您正在瀏覽的是香港網站,香港證監會BJA907號,投資有風險,交易需謹慎
市場資訊

市場資訊

首頁市場資訊資訊詳情

國家互聯網信息辦公室公佈《數據出境安全評估辦法》

uSMART盈立智投 07-07 17:05

7月7日,國家互聯網信息辦公室公佈《數據出境安全評估辦法》(以下簡稱《辦法》)。國家互聯網信息辦公室有關負責人就《辦法》相關問題回答了記者提問。

問:請簡要介紹《辦法》出臺的背景?

答:近年來,隨着數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。同時,由於不同國家和地區法律制度、保護水平等的差異,數據出境安全風險也相應凸顯。數據跨境活動既影響個人信息權益,又關係國家安全和社會公共利益。世界上許多國家和地區相繼從本國、本地區實際出發,對數據跨境安全管理作了制度探索。制定出臺《辦法》是落實《網絡安全法》、《數據安全法》、《個人信息保護法》有關數據出境規定的重要舉措,目的是進一步規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。

問:《辦法》所稱數據出境活動是指什麼?

答:《辦法》所稱數據出境活動主要包括:一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。

問:哪些情形需要申報數據出境安全評估?

答:《辦法》明確了4種應當申報數據出境安全評估的情形:一是數據處理者向境外提供重要數據。二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息。三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。四是國家網信部門規定的其他需要申報數據出境安全評估的情形。

問:數據出境安全評估主要評估哪些內容?

答:數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:一是數據出境的目的、範圍、方式等的合法性、正當性、必要性。二是境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求。三是出境數據的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。四是數據安全和個人信息權益是否能夠得到充分有效保障。五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。六是遵守中國法律、行政法規、部門規章情況。七是國家網信部門認爲需要評估的其他事項。

問:爲了規範數據出境安全評估活動,《辦法》明確了哪些具體流程?

答:《辦法》明確了數據出境的具體流程。一是事前評估,數據處理者在向境外提供數據前,應首先開展數據出境風險自評估。二是申報評估,符合申報數據出境安全評估情形的,數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。三是開展評估,國家網信部門自收到申報材料之日起7個工作日內確定是否受理評估;自出具書面受理通知書之日起45個工作日內完成數據出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知數據處理者預計延長的時間。四是重新評估和終止出境,評估結果有效期屆滿或者在有效期內出現本辦法中規定重新評估情形的,數據處理者應當重新申報數據出境安全評估。已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的,在收到國家網信部門書面通知後,數據處理者應終止數據出境活動。數據處理者需要繼續開展數據出境活動的,應當按照要求整改,整改完成後重新申報評估。

問:評估過程中如何保障數據處理者的商業祕密等合法權益?

答:《辦法》規定了參與安全評估工作的相關機構和人員對在履行職責中知悉的國家祕密、個人隱私、個人信息、商業祕密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供、非法使用。

問:《辦法》還明確了哪些規定?

答:除了上述評估內容、具體流程、保密要求等管理措施以外,《辦法》還明確了國家網信部門負責決定是否受理安全評估,並根據申報情況組織國務院有關部門、省級網信部門、專門機構等開展安全評估。省級網信部門負責接收數據出境安全評估申請材料,並完成完備性查驗。任何組織和個人發現數據處理者違反本辦法向境外提供數據的,可以向省級以上網信部門舉報。

問:數據處理者何時申報數據出境安全評估?

答:數據處理者應當在數據出境活動發生前申報並通過數據出境安全評估。實踐中,數據處理者宜在與境外接收方簽訂數據出境相關合同或者其他具有法律效力的文件(以下統稱法律文件)前,申報數據出境安全評估。如果在簽訂法律文件後申報評估,建議在法律文件中註明此文件須在通過數據出境安全評估後生效,以避免可能因未通過評估而造成損失。

問:企業申報數據出境安全評估的結果可能有哪幾類?

答:一是申報不予受理。對於不屬於安全評估範圍的,數據處理者接到國家網信部門不予受理的書面通知後,可以通過法律規定的其他合法途徑開展數據出境活動。二是通過安全評估。數據處理者可以在收到通過評估的書面通知後,嚴格按照申報事項開展數據出境活動。三是未通過安全評估。未通過數據出境安全評估的,數據處理者不得開展所申報的數據出境活動。

問:對評估結果有異議如何處理?

答:數據處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果爲最終結論。

問:通過數據出境安全評估的結果有效期是多久?

答:通過數據出境安全評估的結果有效期爲2年,自評估結果出具之日起計算。有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。

問:違反《辦法》如何追究法律責任?

答:《辦法》明確數據處理者違反本辦法規定的,依照《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規的規定處理;構成犯罪的,依法追究刑事責任。

問:對於個人信息向境外提供,安全評估與標準合同、個人信息保護認證之間的關係,三種方式如何銜接?

答:《辦法》適用範圍已經明確,對於適用安全評估的個人信息處理者的數據出境情形應當申報安全評估;《辦法》適用範圍外的個人信息處理者的數據出境情形,可以通過個人信息保護認證或者簽訂國家網信部門制定的標準合同來滿足個人信息跨境提供條件,便利個人信息處理者依法開展數據出境活動。