标签：信息处理 个人信息 认证 保护 保护法 跨境 出境

一、做好个人信息出境个人信息保护认证实施

作者：陈世翔　中国网络安全审查认证和市场监管大数据中心网络安全审查五处处长

2022年11月4日，国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》，标志着我国个人信息保护认证制度正式建立。近日，国家互联网信息办公室就《个人信息出境个人信息保护认证办法（征求意见稿）》公开征求意见，对个人信息出境个人信息保护认证制度的适用情形和对象、认证评价内容、实施过程、认证结果的使用等关键环节做出了细化完善。落实《个人信息保护法》要求，认证是我国个人信息向境外提供管理制度体系的组成部分。作为国际通行的市场监督管理的重要制度手段，个人信息出境个人信息保护认证将在便利个人信息出境活动、保护个人信息权益、促进个人信息高效便利安全跨境流动等方面发挥重要作用。

1.1 认证适用情形和对象

个人信息出境个人信息保护认证适用于以下三种情形：一是个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；二是个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；三是符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。前两种情形下的认证委托人为开展个人信息出境处理活动的个人信息处理者，第三种情形下的认证委托人为境外个人信息处理者，由其在境内设立的专门机构或指定代表具体办理。

个人信息出境个人信息保护认证的对象是个人信息出境处理活动。认证范围涵盖个人信息出境处理活动涉及的组织范围、业务范围、系统范围等，涉及个人信息出境处理活动的组织管理、制度措施、技术处理等方面。认证委托人申请认证应根据自身个人信息拟出境情况，梳理清楚出境涉及的个人信息、业务范围、组织范围、系统范围等情况，明确认证范围。

1.2 认证评价内容

认证评价内容主要落实个人信息保护法等相关法律法规要求。评价主要内容包括个人信息出境合法性、正当性、必要性，境外处理个人信息的政策法律和网络和数据安全环境、个人信息保护水平、个人信息处理者和境外接收方订立的有法律约束力的协议情况及其组织架构、管理体系、技术措施情况等方面。从认证评价依据标准看，一方面要落实个人信息处理活动的通用要求，认证评价标准为GB/T 35273《信息安全技术 个人信息安全规范》，该标准从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露，以及个人信息主体的权利、个人信息安全事件处理、组织的个人信息安全管理要求等诸方面做出了相关要求。另一方面还应满足个人信息出境处理活动相关要求，认证评价标准为TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求，该规范主要针对个人信息出境处理活动从基本原则、个人信息处理者和境外接收方的基本要求、个人信息主体权益保障等方面提出了要求。

1.3 认证实施流程

个人信息出境个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。认证委托人向认证机构提交认证申请资料，认证机构对申请资料进行评审后作出受理决定并确定认证方案，采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核，认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价，作出认证决定。认证决定通过后，认证机构向认证委托人颁发认证证书，并授权获证组织使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求，维持认证证书有效性。具体可参考流程图。

【图】个人信息出境个人信息保护认证流程图

1.4 认证时限及认证证书

认证时限是指自认证受理之日起至作出认证决定所实际发生的工作日，包括认证申请资料审核时间、技术验证时间、现场审核时间、认证决定和证书批准以及制作时间，一般为70个工作日（不包含整改时间）。

认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。证书到期还需延续使用的，认证委托人应在有效期届满前6个月内向认证机构提出认证申请。认证机构采用获证后监督的方式，对符合认证要求的认证委托人换发新证书。当发生认证证书签发、暂停、注销等情形时，认证机构在5个工作日内及时向主管部门报送相关情况。

1.5 如何申请个人信息保护认证

个人信息处理者在认证申请时，应提交认证申请书、自评价表以及相关附件证明材料。为便于认证顺利开展，提高认证工作效率，申请个人信息出境个人信息保护认证的委托人可提前了解标准要求和认证流程、下载相应模板，如实、准确填报认证申请书、自评价表，准备好附件证明材料。个人信息出境个人信息保护认证范围与个人信息种类、数量、敏感程度以及个人信息出境处理情况、个人信息处理者组织管理、境外接收方个人信息保护水平和法律环境等密切相关，不同业务场景的评价方法和适用指标需要根据实际情况进行对照分析，需要企业的密切配合和充分沟通。

