国度互联网信息办公室令 第11号

《数据出境安全评估主义》依然2022年5月19日国度互联网信息办公室2022年第10次室务会议审议通过，现予公布，自2022年9月1日起践诺。

国度互联网信息办公室主任 庄荣文 2022年7月7日

数据出境安全评估主义

第一条 为了设施数据出境作为，保护个东说念主信息权利，爱戴国度安全和社会环球利益，促进数据跨境安全、解放流动，字据《中华东说念主民共和国集合安全法》、《中华东说念主民共和国数据安全法》、《中华东说念主民共和国个东说念主信息保护法》等法律法令，制定本主义。

第二条 数据处理者向境外提供在中华东说念主民共和国境内运营中集合和产生的蹙迫数据和个东说念主信息的安全评估，适用本主义。法律、行政法令另有轨则的，依照其轨则。

第三条 数据出境安全评估坚执事先评估和执续监督相策动、风险自评估与安全评估相策动，注意数据出境安全风险，保险数据照章有序解放流动。

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国度网信部门报告数据出境安全评估：

（一）数据处理者向境外提供蹙迫数据；

（二）关节信息基础智商运营者和处理100万东说念主以上个东说念主信息的数据处理者向境外提供个东说念主信息；

（三）自上年1月1日起累计向境外提供10万东说念主个东说念主信息或者1万东说念主明锐个东说念主信息的数据处理者向境外提供个东说念主信息；

（四）国度网信部门轨则的其他需要报告数据出境安全评估的情形。

第五条 数据处理者在报告数据出境安全评估前，应当开展数据出境风险自评估，要点评估以下事项：

（一）数据出境和境外摄取方处理数据的方针、鸿沟、神气等的正当性、高洁性、必要性；

（二）出境数据的限制、鸿沟、种类、明锐进程，数据出境可能对国度安全、环球利益、个东说念主或者组织正当权利带来的风险；

（三）境外摄取方容或承担的包袱义务，以及履行包袱义务的管理和技巧措施、才调等能否保险出境数据的安全；

（四）数据出境中庸出境后遭到编削、随意、清楚、丢失、蜕变或者被罪人取得、罪人诈欺等的风险，个东说念主信息权利爱戴的渠说念是否畅达等；

（五）与境外摄取方拟签订的数据出境相关契约或者其他具有法律服从的文献等（以下统称法律文献）是否充分商定了数据安全保护包袱义务；

（六）其他可能影响数据出境安全的事项。

第六条 报告数据出境安全评估，应当提交以下材料：

（一）报告书；

（二）数据出境风险自评估解释；

（三）数据处理者与境外摄取方拟签订的法律文献；

（四）安全评估责任需要的其他材料。

第七条 省级网信部门应当自收到报告材料之日起5个责任日内完成完备性稽察。报告材料王人全的，将报告材料报送国度网信部门；报告材料不王人全的，应当璧还数据处理者并一次性示知需要补充的材料。

国度网信部门应当自收到报告材料之日起7个责任日内，笃定是否受理并书面请问数据处理者。

第八条 数据出境安全评估要点评估数据出境作为可能对国度安全、环球利益、个东说念主或者组织正当权利带来的风险，主要包括以下事项：

（一）数据出境的方针、鸿沟、神气等的正当性、高洁性、必要性；

（二）境外摄取方所在国度或者地区的数据安全保护策略法令和集合安全环境对出境数据安全的影响；境外摄取方的数据保护水平是否达到中华东说念主民共和国法律、行政法令的轨则和强制性国度尺度的条件；

