政策法規

您當前的位置: 首頁 > 政策法規 > 地方及其他 > 正文

促進和規範數據跨境流動規定

發布時間:2024-03-25 10:29:59 國家數據局

國家互聯網信息辦公室令

第16號

《促進和規範數據跨境流動規定》已經2023年11月28日國家互聯網信息辦公室2023年第26次室務會議審議通過,現予公布,自公布之日起施行。

國家互聯網信息辦公室主任 莊榮文

2024年3月22日

促進和規範數據跨境流動規定

第一條 為(wei) 了保障數據安全,保護個(ge) 人信息權益,促進數據依法有序自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(ge) 人信息保護法》等法律法規,對於(yu) 數據出境安全評估、個(ge) 人信息出境標準合同、個(ge) 人信息保護認證等數據出境製度的施行,製定本規定。

第二條 數據處理者應當按照相關(guan) 規定識別、申報重要數據。未被相關(guan) 部門、地區告知或者公開發布為(wei) 重要數據的,數據處理者不需要作為(wei) 重要數據申報數據出境安全評估。

第三條 國際貿易、跨境運輸、學術合作、跨國生產(chan) 製造和市場營銷等活動中收集和產(chan) 生的數據向境外提供,不包含個(ge) 人信息或者重要數據的,免予申報數據出境安全評估、訂立個(ge) 人信息出境標準合同、通過個(ge) 人信息保護認證。

第四條 數據處理者在境外收集和產(chan) 生的個(ge) 人信息傳(chuan) 輸至境內(nei) 處理後向境外提供,處理過程中沒有引入境內(nei) 個(ge) 人信息或者重要數據的,免予申報數據出境安全評估、訂立個(ge) 人信息出境標準合同、通過個(ge) 人信息保護認證。

第五條 數據處理者向境外提供個(ge) 人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個(ge) 人信息出境標準合同、通過個(ge) 人信息保護認證:

(一)為(wei) 訂立、履行個(ge) 人作為(wei) 一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個(ge) 人信息的;

(二)按照依法製定的勞動規章製度和依法簽訂的集體(ti) 合同實施跨境人力資源管理,確需向境外提供員工個(ge) 人信息的;

(三)緊急情況下為(wei) 保護自然人的生命健康和財產(chan) 安全,確需向境外提供個(ge) 人信息的;

(四)關(guan) 鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬(wan) 人個(ge) 人信息(不含敏感個(ge) 人信息)的。

前款所稱向境外提供的個(ge) 人信息,不包括重要數據。

第六條 自由貿易試驗區在國家數據分類分級保護製度框架下,可以自行製定區內(nei) 需要納入數據出境安全評估、個(ge) 人信息出境標準合同、個(ge) 人信息保護認證管理範圍的數據清單(以下簡稱負麵清單),經省級網絡安全和信息化委員會(hui) 批準後,報國家網信部門、國家數據管理部門備案。

自由貿易試驗區內(nei) 數據處理者向境外提供負麵清單外的數據,可以免予申報數據出境安全評估、訂立個(ge) 人信息出境標準合同、通過個(ge) 人信息保護認證。

第七條 數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:

(一)關(guan) 鍵信息基礎設施運營者向境外提供個(ge) 人信息或者重要數據;

(二)關(guan) 鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬(wan) 人以上個(ge) 人信息(不含敏感個(ge) 人信息)或者1萬(wan) 人以上敏感個(ge) 人信息。

屬於(yu) 本規定第三條、第四條、第五條、第六條規定情形的,從(cong) 其規定。

第八條 關(guan) 鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬(wan) 人以上、不滿100萬(wan) 人個(ge) 人信息(不含敏感個(ge) 人信息)或者不滿1萬(wan) 人敏感個(ge) 人信息的,應當依法與(yu) 境外接收方訂立個(ge) 人信息出境標準合同或者通過個(ge) 人信息保護認證。

屬於(yu) 本規定第三條、第四條、第五條、第六條規定情形的,從(cong) 其規定。

第九條 通過數據出境安全評估的結果有效期為(wei) 3年,自評估結果出具之日起計算。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個(ge) 工作日內(nei) 通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準,可以延長評估結果有效期3年。

第十條 數據處理者向境外提供個(ge) 人信息的,應當按照法律、行政法規的規定履行告知、取得個(ge) 人單獨同意、進行個(ge) 人信息保護影響評估等義(yi) 務。

第十一條 數據處理者向境外提供數據的,應當遵守法律、法規的規定,履行數據安全保護義(yi) 務,采取技術措施和其他必要措施,保障數據出境安全。發生或者可能發生數據安全事件的,應當采取補救措施,及時向省級以上網信部門和其他有關(guan) 主管部門報告。

第十二條 各地網信部門應當加強對數據處理者數據出境活動的指導監督,健全完善數據出境安全評估製度,優(you) 化評估流程;強化事前事中事後全鏈條全領域監管,發現數據出境活動存在較大風險或者發生數據安全事件的,要求數據處理者進行整改,消除隱患;對拒不改正或者造成嚴(yan) 重後果的,依法追究法律責任。

第十三條 2022年7月7日公布的《數據出境安全評估辦法》(國家互聯網信息辦公室令第11號)、2023年2月22日公布的《個(ge) 人信息出境標準合同辦法》(國家互聯網信息辦公室令第13號)等相關(guan) 規定與(yu) 本規定不一致的,適用本規定。

第十四條 本規定自公布之日起施行。


首頁