10 月 29 日訊息，國家網際網路資訊辦公室今日就《資料出境安全評估辦法（徵求意見稿）》公開徵求意見：資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合，防範資料出境安全風險，保障資料依法有序自由流動。

國家網際網路資訊辦公室指出：資料處理者向境外提供資料，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估。

（一）關鍵資訊基礎設施的運營者收集和產生的個人資訊和重要資料；

（二）出境資料中包含重要資料；

（三）處理個人資訊達到一百萬人的個人資訊處理者向境外提供個人資訊；

（四）累計向境外提供超過十萬人以上個人資訊或者一萬人以上敏感個人資訊；

（五）國家網信部門規定的其他需要申報資料出境安全評估的情形。

資料處理者在向境外提供資料前，應事先開展資料出境風險自評估，重點評估以下事項：

（一）資料出境及境外接收方處理資料的目的、範圍、方式等的合法性、正當性、必要性；

（二）出境資料的數量、範圍、種類、敏感程度，資料出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；

（三）資料處理者在資料轉移環節的管理和技術措施、能力等能否防範資料洩露、毀損等風險；

（四）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境資料的安全；

（五）資料出境和再轉移後洩露、毀損、篡改、濫用等的風險，個人維護個人資訊權益的渠道是否通暢等；

（六）與境外接收方訂立的資料出境相關合同是否充分約定了資料安全保護責任義務。

資料處理者與境外接收方訂立的合同充分約定資料安全保護責任義務，應當包括但不限於以下內容：

（一）資料出境的目的、方式和資料範圍，境外接收方處理資料的用途、方式等；

（二）資料在境外儲存地點、期限，以及達到儲存期限、完成約定目的或者合同終止後出境資料的處理措施；

（三）限制境外接收方將出境資料再轉移給其他組織、個人的約束條款；

（四）境外接收方在實際控制權或者經營範圍發生實質性變化，或者所在國家、地區法律環境發生變化導致難以保障資料安全時，應當採取的安全措施；

（五）違反資料安全保護義務的違約責任和具有約束力且可執行的爭議解決條款；

（六）發生資料洩露等風險時，妥善開展應急處置，並保障個人維護個人資訊權益的通暢渠道。

此外，國家網信部門發現已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的，應當撤銷評估結果並書面通知資料處理者，資料處理者應當終止資料出境活動。需要繼續開展資料出境活動的，資料處理者應當按照要求進行整改，並在整改完成後重新申報評估。違反規定的，依照相關法律進行處罰，構成犯罪的則依法追究刑事責任。

網信辦原文：點此。