（三）出境数据的限制、鸿沟、种类、明锐进程，出境中庸出境后遭到编削、随意、清楚、丢失、蜕变或者被罪人取得、罪人诈欺等的风险；

（四）数据安全和个东说念主信息权利是否大略得到充分有用保险；

（五）数据处理者与境外摄取方拟签订的法律文献中是否充分商定了数据安全保护包袱义务；

（六）治服中国法律、行政法令、部门法令情况；

（七）国度网信部门合计需要评估的其他事项。

第九条 数据处理者应当在与境外摄取方签订的法律文献中明确商定数据安全保护包袱义务，至少包括以下内容：

（一）数据出境的方针、神气和数据鸿沟，境外摄取方处理数据的用途、神气等；

（二）数据在境外保存地方、期限，以及达到保存期限、完成商定方针或者法律文献拆伙后出境数据的处理措施；

（三）关于境外摄取方将出境数据再蜕变给其他组织、个东说念主的料感性条件；

（四）境外摄取方在推行扫尾权或者策动鸿沟发生骨子性变化，或者所在国度、地区数据安全保护策略法令和集合安全环境发生变化以及发生其他不成抗力情形导致难以保险数据安全时，应当接受的安全措施；

（五）违背法律文献商定的数据安全保护义务的拯救措施、误期包袱和争议贬责神气；

（六）出境数据遭到编削、随意、清楚、丢失、蜕变或者被罪人取得、罪人诈欺等风险时，妥善开展济急处置的要乞降保险个东说念主爱戴其个东说念主信息权利的道路和神气。

第十条 国度网信部门受理报告后，字据报告情况组织国务院相关部门、省级网信部门、专门机构等进行安全评估。

第十一条 安全评估经过中，发现数据处理者提交的报告材料不相宜条件的，国度网信部门不错条件其补充或者更动。数据处理者无高洁事理不补充或者更动的，国度网信部门不错拆伙安全评估。

数据处理者对所提交材料的真正性崇拜，挑升提交子虚材料的，按照评估欠亨过处理，并照章根究相应法律包袱。

第十二条 国度网信部门应当自向数据处理者发出版面受理请问书之日起45个责任日内完成数据出境安全评估；情况复杂或者需要补充、更动材料的，不错得当延迟并示知数据处理者瞻望延迟的时间。

评估效率应当书面请问数据处理者。

第十三条 数据处理者对评估效率有异议的，不错在收到评估效率15个责任日内向国度网信部门肯求复评，复评效率为最终论断。

第十四条 通过数据出境安全评估的效率有用期为2年，自评估效率出具之日起缱绻。在有用期内出现以下情形之一的，数据处理者应当再行报告评估：

（一）向境外提供数据的方针、神气、鸿沟、种类和境外摄取方处理数据的用途、神气发生变化影响出境数据安全的，或者延迟个东说念主信息和蹙迫数据境外保存期限的；

（二）境外摄取方所在国度或者地区数据安全保护策略法令和集合安全环境发生变化以及发生其他不成抗力情形、数据处理者或者境外摄取方推行扫尾权发生变化、数据处理者与境外摄取样式律文献变更等影响出境数据安全的；

（三）出现影响出境数据安全的其他情形。

有用期届满，需要连续开展数据出境作为的，数据处理者应当在有用期届满60个责任日前再行报告评估。

第十五条 参与安全评估责任的相关机构和东说念主员对在履行职责中洞悉的国度精巧、个东说念主阴私、个东说念主信息、营业精巧、守密商务信息等数据应当照章赐与守密，不得清楚或者罪人向他东说念主提供、罪人使用。

第十六条 任何组织和个东说念主发现数据处理者违背本主义向境外提供数据的，不错向省级以上网信部门举报。

第十七条 国度网信部门发现依然通过评估的数据出境作为在推行处理经过中不再相宜数据出境安全管理条件的，应当书面请问数据处理者拆伙数据出境作为。数据处理者需要连续开展数据出境作为的，应当按照条件整改，整改完成后再行报告评估。

第十八条 违背本主义令矩的，依据《中华东说念主民共和国集合安全法》、《中华东说念主民共和国数据安全法》、《中华东说念主民共和国个东说念主信息保护法》等法律法令处理；组成罪人的，照章根究处分。

第十九条 本主义所称蹙迫数据，是指一朝遭到编削、随意、清楚或者罪人取得、罪人诈欺等，可能危害国度安全、经济开动、社会踏实、环球健康和安全等的数据。

第二十条 本主义自2022年9月1日起践诺。本主义践诺前依然开展的数据出境作为，不相宜本主义令矩的，应当自本主义践诺之日起6个月内完成整改。