最近，我国在个人信息跨境流动管理方面迈出关键一步。国家互联网信息办公室与国家市场监督管理总局联合发布了《个人信息出境认证办法》（以下简称《办法》），明确自2026年1月1日起施行。这一举措标志着我国在《个人信息保护法》框架下，正式构建起安全评估、标准合同和认证机制“三位一体”的个人信息出境合规体系。中国人民大学法学院丁晓东教授指出，这不仅是对现有法律规定的细化落地，更是我国在全球数据治理格局中提出“中国方案”的重要体现。

  认证制度的适用边界清晰划定

  《办法》首先明确了哪些企业可以走认证这条路。它不适用于关键信息基础设施运营者，也不涉及重要数据的跨境传输。在数量门槛上，《办法》规定：如果企业自当年1月1日起累计向境外提供10万至100万人的个人信息（不含敏感信息），或含有敏感个人信息但不满1万人，则可选择通过认证方式出境。这一设计避免了与数据出境安全评估制度重叠，也防止企业通过“化整为零”等方式规避更严格的审查。同时，《办法》强调不得以拆分数量等手段绕过本应进行的安全评估，确保制度之间的衔接严密。

  自愿性与市场化定位激发制度活力

  一个值得关注的亮点是，《办法》将个人信息出境认证定位于自愿性、市场化和社会化机制。这意味着企业可以根据自身需求自主决定是否申请认证，并非强制前置程序，从而减轻合规负担。认证工作由具备资质的市场化专业认证机构执行，而非直接由政府部门审批，这有助于提升效率和灵活性。同时，主管部门统一制定认证规则、技术规范和证书样式，保证全国范围内认证标准的一致性，防止出现“认证洼地”。这种“政府引导+市场运作”的模式，既保障了监管权威，又增强了制度的可操作性和企业参与积极性。

  全流程规范保障认证公信力

  为了确保认证不流于形式，《办法》对认证全过程进行了细致规范。认证机构必须依据统一的基本规范和认证规则开展评定，并对认证证书的有效期、延期、暂停与撤销作出明确规定。一旦发现获证企业违规向境外提供个人信息，任何组织和个人都有权向认证机构或网信部门投诉举报，形成社会共治格局。此外，《办法》还特别考虑到跨国企业的实际情况，允许境外处理者通过其在中国境内设立的专门机构或指定代表申请认证，提升了制度的包容性和实用性。随着《办法》明年正式实施，我国的数据跨境治理体系将更加成熟，为数字经济发展注入新动能。