答:《办法》规定了参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
问:《办法》还明确了哪些规定?
答:除了上述评估内容、具体流程、保密要求等管理措施以外,《办法》还明确了国家网信部门负责决定是否受理安全评估,并根据申报情况组织国务院有关部门、省级网信部门、专门机构等开展安全评估。省级网信部门负责接收数据出境安全评估申请材料,并完成完备性查验。任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。
问:数据处理者何时申报数据出境安全评估?
答:数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。实践中,数据处理者宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件(以下统称法律文件)前,申报数据出境安全评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。
问:企业申报数据出境安全评估的结果可能有哪几类?
答:一是申报不予受理。对于不属于安全评估范围的,数据处理者接到国家网信部门不予受理的书面通知后,可以通过法律规定的其他合法途径开展数据出境活动。二是通过安全评估。数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。三是未通过安全评估。未通过数据出境安全评估的,数据处理者不得开展所申报的数据出境活动。
问:对评估结果有异议如何处理?
答:数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
问:通过数据出境安全评估的结果有效期是多久?
答:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
问:违反《办法》如何追究法律责任?
答:《办法》明确数据处理者违反本办法规定的,依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
问:对于个人信息向境外提供,安全评估与标准合同、个人信息保护认证之间的关系,三种方式如何衔接?
答:《办法》适用范围已经明确,对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件,便利个人信息处理者依法开展数据出境活动。