炼石图解《个人信息出境认证办法》V1.0.0

炼石《个人信息出境认证办法》炼石网络2025年10月22日01图解《个人信息出境认证办法》02图解《促进和规范数据跨境流动规定》05图解《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》06炼石免改造数据安全保护实践2《个人信息出境认证办法》促进个人信息高效安全跨境流动《个人信息出境认证办法》促进个人信息高效安全跨境流动CyberspaceAdministrationofChin介首页m位置：首页>正文2025年10月14日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》,自2026年1月1日起施行，旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动。2021年11月1日起施行2021年11月1日起施行2023年7月20日起施行制定制定国家互联网信息办公室国家市场监督管理总局令个人信息出境认证办法第20号个人信息出境认证办法《个人信息出境认证办法》已经2025年7月21日国家互联网信息办公室2025年第17次室务会会议审议通过，并经国家市场监督管理总局同意，现予公布，自2026年1月1日起施行。国家互联网信息办公室主任庄荣文国家市场监督管理总局局长罗文2025年10月14日个人信息出境认证办法第一条为了保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动，根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规，制定本办法。第二条个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息，适用本办法。第三条本办法所称个人信息出境认证，是指按照《中华人民共和国个人信息保护法》第三十八条第一款第二项规定，由依法取得个人信息保护认证资质的专业认证机构，证明个人信息处理者向中华人民共和国境外提供个人信息等个人信息处理活动符合相关法律、行政法规、部门规章、标准、技术规范的合格评定活动。的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定。《个人信息出境认证办法》出台标志我国三种个人信息出境制度全面落地《数据出境安全评估办法》《个人信息出境认证办法》《个人信息出境标准合同办法》对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出说明22通过个人信息保护认证或或或《促进和规范数据跨境流动规定》《个人信息保护法》《个人信息保护法》第三十八条个人信息处理者因业务等需要，确需向中华人民共和国境外捉供个人信息的，应当具备下列条件之一：(一)依照本法第四十条的规定通过国家网信部门组织的安全评估；(二)按照国家网信部门的规定经专业机构进行个人信息保护认证；(三)按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利《网络数据安全管理条例》《网络数据安全管理条例》第三十五条符合下列条件之一的，网络数据处理者可以向境外提供个人信息：(一)通过国家网信部门组织的数据出境安全评估；(二)按照国家网信部门的规定《认证认可条例》《认证认可条例》第五十九条认证机构有下列情形之一的，责令改正，处5万元以上20万元直至撤销批准文件，并予公布：(三)未对其认证的产品、服务、管理体系实施有效的跟踪调查，或者发现其认证的产品、服务、管理体系不能持续4符合认证要求，不及时暂停其使用或者撤销认证证书并个人信息出境认证制度与相关制度，共同构筑我国数据跨境监管的完整体系Clp《个人信息保护法》《个人信息保护法》护认证服务”则在2022年就已经启动。《关于实施个人信息保护认证的公告》由国家互联网信息办公室、国家市场监督管理总局在2022年11月联合发布，决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力信息保护认证实施规则》。该规则对个人信息保护认证的认证依据作出规定，提出“个人信息处理者应当符合GB/T35273《信息安全技术个人信息安全规范》的要求，对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求”。日前，国家标准委公布新的推荐性国家标准GB/T46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》,将于2026年3月1日实施，《个人信息跨境处理活动安全认证规范》将不再适用。个人信息出境认证是特殊类型的个人信息保护认证，除符合通用个人信息保护认证的标准要求外，还应符合关于个人信息跨境的特殊要求，并具有专门的认证标志。《办法》规定，本办法施行前制定的关于个人信息出境认证的相关规定与本办法不一致的，按照本办法执行，明确了制度间的适用效力。关系过所在地省级网信部门向国家网信部门申报数据出境安全评估：1.关键信息基础设施运营者向境外捉供个人信息或者重要数据；数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。合同”“认证”。以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感一次性签约；需要个人信息处理者在标准合同生效之日起10认证结果可撤销，形成外部“合规张力”,帮个人信息保护认证提供个人信息，适用本办法。人个人信息的企业。《办法》对此专门规定，中华人民共和国境外的个人信息处理者申请个门机构或者指定代表协助进行申请，为境外个人信息处理者提供明确的操作指引。蹈个人信息出境认证认证申请系由个人信息处理者自愿向专业认证机构提出，认证不是强制性的出境手续，不会给企业带来合规负担。认证主体是市场化的专业认证机构而非国家监管部门，这在很大程度上有助于激发认证活动的活力，增强认证制度的适用性。认证活动以需求为导向，由政府、专业认证机构、申请人以及社会公众共同合作实现。主管部门制定个人信息出境认证相关标准、技术规范、认证规则，统一认证证书和标志，专业认证机构按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动，能够保证认证门槛的一致性，避免申请人为了提升认证通过率，选择采用标准更低的认证机构。来源：丁晓东，中国人民大学法学院副院长、教授，专家解读|建构个人信息出境认证制度完善个人信息出境合规体系6《办法》是营造市场化法治化国际化一流营商环境、推进高水平对外开放的重要举措炼石认证制度本身发源于市场需求、根植于依规评定、兴盛于国际贸易，具有鲜明的市场化、法治化、国际化特征。数字时代，个人信息出境认证制度使得这些特征更加突出。规模企业合规能力差异显著,大型企业可自建合治化营商环境的前提是有法可依、有法必依。 