网信办:网络运营者向境外供给的个人信息应进行安全评价

网信办:网络运营者向境外供给的个人信息应进行安全评价
新京报快讯 据中国网信网音讯,6月13日,国家互联网信息办公室发布关于《个人信息出境安全评价方法(征求定见稿)》揭露征求定见的告诉:为保证个人信息安全,保护网络空间主权、国家安全、社会公共利益,保护公民、法人的合法权益,依据《中华人民共和国网络安全法》等法令法规,国家互联网信息办公室会同有关部分起草了《个人信息出境安全评价方法(征求定见稿)》,现向社会揭露征求定见。有关单位和各界人士可以在2019年7月13日前,经过以下方法提出定见:1.登录中国政府法制信息网(网址:http://www.chinalaw.gov.cn),进入主页的“立法定见搜集”提出定见。2.经过电子邮件方法发送至:security@cac.gov.cn3.经过信函方法将定见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全和谐局,邮编100044,并在信封上注明“个人信息出境安全评价方法征求定见”。国家互联网信息办公室2019年6月13日个人信息出境安全评价方法(征求定见稿)第一条 为保证数据跨境活动中的个人信息安全,依据《中华人民共和国网络安全法》等相关法令法规,拟定本方法。第二条 网络运营者向境外供给在中华人民共和国境内运营中搜集的个人信息(以下称个人信息出境),应当按照本方法进行安全评价。经安全评价确定个人信息出境或许影响国家安全、危害公共利益,或许难以有用保证个人信息安全的,不得出境。国家关于个人信息出境还有规则的,从其规则。第三条 个人信息出境前,网络运营者应当向地点地省级网信部分申报个人信息出境安全评价。向不同的接收者供给个人信息应当别离申报安全评价,向同一接收者屡次或接连供给个人信息无需屡次评价。每2年或许个人信息出境意图、类型和境外保存时刻发作变化时应当从头评价。第四条 网络运营者申报个人信息出境安全评价应当供给以下资料,并对资料的真实性、准确性担任:(一)申报书。(二)网络运营者与接收者签定的合同。(三)个人信息出境安全危险及安全保证办法剖析陈述。(四)国家网信部分要求供给的其他资料。第五条 省级网信部分在收到个人信息出境安全评价申报资料并核对其齐备性后,应当安排专家或技术力量进行安全评价。安全评价应当在15个工作日内完结,状况复杂的可以恰当延伸。第六条 个人信息出境安全评价要点评价以下内容:(一)是否契合国家有关法令法规和政策规则。(二)合同条款是否可以充沛保证个人信息主体合法权益。(三)合同能否得到有用实行。(四)网络运营者或接收者是否有危害个人信息主体合法权益的前史、是否发作过重大网络安全事情。(五)网络运营者取得个人信息是否合法、合理。(六)其他应当评价的内容。第七条 省级网信部分在将个人信息出境安全评价定论通报网络运营者的一起,将个人信息出境安全评价状况报国家网信部分。网络运营者对省级网信部分的个人信息出境安全评价定论存在贰言的,可以向国家网信部分提出申述。第八条 网络运营者应当树立个人信息出境记载而且至少保存5年,记载包含:(一)向境外供给个人信息的日期时刻。(二)接收者的身份,包含但不限于接收者的称号、地址、联系方法等。(三)向境外供给的个人信息的类型及数量、灵敏程度。(四)国家网信部分规则的其他内容。第九条 网络运营者应当每年12月31日前将本年度个人信息出境状况、合同实行状况等报地点地省级网信部分。发作较大数据安全事情时,应及时报地点地省级网信部分。第十条 省级网信部分应当定时安排查看运营者的个人信息出境记载等个人信息出境状况,要点查看合同规则职责的实行状况、是否存在违背国家规则或危害个人信息主体合法权益的行为等。发现危害个人信息主体合法权益、数据走漏安全事情等状况时,应当及时要求网络运营者整改,经过网络运营者催促接收者整改。第十一条 呈现以下状况之一时,网信部分可以要求网络运营者暂停或中止向境外供给个人信息:(一)网络运营者或接收者发作较大数据走漏、数据乱用等事情。