為保障個人資訊安全,維護網路空間主權、國家安全、社會公共利益,保護公民、法人的合法權益,依據《中華人民共和國網路安全法》等法律法規,國家網際網路信息辦公室會同有關部門起草了《個人資訊出境安全評估辦法(徵求意見稿)》,現向社會公開徵求意見。有關單位和各界人士可以在2019年7月13日前,通過以下方式提出意見:
1.登錄中國政府法制資訊網(網址:http://www.chinalaw.gov.cn),進入首頁的“立法意見徵集”提出意見。
2.通過電子郵件方式發送至:security@cac.gov.cn
3.通過信函方式將意見寄至:北京市西城區車公莊大街11號國家網際網路信息辦公室網路安全協調局,郵編100044,並在信封上註明“個人資訊出境安全評估辦法徵求意見”。
附件:個人資訊出境安全評估辦法(徵求意見稿)
國家網際網路信息辦公室
2019年6月13日
個人資訊出境安全評估辦法
(徵求意見稿)
第一條 為保障數據跨境流動中的個人資訊安全,根據《中華人民共和國網路安全法》等相關法律法規,制定本辦法。
第二條 網路運營者向境外提供在中華人民共和國境內運營中收集的個人資訊(以下稱個人資訊出境),應當按照本辦法進行安全評估。經安全評估認定個人資訊出境可能影響國家安全、損害公共利益,或者難以有效保障個人資訊安全的,不得出境。
國家關於個人資訊出境另有規定的,從其規定。
第三條 個人資訊出境前,網路運營者應當向所在地省級網信部門申報個人資訊出境安全評估。
向不同的接收者提供個人資訊應當分別申報安全評估,向同一接收者多次或連續提供個人資訊無需多次評估。
每2年或者個人資訊出境目的、類型和境外保存時間發生變化時應當重新評估。
第四條 網路運營者申報個人資訊出境安全評估應當提供以下材料,並對材料的真實性、準確性負責:
(一)申報書。
(二)網路運營者與接收者簽訂的合同。
(三)個人資訊出境安全風險及安全保障措施分析報告。
(四)國家網信部門要求提供的其他材料。
第五條 省級網信部門在收到個人資訊出境安全評估申報材料並核查其完備性後,應當組織專家或技術力量進行安全評估。安全評估應當在15個工作日內完成,情況複雜的可以適當延長。
第六條 個人資訊出境安全評估重點評估以下內容:
(一)是否符合國家有關法律法規和政策規定。
(二)合同條款是否能夠充分保障個人資訊主體合法權益。
(三)合同能否得到有效執行。
(四)網路運營者或接收者是否有損害個人資訊主體合法權益的歷史、是否發生過重大網路安全事件。
(五)網路運營者獲得個人資訊是否合法、正當。
(六)其他應當評估的內容。
第七條 省級網信部門在將個人資訊出境安全評估結論通報網路運營者的同時,將個人資訊出境安全評估情況報國家網信部門。
網路運營者對省級網信部門的個人資訊出境安全評估結論存在異議的,可以向國家網信部門提出申訴。
第八條 網路運營者應當建立個人資訊出境記錄並且至少保存5年,記錄包括:
(一)向境外提供個人資訊的日期時間。
(二)接收者的身份,包括但不限于接收者的名稱、地址、聯繫方式等。
(三)向境外提供的個人資訊的類型及數量、敏感程度。
(四)國家網信部門規定的其他內容。
第九條 網路運營者應當每年12月31日前將本年度個人資訊出境情況、合同履行情況等報所在地省級網信部門。
發生較大數據安全事件時,應及時報所在地省級網信部門。
第十條 省級網信部門應當定期組織檢查運營者的個人資訊出境記錄等個人資訊出境情況,重點檢查合同規定義務的履行情況、是否存在違反國家規定或損害個人資訊主體合法權益的行為等。
發現損害個人資訊主體合法權益、數據洩露安全事件等情況時,應當及時要求網路運營者整改,通過網路運營者督促接收者整改。
第十一條 出現以下情況之一時,網信部門可以要求網路運營者暫停或終止向境外提供個人資訊:
(一)網路運營者或接收者發生較大數據洩露、數據濫用等事件。
(二)個人資訊主體不能或者難以維護個人合法權益。
(三)網路運營者或接收者無力保障個人資訊安全。