个人信息出境认证是全球数字治理通行实践。在数字经济全球化的背景下，个人信息跨境流动已成为国际数据合作的核心纽带。据有关统计，全球数据跨境量已达ZB级规模，但合规导致的法律纠纷年均增长47%。在此背景下，个人信息出境认证作为平衡数据流通效率与隐私保护的市场化机制，已成为全球主要国家和国际组织的共同选择。例如，亚太经合组织(APEC)主导的“跨境隐私规则体系” (CBPR)开创了区域内认证互认的先河，欧盟通过《通用数据保护条例》(GDPR)明确了个人信息跨境传输的认证机制。《办法》的出台，充分借鉴全球个人信息出境认证的通行做法，主动对接国际规7《办法》基于国家有关主管部门、专业认证机构、个人信息处理者三方主体构建了责任明确、边界清晰、环环相扣的“三位一体”个人信息跨境安全保障体系第二部分个人信息处理者个人信息出境认证要求第五部分附则第五部分附则第四部分监督管理及法律责任89随着全球数字经济飞随着全球数字经济飞速发展，数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。《个人信息保护法》《个人信息保护法》2022年11月，国家市场监督管理总局、国家互联网信息办公室公《关于实施个人信息保护认证的公告》《个人信息出境认证办法》《个人信息出境认证办法》明确个人信息出境认证的明确立法目的依据、适用范围明确个人信息出境认证的适用情形申请方式、认证要求及证书有效期外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息，规定个人信息处理者应当向专业认证机构申请个人信息出境认证，中华人民共和国境外的个人信息处理者申请个人信息出境认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明明确专业认证机构应当履行的义务明确监督管理要求规定专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部自当年1月1日起累计向境外提供10万人以上、不满100人信息)或者不满1万人敏感个人信息；*同时，规定个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。个人信息处理者在申请认证向境外提供个人信息前，应当按照法律、行政法规的规定履行相关义务：合法正当必要出境个人信息情况境外接收方义务及安全保障能力个人信息权益维护渠道境外接收方所在国或地区法律法规其他影响事项五问：《办法》是如何通过部门协同与动态监管来确保认证的权威性和有效性的?Cipht违规处罚违规处罚《办法》第四条明确，国家市场监督管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。《办法》第九条、第十条、第十三条、第十六条明确，国家市场监督管理部门和国家网信部门建立认证信息共享机制，对个人信息出境认证活动开展定期或者不定期的检查，并对认证过程与结果进行抽查。在发现获证个人信息处理者存在违规情形时，国家网信部门和有关部门可依法要求专业认证机构暂停直至撤销相关认证证书，省级以上网信部门和有关部门可对涉事企业开展约谈并实施整改监督。炼石炼石符合认证要求的，应当及时出具认证证书。四是发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。三是发现获证个人信息处理者存在个人信息三是发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形，不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。二是应当在出具认证证书或者认证证书状二是应当在出具认证证书或者认证证书状态发生变化后5个工作日内，向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息，包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。六是应当对在履行职责中知悉的个人隐私、六是应当对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法五是应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续，并对所备七问：开展个人信息出境认证的专业认证机构办理备案时，应当提交什么材料?Ciph办理备案时，应当提交下列材料：(一)取得的个人信息保护领域的认证资质情况；(二)近3年从事数据安全、个人信息保护领域专业工作情况；(三)专业认证机构人员安全背景审查材料；(四)个人信息保护认证实施细则及工作计划；(五)个人信息安全风险防范机制；(六)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制；(七)投诉受理和争议解决机制；(八)其他需要提交的材料。专业认证机构应当对所备案材料的真实性负责血对备案材料进行审核材料齐全的，应当在30个工作日内予以备案并进行公示；材料不齐全的，不予备案，应当在30个工作日并说明理由。对个人信息出境认证活动进行监督，开展定期或者不定期的检查，对认证过程和认证结果进行抽查，对专业认证机构进行抽查和评价。发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改，消除隐患。发现获证个人信息处理者违反本办法规定向境外提供个人信息的，可以向专业认证机构、网信部门和有关部门投诉、举报。条例》等法律法规处理；构成犯罪的，依法追究刑事责任。个人信息出境认证制度遵循自愿性、市场化、社会化服务原则，由第三方机构实施，既减轻监管部门行政负担，个人信息出境认证制度遵循自愿性、市场化、社会化服务原则，由第三方机构实施，既减轻监管部门行政负担，也赋予企业更多合规选择权，更激发数字经济的动能。个人信息出境合规涉及法律、技术、管理等多领域专业知识，中小微企业往往因缺乏专业人才而面临合规困境。专业认证机构能够根据企业需求提供全流程服务，包括个人信息出境风险评估、安全技术方案设计、境外接收方资质审核等，有效弥补企业能力短板，有效提升企业合规效率。《办法》明确，个人信息出境认证由国家认可专业认证机构实施，认证过程严格遵循规定标准，认证结果具有官方认可公信力。对用户而言，通过认证意味着企业数据处理符合国家隐私保护要求，减少企业向用户传递信任沟通成本。对商业伙伴而言，通过认证是企业数据安全能力名片，特别在跨境合作中，无需双方重复开展合规审查，直接以认证结果为信任基础，缩短合作谈判周期。个人信息出境认证标准对数据加密、访问控制、安全审计等技术指标的要求，促使企业加大数据安全投入，在提升合规水平的同时，也优化了企业数据治理能力。实践证明，通过认证的企业普遍建立了数据全生命周期管理体系，这些能力不仅保障了数据安全，还为企业精准营销、产品创新等提供了支撑。