中国网络安全审查认证和市场监管大数据中心作为开展个人信息保护认证、数据安全管理认证和App安全认证的专业认证机构，为个人信息出境个人信息保护认证制度实施提供支撑。当收到个人信息处理者申请多项个人信息保护相关认证时，将根据实际情况尽可能采取证据重用，满足认证要求的同时尽可能降低企业负担。

二、科学建构个人信息保护认证 促进数据高效便利安全跨境流动

作者：吴沈括　北京师范大学法学院博士生导师、中国互联网协会研究中心副主任

在数字经济全球化发展的今天，个人信息的跨境流动已然成为常态。如何在促进个人信息合理利用的同时，加强个人信息保护、保障数据流动的有序性和安全性成为加强个人信息跨境流动监管的重要命题。对此，我国2021年《个人信息保护法》第三十八条明文规定了个人信息出境的各种方式，国家市场监督管理总局、国家互联网信息办公室于2022年联合发布《关于实施个人信息保护认证的公告》，鼓励个人信息处理者通过认证方式提升个人信息保护能力，并发布《个人信息保护认证实施规则》，规定个人信息保护认证的认证依据、模式与流程，全国信安标委亦于2023年发布推荐性国家标准《信息安全技术 个人信息跨境传输认证要求》（征求意见稿）。此次《个人信息出境个人信息保护认证办法》（以下简称《办法》）公开征求意见，建构了个人信息出境情景中的个人信息保护认证的实施与管理，具有重大的制度意义和实践价值。

《办法》是我国首部关于个人信息出境中个人信息保护认证的专门制度设计，规定了在我国境内开展个人信息出境个人信息保护认证活动的方式与具体要求，进一步明确了出境场景下个人信息保护认证的适用情形、基本原则、申请方式、认证内容、专业机构的义务以及监管机制等主要问题。总体而言，《办法》旨在规范个人信息出境个人信息保护认证工作，保护个人信息权益，便利个人信息出境活动，促进个人信息高效便利安全跨境流动，其科学的制度构建在保障安全的同时能够切实提高个人信息出境合规与监管工作的效率与效力。

根据《办法》的规定，个人信息出境个人保护认证制度适用于非关键信息基础设施运营者向境外提供个人信息本年度累计10万人以上、100万人以下，或者提供敏感个人信息不超过1万人的情形。《办法》规定了自愿性、市场化、社会化服务三项个人信息保护认证的原则，并要求具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境保护认证活动。此外，《办法》规定了认证申请的提出方式，列举了六项认证机构在进行个人信息保护认证评定中需要重点评定的事项，并明确了认证机构在此过程中需承担的重大情况报告、信息报送以及配合义务等三项责任义务。同时，《办法》还明确了国家网信部门以及国家市场监督管理部门在个人信息出境个人信息保护认证制度中各自的权限与监管职责，强调了监管部门以及认证机构的保密和数据保护要求。在国际合作方面，《办法》鼓励就个人信息出境个人信息保护认证开展交流合作，推动实现本认证的国际互认。

就个人信息出境个人信息保护认证的制度意义而言，一方面，该制度与其他数据出境机制系统配套，共同构筑我国数据出境的完整机制体系。《办法》规定的“依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证”，与数据出境安全评估以及个人信息出境标准合同等在体系架构上形成了整体的有机耦合，三者分别构筑了以政府、当事方以及第三方机构为中心圆点的个人信息出境机制，同时在适用范围、监管机制和制度逻辑等方面形成了体系协同。

另一方面，个人信息出境个人信息保护认证的施行有助于加速构建国际接轨的数据出境机制。认证属于目前国际通行的一项个人信息出境机制，其有助于全面、及时回应跨境数据治理的全球态势，为推动个人信息出境个人信息保护认证的国际互认奠定基础，有助于有效满足各国之间对个人信息相关权益安全保障的共同关切，助益有效利用国内国际两个市场两种数据资源，更高水平参与国内国际双循环。

