照相关规定识别@@、申报重要数据@@。未被相关部门@@、地区告知或者@@公开发布为重要数据的@@@@,数据处理者不需要作为重要数据申报数据出境安全评估@@。

  第@@三@@条@@ 国际贸易@@、跨境运输@@、学术合作@@、跨国生产制造和市场营销等活动中收集和产生的@@数据向境外提供@@,不包含个人信息或者@@重要数据的@@@@,免予申报数据出境安全评估@@、订立个人信息出境标@@准合同@@@@、通过个人信息保护认证@@。

  第@@四@@条@@ 数据处理者在境外收集和产生的@@个人信息传输至境内处理后向境外提供@@,处理过程中没有引入境内个人信息或者@@重要数据的@@@@,免予申报数据出境安全评估@@、订立个人信息出境标@@准合同@@@@、通过个人信息保护认证@@。

  第@@五条@@ 数据处理者向境外提供个人信息@@,符合下列条件之一@@的@@@@,免予申报数据出境安全评估@@、订立个人信息出境标@@准合同@@@@、通过个人信息保护认证@@:

  (一@@)为订立@@、履行个人作为一@@方当事人的@@合同@@,如跨境购物@@、跨境寄递@@、跨境汇款@@、跨境支付@@、跨境开户@@、机票酒店预订@@、签证办理@@、考试服务等@@,确需向境外提供个人信息的@@@@;

  (二@@)按照依法制定的@@劳动规章制度和依法签订的@@集体合同实施跨境人力资源管理@@,确需向境外提供员工个人信息的@@@@;

  (三@@)紧急情况下为保护自然人的@@生命健康和财产安全@@,确需向境外提供个人信息的@@@@;

  (四@@)关键信息基础设施运营者以外的@@数据处理者自当年@@@@1月@@1日@@起累计向境外提供@@不满@@@@10万人个人信息@@(不含敏感个人信息@@)的@@。

  前款所称向境外提供的@@个人信息@@,不包括重要数据@@。

  第@@六条@@ 自由贸易试验区在国家数据分类分级保护制度框架下@@,可以自行制定区内需要纳入数据出境安全评估@@、个人信息出境标@@准合同@@、个人信息保护认证管理范围的@@数据清单@@(以下简称负面清单@@),经省级网络安全和信息化委员会批准后@@,报国家网信部门@@、国家数据管理部门备案@@。

  自由贸易试验区内数据处理者向境外提供负面清单外的@@数据@@,可以免予申报数据出境安全评估@@@@、订立个人信息出境标@@准合同@@@@、通过个人信息保护认证@@。

  第@@七条@@ 数据处理者向境外提供数据@@,符合下列条件之一@@的@@@@,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估@@:

  (一@@)关键信息基础设施运营者向境外提供个人信息或者@@重要数据@@;

  (二@@)关键信息基础设施运营者以外的@@数据处理者向境外提供重要数据@@,或者@@自当年@@@@1月@@1日@@起累计向境外提供@@100万人以上@@个人信息@@(不含敏感个人信息@@)或者@@1万人以上@@敏感个人信息@@。

  属于本规定第@@三@@条@@@@、第@@四@@条@@、第@@五条@@、第@@六条@@规定情形的@@@@,从其规定@@。

  第@@八条@@ 关键信息基础设施运营者以外的@@数据处理者自当年@@@@1月@@1日@@起累计向境外提供@@10万人以上@@、不满@@100万人个人信息@@(不含敏感个人信息@@)或者@@不满@@@@1万人敏感个人信息的@@@@,应当依法与境外接收方订立个人信息出境标@@准合同@@@@或者@@通过个人信息保护认证@@@@。

  属于本规定第@@三@@条@@@@、第@@四@@条@@、第@@五条@@、第@@六条@@规定情形的@@@@,从其规定@@。

  第@@九条@@ 通过数据出境安全评估的@@结果有效期为@@3年@@,自评估结果出具之日@@起计算@@。有效期届满@@,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的@@@@,数据处理者可以在有效期届满@@前@@60个工作日@@内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请@@。经国家网信部门批准@@,可以延长评估结果有效期@@3年@@。

  第@@十条@@ 数据处理者向境外提供个人信息@@的@@@@,应当按照法律@@、行政法规的@@规定@@履行告知@@、取得个人单独同意@@、进行个人信息保护影响评估等义务@@。

  第@@十一@@条@@ 数据处理者向境外提供数据@@的@@@@,应当遵守法律@@、法规的@@规定@@,履行数据安全保护义务@@,采取技术措施和其他必要措施@@,保障数据出境安全@@。发生或者@@可能发生数据安全事件的@@@@,应当采取补救措施@@,及时向省级以上网信部门和其他有关主管部门报告@@。

  第@@十二@@条@@ 各地网信部门应当加强对数据处理者数据出境活动的@@指导监督@@,健全完善数据出境安全评估制度@@,优化评估流程@@;强化事前事中事后全链条全领域监管@@,发现数据出境活动存在较大风险或者@@发生数据安全事件的@@@@,要求数据处理者进行整改@@,消除隐患@@;对拒不改正或者@@造成严重后果的@@@@,依法追究法律责任@@。

  第@@十三@@条@@ 2022年@@7月@@7日@@公布的@@@@《数据出境安全评估办法@@》(国家互联网信息办公室@@令@@第@@@@11号@@)、2023年@@2月@@22日@@公布的@@@@《个人信息出境标@@准合同@@办法@@》(国家互联网信息办公室@@令@@第@@@@13号@@)等相关规定与本规定不一@@致的@@@@,适用本规定@@。

  第@@十四@@条@@ 本规定自公布之日@@起施行@@@@。