网信办:网络运营者向境外提供个人信息应安全评估

　　原标题：网信办：网络运营者向境外提供的个人信息应进行安全评估

　　新京报快讯　据中国网信网消息，6月13日，国家互联网信息办公室发布关于《个人信息出境安全评估办法（征求意见稿）》公开征求意见的通知：

　　为保障个人信息安全，维护网络空间主权、国家安全、社会公共利益，保护公民、法人的合法权益，依据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法（征求意见稿）》，现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前，通过以下方式提出意见：

　　1。登录中国政府法制信息网（网址：），进入首页的“立法意见征集”提出意见。

　　2。通过电子邮件方式发送至：security@cac.gov.cn

　　3。通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“个人信息出境安全评估办法征求意见”。

　　国家互联网信息办公室

　　2019年6月13日

　　个人信息出境安全评估办法

　　（征求意见稿）

　　第一条 为保障数据跨境流动中的个人信息安全，根据《中华人民共和国网络安全法》等相关法律法规，制定本办法。

　　第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境），应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。

　　国家关于个人信息出境另有规定的，从其规定。

　　第三条 个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

　　向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。

　　每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

　　第四条 网络运营者申报个人信息出境安全评估应当提供以下材料，并对材料的真实性、准确性负责：

　　（一）申报书。

　　（二）网络运营者与接收者签订的合同。

　　（三）个人信息出境安全风险及安全保障措施分析报告。

　　（四）国家网信部门要求提供的其他材料。

　　第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。

　　第六条 个人信息出境安全评估重点评估以下内容：

　　（一）是否符合国家有关法律法规和政策规定。

　　（二）合同条款是否能够充分保障个人信息主体合法权益。

　　（三）合同能否得到有效执行。

　　（四）网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

　　（五）网络运营者获得个人信息是否合法、正当。

　　（六）其他应当评估的内容。

　　第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时，将个人信息出境安全评估情况报国家网信部门。

　　网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的，可以向国家网信部门提出申诉。

　　第八条 网络运营者应当建立个人信息出境记录并且至少保存5年，记录包括：

　　（一）向境外提供个人信息的日期时间。

　　（二）接收者的身份，包括但不限于接收者的名称、地址、联系方式等。

　　（三）向境外提供的个人信息的类型及数量、敏感程度。

　　（四）国家网信部门规定的其他内容。

　　第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

　　发生较大数据安全事件时，应及时报所在地省级网信部门。

　　第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况，重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。

　　发现损害个人信息主体合法权益、数据泄露安全事件等情况时，应当及时要求网络运营者整改，通过网络运营者督促接收者整改。

　　第十一条 出现以下情况之一时，网信部门可以要求网络运营者暂停或终止向境外提供个人信息：

　　（一）网络运营者或接收者发生较大数据泄露、数据滥用等事件。

　　（二）个人信息主体不能或者难以维护个人合法权益。

　　（三）网络运营者或接收者无力保障个人信息安全。

　　第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为，向省级以上网信部门或者相关部门举报。

　　第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件（统称合同），应当明确：

　　（一）个人信息出境的目的、类型、保存时限。

　　（二）个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

　　（三）个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任。

　　（四）接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估。

　　（五）合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理。

　　（六）双方约定的其他内容。

　　第十四条 合同应当明确网络运营者承担以下责任和义务：

　　（一）以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间。

　　（二）应个人信息主体的请求，提供本合同的副本。

　　（三）应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付。

　　第十五条 合同应当明确接收者承担以下责任和义务：

　　（一）为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除。

　　（二）按照合同约定的目的使用个人信息，个人信息的境外保存期限不得超出合同约定的时限。