查看原文
其他

立法动态|国家互联网信息办公室公布《数据出境安全评估办法》

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09

关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:网络安全;数据安全;数据出镜


本文约3600字,大概需要阅读15分钟。


笔者点评:


大数据时代数据安全问题愈发突出网约车巨头滴滴公司去年就因涉嫌数据泄漏被相关部门启动网络安全审查遭受app下架停止新用户注册股价大幅度跌幅等一系列严重后果体现了国家对防范数据安全风险的高度重视。本次国家互联网信息办公室出台的《数据出境安全评估办法》(以下简称办法》),也充分体现了我国坚决保护数据安全维护国家安全和社会公共利益的态度和决心


《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。相信办法能为今后相关企业的数据出境业务和有关部门的审查工作提供更加清晰的指引。


 

相关新闻:


7 月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
办法具体内容如下


       第一条为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。


  第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。


  第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。


  第四条数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

  (一)数据处理者向境外提供重要数据;

  (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

  (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

  (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。


  第五条数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:

  (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

  (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

  (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

  (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

  (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

  (六)其他可能影响数据出境安全的事项。


  第六条申报数据出境安全评估,应当提交以下材料:

  (一)申报书;

  (二)数据出境风险自评估报告;

  (三)数据处理者与境外接收方拟订立的法律文件;

  (四)安全评估工作需要的其他材料。


  第七条省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。

  国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。


  第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:

  (一)数据出境的目的、范围、方式等的合法性、正当性、必要性;

  (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

  (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;

  (四)数据安全和个人信息权益是否能够得到充分有效保障;

  (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;

  (六)遵守中国法律、行政法规、部门规章情况; 

  (七)国家网信部门认为需要评估的其他事项。


  第九条数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:

  (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

  (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;

  (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;

  (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;

  (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;

  (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。


  第十条国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。


  第十一条安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。

  数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。


  第十二条国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。

  评估结果应当书面通知数据处理者。


  第十三条数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。


  第十四条通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:

  (一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;

  (二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;

  (三)出现影响出境数据安全的其他情形。

  有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。


  第十五条参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。


  第十六条任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。


  第十七条国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。


  第十八条违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。


  第十九条本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。


  第二十条本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。


来源:中华人民共和国国家互联网信息办公室




陆续更新,敬请期待



版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。



团队介绍



闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域




闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。


执业证号:

14401200810597414


闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员




                       




往期回顾

数据安全

数据安全 | 金融数据安全的标准来了!

数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用

数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元

数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?

数据安全  |  浅析欧美跨境数据管辖权

数据安全 | 工信部促企业建立个人信息保护“双清单”制度

数据安全 |  网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜

数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径

大数据收集的法律风险

数据安全 | 如何识别关键信息基础设施边界

数据安全 |  步步为营—中国企业“走出去”跨境数据合规要点与步骤

数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼

数据安全 | 欧盟对cookie使用的法律规制

数据安全|个人信息处理中的“同意撤回权”

数据安全|网络爬虫技术的法律分析

数据安全|数据侵权问题监管趋势

数据安全 | 售楼处人脸识别系统合规吗?

欧盟数据监管如何救济?

数字人民币的4大法律问题

GDPR赋予数据主体的权利

中国《数据安全法》VS欧盟GDPR

《数据安全法》《网络安全法》《个人信息保护法》的比较分析

数据安全之数据分类分级保护制度

精炼!一文了解《数据安全法》

《数据安全法》中的三大主要变化

欧盟数据监管是谁在执行?

数字人民币的三大优势

美国个人信息保护制度简述

《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?

系列 | 个人信息保护之二:个人信息保护法的基本原则

《数据安全法》二审稿中的三大变化

《个人信息保护法(草案二审稿)》的三大变化

系列|个人信息保护之一:什么是个人信息?

人脸识别需谨慎,个人信息要保护

人脸识别技术下隐私成为奢侈品:谁来保护我们的“脸”?

中国与阿盟发表《中阿数据安全合作倡议》

四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》


涉外法律

涉外法律 | 澳大利亚发布首个消费者数据权利隐私评估

涉外法律|GDPR案例之匈牙利

涉外法律|GDPR案例之挪威

GDPR案例之波兰

GDPR案例之奥地利

GDPR经典案例之捷克

GDPR经典案例之瑞典

涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则

涉外法律 | 欧盟《数据法案》影响评估草案带来的几点启示

涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南

涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案

涉外法律|GDPR经典案例之西班牙

涉外法律|GDPR经典案例之罗马尼亚

涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响

涉外法律 | 美国数据跨境活动相关规范

涉外法律 | GDPR典型案例之荷兰

涉外法律 | GDPR典型案例之德国

涉外法律 | 亚马逊“封店”事件的再反思,还有什么可以做?