就个人信息出境个人信息保护认证的实践价值而言，作为我国数据跨境流动的实现机制之一，个人信息出境个人信息保护认证制度能有效发挥第三方规制的功能，对于实现个人信息高效便利安全的跨境流动具有加力推动的影响：

其一，该认证制度能够有效降低个人信息出境面临的风险，助力解决数据出境后国内法律法规以及监管机构管辖实现的难题，提高个人信息出境处理活动的安全性。首先，个人信息出境认证制度的认证对象包括境内数据处理者以及境外接收方，这要求双方接受相对统一的个人信息保护规则的规制，确保境外接收方具备不低于我国《个人信息保护法》等相关法律法规所要求的个人信息保护水平与风险处置能力。此外，认证机构将作为个人信息出境活动的规制主体，对境外接收者的个人信息处理活动进行监督，确保我国国内个人信息保护规则的可持续适用。而且，该认证制度要求境外接收方签署具有法律约束力的协议，进一步细化了境外接收方在个人信息保护方面所承担的责任义务以及赔偿责任，为我国个人信息主体的权利救济提供了保障。整体而言，通过借助于专业机构的力量，发挥“软法”在国际生态治理中的协同作用，能够对齐不同地区个人信息保护规则的保护水平。

其二，该认证制度提高了个人信息出境监管的效率与效力，进一步提升了我国个人信息出境监管政策法律的合规性效果。该认证制度要求专业的认证机构直接对境内外经营者双方的数据保护水平进行审核与监督，在一定意义上更侧重于对个人信息处理者以及境外接收方进行主体层面的整体研判，超越了“个案分析”、“一事一议”的局限性。一则便利了尚未达到数据出境安全评估门槛的个人信息跨境高频流动，提高了企业等主体开展个人信息出境活动的效率。二则前置性地对个人信息权益与安全保护标准、风险评估与事故处理等提出了要求，切实提高了数据跨境流动与利用的规则透明度。这使得该认证亦可成为企业向监管方、用户以及合作方彰显其数据保护水平的有力证明，有助于通过创造良性竞争环境激励企业不断提升其自身的数据保护能力与数据风险管理水平，全面引导各类企业主动投入守法合规。

三、个人信息保护认证的中国创新方案

作者：张金平　中央财经大学数字法务教研室主任

国家互联网信息办公室就《个人信息出境个人信息保护认证办法》（下称《办法》）公开征求意见，建立个人信息出境场景下的个人信息保护认证制度，为后续具体认证工作提供了法律遵循，也为未来开展国际互认提供了坚实的基础。

3.1 中外多种认证方案的并存

在个人信息出境场景下的个人信息保护认证方面，目前主要三种方案并存：欧盟方案、美国主导的CBPR方案和中国方案。欧盟2016年出台的GDPR明确个人信息跨境认证作为合法机制，欧盟数据保护委员会（EDPB）在2022年和2023年先后发布两版《关于认证作为跨境工具的指南》（下称《EDPB指南》），明确了相关要求，但目前尚无专业机构获得跨境认证业务资质。美国在2007年通过《APEC隐私框架》推动建立“跨境隐私规则体系”（CBPR），2011年CBPR开始运行，目前有9个APEC成员参与，8家认证机构获得资质开展CBPR认证工作，获证企业可在CBPR成员之间就个人信息进行跨境流动。

我国2021年制定的《个人信息保护法》明确了个人信息保护认证作为个人信息出境的合法机制之一，2022年6月全国信息安全标准化技术委员会秘书处制定了《个人信息跨境处理活动安全认证规范》。2022年11月18日国家市场监督管理总局、国家互联网信息办公室联合发布《个人信息保护认证实施规则》，主要明确了个人信息保护认证的一般规则，同时也规定向中华人民共和国境外提供个人信息须满足《个人信息跨境处理活动安全认证规范》，但有关个人信息出境场景的认证机构资质要求、认证标准、认证适用范围、认证程序等规则，直到《办法》的出台才正式确立。