《办法》的出台，通过激活合规服务需求、重构跨境数据服务逻辑，将催生出专业化场景化平台化的新型服务业态，形成覆盖咨询、技术、运营、生态等全链条服务体系。认证过程的复杂性，推动合规服务从广谱咨询向垂直领域深耕转型。认证对数据安全技术的硬性要求，将催生出敏感数据识别系统、跨境数据加密传输模块等技术服务新业态。网信办出台多部出境安全管理办法，标志我国数据跨境流动制度体系全面建立估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》,明确了数据出境安全评个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：01图解《个人信息出境认证办法》02图解《促进和规范数据跨境流动规定》05图解《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》06炼石免改造数据安全保护实践《促进和规范数据跨境流动规定》出台背景《促进和规范数据跨境流动规定》2.规范个人信息出境动或或第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。第三十八条个人信息处理者因业务等需要，确需向中华人民共和国境外捉供个人信息的，应当具备下列条件之一：(一)依照本法第四十条的规定通过国家网信部门组织的安全评估；(二)按照国家网信部门的规定经专业机构进行个人信息保护认证；(三)按照国家网信部门制定的标准合同写境外接收方订立合同，约定双方的权利和义务；(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国CyberspaceAdministrationofA因A因《促进和规范数据跨境流动规定》已经2023年1月28日国家互联网信息办公室2023年第26次室务会议审议通过，现予公布，自公布之日起施行。第一条为了保障数据安全，保护个人信息权益，促进数据依法有序自由流据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认第二条数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、重要数据申报数据出境安全评估。第三条国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收第四条数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供2024年3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》,自公布之日起施行，旨在保障数据安全，保护个人信息权益，促进数据依法有序自由流动。2017年6月1日起施行2021年9月1日起施行2021年11月1日起施行《网络安全法》数据出境安全评估个人信息保护认证促进和规范数据跨境流动规定促进和规范数据跨境流动规定在经济全球化背景下，跨境贸易必然引发数据跨境流动，如何平衡巨大的数据出境需求与跨境数据监管保护成为关注焦点。我国强调开放与发展的总基调，同时严守国家安全底线，《规定》便是对上述形势的回应。《规定》并没有一味迎合开放、发展的需求而放松对安全的要求，而是对安全管理进一步优化和完善，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平如何理解数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度间的关系?第一条为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，根据《中华第一条为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，制定本规定。对重要数据的出境活动和符合应当申报数据出境安全评估条件的个人信息出境活动，必须通过数据出境安全评估。对于未达到数据出境安全评估申报条件的个人信息出境活动，个人信息处理者可以结合自身情况，选择订立个人信息出境标准合同或通过个人信息保护认证的方式。符合免予订立个人信息出境标准合同、通过个人信息保护认证条件的，个人信息处理者无需履行相关程序。《数据出境安全评估办法》第十九条规定，等的数据。匿名化处理后的信息。产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、人的个人信息。然人且不能复原的过程。《关键信息基础设施安全保护条例》第二条规定，关键信息基础设施是指公共通信和信息服务、然人且不能复原的过程。公安部门备案。认定结果通知运营者，并通报国务院公安部门。去标识化去标识化过程。标识化，去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。部分内容参考自：《促进和规范数据跨境流动规定》答记者问23力度吸引和利用外资行动方案》(国办发〔2024〕9号)要43697-2024《数据安全技术数据分类分级规则》,原《重·《规定》明确重要数据的认定方式，即通过公开发布或向企业逐个告知，这极大地减轻数据处理者压力，使数据处理者不再“战战兢兢”,充分体现支持发展和开放的初衷。·《规定》敦促相关部门/地区抓紧出台相关政策。如果一些机构确有重要数据，而未被相关部门、地区告知，会形成明显的国家安全风险，相关部门、地区需承担责任。《规定》的发布实施，将推动各部门及有关地区的重要数据识别(数据分类分级)规范制定工作提速。各部门、地区制定的重要各部门、地区制定的重要数据识别规范与国家标准的关系·面向总体国家安全观提出重要数据特征。GB/T43697-2024《数据安全技术数据分类分级规则》国标，没有按照行业分类提出重要数据的特征，而是分别从“总体国家安全观”中各类国家安全的角度提出重要数据可能对国家安全产生的影响，这样的处理办法，势必影响重要数据识别国标的可操作性。·《规定》为各地区/各行业提供参考。重要数据识别国标只为各地区、各部门制定各自的重要数据识别规范提供参考和思路，可操作性问题由各部门、各地区通过制定尽可能详细的规范来解决。4扩展：新国标指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作赐中华人民共和国国家标准数据安全技术数据分类分级规则Datasecuritytechnology—Rulesfordataclassificatio(报批稿)国家市场监督管理总局第二十条明确规定“国家建立数据分类分级保护制度”,提出根据数据在经济社会发展中的重要程度，以及一程度，对数据实行分类分级保护。开展数据分类分级保护工作时，首先需要对数据进行分类和分级，识别涉及的重要数据和核心数据，然后建立相应的数据安全保护措施。