（三）向境外提供的個人信息的類型及數量、敏感程度。

（四）國家網信部門規(guī)定的其他內容。

第九條 網絡運營者應當每年12月31日前將本年度個人信息出境情況、合同履行情況等報所在地省級網信部門。

發(fā)生較大數據安全事件時，應及時報所在地省級網信部門。

第十條 省級網信部門應當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況，重點檢查合同規(guī)定義務的履行情況、是否存在違反國家規(guī)定或損害個人信息主體合法權益的行為等。

發(fā)現(xiàn)損害個人信息主體合法權益、數據泄露安全事件等情況時，應當及時要求網絡運營者整改，通過網絡運營者督促接收者整改。

第十一條 出現(xiàn)以下情況之一時，網信部門可以要求網絡運營者暫停或終止向境外提供個人信息：

（一）網絡運營者或接收者發(fā)生較大數據泄露、數據濫用等事件。

（二）個人信息主體不能或者難以維護個人合法權益。

（三）網絡運營者或接收者無力保障個人信息安全。

第十二條 任何個人和組織有權對違反本辦法規(guī)定向境外提供個人信息的行為，向省級以上網信部門或者相關部門舉報。

第十三條 網絡運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件（統(tǒng)稱合同），應當明確：

（一）個人信息出境的目的、類型、保存時限。

（二）個人信息主體是合同中涉及個人信息主體權益的條款的受益人。

（三）個人信息主體合法權益受到損害時，可以自行或者委托代理人向網絡運營者或者接收者或者雙方索賠，網絡運營者或者接收者應當予以賠償，除非證明沒有責任。

（四）接收者所在國家法律環(huán)境發(fā)生變化導致合同難以履行時，應當終止合同，或者重新進行安全評估。

（五）合同的終止不能免除合同中涉及個人信息主體合法權益有關條款規(guī)定的網絡運營者和接收者的責任和義務，除非接收者已經銷毀了接收到的個人信息或作了匿名化處理。

（六）雙方約定的其他內容。

第十四條 合同應當明確網絡運營者承擔以下責任和義務：

（一）以電子郵件、即時通信、信函、傳真等方式告知個人信息主體網絡運營者和接收者的基本情況，以及向境外提供個人信息的目的、類型和保存時間。

（二）應個人信息主體的請求，提供本合同的副本。

（三）應請求向接收者轉達個人信息主體訴求，包括向接收者索賠；個人信息主體不能從接收者獲得賠償時，先行賠付。

第十五條 合同應當明確接收者承擔以下責任和義務：

（一）為個人信息主體提供訪問其個人信息的途徑，個人信息主體要求更正或者刪除其個人信息時，應在合理的代價和時限內予以響應、更正或者刪除。

（二）按照合同約定的目的使用個人信息，個人信息的境外保存期限不得超出合同約定的時限。

（三）確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求，當接收者所在國家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時，應當及時通知網絡運營者，并通過網絡運營者報告網絡運營者所在地省級網信部門。

第十六條 合同應當明確接收者不得將接收到的個人信息傳輸給第三方，除非滿足以下條件：

（一）網絡運營者已經通過電子郵件、即時通信、信函、傳真等方式將個人信息傳輸給第三方的目的、第三方的身份和國別，以及傳輸的個人信息類型、第三方保留時限等通知個人信息主體。

（二）接收者承諾在個人信息主體請求停止向第三方傳輸時，停止傳輸并要求第三方銷毀已經接收到的個人信息。

（三）涉及到個人敏感信息時，已征得個人信息主體同意。

（四）因向第三方傳輸個人信息對個人信息主體合法權益帶來損害時，網絡運營者同意先行承擔賠付責任。

第十七條 網絡運營者關于個人信息出境安全風險及安全保障措施分析報告應當至少包括：

（一）網絡運營者和接收者的背景、規(guī)模、業(yè)務、財務、信譽、網絡安全能力等。

（二）個人信息出境計劃，包括持續(xù)時間、涉及的個人信息主體數量、向境外提供的個人信息規(guī)模、個人信息出境后是否會再向第三方傳輸等。

（三）個人信息出境風險分析和保障個人信息安全和個人信息主體合法權益的措施。

第十八條 網絡運營者違反本辦法規(guī)定向境外提供個人信息的，依照有關法律法規(guī)進行處理。

第十九條 我國參與的或者與其他國家和地區(qū)、國際組織締結的條約、協(xié)議等對個人信息出境有明確規(guī)定的，適用其規(guī)定，我國聲明保留的條款除外。

第二十條 境外機構經營活動中，通過互聯(lián)網等收集境內用戶個人信息，應當在境內通過法定代表人或者機構履行本辦法中網絡運營者的責任和義務。

第二十一條 本辦法下列用語的含義：

（一）網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。

（二）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

（三）個人敏感信息，是指一旦被泄露、竊取、篡改、非法使用可能危害個人信息主體人身、財產安全，或導致個人信息主體名譽、身心健康受到損害等的個人信息。

第二十二條 本辦法自 年 月 日起實施。