个人信息出境安全评估办法是中国大陆即将推行的规定。根据征求意见稿,该规定要求个人信息出境应当进行安全评估,并且经安全评估认定个人信息出境可能“影响国家安全、损害公共利益,或者难以有效保障个人信息安全的”不得出境。
在征求意见稿中,“个人信息”被定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”“个人信息出境”被定义为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息”。“网络运营者”被定义为“网络的所有者、管理者和网络服务提供者”。该规定要求网络运营者在个人信息出境前向所在地省级网信部分申请评估。评估的重点内容有“是否符合国家有关法律法规和政策规定;合同条款是否能够充分保障个人信息主体合法权益;合同能否得到有效执行;网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;网络运营者获得个人信息是否合法、正当”等。
同时,该规定要求“网络运营者应当建立个人信息出境记录并且至少保存5年”。
