国家互联网信息办公室、国家市场监督管理总局近日联合发布了《个人信息出境认证办法》(以下简称“《办法》”),旨在保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动。《办法》将于2026年1月1日起正式施行。
对此,北京高勤律师事务所合伙人、律师王源向《中国经营报》记者指出,在《办法》出台后,结合2022年9月起施行的《数据出境安全评估办法》和2023年6月生效的《个人信息出境标准合同办法》,《个人信息保护法》规定的个人信息跨境提供的三大规则——安全评估、标准合同、认证制度全部得到完善和细化,个人信息跨境制度的“拼图”得以补齐,标志着我国数据跨境流动制度体系的全面建立。
“认证”是国际互认的主流工具
国家互联网信息办公室有关负责人表示,《办法》确立了个人信息出境的新方向。“认证”成为个人信息出境的合法途径之一,是因为它把跨境传输所需的适当保障具体化为“经认可第三方审核+持续监督+对数据主体可执行的承诺与救济的组合”。
认证是国际经贸领域监管互认的主流工具。记者了解到,欧盟《通用数据保护条例》(GDPR)在第46条要求,当个人数据处理者或控制者在向未获“充分性认定”的第三国或国际组织进行个人信息传输时,必须提供适当的安全保障措施,其中就包括GDPR第42条规定的认证机制。为了便于落地,欧洲数据保护委员会于2022年专门发布了《认证作为跨境传输工具的指南》,对机制内容作出细化。
我国《个人信息保护法》和《网络数据安全管理条例》同样将“认证”作为个人信息出境的有效途径之一。其中,《个人信息保护法》第三十八条明确了个人信息合规出境的路径,按照国家网信部门的规定,经专业机构进行个人信息保护认证。
前述国家互联网信息办公室有关负责人表示,尽管中国和欧洲国家尚未达成关于数据充分性保护的协定,但“认证”作为国际上具有互信基础的监管工具,将有助于促进各国认证结果互认。
《办法》全文共十九条,其中第五条明确了个人信息出境认证的适用情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息),或者不满1万人敏感个人信息、且向境外提供的个人信息中不包括重要数据。
专业机构认证证书三年有效
关于个人信息出境的认证机构,王源指出,目前还没有认证机构名单,但是可以参考近日发布的《通过个人信息保护合规审计服务认证的专业机构名单(第一批)》中审计机构名单,将来有资格开展出境认证的机构应该与该名单中的审计机构大致相同。
与此同时,《办法》明确规定,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的专业认证机构应当及时出具认证证书。认证证书的有效期为3年。证书到期需继续使用的,个人信息处理者应当在有效期届满前6个月提出认证申请。
记者了解到,国家认证认可监督管理委员会于10月20日公示的“通过个人信息保护合规审计服务认证的专业机构名单(第一批)”总共13家,包括国家计算机网络与信息安全管理中心、中国信息通信研究院、北京银联金卡科技有限公司、上海市信息安全测评中心等,证书有效期是2025年10月至2028年10月。
值得注意的是,《个人信息保护法》明确了安全评估、个人信息保护认证、标准合同等个人信息出境制度。其中,“标准合同”和“认证”制度的适用范围基本相同。清华大学法学院教授申卫星指出,认证是针对特定处理活动的体系化“打包合规”,这与一次性签约的“标准合同”不同。认证由经认可的认证机构持续监督,且认证结果可撤销,形成外部“合规张力”,帮助对外提供方在尽职调查与持续监控上节省人力、事务成本,而不必反复做同质化检查。此外,通过“标准合同”途径对外提供个人信息的,需要个人信息处理者在标准合同生效之日起10个工作日内通过数据出境申报系统备案,这将促使频繁向不同接收方提供个人信息的境内主体选择“认证”方式以减轻事务压力。
对市场参与者的补充提示
关于《办法》的适用,申卫星提示注意的一点是,出境认证还可以适用于境外直接处理境内自然人个人信息的企业。《办法》对此专门规定,中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,为境外个人信息处理者提供明确的操作指引。
值得一提的是,目前,天津、北京、上海、海南、浙江、广西、江苏、重庆发布了自贸区数据出境负面清单,详细规定了当地自贸区数据出境(包括个人信息和重要数据)适用安全评估、标准合同备案、认证的当地特色行业数据种类和个人信息数量,在上述区域注册的公司应当按照自贸区的规定开展数据出境活动。王源解释道,只要不构成需要安全评估的情形,可以选择适用通过标准合同备案或者认证开展出境活动的方式。没有自贸区或者自贸区没有规定的,适用《个人信息保护法》下的统一规则。
“即使通过出境认证,仍然需要获得个人的单独同意,并且进行个人信息保护影响评估。”王源补充提示道,在经过个人信息保护影响评估后,才能判断需要出境认证的情形。个人信息保护影响评估可以在公司内部按照既定的流程自行开展,具体可以参考配套的国家标准《数据安全技术个人信息跨境处理活动安全认证要求》(GB/T 46068-2025)。