第十二條 任何個人和組織有權對違反本辦法規定向境外提供個人資訊的行為,向省級以上網信部門或者相關部門舉報。
第十三條 網路運營者與個人資訊接收者簽訂的合同或者其他有法律效力的文件(統稱合同),應當明確:
(一)個人資訊出境的目的、類型、保存時限。
(二)個人資訊主體是合同中涉及個人資訊主體權益的條款的受益人。
(三)個人資訊主體合法權益受到損害時,可以自行或者委託代理人向網路運營者或者接收者或者雙方索賠,網路運營者或者接收者應當予以賠償,除非證明沒有責任。
(四)接收者所在國家法律環境發生變化導致合同難以履行時,應當終止合同,或者重新進行安全評估。
(五)合同的終止不能免除合同中涉及個人資訊主體合法權益有關條款規定的網路運營者和接收者的責任和義務,除非接收者已經銷毀了接收到的個人資訊或作了匿名化處理。
(六)雙方約定的其他內容。
第十四條 合同應當明確網路運營者承擔以下責任和義務:
(一)以電子郵件、即時通信、信函、傳真等方式告知個人資訊主體網路運營者和接收者的基本情況,以及向境外提供個人資訊的目的、類型和保存時間。
(二)應個人資訊主體的請求,提供本合同的副本。
(三)應請求向接收者轉達個人資訊主體訴求,包括向接收者索賠;個人資訊主體不能從接收者獲得賠償時,先行賠付。
第十五條 合同應當明確接收者承擔以下責任和義務:
(一)為個人資訊主體提供訪問其個人資訊的途徑,個人資訊主體要求更正或者刪除其個人資訊時,應在合理的代價和時限內予以響應、更正或者刪除。
(二)按照合同約定的目的使用個人資訊,個人資訊的境外保存期限不得超出合同約定的時限。
(三)確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求,當接收者所在國家和地區法律環境發生變化可能影響合同執行時,應當及時通知網路運營者,並通過網路運營者報告網路運營者所在地省級網信部門。
第十六條 合同應當明確接收者不得將接收到的個人資訊傳輸給第三方,除非滿足以下條件:
(一)網路運營者已經通過電子郵件、即時通信、信函、傳真等方式將個人資訊傳輸給第三方的目的、第三方的身份和國別,以及傳輸的個人資訊類型、第三方保留時限等通知個人資訊主體。
(二)接收者承諾在個人資訊主體請求停止向第三方傳輸時,停止傳輸並要求第三方銷毀已經接收到的個人資訊。
(三)涉及到個人敏感資訊時,已徵得個人資訊主體同意。
(四)因向第三方傳輸個人資訊對個人資訊主體合法權益帶來損害時,網路運營者同意先行承擔賠付責任。
第十七條 網路運營者關於個人資訊出境安全風險及安全保障措施分析報告應當至少包括:
(一)網路運營者和接收者的背景、規模、業務、財務、信譽、網路安全能力等。
(二)個人資訊出境計劃,包括持續時間、涉及的個人資訊主體數量、向境外提供的個人資訊規模、個人資訊出境後是否會再向第三方傳輸等。
(三)個人資訊出境風險分析和保障個人資訊安全和個人資訊主體合法權益的措施。
第十八條 網路運營者違反本辦法規定向境外提供個人資訊的,依照有關法律法規進行處理。
第十九條 我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對個人資訊出境有明確規定的,適用其規定,我國聲明保留的條款除外。
第二十條 境外機構經營活動中,通過網際網路等收集境內用戶個人資訊,應當在境內通過法定代表人或者機構履行本辦法中網路運營者的責任和義務。
第二十一條 本辦法下列用語的含義:
(一)網路運營者,是指網路的所有者、管理者和網路服務提供者。
(二)個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。
(三)個人敏感資訊,是指一旦被洩露、竊取、篡改、非法使用可能危害個人資訊主體人身、財産安全,或導致個人資訊主體名譽、身心健康受到損害等的個人資訊。
第二十二條 本辦法自 年 月 日起實施。
未經允許不得轉載:網信浙江 » 國家網信辦對《個人資訊出境安全評估辦法(徵求意見稿)》公開徵求意見