《評估辦法》（征求意見稿）第九條

出境數(shù)據(jù)存在以下情況之一的，網(wǎng)絡(luò)運營者應(yīng)報請行業(yè)主管或監(jiān)管部門組織安全評估：

《評估指南》第二稿

4.3.2主管部門評估啟動條件

國家網(wǎng)信部門、行業(yè)主管部門根據(jù)數(shù)據(jù)出境類型、數(shù)量、范圍、重要程度等，酌情組織開展主管部門評估。具有下列情形之一的，國家網(wǎng)信部門、行業(yè)主管部門可啟動主管部門評估：

（一）含有或累計含有50萬人以上的個人信息；

a)????? 一年內(nèi)出境的個人信息數(shù)量達(dá)到國家網(wǎng)信部門、行業(yè)主管部門上報要求的；

（二）數(shù)據(jù)量超過1000GB；

（三）包含核設(shè)施、化學(xué)生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；

b)????? 包含核設(shè)施、生物化學(xué)、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境、敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

（四）包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息；

c)????? 涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的；

（五）關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息和重要數(shù)據(jù)；

d)????? 關(guān)鍵基礎(chǔ)設(shè)施運營者數(shù)據(jù)出境的；

（六）其他可能影響國家安全和社會公共利益，行業(yè)主管或監(jiān)管部門認(rèn)為應(yīng)該評估。

e)????? 其他可能影響國家安全、經(jīng)濟(jì)發(fā)展和社會公共利益的；

?

f)?????? 大量用戶投訴、舉報的；

g)????? 全國性行業(yè)協(xié)會建議的；

h)????? 其他經(jīng)國家網(wǎng)信部門、行業(yè)主管部門認(rèn)定有必要啟動主管部門評估的。

序號

變化

《評估指南》

（第一稿）

《評估指南》

（第二稿）

1

增加對"境內(nèi)運營"的闡釋

?

3.2境內(nèi)運營

網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)開展業(yè)務(wù)，提供產(chǎn)品或服務(wù)的活動。

注1：未在中華人民共和國境內(nèi)注冊的網(wǎng)絡(luò)運營者，但在中華人民共和國境內(nèi)開展業(yè)務(wù)，或向中華人民共和境內(nèi)提供產(chǎn)品或服務(wù)的，屬于境內(nèi)運營。判斷網(wǎng)絡(luò)運營者是否在中華人民共和國境內(nèi)開展業(yè)務(wù)，或向中華人民共和境內(nèi)提供產(chǎn)品或服務(wù)的參考因素包括但不限于：使用中文；以人民幣作為結(jié)算貨幣；向中國境內(nèi)配送物流等。

注2：中華人民共和國境內(nèi)的網(wǎng)絡(luò)運營者僅向境外機(jī)構(gòu)、組織或個人開展業(yè)務(wù)、提供商品或服務(wù)，且不涉及境內(nèi)公民個人信息和重要數(shù)據(jù)的，不視為境內(nèi)運營。

2

增加"重要數(shù)據(jù)"的例外情形

3.5重要數(shù)據(jù)

與國家安全、經(jīng)濟(jì)發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照附錄A。

3.5重要數(shù)據(jù)

相關(guān)組織、機(jī)構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。

注1：具體范圍見附錄A。

注2：經(jīng)政府信息公開渠道合法公開的，不再屬于重要數(shù)據(jù)。

3

增加"加工處理"的闡釋

?

3.6加工處理

針對個人信息和重要數(shù)據(jù)實施的操作，包括個人信息和重要數(shù)據(jù)的收集、存儲、訪問、修改、轉(zhuǎn)讓、披露、匿名化、去標(biāo)識化、恢復(fù)、刪除、銷毀等。

4

進(jìn)一步解釋"數(shù)據(jù)出境"的含義，列舉數(shù)據(jù)出境的例外情形

3.6數(shù)據(jù)出境

將在中華人民共和國境內(nèi)收集和產(chǎn)生的電子形式的個人信息和重要數(shù)據(jù)，提供給境外機(jī)構(gòu)、組織、個人的一次性活動或連續(xù)性活動。

注：境外數(shù)據(jù)經(jīng)由中華人民共和國中轉(zhuǎn)，未經(jīng)任何變動或加工處理的情形不屬于數(shù)據(jù)出境。

3.7數(shù)據(jù)出境

網(wǎng)絡(luò)運營者通過網(wǎng)絡(luò)等方式，將其在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個人的一次性活動或連續(xù)性活動。

注1：以下情形屬于數(shù)據(jù)出境:

