2019

06/13

02:05

来源:
“网信中国”微信公号

微信

新浪

国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知

  为保障个人信息安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人的合法权益,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前,通过以下方式提出意见:

  1.登录中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入首页的“立法意见征集”提出意见。

  2.通过电子邮件方式发送至:[email protected]

  3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“个人信息出境安全评估办法征求意见”。

  附件:个人信息出境安全评估办法(征求意见稿)

  国家互联网信息办公室

  2019年6月13日

  个人信息出境安全评估办法

  (征求意见稿)

  第一条 为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。

  第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以?#34892;?#20445;障个人信息安全的,不得出境。

  国家关于个人信息出境另有规定的,从其规定。

  第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

  向不同的?#37038;?#32773;提供个人信息应当分别申报安全评估,向同一?#37038;?#32773;多?#20301;?#36830;续提供个人信息无需多次评估。

  每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

  第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:

  (一)申报书。

  (二)网络运营者与?#37038;?#32773;签订的合同。

  (三)个人信息出境安全风险及安全保障措施?#27835;?#25253;告。

  (四)国家网信部门要求提供的其他材料。

  第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备?#38498;螅?#24212;当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以?#23454;?#24310;长。

  第六条 个人信息出境安全评估重点评估以下内容:

  (一)是否符合国家有关法律法规和政策规定。

  (二)合同条款是否能够充分保障个人信息主体合法权益。

  (三)合同能否得?#25509;行?#25191;行。

  (四)网络运营者或?#37038;?#32773;是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

  (五)网络运营者获得个人信息是否合法、正当。

  (六)其他应当评估的内容。

  第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。

  网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。

  第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:

  (一)向境外提供个人信息的日期时间。

  (二)?#37038;?#32773;的身份,包括但不限于?#37038;?#32773;的名称、地址、联系方式等。

  (三)向境外提供的个人信息的类型及数量、敏感程度。

  (四)国家网信部门规定的其他内容。

  第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

  发生较大数据安全事件时,应及时报所在地省级网信部门。

  第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。

  发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促?#37038;?#32773;整改。

  第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:

  (一)网络运营者或?#37038;?#32773;发生较大数据泄露、数据滥用等事件。

  (二)个人信息主体不能或者难以维护个人合法权益。

  (三)网络运营者或?#37038;?#32773;无力保障个人信息安全。

  第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。

  第十三条 网络运营者与个人信息?#37038;?#32773;签订的合同或者其他有法律效力的文件(统称合同),应当明确:

  (一)个人信息出境的目的、类型、保存时限。

  (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

  (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者?#37038;?#32773;或者双方索赔,网络运营者或者?#37038;?#32773;应当予以赔偿,除非证明没?#24615;?#20219;。

  (四)?#37038;?#32773;所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。

  (五)合同的终?#20849;?#33021;免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和?#37038;?#32773;的责任和义务,除非?#37038;?#32773;已经销毁了?#37038;?#21040;的个人信息或作了匿名化处理。

  (六)双方约定的其他内容。

  第十四条 合同应当明确网络运营者承担以下责任和义务:

  (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和?#37038;?#32773;的基本情况,以及向境外提供个人信息的目的、类型和保存时间。

  (二)应个人信息主体的请求,提供本合同的?#21271;尽?/p>

  (三)应请求向?#37038;?#32773;转达个人信息主体诉求,包括向?#37038;?#32773;索赔;个人信息主体不能从?#37038;?#32773;获?#38376;?#20607;时,先?#20449;?#20184;。

  第十五条 合同应当明?#26041;邮?#32773;承担以下责任和义务:

  (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者?#22659;?#20854;个人信息时,应在合理的代价和时限内予以响应、更正或者?#22659;?/p>

  (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。

  (三)确认签署合同及履行合同义务不会违背?#37038;?#32773;所在国家的法律要求,当?#37038;?#32773;所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。

  第十六条 合同应当明?#26041;邮?#32773;不得将?#37038;?#21040;的个人信息传输给第三方,除非满足以下条件:

  (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以?#25353;?#36755;的个人信息类型、第三方保留时限等通知个人信息主体。

  (二)?#37038;?#32773;?#20449;?#22312;个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经?#37038;?#21040;的个人信息。

  (三)涉及到个人敏感信息时,已征得个人信息主体同意。

  (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。

  第十七条 网络运营者关于个人信息出境安全风险及安全保障措施?#27835;?#25253;告应当至少包括:

  (一)网络运营者和?#37038;?#32773;的背景、规模、业务、财务、信誉、网络安全能力等。

  (二)个人信息出境计划,包括?#20013;?#26102;间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。

  (三)个人信息出境风险?#27835;?#21644;保障个人信息安全和个人信息主体合法权益的措施。

  第十八条 网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。

  第十九条 我国参与的或者与其他国家和地区、国?#39318;?#32455;缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。

  第二十条 境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。

  第二十一条 本办法下列用语的含义:

  (一)网络运营者,是指网络的所有者、管理者和网络服务提供者。

  (二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  (三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。

  第二十二条 本办法自 年 月 日起实施。

  

国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知

2019 14:05来源:“网信中国”微信公号

  为保障个人信息安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人的合法权益,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前,通过以下方式提出意见:

  1.登录中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入首页的“立法意见征集”提出意见。

  2.通过电子邮件方式发送至:[email protected]

  3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“个人信息出境安全评估办法征求意见”。

  附件:个人信息出境安全评估办法(征求意见稿)

  国家互联网信息办公室

  2019年6月13日

  个人信息出境安全评估办法

  (征求意见稿)

