國家互聯(lián)網(wǎng)信息辦公室令
第16號
《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》已經(jīng)2023年11月28日國家互聯(lián)網(wǎng)信息辦公室2023年第26次室務(wù)會議審議通過,現(xiàn)予公布,自公布之日起施行。
國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文
2024年3月22日
促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定
第一條 為了保障數(shù)據(jù)安全,保護個人信息權(quán)益,促進數(shù)據(jù)依法有序自由流動,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī),對于數(shù)據(jù)出境安全評估、個人信息出境標(biāo)準(zhǔn)合同、個人信息保護認證等數(shù)據(jù)出境制度的施行,制定本規(guī)定。
第二條 數(shù)據(jù)處理者應(yīng)當(dāng)按照相關(guān)規(guī)定識別、申報重要數(shù)據(jù)。未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的,數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。
第三條 國際貿(mào)易、跨境運輸、學(xué)術(shù)合作、跨國生產(chǎn)制造和市場營銷等活動中收集和產(chǎn)生的數(shù)據(jù)向境外提供,不包含個人信息或者重要數(shù)據(jù)的,免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認證。
第四條 數(shù)據(jù)處理者在境外收集和產(chǎn)生的個人信息傳輸至境內(nèi)處理后向境外提供,處理過程中沒有引入境內(nèi)個人信息或者重要數(shù)據(jù)的,免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認證。
第五條 數(shù)據(jù)處理者向境外提供個人信息,符合下列條件之一的,免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認證:
(一)為訂立、履行個人作為一方當(dāng)事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預(yù)訂、簽證辦理、考試服務(wù)等,確需向境外提供個人信息的;
(二)按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
(三)緊急情況下為保護自然人的生命健康和財產(chǎn)安全,確需向境外提供個人信息的;
(四)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
前款所稱向境外提供的個人信息,不包括重要數(shù)據(jù)。
第六條 自由貿(mào)易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下,可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評估、個人信息出境標(biāo)準(zhǔn)合同、個人信息保護認證管理范圍的數(shù)據(jù)清單(以下簡稱負面清單),經(jīng)省級網(wǎng)絡(luò)安全和信息化委員會批準(zhǔn)后,報國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案。
自由貿(mào)易試驗區(qū)內(nèi)數(shù)據(jù)處理者向境外提供負面清單外的數(shù)據(jù),可以免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認證。
第七條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),符合下列條件之一的,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:
(一)關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息或者重要數(shù)據(jù);
(二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者向境外提供重要數(shù)據(jù),或者自當(dāng)年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。
屬于本規(guī)定第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
第八條 關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應(yīng)當(dāng)依法與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同或者通過個人信息保護認證。
屬于本規(guī)定第三條、第四條、第五條、第六條規(guī)定情形的,從其規(guī)定。
第九條 通過數(shù)據(jù)出境安全評估的結(jié)果有效期為3年,自評估結(jié)果出具之日起計算。有效期屆滿,需要繼續(xù)開展數(shù)據(jù)出境活動且未發(fā)生需要重新申報數(shù)據(jù)出境安全評估情形的,數(shù)據(jù)處理者可以在有效期屆滿前60個工作日內(nèi)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出延長評估結(jié)果有效期申請。經(jīng)國家網(wǎng)信部門批準(zhǔn),可以延長評估結(jié)果有效期3年。
第十條 數(shù)據(jù)處理者向境外提供個人信息的,應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務(wù)。
第十一條 數(shù)據(jù)處理者向境外提供數(shù)據(jù)的,應(yīng)當(dāng)遵守法律、法規(guī)的規(guī)定,履行數(shù)據(jù)安全保護義務(wù),采取技術(shù)措施和其他必要措施,保障數(shù)據(jù)出境安全。發(fā)生或者可能發(fā)生數(shù)據(jù)安全事件的,應(yīng)當(dāng)采取補救措施,及時向省級以上網(wǎng)信部門和其他有關(guān)主管部門報告。
第十二條 各地網(wǎng)信部門應(yīng)當(dāng)加強對數(shù)據(jù)處理者數(shù)據(jù)出境活動的指導(dǎo)監(jiān)督,健全完善數(shù)據(jù)出境安全評估制度,優(yōu)化評估流程;強化事前事中事后全鏈條全領(lǐng)域監(jiān)管,發(fā)現(xiàn)數(shù)據(jù)出境活動存在較大風(fēng)險或者發(fā)生數(shù)據(jù)安全事件的,要求數(shù)據(jù)處理者進行整改,消除隱患;對拒不改正或者造成嚴重后果的,依法追究法律責(zé)任。
第十三條 2022年7月7日公布的《數(shù)據(jù)出境安全評估辦法》(國家互聯(lián)網(wǎng)信息辦公室令第11號)、2023年2月22日公布的《個人信息出境標(biāo)準(zhǔn)合同辦法》(國家互聯(lián)網(wǎng)信息辦公室令第13號)等相關(guān)規(guī)定與本規(guī)定不一致的,適用本規(guī)定。
第十四條 本規(guī)定自公布之日起施行。
來源:“網(wǎng)信中國”微信公眾號