（四）落实国家数据安全法律、行政法规和标准情况；

（五）发生的数据安全事件及其处置情况；

（六）共享、交易、委托处理、向境外提供重要数据的安全评估情况；

（七）数据安全相关的投诉及处理情况；

（八）国家网信部门和主管、监管部门明确的其他数据安全情况。

数据处理者应当保留风险评估报告至少三年。

依据部门职责分工，网信部门与有关部门共享报告信息。

数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：

（一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要；

（二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；

（三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全；

（四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；

（五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。

评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。

第三十三条 数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务，应当通过国家网信部门会同国务院有关部门组织的安全评估。

第五章 数据跨境安全管理

第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：

（一）通过国家网信部门组织的数据出境安全评估；

（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；

（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

第三十六条 数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。

收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。

第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：

（一）出境数据中包含重要数据；

（二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；

（三）国家网信部门规定的其它情形。

法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。