处理个人信息达100万人者向境外提供数据应申报(3)

（六）遵守中国法律、行政法规、部门规章情况；

（七）国家网信部门认为需要评估的其他事项。

第九条数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务，应当包括但不限于以下内容：

（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；

（三）限制境外接收方将出境数据再转移给其他组织、个人的约束条款；

（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；

（五）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；

（六）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

第十条国家网信部门受理申报后，组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。

涉及重要数据出境的，国家网信部门征求相关行业主管部门意见。

第十一条国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估；情况复杂或者需要补充材料的，可以适当延长，但一般不超过六十个工作日。

评估结果以书面形式通知数据处理者。

第十二条数据出境评估结果有效期二年。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

（一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；