國家互聯網信息辦公室令

第16號

《促進和規(guī)范數據跨境流動規(guī)定》已經2023年11月28日國家互聯網信息辦公室2023年第26次室務會議審議通過，現予公布，自公布之日起施行。

國家互聯網信息辦公室主任 莊榮文

2024年3月22日

促進和規(guī)范數據跨境流動規(guī)定

第一條 為了保障數據安全，保護個人信息權益，促進數據依法有序自由流動，根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)，對于數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的施行，制定本規(guī)定。

第二條 數據處理者應當按照相關規(guī)定識別、申報重要數據。未被相關部門、地區(qū)告知或者公開發(fā)布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。

第三條 國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第四條 數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第五條 數據處理者向境外提供個人信息，符合下列條件之一的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：

（一）為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；

（二）按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；

（三）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；

（四）關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。

前款所稱向境外提供的個人信息，不包括重要數據。

第六條 自由貿易試驗區(qū)在國家數據分類分級保護制度框架下，可以自行制定區(qū)內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（以下簡稱負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。

自由貿易試驗區(qū)內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

第七條 數據處理者向境外提供數據，符合下列條件之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：

（一）關鍵信息基礎設施運營者向境外提供個人信息或者重要數據；

（二）關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據，或者自當年1月1日起累計向境外提供100萬人以上個人信息（不含敏感個人信息）或者1萬人以上敏感個人信息。

屬于本規(guī)定第三條、第四條、第五條、第六條規(guī)定情形的，從其規(guī)定。

第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。

屬于本規(guī)定第三條、第四條、第五條、第六條規(guī)定情形的，從其規(guī)定。

第九條 通過數據出境安全評估的結果有效期為3年，自評估結果出具之日起計算。有效期屆滿，需要繼續(xù)開展數據出境活動且未發(fā)生需要重新申報數據出境安全評估情形的，數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準，可以延長評估結果有效期3年。

第十條 數據處理者向境外提供個人信息的，應當按照法律、行政法規(guī)的規(guī)定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。

第十一條 數據處理者向境外提供數據的，應當遵守法律、法規(guī)的規(guī)定，履行數據安全保護義務，采取技術措施和其他必要措施，保障數據出境安全。發(fā)生或者可能發(fā)生數據安全事件的，應當采取補救措施，及時向省級以上網信部門和其他有關主管部門報告。

第十二條 各地網信部門應當加強對數據處理者數據出境活動的指導監(jiān)督，健全完善數據出境安全評估制度，優(yōu)化評估流程；強化事前事中事后全鏈條全領域監(jiān)管，發(fā)現數據出境活動存在較大風險或者發(fā)生數據安全事件的，要求數據處理者進行整改，消除隱患；對拒不改正或者造成嚴重后果的，依法追究法律責任。

第十三條 2022年7月7日公布的《數據出境安全評估辦法》（國家互聯網信息辦公室令第11號）、2023年2月22日公布的《個人信息出境標準合同辦法》（國家互聯網信息辦公室令第13號）等相關規(guī)定與本規(guī)定不一致的，適用本規(guī)定。

第十四條 本規(guī)定自公布之日起施行。