(征求意见稿)
第二条 网络运营者向提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
国家关于个人信息出境另有规定的,从其规定。
第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
每2年或者个人信息出境目的、类型和保存时间发生变化时应当重新评估。
第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第六条 个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向提供个人信息的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、等。
(三)向提供的个人信息的类型及数量、敏感程度。
(四)国家网信部门规定的其他内容。
第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
发生较大数据安全事件时,应及时报所在地省级网信部门。
第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。
发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向提供个人信
个人敏感信息息:
(一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。
(二)个人信息主体不能或者难以维护个人合法权益。
(三)网络运营者或接收者无力保障个人信息安全。
第十二条 任何个人和组织有权对违反本办法规定向提供个人信息的行为,向省级以上网信部门或者相关部门举报。
第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(一)个人信息出境的目的、类型、保存时限。
(二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
(六)双方约定的其他内容。
第十四条 合同应当明确网络运营者承担以下责任和义务:
发布评论