根據《數據出境安全評估辦法》規定,關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息,應當申報數據出境安全評估。
數據處理者在申報數據出境安全評估前,應當開展數據出境風險自評估,重點評估以下事項:
1.?數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
2.?出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公***利益、個人或者組織合法權益帶來的風險;
3.?境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
4.?數據出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
5.?與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等(以下統稱法律文件)是否充分約定了數據安全保護責任義務;
6.?其他可能影響數據出境安全的事項。
申報數據出境安全評估,應當提交以下材料:
1.?申報書;
2.?數據出境風險自評估報告;
3.?數據處理者與境外接收方擬訂立的法律文件;
4.?安全評估工作需要的其他材料。
數據出境安全評估結果的有效期為2年,自評估結果出具之日起計算。在有效期內出現特定情形之壹的,數據處理者應當重新申報評估,例如向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的;境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的;出現影響出境數據安全的其他情形。有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。
需要註意的是,數據處理者對所提交材料的真實性負責,故意提交虛假材料的,將按照評估不通過處理,並依法追究相應法律責任。參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供、非法使用。