國家互聯網信息辦公室關于《個人信息和重要數據出境安全評估辦法（征求意見稿）》公開征求意見的通知

為保障個人信息和重要數據安全，維護網絡空間主權和國家安全、社會公共利益，促進網絡信息依法有序自由流動，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規，我辦會同相關部門起草了《個人信息和重要數據出境安全評估辦法（征求意見稿）》，現向社會公開征求意見。有關單位和各界人士可以在2017年5月11日前，通過以下方式提出意見：

一、通過信函方式將意見寄至：北京市東城區朝陽門內大街225號國家互聯網信息辦公室網絡安全協調局，郵編：100010，并在信封上注明“征求意見”。

二、通過電子郵件方式發送至：[email protected]。

附件：個人信息和重要數據出境安全評估辦法（征求意見稿）

國家互聯網信息辦公室

2017年4月11日

附件

個人信息和重要數據出境安全評估辦法

（征求意見稿）

第一條 為保障個人信息和重要數據安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法利益，根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規，制定本辦法。

第二條 網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估。

第三條 數據出境安全評估應遵循公正、客觀、有效的原則，保障個人信息和重要數據安全，促進網絡信息依法有序自由流動。

第四條 個人信息出境，應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并經其同意。未成年人個人信息出境須經其監護人同意。

第五條 國家網信部門統籌協調數據出境安全評估工作，指導行業主管或監管部門組織開展數據出境安全評估。

第六條 行業主管或監管部門負責本行業數據出境安全評估工作，定期組織開展本行業數據出境安全檢查。

第七條 網絡運營者應在數據出境前，自行組織對數據出境進行安全評估，并對評估結果負責。

第八條 數據出境安全評估應重點評估以下內容：

（一）數據出境的必要性；

（二）涉及個人信息情況，包括個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等；

（三）涉及重要數據情況，包括重要數據的數量、范圍、類型及其敏感程度等；

（四）數據接收方的安全保護措施、能力和水平，以及所在國家和地區的網絡安全環境等；

（五）數據出境及再轉移后被泄露、毀損、篡改、濫用等風險；

（六）數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險；

（七）其他需要評估的重要事項。

第九條 出境數據存在以下情況之一的，網絡運營者應報請行業主管或監管部門組織安全評估：

（一）含有或累計含有50萬人以上的個人信息；

（二）數據量超過1000GB；

（三）包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等；

（四）包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息；

（五）關鍵信息基礎設施運營者向境外提供個人信息和重要數據；

（六）其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估。

行業主管或監管部門不明確的，由國家網信部門組織評估。

第十條 行業主管或監管部門組織的安全評估，應當于六十個工作日內完成，及時向網絡運營者反饋安全評估情況，并報國家網信部門。

第十一條 存在以下情況之一的，數據不得出境：

（一）個人信息出境未經個人信息主體同意，或可能侵害個人利益；

（二）數據出境給國家政治、經濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益；

（三）其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。

第十二條 網絡運營者應根據業務發展和網絡運營情況，每年對數據出境至少進行一次安全評估，及時將評估情況報行業主管或監管部門。

當數據接收方出現變更，數據出境目的、范圍、數量、類型等發生較大變化，數據接收方或出境數據發生重大安全事件時，應及時重新進行安全評估。

第十三條 對違反相關法律法規和本辦法向境外提供數據的行為，任何個人和組織有權向國家網信部門、公安部門等有關部門舉報。

第十四條 違反本辦法規定的，依照有關法律法規進行處罰。

第十五條 我國政府與其他國家、地區簽署的關于數據出境的協議，按照協議的規定執行。

涉及國家秘密信息的按照相關規定執行。

第十六條 其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行。

第十七條 本辦法下列用語的含義：

網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。

數據出境，是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據，提供給位于境外的機構、組織、個人。

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

重要數據，是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南。

第十八條 本辦法自2017年 月 日起實施。