涉外法律|GDPR典型案例之法国

涉外法律|GDPR典型案例之英国

涉外法律 | CISA指引如何应对勒索软件造成的信息泄露

涉外法律 | 《英国最高法院2021司法年度报告》速览

涉外法律|美国和欧盟对于人脸识别的相关法律规定解读

涉外法律 | 简述美国加州个人隐私保护法案

涉外法律 | 香港私隐公署发布人工智能道德指引

涉外 | 加州公司法剪影——如何在加州注册公司

涉外法律|企业间数据流动中的“三重授权原则”

涉外法律|平台经济的“新”型垄断:轴辐协议

涉外 | 法律英语写作之正确写作:如何写好一份案例摘要

涉外 | 法院及内设部门有正式英文名称了!

涉外法律 | 企业利用投资协定参考指南

涉外法律 | 九个案例为您解析RECP原产地规则

中欧阻断法案比较

热议《阻断外国法律与措施不当域外适用办法》


案例分析

案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界

案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例

案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!

案例分享|管中窥豹:合规之北汽合规管理体系建设

以案说法 |不刷脸不让进小区?

案例分享 | 更新网站隐私政策的法律风险

案例分享|360诉腾讯垄断纠纷案与“假定垄断者测试”

案例分享|优酷诉X浏览器案

案例分享 | 转载已公开的信息侵犯个人信息权吗?

案例分享 | 腾讯音乐版权案——平台经济反垄断新变化

案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?

案例分享 |  大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定

案例分享|“电视猫”视频聚合软件不正当竞争纠纷行为保全案

案例分享|德国Adblock Plus白名单案

案例分享|从携程被罚看数据侵权的法律意义

案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回

以案说法:比特币能否成为诈骗罪的犯罪对象?

以案说法:全国首例比特币仲裁裁决违反社会公共利益被撤销


立法动态

新法速递 |《上海市数据条例》公布 自2022年1月1日起施行

新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)

立法动态  | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见

新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!

立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务

立法动态 | 蹭热点:《个人信息保护法》的八个“不得”

立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾

立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)

立法动态 |  《全国医疗机构网络信息安全管理办法》即将出台

立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准

立法动态|速递!人脸识别,看最高人民法院怎么说?

立法动态 | 《数字经济对外投资合作工作指引》速览

立法动态 |  上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告

立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》

立法动态 | 《关于防范虚拟货币交易活动的风险提示》

立法动态 | 人社部发布《电子劳动合同订立指引》

立法动态 | 重罚防治大数据杀熟

立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布

精要解读:《深圳市电子劳动合同争议处理规则(试行)》出台

《信息安全技术人脸识别数据安全要求》(征求意见稿)发布

全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容

欧盟理事会发布《电子隐私条例2021》


新闻速递

新闻快递 | 让数据成为资产,上海数据交易所正式揭牌!

新闻速递 | 党的十九大以来网络法治典型案事例

新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为

新闻速递 | 新浪因拒绝许可数据被诉数据垄断

新闻速递  | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)

新闻速递 | 国家安全部公布三起危害重要数据安全案例

新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地

新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定

新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!

《浙江省电子商务条例》明确“大数据杀熟”认定标准

新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内

新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见

新闻速递 | 美国民主党议员敦促联邦贸易委员会制定隐私规则

新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉

新闻速递 | 全国首个涉数据纠纷专业合议庭在广州挂牌成立

新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)

新闻速递 | WhatsApp或将被罚2亿多欧元

胡安明无罪!美“中国行动计划”首例胜诉

新闻速递 | “一国两制”的新实践之“横琴方案”

新闻速递|“一国两制”的新实践之“前海方案”

新闻动态 |  深圳拟设数据交易场所

新闻速递 |  工信部:加强智能网联汽车数据安全管理

新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解

新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议

新闻速递 | 亚马逊因数据泄露面临 8.88 亿美元处罚

新闻速递 | APP开屏弹窗问题整治

行业政策 | 2021年6月中国各省区块链与数字人民币政策速览

人民日报:央行数字货币研发持续推进

速递:公益诉讼与个人信息保护

简评 |  关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报

全球首个区块链电子发票国际标准诞生

速看热点 | 区块链国内动态速览

新闻速递:近期区块链若干动态

Visa允许客户在传统银行购买和出售数字资产

算力时代下,新计算产业正在成为数字经济的核心驱动产业

速看热点  |  区块链国内动态速览

全国人大常委会法工委:深入研究论证人脸识别等有关问题


其他文章

直播间运营者和直播营销人员的八大合规责任

直播营销平台的十大义务

“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国

Ripple:XRP是虚拟货币而非证券

案例回顾 | 不用打官司,为客户追回数百万元货款

实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则

2020,国内区块链行业发生了这十件大事!

国内区块链政策速览

年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录



点一下在看再走吧




继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存