2024年10月1日起实施中华人民共和国制定依据·规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。炼石如未公开的领陆、领水、领空数据；可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力有关的数据；直接影响市场经济秩序要经济领域生产的数据；反映我国语言文字、历史、风俗习惯、民族价值观念等特质如记录历史文化遗产的数据；反映重点目标、重要场所物理安全保护情况或未公开地理目标的如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据；关系我国科技实力、影响我国国际竞争力，或关系出口管制物项检测报告的数据；案、测评、运行维护、审计日志的数据；和服务采购情况、未公开重大漏洞情况的数据；如未公开的与土壤、气象观测、环保监测有关的数据；如未公开的描述水文观测结果、耕地面积或质量变化情况的数据；如涉及核电站设计图、核电站运行情况的数据；或对我国实施歧视性禁止、限制或其他类似措施如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据；关系我国在太空、深海、极地等战略新疆域的现实或潜在利益利用的数据，以及影响人员在上述领域安全进出的数据；,如重要生物资源数据、微生物耐药基础研究数据；如未公开的统计数据、重点企业商业秘密；食品安全溯源的数据；其他可能影响国土、军事、经济、文化、社会、科技、电深海、生物、人工智能等安全的数据；象考虑因素)。其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。重危害的参考示例见(表：影响程度参考示据。第三条国际贸易、跨境运输、学术合作、跨国生第三条国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。本条明确了我国数据跨境流动安全管理制度的规范对象，数据出境安全管理不是对于所有数据，只限于重要数据和个人信息(国家秘密信息、核心数据不再讨论之列),这里的重要数据是针对国家而言，而不是针对企业和个人，反映出我国的数据跨境流动安全管理制度支持国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动，释放了开放和国际合作的信号。针对出境必要性高、场景常见、潜在安全危害小的场景进行列举式规定，并在监管层面无任何限制，极大解决了评估标准不明确带来的不确定性，减轻企业的负担和合规成本，加快了我国数据出境的效率。但这些数据出境仍需遵守反不正当竞争、出口管制、国家秘密管理及相关合同协议中保密义务等要求。第四条数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安第四条数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。境外来的数据在境内处理又流出境外，需要结合数据处理过程判断是否属于数据出境。这种情况对应于《规定》的第四条，“来数加工”等是对外贸易中的常见业务，特别是在人工智能时代(如数据标注业务)。境外数据传入我国，经加工处理后传输回境外，这在概念上不属于“数据出境”。理论上，关于数据的处理，需要进一步考虑：因为境内人力成本较低，可能境外机构会将其在境外收集的个人信息发送给境内处理者进行相关加工处理，此过程未添加任何境内个如果数据本身没什么,但加工后的数据能反映出我们某项敏感技术的状况，也要进行保护。典型的是，境外的原始视频数据委托国内处理，高清晰的画如果的确属于“不是在境内收集产生的个人信息”,即未进行任何处理，可以直接出境。出境标准合同、通过个人信息保护认证?第五条数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信第五条数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：(一)为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；(三)紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；新增(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。前款所称向境外提供的个人信息，不包括重要数据。·《规定》第五条对个人信息出境的四种情况进行了豁免。其中，前三项豁免可以从《个人信息保护法》中推导出。即，根据《个人信息保护法》的相·《规定》第五条对个人信息出境的四种情况进行了豁免。其中，前三项豁免可以从《个人信息保护法》中推导出。即，根据《个人信息保护法》的相关条款，前三项可以得到出境豁免。但需要指出，这是“推导”。而为了便于公众更准确的理解《规定》的内人作为一方当事人作为一方当事豁免情形。特别是，因个人业务(如购物、汇款、预定机票酒店等)而由当事人主动发起的数据跨境流动非常频繁，跨国公司内部人事信息跨境流动也是常态，甚至一些跨国公司的跨境流动数据主要是解读人事信息，为此十分有必要单独强调对其豁免。这便利了公众，也极大减轻了跨国公司的合规压力。解读备充分必要性。《规定》第五条的第四项则是新增的，首次对非关键信息基础设施运营者向境外传输批量个人信息进行了豁免，这是《规定》与征求意见稿相比的重大变化，也意味着数据跨境流动安全管理制度的重大发展的政策初衷。当然，其中不能含敏感个人信息，这一点也很重要。第六条自由贸易试验区在国家数据分类分级保护制度框架下下简称负面清单),经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。负面清单的开放程度更高，也是国际惯例。规定“负面清单”制度负面清单的开放程度更高，也是国际惯例。规定“负面清单”制度，本身便表明了一种开放的态度。正面清单负面清单·“负面清单”(也称“黑名单”)是外商投资领域的专用词汇，即“除了清单上的皆可”。“白名单”),即“只有清单上的才可”。数据跨境流动的负面清单，指不纳入数据跨境流动安全管理的数据的范围大程度的豁免，即通过负面清单制度，对数据跨境流通进行一揽子豁免。但会带来很大的风险。所以现阶段，负面清单制度不宜全国推广。鉴于自贸区有制度先试的政策空间，以及自贸区有着更多外向型企业的双重原因，选择动负面清单制度是可行的。而且，此前中国天津自贸区已经在天津市委市政府领导下制定出了国内第一份数据跨境流动负面清单，并履行完了相了试点基础。需要指出，所谓自贸区的负面清单，面向的是自贸区的企业，关注的是企业的跨境贸易，不需要把政府部门的数据列入，自贸区负面清单不能简·负面清单有没有共通性?是否有必要每一个自贸区都制定自己的负面清单?网信部门应该是考虑到各地自贸区实际情况不同，特别是对外贸易的具体业务不同，所以对自贸区给予了充分的自由度，允许所有的自贸区定不当呢?防止这类情况发生，《规定》对负面清单设置了两个高门槛。