(二)个人信息主体不能或许难以保护个人合法权益。(三)网络运营者或接收者无力保证个人信息安全。第十二条 任何个人和安排有权对违背本方法规则向境外供给个人信息的行为,向省级以上网信部分或许相关部分告发。第十三条 网络运营者与个人信息接收者签定的合同或许其他有法令效力的文件(总称合同),应当清晰:(一)个人信息出境的意图、类型、保存时限。(二)个人信息主体是合同中触及个人信息主体权益的条款的受益人。(三)个人信息主体合法权益遭到危害时,可以自行或许托付代理人向网络运营者或许接收者或许两边索赔,网络运营者或许接收者应当予以补偿,除非证明没有职责。(四)接收者地点国家法令环境发作变化导致合同难以实行时,应当中止合同,或许从头进行安全评价。(五)合同的中止不能革除合同中触及个人信息主体合法权益有关条款规则的网络运营者和接收者的职责和职责,除非接收者现已毁掉了接收到的个人信息或作了匿名化处理。(六)两边约好的其他内容。第十四条 合同应当清晰网络运营者承当以下职责和职责:(一)以电子邮件、即时通讯、信函、传真等方法奉告个人信息主体网络运营者和接收者的基本状况,以及向境外供给个人信息的意图、类型和保存时刻。(二)应个人信息主体的恳求,供给本合同的副本。(三)应恳求向接收者传达个人信息主体诉求,包含向接收者索赔;个人信息主体不能从接收者取得补偿时,先行赔付。第十五条 合同应当清晰接收者承当以下职责和职责:(一)为个人信息主体供给拜访其个人信息的途径,个人信息主体要求更正或许删去其个人信息时,应在合理的价值和时限内予以呼应、更正或许删去。(二)按照合同约好的意图运用个人信息,个人信息的境外保存期限不得超出合同约好的时限。(三)承认签署合同及实行合同职责不会违背接收者地点国家的法令要求,当接收者地点国家和地区法令环境发作变化或许影响合同实行时,应当及时告诉网络运营者,并经过网络运营者陈述网络运营者地点地省级网信部分。第十六条 合同应当清晰接收者不得将接收到的个人信息传输给第三方,除非满意以下条件:(一)网络运营者现现已过电子邮件、即时通讯、信函、传真等方法将个人信息传输给第三方的意图、第三方的身份和国别,以及传输的个人信息类型、第三方保存时限等告诉个人信息主体。(二)接收者许诺在个人信息主体恳求中止向第三方传输时,中止传输并要求第三方毁掉现已接收到的个人信息。(三)触及到个人灵敏信息时,已征得个人信息主体赞同。(四)因向第三方传输个人信息对个人信息主体合法权益带来危害时,网络运营者赞同先行承当赔付职责。第十七条 网络运营者关于个人信息出境安全危险及安全保证办法剖析陈述应当至少包含:(一)网络运营者和接收者的布景、规划、事务、财政、诺言、网络安全才能等。(二)个人信息出境方案,包含持续时刻、触及的个人信息主体数量、向境外供给的个人信息规划、个人信息出境后是否会再向第三方传输等。(三)个人信息出境危险剖析和保证个人信息安全和个人信息主体合法权益的办法。第十八条 网络运营者违背本方法规则向境外供给个人信息的,按照有关法令法规进行处理。第十九条 我国参加的或许与其他国家和地区、国际安排订立的公约、协议等对个人信息出境有清晰规则的,适用其规则,我国声明保存的条款在外。第二十条 境外组织经营活动中,经过互联网等搜集境内用户个人信息,应当在境内经过法定代表人或许组织实行本方法中网络运营者的职责和职责。第二十一条 本方法下列用语的意义:(一)网络运营者,是指网络的所有者、管理者和网络服务供给者。(二)个人信息,是指以电子或许其他方法记载的可以独自或许与其他信息结合辨认自然人个人身份的各种信息,包含但不限于自然人的名字、出生日期、身份证件号码、个人生物辨认信息、住址、电话号码等。(三)个人灵敏信息,是指一旦被走漏、盗取、篡改、不合法运用或许危害个人信息主体人身、产业安全,或导致个人信息主体声誉、身心健康遭到危害等的个人信息。第二十二条 本方法自 年 月 日起施行。修改 康晰