国家互联网信息办公室指出:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
此外,国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。违反规定的,依照相关法律进行处罚,构成犯罪的则依法追究刑事责任。