• 向本國境內(nèi)，但不屬于本國司法管轄或未在境內(nèi)注冊的主體提供個人信息和重要數(shù)據(jù)；
• 數(shù)據(jù)未轉(zhuǎn)移存儲至本國以外的地方，但被境外的機(jī)構(gòu)、組織、個人訪問查看的（公開信息、網(wǎng)頁訪問除外）；
• 網(wǎng)絡(luò)運營者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的。

注2：非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)經(jīng)由本國出境，未經(jīng)任何變動或加工處理的，不屬于數(shù)據(jù)出境。

注3：非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)在境內(nèi)存儲、加工處理后出境，不涉及境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的，不屬于數(shù)據(jù)出境。

5

細(xì)化安全評估流程，將安全自評估與主管部門評估流程分開闡述，具體變化如下：

?

1. 細(xì)化安全自評估的啟動條件，劃分了涉及多方主體時的評估責(zé)任

4.1自評估啟動

網(wǎng)絡(luò)運營者應(yīng)在如下情況啟動自評估：

a）產(chǎn)品或服務(wù)涉及向境外機(jī)構(gòu)、組織或個人提供數(shù)據(jù)的；

b）已完成數(shù)據(jù)出境安全評估的產(chǎn)品或業(yè)務(wù)所涉及的數(shù)據(jù)出境，在目的、范圍、類型、數(shù)量等方面發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的。

4.2.2安全自評估啟動條件

網(wǎng)絡(luò)運營者應(yīng)每年開展安全自評估，滿足以下條件之一時啟動評估：

a)?? 涉及數(shù)據(jù)出境的；

b)????? 關(guān)鍵信息基礎(chǔ)設(shè)施運營者進(jìn)行數(shù)據(jù)出境之前的；

c)?? 已完成數(shù)據(jù)出境安全自評估的產(chǎn)品或業(yè)務(wù)所涉及的個人信息和重要數(shù)據(jù)出境，在目的、范圍、類型、數(shù)量等方面發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的；

d)????? 按照行業(yè)主管或者監(jiān)管部門要求啟動的。

注1：當(dāng)網(wǎng)絡(luò)運營者的數(shù)據(jù)出境滿足連續(xù)出境的條件時，視為一次出境行為，免于重復(fù)評估；

注2：連續(xù)出境是指數(shù)據(jù)出境的目的、接收方相同，范圍、類型、數(shù)量不發(fā)生較大變化，且兩次數(shù)據(jù)出境間隔不超過一年的。

注3：數(shù)據(jù)出境涉及多方主體的如：云服務(wù)、轉(zhuǎn)包服務(wù)等，根據(jù)數(shù)據(jù)出境發(fā)起方，確定安全自評估責(zé)任主體。如：云服務(wù)客戶主動要求云服務(wù)提供商進(jìn)行數(shù)據(jù)出境的，由云服務(wù)提供商配合云服務(wù)客戶開展安全自評估，且由云服務(wù)客戶承擔(dān)相應(yīng)責(zé)任。如云服務(wù)提供商主動要求進(jìn)行數(shù)據(jù)出境的，由云服務(wù)客戶配合云服務(wù)提供商開展安全自評估，且由云服務(wù)提供商承擔(dān)相應(yīng)責(zé)任。

?

2. 細(xì)化安全自評估的具體流程

?

在數(shù)據(jù)出境安全自評估啟動后，數(shù)據(jù)出境安全自評估工作組審查數(shù)據(jù)出境計劃，對個人信息與重要數(shù)據(jù)依照流程進(jìn)行評估，并形成評估報告。

數(shù)據(jù)出境滿足上報要求的，評估報告應(yīng)按要求報送國家網(wǎng)信部門、行業(yè)主管部門。

數(shù)據(jù)出境需獲得國家網(wǎng)信部門、行業(yè)主管部門同意的，應(yīng)在數(shù)據(jù)出境前將評估報告按要求報送國家網(wǎng)信部門、行業(yè)主管部門，并獲得其同意。

對評估結(jié)果為可以出境的，依照出境計劃進(jìn)行出境，對評估結(jié)果禁止出境的，提出出境計劃修改建議，業(yè)務(wù)部門修改出境計劃，降低數(shù)據(jù)出境安全風(fēng)險后，重新進(jìn)行評估。

?