一是要求由省级网信委批准(而不是省级网信办)。按照现在的工作格局，实际上是要由省委书记批准。另一个是要求报国家网信部门、国家数据管理部门备案。这一备案应该是带有审批性质，即两个部门认为不妥的，可炼石炼石本自贸区数据清单负面清单⊙数据出境安全评估纳入个人信息出境标准合同个人信息保护认证负面清单外数据出境全部豁兔国家网信部门、国家国家网信部门、国家数据管理部门备案省级网络安全和信息化委员会哪些数据处理者向境外提供数据需要申报数据出境安全评估、订立个人信息出境标。Clpht依法与境外接收方订立个人信息出境标准合同申报数据出境安全评估通过个人信息保护认证通过所在地省级网信部门向国家网信部门申报数据出境安全评估关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。①关键信息基础设施运营者向境外提供个人信息或者重要数据关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。不同?相对于《数据出境安全评估办法》,将阈值做了大幅提升(评估的门槛是100万，标准合同或认证的门槛是10万),这在更大程度上减轻了企业的负担。·任何个人信息出境场景均需要履行《个人信息保护法》项下其他义务，不同的只是前置审批程序首先，对于关键信息基础设施运营者而言：①非个人信息且非重要数据的一般数据出境的，无限制；②重要数据出境，应进行数据出境安全评估(其他数据处理者也要);③存在《规定》豁免情形且个人信息出境的，依然豁免数据出境安全评估，但不豁免《个人信息保护法》项下的其他义务；④不存在《规定》豁免评估情形且个人信息出境的，应进行数据出境安全评估。其次，关键信息基础设施运营者以外的数据处理者分为三种情况：①自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的，无需前置审批；②自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的，前置审批可在标准合同及个人信息保护认证中二选一；③向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息，应数据出境安全评估。·关于如何计数，官方明确两点：一是去重，二是豁免计算周期为自当年1月1日起至申报数据出境安全评估之日，数量以自然人为单位去重后的统计结果为准。属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的，不计入累计数量。第九条通过数据出境安全评估的结果有效期为3年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准，可以延长评估结果有效期3年。《规定》将通过数据出境安全评估结据处理者可以申请延长评估结果有效期的规定。(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与(三)出现影响出境数据安全的其他情形。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前部分内容参考自：网信中国《促进和天规范数据跨境流动规定》答记者问解读数据处理者向境外提供个人信息履行的义务有哪些?数据处理者向境外提供个人信息履行的义务有哪些?第十条数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护第五十五条有下列情形之一的，个人信息处对处理情况进行记录：(一)处理敏感个人信息；(二)利用个人信息进行自动化决策；第五十五条有下列情形之一的，个人信息处对处理情况进行记录：(一)处理敏感个人信息；(二)利用个人信息进行自动化决策；(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；(四)向境外提供个人信息；(五)其他对个人权益有重大影响的个人信息第三十九条个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理向境外接收方行使本法规定权利的方式和程于即便不需要进行评估或备案的企业，上述的出境基本义务仍然应当在业务流程之中落地，不因豁免评估或备案而不遵守相应的基本法律据的处理者，按照相关法律履行义务，《数据安全法》中第二十七条规定了“采取技术措施和其他必要措施，保障数据出境安全”,二十九条规定了“发生数据安全事件的，应当2023年，国家网信办也发布了《网络安全事件报告管理办法(征求意见第二十七条开展数据处理活动取相应的技术措施和其他必要措应当在网络安全等级保护制度的基础上，履行上述数据安全保护第第十二条各地方网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改消除隐患；对拒不改正或者造成严重后果的，追究法律责任。第四十四条有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约并要求有关组织、个人采取措施进行整改，消除隐第六十四条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和者的法定代表人或者主要负责人进行约谈，或者要求个人信个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。部分内容参考自：《小贝说安全》《科技与竞争炼石炼石第十三条2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的，适用本规第十四条本规定自公布之日起施行。2024年3月22日相关拓展2024年3月22日相关拓展《规定》施行前已完成、正进行申报数据出境安全评估、提交个人信息ClpherGatewoy数据处理者可以根据申报事项继续开展。根据《规定》免予申报数据出境安全评估的数据出境活动，过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人根据《规定》无需开展上述程序的，数据处理者可以按照原在地省级网信部门撤回申报、备案。数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、类型准合同线下已经通过线下方式提交安全评估申报、标准合不需要通过数据出境申报系统进行重新提交申请个人信息保护认证数据出境申报系统申报数据出境安全评估的线下数据出境安全评估申sjcj@cac.个人信息出境标准合同备bzht@cacdata@isccc.