國家互聯(lián)網(wǎng)信息辦公室關(guān)于《個人信息出境安全評估辦法(征求意見稿)》公開征求意見的通知
發(fā)布時間:2019-06-14為保障個人信息安全,維護網(wǎng)絡(luò)空間主權(quán),、國家安全,、社會公共利益,,保護公民、法人的合法權(quán)益,,依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),,國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門起草了《個人信息出境安全評估辦法(征求意見稿)》,現(xiàn)向社會公開征求意見,。有關(guān)單位和各界人士可以在2019年7月13日前,,通過以下方式提出意見:
1.登錄中國政府法制信息網(wǎng)(網(wǎng)址:http://www.chinalaw.gov.cn),進入首頁的“立法意見征集”提出意見,。
2.通過電子郵件方式發(fā)送至:[email protected]
3.通過信函方式將意見寄至:北京市西城區(qū)車公莊大街11號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局,,郵編100044,并在信封上注明“個人信息出境安全評估辦法征求意見”,。
附件:個人信息出境安全評估辦法(征求意見稿)
國家互聯(lián)網(wǎng)信息辦公室
2019年6月13日
個人信息出境安全評估辦法
(征求意見稿)
第一條 為保障數(shù)據(jù)跨境流動中的個人信息安全,,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī),制定本辦法,。
第二條 網(wǎng)絡(luò)運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息(以下稱個人信息出境),,應(yīng)當按照本辦法進行安全評估。經(jīng)安全評估認定個人信息出境可能影響國家安全,、損害公共利益,,或者難以有效保障個人信息安全的,不得出境,。
國家關(guān)于個人信息出境另有規(guī)定的,,從其規(guī)定。
第三條 個人信息出境前,,網(wǎng)絡(luò)運營者應(yīng)當向所在地省級網(wǎng)信部門申報個人信息出境安全評估,。
向不同的接收者提供個人信息應(yīng)當分別申報安全評估,向同一接收者多次或連續(xù)提供個人信息無需多次評估,。
每2年或者個人信息出境目的,、類型和境外保存時間發(fā)生變化時應(yīng)當重新評估。
第四條 網(wǎng)絡(luò)運營者申報個人信息出境安全評估應(yīng)當提供以下材料,,并對材料的真實性,、準確性負責:
(一)申報書。
(二)網(wǎng)絡(luò)運營者與接收者簽訂的合同,。
(三)個人信息出境安全風險及安全保障措施分析報告,。
(四)國家網(wǎng)信部門要求提供的其他材料。
第五條 省級網(wǎng)信部門在收到個人信息出境安全評估申報材料并核查其完備性后,,應(yīng)當組織專家或技術(shù)力量進行安全評估,。安全評估應(yīng)當在15個工作日內(nèi)完成,情況復雜的可以適當延長,。
第六條 個人信息出境安全評估重點評估以下內(nèi)容:
(一)是否符合國家有關(guān)法律法規(guī)和政策規(guī)定,。
(二)合同條款是否能夠充分保障個人信息主體合法權(quán)益,。
(三)合同能否得到有效執(zhí)行。
(四)網(wǎng)絡(luò)運營者或接收者是否有損害個人信息主體合法權(quán)益的歷史,、是否發(fā)生過重大網(wǎng)絡(luò)安全事件,。
(五)網(wǎng)絡(luò)運營者獲得個人信息是否合法、正當,。
(六)其他應(yīng)當評估的內(nèi)容,。
第七條 省級網(wǎng)信部門在將個人信息出境安全評估結(jié)論通報網(wǎng)絡(luò)運營者的同時,將個人信息出境安全評估情況報國家網(wǎng)信部門,。
網(wǎng)絡(luò)運營者對省級網(wǎng)信部門的個人信息出境安全評估結(jié)論存在異議的,,可以向國家網(wǎng)信部門提出申訴。
第八條 網(wǎng)絡(luò)運營者應(yīng)當建立個人信息出境記錄并且至少保存5年,,記錄包括:
(一)向境外提供個人信息的日期時間,。
(二)接收者的身份,包括但不限于接收者的名稱,、地址,、聯(lián)系方式等,。
(三)向境外提供的個人信息的類型及數(shù)量,、敏感程度。
(四)國家網(wǎng)信部門規(guī)定的其他內(nèi)容,。
第九條 網(wǎng)絡(luò)運營者應(yīng)當每年12月31日前將本年度個人信息出境情況,、合同履行情況等報所在地省級網(wǎng)信部門。
發(fā)生較大數(shù)據(jù)安全事件時,,應(yīng)及時報所在地省級網(wǎng)信部門,。
第十條 省級網(wǎng)信部門應(yīng)當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況,重點檢查合同規(guī)定義務(wù)的履行情況,、是否存在違反國家規(guī)定或損害個人信息主體合法權(quán)益的行為等,。
發(fā)現(xiàn)損害個人信息主體合法權(quán)益、數(shù)據(jù)泄露安全事件等情況時,,應(yīng)當及時要求網(wǎng)絡(luò)運營者整改,,通過網(wǎng)絡(luò)運營者督促接收者整改。
第十一條 出現(xiàn)以下情況之一時,,網(wǎng)信部門可以要求網(wǎng)絡(luò)運營者暫?;蚪K止向境外提供個人信息:
