國家網信辦就規管向境外提供數據,制定徵求意見稿,列明數據處理者在特定情況下向境外提供數據,需向國家網信部門申報數據出境安全評估。
數據處理者向境外提供數據時,若符合以下情形之一,應當通過所在地省級網信部門向國家網信部申報數據出境安全評估,包括;
一、關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據;
二、出境數據中包含重要數據;
三、處理個人信息達到100萬人的個人信息處理者向境外提供個人信息;
四、累計向境外提供超過10萬人以上個人信息或者一萬人以上敏感個人信息;
五國家網信部門規定的其他需要申報數據出境安全評估的情形。
數據處理者向境外提供數據前,應事先開展風險自評估,重點評估事項包括;
一、數據出境及境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
二、出境數據的數量、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
三、數據處理者在數據轉移環節的管理和技術措施、能力等能否防範數據泄露、毀損等風險;
四、境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
五、數據出境和再轉移後泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;
六、與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。
意見稿提出,數據出境評估結果有效期二年。在有效期內若出現提供數據的目的、方式、範圍出現變化、境外接收方的所在國家/地區法律環境出現變化等,數據處理者要重新申報評估。