境标准合同备案工作的联系方式(办公地址、联系电话)01图解《个人信息出境认证办法》02图解《促进和规范数据跨境流动规定》05图解《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》06炼石免改造数据安全保护实践《数据出境安全评估办法》将于2022年9月1日起施行炼石OfficeoftheCentralCyberspacwww.cAC.GDVCN城入检爱调Q位置(面面>2s土全伊临力法2理者向境外通EE8屋；但血上年阳世案汁肉境外信万人个人危放者1万人婚个人就r&能处修数据出境安全评估重点评估数据出境活动可能对国家安全、数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：数据出境的目的、范围、方式等的合法性、正当性、必要性。境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。数据安全和个人信息权益是否能够得到充分有效保数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。遵守中国法律、行政法规、部门规章情况。国家网信部门认为需要评估的其他事项。①O下“数据出境安全评估”是国家数据治理持续性工作之一“五法”是当前国家数据安全和个人信息保护的顶层设计布局中华人民共和国中华人民共和国中华人民共和国国家安全法个人信息和重要数据(征求意见稿)办法(征求意见稿)条例(征求意见稿)“五法”包含数据出境安全相关要求②2017年的18条要求，到2019年的22条要求，到2021年的18条，再到2022年的20条，除了看到要求不断在完善，还能从“数字”和“流程”,看到国2017年：个人信息和重要数据出境安全评估办法(征求意见稿)《个人信息和重要数据出境安全评估办法(征求意见稿)》揭开序幕①数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。②个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。③重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。2017年4月11日传输方式传输方式下列情形属于“数据出境”的范围：境外访问境外访问过境数据不属于“数据出境”:跨境企业跨境企业据的2019年：个人信息出境安全评估办法(征求意见稿)《个人信息出境安全评估办法(征求意见稿)》影响深远科学技术部政务服务平台(征求意见稿)2019年评估办法给出定义个人敏感信息，是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全，或导致个人信息主体名誉、身心健康受到损害等的个人信息。个人信息保护法定义敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。2019年6月13日颁布第十四条(三)应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付。第十六条(四)因向第三方传输个人信息对个人信息主体合法权益带来损害时，网络运营者同意先行承担赔付责任。个人信息出境安全评估办法(征求意见稿):在国家互联网办公室官网有6篇解析与评论。482021年：数据出境安全评估办法(征求意见稿)数据安全法(征求意见稿)2021年11月1日施行2021年10月29日颁布2021年11月14日颁布(征求意见稿)不能作为司法解释，但可网络数据安全(征求意见稿)2021年9月1日施行(征求意见稿)第一条为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评的规定进行安全评估：法律、行政法规另有规定的，第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自第四条数据处理者向境外提供数据，符合以下情形之一的，应当通过所在(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据；(二)出境数据中包含重要数据；(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；(五)国家网信部门规定的其他需要申报数据出境安全7月7日，国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定，规跨境安全风险的需要，是维护国家安全和社会公共利益的需要，是保护个人数据出境安全数据出境安全评估办法2021年11月1日施行2022年9月1日施行2022年《数据出境安全评估办法》规定了数据出境安全评估的范围、条件和程序，对于规范数据出境活动，保护个人信《数据出境安全评估办法》总结构16.举报机制17.不再符合要求的处理规定18.法律《数据安全法》提升国家数据安全保障能力《网络安全法》《密码法》网络信息安全内容控制等级保护安全风险处置网络实名制《个人信息保护法》网络安全审查和供应链安全第一条为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保注：第十八条规定，违反本办法规定的，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。第二条第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。2021年10月29日2019年6月13日 2021年10月29日2019年6月13日个人信息和重要数据出境安全评估办法个人信息和重要数据出境安全评估办法境内运营中收集和产生的境内运营中收集的境内运营中收集和产生的境内运营中收集和产生的内存储因业务需要，确需向境外提供的个人信息和依法应当进行安全评估的个人信息重要数据和个人信息属地原则明确范围第三条数据出境安全评估坚持第三条数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。(出境后)国家网信部门会持续监督数据出境管理(出境后)国家网信部门会持续监督数据出境管理②按照要求整改，注1:第十七条国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处《数据出境安全评估办法》数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境1.数据处理者向境外提供重要数据；2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人4.国家网信部门规定的其他需要申报数据出境安全评估的情形。对应《网络数据安全管理条例(征求意见稿)》数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：1.出境数据中包含重要数据；2.关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；3.国家网信部门规定的其它情形。