数据出境遭泄露、利用怎么办？安全评估办法要来了

　　10月29日，国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知。

图片来源：“网信中国”公众号截图。

       这些情形需申报数据出境安全评估

　　《征求意见稿》指出，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

　　包括，关键信息基础设施的运营者收集和产生的个人信息和重要数据；出境数据中包含重要数据；处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。

　　公开资料显示，目前很多互联网企业用户数都千万甚至上亿级别。这意味着这些企业以后境外上市等需要数据出境时，或需要先展开数据出境安全评估。今年以来，不少企业已宣布暂停赴境外上市。

       数据出境安全评估重点评估这些风险

　　根据《征求意见稿》，数据处理者在向境外提供数据前，应事先开展数据出境风险自评估。例如，数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性等。

　　《征求意见稿》还指出，数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。

　　例如，出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险。

　　还包括，数据安全和个人信息权益是否能够得到充分有效保障；遵守中国法律、行政法规、部门规章情况等。

       数据境外接收方需明确目的用途

　　《征求意见稿》同时指出，数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等。

　　还包括数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道，等等。

　　总之，《征求意见稿》明确，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。