國家互聯網信息辦公室今日就《數據出境安全評估辦法（征求意見稿）》公開征求意見：數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合，防范數據出境安全風險，保障數據依法有序自由流動。

國家互聯網信息辦公室指出：數據處理者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

（一）關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；

（二）出境數據中包含重要數據；

（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；

（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；

（五）國家網信部門規定的其他需要申報數據出境安全評估的情形。

數據處理者在向境外提供數據前，應事先開展數據出境風險自評估，重點評估以下事項：

（一）數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；

（二）出境數據的數量、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；

（三）數據處理者在數據轉移環節的管理和技術措施、能力等能否防范數據泄露、毀損等風險；

（四）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；

（五）數據出境和再轉移后泄露、毀損、篡改、濫用等的風險，個人維護個人信息權益的渠道是否通暢等；

（六）與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。

數據處理者與境外接收方訂立的合同充分約定數據安全保護責任義務，應當包括但不限于以下內容：

（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；

（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施；

（三）限制境外接收方將出境數據再轉移給其他組織、個人的約束條款；

（四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區法律環境發生變化導致難以保障數據安全時，應當采取的安全措施；

（五）違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款；

（六）發生數據泄露等風險時，妥善開展應急處置，并保障個人維護個人信息權益的通暢渠道。

此外，國家網信部門發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當撤銷評估結果并書面通知數據處理者，數據處理者應當終止數據出境活動。需要繼續開展數據出境活動的，數據處理者應當按照要求進行整改，并在整改完成后重新申報評估。違反規定的，依照相關法律進行處罰，構成犯罪的則依法追究刑事責任。

網信辦原文：點此。