法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。关键信息基础设施定义关键信息基础设施定义第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施认定关键信息基础设施认定第九条保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则应当主要考虑下列因素：(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；(三)对其他行业和领域的关联性影响。附件1(试行)活4)造成大量机构、企业敏感信息泄露：)造成1000万元以上的直接经济损失；2)直接影响超过1000万人工作、生活；3)造成赔过100万人个人信息泄露；4)造成大量机构、企业敏感信息泄露；活3)导致5人以上死亡或50人以上重伤；4)直接造成5000万元以上经济损失；5)造成超过100万人个人信息泄露；6)造成大量机构、企业敏感信息泄露；重重要数据识别规则(征求意见稿)是否处理了重要数据?1直接影响国家主权、政权安全、政治制度、意识形态安全直接影响市场秩序或国家经济命脉安全直接影响领土安全和国家统一，或反映国家自然资源基础情况反映我国语言文字、历史、风俗习惯、民族价值观念等特质可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏家重要资产(如铁路、输油管道)重重要数据识别规则(征求意见稿)是否处理了重要数据?2关系国家科技实力、影响国际竞争力，或关系出口管制物项描述我国禁止出口限制出口物项的设源代码、集成电路布图、技术方案、重要参数、实验数反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件未公开的土壤数据、气象观测数据、反映关键信息基础设施总体运行、发展和安全保护情况，可被利用实施对关键信息基础设施的网络攻击反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况可被利用实施对关键设备、系统组件供应链的破坏，以发起高级持续反映核材料、核设施、核活动情况，或可被利用造虚核破坏或其他核安全事件是否处理了重要数据?3重要数据重要数据识别规则(征求意见稿)关系我国在太空、深海、极地等战略新疆域的现实或潜在利益影响其他安全影响其他安全未公开的政务数据、情报数据和执法司法数据未公开的政务数据、情报数据和执法司法数据(城区常住人口100至500万的城市)截止到2019年底，中国主要的大城市包括太原、乌鲁木齐、厦门、合肥、哈尔滨、大连、昆明、长春、长沙、苏州、呼和浩特、宁波、南宁、福州、南昌、海口、兰州、贵阳、石家庄、银川、西宁。(1)影响超过100万人工作、生活；微信小程序数量(MAU>100万)微信小程序数量(MAU>50000(3)造成超过100万人个人信息泄露；00炼石2020年人口(人)江苏苏州福建泉州广东揭阳安徽阜阳山东枣庄浙江温州据报道：2019年6月，百万量级以上的小程序数量已达883户超过500万的小程序数量也增长到了180个，同比增长范范第二十八条敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。引自：《个人信息保护法》房产信息、信贷记录、征信信息、交易和消费记录、流身份证、军官证、护照、驾驶证、工作证、出入个人基因、指纹、声纹、掌纹、耳廓、虹膜、面手术及麻醉记录、护理记录、用药记录、药物食物过敏信以往病史、诊治情况、家族病史、现病史、传染病史等网络身份标识信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、性取向、婚史、宗教信仰、未公开的违法犯罪记录、讯录、好友列表、群组列表、行踪轨迹、网页浏览记定位信息等银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、通信记录和内容、短信、彩信、电子邮件，以及描述个人通指通过日志储存的个人信息主体操作记录，包括网站浏览姓名*月*日2022年1月发布的《网络安全审查办法》扩大了适用范围，将数据处理活动纳入网络安全审查范围，并将“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”列入主要考虑因素之中。网络安全审查与数据出境安全评估的区别为：数据出境安全评估主要围绕数据出境风险展开，数据出境安全评估主要围绕数据出境风险展开，而数据出境风险只是网络安全审查的部分内容。3、监管部门网络安全审查是由中央网络安全和信息化委员会领导，特别设立网络安全审查办公室；而数据出境安全评估由国家网信部门主导，并未设置常设机构。《网络安全审查办法》第二条规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。而《评估办法》第二条指出，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。三问：安全评估流程及评估时长?《数据出境安全评估办法》安全评估流程简图自评估申报自评估申报安全评估评估结果通知复评其他材料评估结果其他材料评估结果补充/更正材料企企业网信部门评估组外部监督材料准备个申报书本材料准备个申报书本5个工作旦未通过完备性第十一条省级省级I形成评估结果申请复评形成评估结果申请复评安全监督组织安全评估旦组织安全评估旦受理45个工作受理7个工作日7个工作日开展安全评估保守秘密开展安全评估举报第十六条国家网信部门负责数据出境的安全评估。国家网信部门受理数据出境安全评估申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。四问：安全评估如何申报?第六条申报数据出境安全评估，应当提交以下材料：(一)申报书；(二)数据出境风险自评估报告；(三)数据处理者与境外接收方拟订立的法律文件；申报书统一模板自评估报告提前实施，提前准备1法律文件法律声明：本合同会提交***,审核其他材料1.网信部门管理材料；2.过程文档或其它佐证*注：第七条省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。第五条数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：关键词(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；目的、范围、方式业务使命…(二)出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；风险分析…(三)境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；合同，罚则，技术条件…非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；投诉渠道，安全保证金…(五)与境外接收方拟订立的数据出境相关合同或者其他具有的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务；争议解决条款合同条款细则可能事项六问：法律文件要求有哪些?