3. 規(guī)定安全自評估報告的保存時間及需上報的情形

4.5評估報告

網(wǎng)絡(luò)運營者在完成對數(shù)據(jù)出境計劃的評估后，應(yīng)形成評估報告，評估報告應(yīng)至少保存5年。

4.2.6安全自評估報告

網(wǎng)絡(luò)運營者在完成數(shù)據(jù)出境安全自評估后，應(yīng)形成安全自評估報告。安全自評估報告內(nèi)容應(yīng)包括但不限于：安全自評估對象基本情況、安全自評估組織實施情況、安全自評估結(jié)果、數(shù)據(jù)出境安全風(fēng)險點、檢查修正建議。安全自評估報告應(yīng)至少保存2年，并在如下情況下將安全自評估報告上報行業(yè)主管部門，行業(yè)主管部門不明確的，報國家網(wǎng)信部門。

a)?? 關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展的安全自評估；

b)?? 一年內(nèi)出境的個人信息數(shù)量達(dá)到國家網(wǎng)信部門、行業(yè)主管部門上報要求的；

c)?? 包含核設(shè)施、生物化學(xué)、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

d)?? 涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的；

e)?? 其他可能影響國家安全、經(jīng)濟(jì)發(fā)展和社會公共利益的。

?

4. 新增主管部門評估的啟動條件

?

4.3.2主管部門評估啟動條件

國家網(wǎng)信部門、行業(yè)主管部門根據(jù)數(shù)據(jù)出境類型、數(shù)量、范圍、重要程度等，酌情組織開展主管部門評估。具有下列情形之一的，國家網(wǎng)信部門、行業(yè)主管部門可啟動主管部門評估：

a)?? 一年內(nèi)出境的個人信息數(shù)量達(dá)到國家網(wǎng)信部門、行業(yè)主管部門上報要求的；

b)????? 包含核設(shè)施、生物化學(xué)、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境、敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

c)?? 涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的；

d)????? 關(guān)鍵基礎(chǔ)設(shè)施運營者數(shù)據(jù)出境的；

e)????? 其他可能影響國家安全、經(jīng)濟(jì)發(fā)展和社會公共利益的；

f)?? 大量用戶投訴、舉報的；

g)?? 全國性行業(yè)協(xié)會建議的；

h)?? 其他經(jīng)國家網(wǎng)信部門、行業(yè)主管部門認(rèn)定有必要啟動主管部門評估的。

注：數(shù)據(jù)出境涉及多方主體的，如：云服務(wù)等，根據(jù)數(shù)據(jù)出境發(fā)起方，確定主管部門評估責(zé)任主體。

?

5. 細(xì)化主管部門評估的具體流程

?

在數(shù)據(jù)出境主管部門評估啟動之后，國家網(wǎng)信部門、行業(yè)主管部門確定主管部門評估范圍，制定主管部門評估方案，并成立主管部門評估工作組。

網(wǎng)絡(luò)運營者按要求向主管部門評估工作組提交相關(guān)材料，材料包括安全自評估報告以及相關(guān)證明資料等。

主管部門評估工作組根據(jù)主管部門評估方案，通過遠(yuǎn)程檢測、現(xiàn)場檢查等方式進(jìn)行主管部門評估并形成主管部門評估報告。

專家委員會對主管部門評估工作組做出的主管部門評估報告、安全自評估報告進(jìn)行審議并給出是否同意數(shù)據(jù)出境的建議。

國家網(wǎng)信部門、行業(yè)主管部門根據(jù)專家委員會建議做出決定。

6

調(diào)整評估要點，細(xì)化個人數(shù)據(jù)出境的個人主體同意要求

合法正當(dāng)；風(fēng)險可控

?

（數(shù)據(jù)出境目的）合法性、正當(dāng)性和必要性；數(shù)據(jù)出境安全風(fēng)險

注1：撥打國際及漫游電話、發(fā)送國際電子郵件、進(jìn)行國際即時通信、通過互聯(lián)網(wǎng)進(jìn)行跨境交易以及其他個人主動行為，視為個人信息主體已經(jīng)同意。

注2：將合法向社會公開披露的個人信息出境，視為個人信息主體已經(jīng)同意。

注3：網(wǎng)絡(luò)運營者在取得個人信息主體同意前，應(yīng)將數(shù)據(jù)出境目的、類型、數(shù)據(jù)接收方情況及數(shù)據(jù)出境可能存在的風(fēng)險，網(wǎng)絡(luò)運營者的聯(lián)系人及其聯(lián)系方式等信息明確告知個人信息主體。

注4：當(dāng)網(wǎng)絡(luò)運營者隱私規(guī)則發(fā)生變更、數(shù)據(jù)出境目的、范圍、類型、數(shù)量發(fā)生較大變化、數(shù)據(jù)接收方發(fā)生變更或數(shù)據(jù)出境風(fēng)險發(fā)生較大變化時應(yīng)重新取得個人信息主體同意。