  第一条 为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。

  第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以?#34892;?#20445;障个人信息安全的,不得出境。

  国家关于个人信息出境另有规定的,从其规定。

  第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

  向不同的?#37038;?#32773;提供个人信息应当分别申报安全评估,向同一?#37038;?#32773;多?#20301;?#36830;续提供个人信息无需多次评估。

  每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

  第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:

  (一)申报书。

  (二)网络运营者与?#37038;?#32773;签订的合同。

  (三)个人信息出境安全风险及安全保障措施?#27835;?#25253;告。

  (四)国家网信部门要求提供的其他材料。

  第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备?#38498;螅?#24212;当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以?#23454;?#24310;长。

  第六条 个人信息出境安全评估重点评估以下内容:

  (一)是否符合国家有关法律法规和政策规定。

  (二)合同条款是否能够充分保障个人信息主体合法权益。

  (三)合同能否得?#25509;行?#25191;行。

  (四)网络运营者或?#37038;?#32773;是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

  (五)网络运营者获得个人信息是否合法、正当。

  (六)其他应当评估的内容。

  第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。

  网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。

  第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:

  (一)向境外提供个人信息的日期时间。

  (二)?#37038;?#32773;的身份,包括但不限于?#37038;?#32773;的名称、地址、联系方式等。

  (三)向境外提供的个人信息的类型及数量、敏感程度。

  (四)国家网信部门规定的其他内容。

  第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

  发生较大数据安全事件时,应及时报所在地省级网信部门。

  第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。

  发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促?#37038;?#32773;整改。

  第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:

  (一)网络运营者或?#37038;?#32773;发生较大数据泄露、数据滥用等事件。

  (二)个人信息主体不能或者难以维护个人合法权益。

  (三)网络运营者或?#37038;?#32773;无力保障个人信息安全。

  第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。

  第十三条 网络运营者与个人信息?#37038;?#32773;签订的合同或者其他有法律效力的文件(统称合同),应当明确:

  (一)个人信息出境的目的、类型、保存时限。

  (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

  (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者?#37038;?#32773;或者双方索赔,网络运营者或者?#37038;?#32773;应当予以赔偿,除非证明没?#24615;?#20219;。

  (四)?#37038;?#32773;所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。

  (五)合同的终?#20849;?#33021;免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和?#37038;?#32773;的责任和义务,除非?#37038;?#32773;已经销毁了?#37038;?#21040;的个人信息或作了匿名化处理。

  (六)双方约定的其他内容。

  第十四条 合同应当明确网络运营者承担以下责任和义务:

  (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和?#37038;?#32773;的基本情况,以及向境外提供个人信息的目的、类型和保存时间。

  (二)应个人信息主体的请求,提供本合同的?#21271;尽?/p>

  (三)应请求向?#37038;?#32773;转达个人信息主体诉求,包括向?#37038;?#32773;索赔;个人信息主体不能从?#37038;?#32773;获?#38376;?#20607;时,先?#20449;?#20184;。

  第十五条 合同应当明?#26041;邮?#32773;承担以下责任和义务:

  (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者?#22659;?#20854;个人信息时,应在合理的代价和时限内予以响应、更正或者?#22659;?/p>

  (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。

  (三)确认签署合同及履行合同义务不会违背?#37038;?#32773;所在国家的法律要求,当?#37038;?#32773;所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。

  第十六条 合同应当明?#26041;邮?#32773;不得将?#37038;?#21040;的个人信息传输给第三方,除非满足以下条件:

  (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以?#25353;?#36755;的个人信息类型、第三方保留时限等通知个人信息主体。

  (二)?#37038;?#32773;?#20449;?#22312;个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经?#37038;?#21040;的个人信息。

  (三)涉及到个人敏感信息时,已征得个人信息主体同意。

  (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。

  第十七条 网络运营者关于个人信息出境安全风险及安全保障措施?#27835;?#25253;告应当至少包括:

  (一)网络运营者和?#37038;?#32773;的背景、规模、业务、财务、信誉、网络安全能力等。

  (二)个人信息出境计划,包括?#20013;?#26102;间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。

  (三)个人信息出境风险?#27835;?#21644;保障个人信息安全和个人信息主体合法权益的措施。

  第十八条 网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。

  第十九条 我国参与的或者与其他国家和地区、国?#39318;?#32455;缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。

  第二十条 境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。

  第二十一条 本办法下列用语的含义:

  (一)网络运营者,是指网络的所有者、管理者和网络服务提供者。

  (二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  (三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。

  第二十二条 本办法自 年 月 日起实施。

  

为你推荐

2019年天津市网络安全竞赛报名通知

2019年天津市网络安全竞赛报名通知。

第四届“五个一百”作品投票开始,天津

8月5日,第四届“五个一百”网络正能量精品活动网上展示投票开启啦!榜样、文字、视频、?#35745;?#19987;题活动,天津多个优秀作品入围,快来pick你心仪的作品吧!

第四届“五个一百”投票正式开始

第四届“五个一百”网络正能量精品活动网上展示投票开启啦!榜样、文字、视频、?#35745;?#19987;题活动,快快来pick你心仪的作品吧!

王者荣耀兰陵王出装与铭文推荐
泳坛夺金中奖金额 11选5开奖直播 全民欢乐捕鱼外挂 重庆幸运农场开奖走势图百度 甘肃十一选五开奖号 幸运飞艇选号技巧图 天津时时开奖视频网 上海时时乐开奖结果上海 北京pk10开奖走势图 扑克最基本洗牌