第九条数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：关键词对应《网络数据安全管理条对应《网络数据安全管理条接收方按照双方约定的目的、范围、目的、范围、方式关键项法律文件终止后出境数据的处理措施；出境数据再转移抗力情形导致难以保障数据安全时，应当采取的安全措施；安全措施解决方式；个人信息权益维护第十五条参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。67(征求意见稿)》第四十条境外提供个人信息和重要数据的数据处理者，(征求意见稿)》第四十条境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况：(一)全部数据接收方名称、联系方式；(二)出境数据的类型、数量及目的；(三)数据在境外的存放地点、存储期限、使用范围和方式；(四)涉及向境外提供数据的用户投诉及处理情况；(五)发生的数据安全事件及其处置情况；(六)数据出境后再转移的情况；(七)国家网信部门明确向境外提供数据需要报告的其他事项。关键词(一)数据出境的目的、范围、方式等的合法性、正当性、必要性；(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环和国法律、行政法规的规定和强制性国家标准的要求；破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；查报告(四)数据安全和个人信息权益是否能够得到充分有效保障；件(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；(六)遵守中国法律、行政法规、部门规章情况；关联法规审核(七)国家网信部门认为需要评估的其他事关联法规审核第十四条通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；(三)出现影响出境数据安全的其他情形。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。通信、信息服务、能源、与经济运行相关、与人口与健康相关、与自然资源与环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关…100万人以上100万人以上据处理者向境外提供个人信息；·比如，某地级市“智慧城市·比如，母婴用品APP,外包自上年1月1日起累计向境外提外提供个人信息；在企业有跨国业务或跨国合作前提下，需要深入分析，审核业务中数据流转，确认是否有重要数据和需要保护的个人信息跨境流转。根据《网络安全法》第六十六条根据《个人信息保护法》第六十六条根据《网络安全法》第六十六条根据《个人信息保护法》第六十六条根据《数据安全法》第四十六条华人民共和国网络安全法》、信息保护法》等法律法规处理；关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。十万元以下罚款。马上就干!①较多的业务(跨国)本身需要提供身份认证、数据交换等，考虑到安全评估时长与周期，马上着手是“上上策”结合上一页，要好好评估，是否有数据跨境且属于《数据出境安全评估办法》监管范围。②注意“评估办法”不是60分万岁。“评估方法”的本质是：指导企业完善数据出境合规，最终保护个人信息权益，维护国家安全和社会公共利益，这是法律红线!对于企业，实际要做的比法律红线更好!③自证安全(无责)和恶意诉讼。数据动态流转特性，和数字经济时代数据资产特性，企业必然需要经营和运营重要数据和个人信息，而且要求企业充分做好事前自评估安全性，要做到自证安全，事后做到可证无责。同时，在数据跨进成为常态情况下，企业考虑到不法分子恶意利用法律法规发起恶意诉讼。④数据出境如其它网络安全、数据安全工作理念一致，务必把握两个重要原则：“应尽职责”、“应尽关注”。三定：定人、定岗、定责根据数据出境相关要求，并结合攻业务特性，强化安全保护*注：本身管理、技术、运营的数据安全手段很多，但作为经营者、数据(个人信息)处理者，应当书扪心自问，做到心中有数。核心手段：加密、去标识化、水印追溯*《个人信息保护法》第五十一条点名了“加密、去标识化等”技术Bob+时间戳共享数据数据提供方通过“Bob+时间戳”实现泄露溯源问责■应用服务密钥管理系统数据安全管理平台支持ABAC的访问控制策略，实现用户与字段文档级防护8面向用户侧动态脱敏数据库全名0s4IMUBsmgG+...王马”曾卡省户p00021509627p0002150962738x+YIITnbGp000254120953extdbo对抗形成实战对抗实战之三体CB密评ABCD密评商用密码应用安全性评估：商用密码应用安全性评估：合规、正确、有效数据安全风险评估数据安全管理认证个人信息保护认证数据安全能力成熟度认证会同法务部门补充关于数据接收方合同约束1、乙方应保证本工程新增设备符合本公司设备通1、乙方应保证本工程新增设备符合本公司设备通务、代维等关系，在履行该合同过程中，乙方及其工作人员可能损触到为应当就所有应子保窑的信息签订协议，确定各自在信息保密中的相关权利和又务。算机信息网络国际联网安全保护管理办法》及其他国家有关法二、本单位保证不利用网络危害贵单位安全，泄露位的合法权益，不从事违法犯罪活动。收藏、共享、滥用、泄漏在工作中涉及的秘密和敏感信息。1、未经允许，进入计算机信息网络或者使用计算机信息网络资源的；2、未经允许，对计算机信患网络功能进行删除、修改或者增加的；3.未经允许，对计算机信息网络中存储或者传输的数据和应用程序进行则除、修改或者蹭加的；4.故意制作、传播计算机病毒等破坏性程序的；5.其他危害计算机信息网络安全的。e)《远程接入安全管理办法》④《网络互联安全管理办法》3、乙方应保证本工程新增的IT设备安装操作系统、应用软件已经发布的双方就前述事宜中所涉及的保密信息达成以下一致；限于：任何甲方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密，和/或其中的任何知识产专利权、专利申请权、商标权、著作权、商业秘密或其它的知识产权。目的使用保密信息，不为任何其他目的使用保密信息。口令管理办法》、《用户信息保密管理办法》、《中国移动云南公司第三第十条相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行第十条相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护