(一)網(wǎng)絡(luò)運營者或接收者發(fā)生較大數(shù)據(jù)泄露、數(shù)據(jù)濫用等事件,。
(二)個人信息主體不能或者難以維護個人合法權(quán)益,。
(三)網(wǎng)絡(luò)運營者或接收者無力保障個人信息安全。
第十二條 任何個人和組織有權(quán)對違反本辦法規(guī)定向境外提供個人信息的行為,,向省級以上網(wǎng)信部門或者相關(guān)部門舉報,。
第十三條 網(wǎng)絡(luò)運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件(統(tǒng)稱合同),,應(yīng)當明確:
(一)個人信息出境的目的、類型,、保存時限,。
(二)個人信息主體是合同中涉及個人信息主體權(quán)益的條款的受益人。
(三)個人信息主體合法權(quán)益受到損害時,,可以自行或者委托代理人向網(wǎng)絡(luò)運營者或者接收者或者雙方索賠,,網(wǎng)絡(luò)運營者或者接收者應(yīng)當予以賠償,除非證明沒有責任,。
(四)接收者所在國家法律環(huán)境發(fā)生變化導致合同難以履行時,,應(yīng)當終止合同,或者重新進行安全評估,。
(五)合同的終止不能免除合同中涉及個人信息主體合法權(quán)益有關(guān)條款規(guī)定的網(wǎng)絡(luò)運營者和接收者的責任和義務(wù),,除非接收者已經(jīng)銷毀了接收到的個人信息或作了匿名化處理。
(六)雙方約定的其他內(nèi)容,。
第十四條 合同應(yīng)當明確網(wǎng)絡(luò)運營者承擔以下責任和義務(wù):
(一)以電子郵件,、即時通信、信函,、傳真等方式告知個人信息主體網(wǎng)絡(luò)運營者和接收者的基本情況,,以及向境外提供個人信息的目的、類型和保存時間,。
(二)應(yīng)個人信息主體的請求,,提供本合同的副本。
(三)應(yīng)請求向接收者轉(zhuǎn)達個人信息主體訴求,,包括向接收者索賠,;個人信息主體不能從接收者獲得賠償時,先行賠付,。
第十五條 合同應(yīng)當明確接收者承擔以下責任和義務(wù):
(一)為個人信息主體提供訪問其個人信息的途徑,,個人信息主體要求更正或者刪除其個人信息時,應(yīng)在合理的代價和時限內(nèi)予以響應(yīng),、更正或者刪除,。
(二)按照合同約定的目的使用個人信息,個人信息的境外保存期限不得超出合同約定的時限,。
(三)確認簽署合同及履行合同義務(wù)不會違背接收者所在國家的法律要求,,當接收者所在國家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時,應(yīng)當及時通知網(wǎng)絡(luò)運營者,,并通過網(wǎng)絡(luò)運營者報告網(wǎng)絡(luò)運營者所在地省級網(wǎng)信部門,。
第十六條 合同應(yīng)當明確接收者不得將接收到的個人信息傳輸給第三方,除非滿足以下條件:
(一)網(wǎng)絡(luò)運營者已經(jīng)通過電子郵件、即時通信,、信函,、傳真等方式將個人信息傳輸給第三方的目的、第三方的身份和國別,,以及傳輸?shù)膫€人信息類型,、第三方保留時限等通知個人信息主體。
(二)接收者承諾在個人信息主體請求停止向第三方傳輸時,,停止傳輸并要求第三方銷毀已經(jīng)接收到的個人信息,。
(三)涉及到個人敏感信息時,已征得個人信息主體同意,。
(四)因向第三方傳輸個人信息對個人信息主體合法權(quán)益帶來損害時,,網(wǎng)絡(luò)運營者同意先行承擔賠付責任。
第十七條 網(wǎng)絡(luò)運營者關(guān)于個人信息出境安全風險及安全保障措施分析報告應(yīng)當至少包括:
(一)網(wǎng)絡(luò)運營者和接收者的背景,、規(guī)模,、業(yè)務(wù)、財務(wù),、信譽,、網(wǎng)絡(luò)安全能力等。
(二)個人信息出境計劃,,包括持續(xù)時間,、涉及的個人信息主體數(shù)量、向境外提供的個人信息規(guī)模,、個人信息出境后是否會再向第三方傳輸?shù)取?/span>
(三)個人信息出境風險分析和保障個人信息安全和個人信息主體合法權(quán)益的措施,。
第十八條 網(wǎng)絡(luò)運營者違反本辦法規(guī)定向境外提供個人信息的,依照有關(guān)法律法規(guī)進行處理,。
第十九條 我國參與的或者與其他國家和地區(qū)、國際組織締結(jié)的條約,、協(xié)議等對個人信息出境有明確規(guī)定的,,適用其規(guī)定,我國聲明保留的條款除外,。
第二十條 境外機構(gòu)經(jīng)營活動中,,通過互聯(lián)網(wǎng)等收集境內(nèi)用戶個人信息,應(yīng)當在境內(nèi)通過法定代表人或者機構(gòu)履行本辦法中網(wǎng)絡(luò)運營者的責任和義務(wù),。
第二十一條 本辦法下列用語的含義:
(一)網(wǎng)絡(luò)運營者,,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者,。
(二)個人信息,,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期,、身份證件號碼,、個人生物識別信息、住址,、電話號碼等,。
(三)個人敏感信息,是指一旦被泄露,、竊取,、篡改、非法使用可能危害個人信息主體人身,、財產(chǎn)安全,,或?qū)е聜€人信息主體名譽、身心健康受到損害等的個人信息,。
第二十二條 本辦法自 年 月 日起實施,。(來源:中國網(wǎng)信網(wǎng))
