(四)国家网信部门规定的其他内容。
第九条:网络运营者应当在每年12月31日前向所在地省级网信部门报告当年个人信息退出情况、合同履行情况等。
发生大数据安全事件时网络安全个人信息是指,应及时向省网信部门报告。
第十条 省级网信部门应当定期组织对运营者的个人信息出境记录等个人信息出境情况进行检查,重点检查合同义务的履行情况,是否存在违反国家规定或损害他人信息的行为。个人信息主体的合法权益。行为等。
发现个人信息主体合法权益受损、数据泄露安全事件等情况时,应当要求网络运营者及时整改,并督促接受者进行整改。
第十一条有下列情形之一的,网信部门可以要求网络运营者暂停或者终止向境外提供个人信息:
(一)网络运营商或接收方发生重大数据泄露、数据滥用等事件。
(二)个人信息主体不能或者难以维护个人合法权益。
(三)网络运营商或接收者无法保证个人信息的安全。
第十二条任何个人和组织有权向省级以上网信部门或者有关部门举报违反本办法规定向境外提供个人信息的行为。
第十三条网络运营者与个人信息接收方签订的合同或者其他具有法律效力的文件(统称合同)应当载明:
(一)个人信息出国目的、类型、保留期限。
(二)个人信息主体是涉及个人信息主体权益的合同条款的受益人。
(三)个人信息主体的合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者收件人应予以赔偿,除非证明没有责任。
(四)当接收方所在国家的法律环境发生变化,难以履行合同时,应终止合同或重新进行安全评估。
(五)本合同的终止并不免除网络运营者和接受者在合同中约定的涉及个人信息主体合法权益的责任和义务,除非接受者销毁了个人信息主体的合法权益。收到个人信息或匿名。
(六)双方约定的其他内容。
第十四条合同应当明确网络运营者承担以下责任和义务:
(一)通过电子邮件、即时通讯、信函、传真等方式告知个人信息主体网络运营者和接收者的基本信息,以及在境外提供个人信息的目的、类型和保留时间.
(二)应个人信息主体要求提供本合同副本。
(三)根据要求将个人信息主体的诉求传达给接收者,包括向接收者提出索赔;如果个人信息主体无法从接收者那里获得赔偿,则先付款。
第十五条合同应当明确收受方承担以下责任和义务:
(一)向个人信息主体提供访问其个人信息的权限。当个人信息主体要求更正或删除其个人信息时,应在合理的成本和期限内作出回应、更正或删除。
p>
(二)按照合同约定的用途使用个人信息,个人信息的境外存储期限不得超过合同约定的期限。
(三)确认签订合同并履行合同义务不会违反接受方国家的法律要求。当接受方国家和地区的法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者向网络运营者所在地省级网信部门报告。
第16条合同应明确规定接收方不得将收到的个人信息传输给第三方,除非符合以下条件:
(一)网络运营者通过电子邮件、即时通讯、信函、传真等方式向第三方传输个人信息,第三方的目的、身份和国家、类型传输的个人信息、第三方保留期限等通知个人信息主体。
(二)当个人信息主体要求停止向第三方传输时,接收方承诺停止传输并要求第三方销毁已收到的个人信息。
(三)涉及个人敏感信息时,已征得个人信息主体同意。
(四)向第三方传输个人信息造成个人信息主体合法权益受损的,网络运营者同意先承担赔偿责任。
第十七条网络运营者对个人信息出境的安全风险和安全措施的分析报告至少应当包括:
(一)网络运营者和接受者的背景、规模、业务、财务、声誉、网络安全能力等。
(二)个人信息出境方案,包括期限、涉及的个人信息主体数量、个人信息在境外提供的规模、个人信息出境后是否会转移给第三方等。
(三)个人信息出口风险分析及保护个人信息安全和个人信息主体合法权益的措施。
第十八条网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规的规定处理。
第十九条我国与其他国家和地区、国际组织参加或缔结的条约、协定对个人信息输出有明确规定的,除我国声明的规定外网络安全个人信息是指,均适用其规定。保留。
第二十条境外机构通过互联网等方式收集境内用户个人信息的,应当通过境内法定代表人或者机构履行本办法中网络运营者的责任和义务。
第二十一条 本办法下列用语的含义:
(一)网络运营商是指网络的所有者、管理者和网络服务提供者。
(二)个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人姓名、日期出生、身份证件号码、生物特征、地址、电话号码等。
(三)个人敏感信息是指个人信息一旦被泄露、被盗用、被篡改、非法使用或对个人信息主体造成损害的个人信息名誉、身心健康等。
第二十二条 本办法自当年起施行。
