为保护个人信息和重要数据安全,维护网络空间主权、国家安全和社会公共利益,促进网络信息合法、有序、自由流动,根据《中华人民共和国国家安全法》中华人民共和国和中华人民共和国网络安全法 根据其他法律法规,我办会同有关部门起草了《个人信息和重要数据出境安全评估办法(征求意见稿)》 ",现已向公众开放征求意见。相关单位和各界人士可在2017年5月11日前通过以下方式提出意见:
一、将意见寄至:北京市东城区朝阳门内大街225号国家互联网信息办公室网络安全协调局,邮编100010,并在信封上注明“征求意见” .
二、 邮箱:security@cac.gov.cn。
附件:个人信息及重要数据出境安全评估办法(征求意见稿)
国家互联网信息办公室
2017 年 4 月 11 日
附件
个人信息及重要数据出境安全评估办法
(征求意见稿)
第一条为保障个人信息和重要数据的安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,依照《国家安全法》的规定中华人民共和国法律及本办法根据《中华人民共和国网络安全法》等法律法规,制定。
第二条网络运营者在中华人民共和国境内运营过程中收集、产生的个人信息和重要数据,应当存储在境内。因业务需要确需向境外提供的,应当按照本办法的规定进行安全评估。
第三条数据出境安全评估应当遵循公正、客观、有效的原则,保护个人信息和重要数据的安全,促进网络信息合法、有序、自由流动。
第四条个人信息出境时,应当向个人信息主体说明出境的目的、范围、内容、接收方和输出国家或者地区,并征得其同意。未成年人个人信息的离开需要其监护人的同意。
第五条:国家网信部门应当统筹协调数据出境安全评估工作,指导行业监管部门或监管部门组织数据出境安全评估工作。
第六条 行业主管或监管部门负责行业数据出境安全评估,定期组织行业数据出境安全检查。
第七条网络运营者应当在数据出境前自行组织数据出境安全评估,并对评估结果负责。
第八条数据出境安全评估应重点关注以下内容:
(一)数据导出的必要性;
(二)个人信息的涉及,包括个人信息的数量、范围、类型、敏感性,以及个人信息主体是否同意个人信息的输出等;
(三)涉及重要数据的情况,包括重要数据的数量、范围、类型和敏感性等;
(四)数据接收方的安全保护措施、能力和水平个人信息出境是什么意思,以及所在国家和地区的网络安全环境;
(五)数据导出再传输后的数据泄露、损坏、篡改、误用等风险;
(六)数据出境和出境数据聚合可能给国家安全、社会公共利益和个人合法利益带来的风险;
(七)其他需要评估的重要事项。
第九条:出境数据有下列情形之一的,网络运营者应当报请行业主管部门或监管部门组织安全评估:
(一)包含或累计包含超过50万人的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防工业、人口健康等领域的数据,大型工程活动、海洋环境和敏感地理信息数据等;
(四)包含系统漏洞、关键信息基础设施安全防护等网络安全信息;
(五)关键信息基础设施运营商向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业监管部门或监管部门认为应该评估。
行业监管部门或监管部门不清楚的,由国家网信部门组织评审。
第十条 行业主管或监管部门组织的安全评估应在60个工作日内完成,并及时向网络运营者报告安全评估,并报国家网信部门。
第十一条 有下列情形之一的,不得导出数据:
(一)个人信息未经个人信息主体同意出境可能侵犯个人利益;
(二)数据出境给国家安全、经济、科技、国防等带来风险,可能影响国家安全,损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等相关部门确定不能出境的。
第十二条:网络运营者应当根据业务发展和网络运营情况,每年至少对数据出境进行一次安全评估,并及时向行业监管部门或监管部门报告。
当数据接收方发生变化时,出境数据的用途、范围、数量、类型等发生较大变化,当数据接收方或出境数据发生重大安全事件时,应重新进行安全评估- 及时评估。
第十三条任何个人或组织有权向国家网信部门、公安部门等有关部门举报违反有关法律法规和本办法向境外提供数据的行为。
p>
第十四条违反本办法规定的,依照有关法律、法规的规定处罚。
第十五条中国政府与其他国家和地区签订的数据输出协议,按照协议的规定执行。
涉及国家秘密信息的,按照有关规定执行。
第十六条其他个人和组织在中华人民共和国境内收集、产生的个人信息和重要数据的安全评估个人信息出境是什么意思,参照本办法执行。
第十七条本办法下列用语的含义:
网络运营商是指网络所有者、管理者和网络服务提供者。
数据传输是指将网络运营者在中华人民共和国境内运营过程中收集和产生的个人信息和重要数据提供给位于境外的机构、组织和个人。
个人信息是指以电子或其他方式记录的能够单独或结合其他信息识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物特征信息、地址、电话号码等
重要数据是指与国家安全、经济发展、社会公共利益密切相关的数据。具体范围参考相关国家标准和重要数据识别指南。
第十八条 本办法自2017年起施行。