3.2 中外认证方案的共通之处

从认证的宗旨而言，三种方案都是为了实现个人信息在出境后获得实质等同的个人信息保护水平。实质等同保护指的是个人信息出境后仍然获得与出境国或地区实质上同等的个人信息保护水平，但并不要求获得完全一样的保护水平。例如，我国《个人信息保护法》第38条第3款规定，个人信息保护认证的宗旨是“保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。GDPR第44条则表述为个人信息在出境时个人信息主体根据GDPR获得的保护水平不受影响。CBPR则要求个人信息处理者在CBPR成员之间对《APEC隐私框架》的基本原则得到一致的遵守。

从认证的定性而言，三种方案都将认证作为一种市场化的合格评定机制。个人信息跨境通常有多种合法机制，例如欧盟提供第三国适当性评估、集团企业有效规则、标准合同、认证等机制；我国提供数据出境安全评估、标准合同、保护认证等，APEC成员如日本、新加坡等也规定了多种机制。这些机制在本质上都是评估境外接收方能否为所接收的个人信息提供同等保护，不同之处在于第三国适当性评估、数据出境安全评估等机制是由监管方直接作出评估决定，而认证则将评估的过程和决定交给专业认证机构，并允许其开展市场化认证服务。例如，《办法》第6条强调个人信息保护认证遵循自愿性、市场化、社会化服务原则。GDPR第42条规定认证的自愿性，EDPB鼓励认证的市场化。CBPR要求认证机构原则上应当是民间第三方机构。

从认证的标准而言，三种方案都要求专业认证机构的认证标准应获得官方审批。鉴于认证的宗旨是评估境外接收方能否提供同等保护，而认证结论能否获得官方认可，关键在于认证的资质和认证的标准都事先获得官方的批准。例如，GDPR第42条规定，监管机构的主要职责是批准认证标准，不要求自己制定认证标准；实践中《EDPB指南》列出了认证标准必须考虑的因素。CBPR体系除了对认证机构的资质作出要求之外，也对认证标准作出明确规定。《办法》第3条要求专业认证机构应获得国家市场监督管理部门批准，第7条明确国家网信部门会同有关部门组织制定认证标准，国家市场监督管理部门会同国家网信部门组织制定认证实施规则，第8条允许专业认证机构制定认证实施细则，但应当报国家网信部门备案。

从认证的内容而言，三种方案都围绕个人信息同等保护确定认证的重点事项。由于个人信息保护主要围绕个人信息处理基本原则、个人信息处理者基本义务、个人信息主体权利与救济进行构建，三种方案都对这些事项作出明确要求。其中，CBPR以《APEC隐私框架》的个人信息处理基本原则为核心明确具体认证要求。相比之下，《EDPB指南》和《办法》除了对个人信息处理基本原则作出要求外，都对境外接收方所在国家或地区的个人信息保护法律环境，个人信息处理者与境外接收方双方的组织架构、管理体系，双方之间签订的协议等作出明确要求。

从认证的作用而言，三种方案都将认证定性为一种用于证明获证个人信息处理者具备提供同等保护的合规证据。因此，三种方案除了强调认证机构的专业性、认证标准的符合性、认证过程的规范性和透明性之外，还特别强调认证机构对获证个人信息处理者的持续监督。与《EDPB指南》和CBPR框架下《负责任机构认可标准》类似，《办法》第3条、第8条、第12条、第13条第1款对上述事项都进行了明确。此外，《办法》第13条第2款、第14条、第16条还强调国家相关监管部门在认证机构之外的监督职责。

3.3 中国方案的创新探索

首先，探索更广泛的认证适用对象。相较于《EDPB指南》仅适用于境外接收方，CBPR认证仅限于从事商业活动的个人信息处理者，《办法》探索适用于两类对象。一类是《办法》第4条规定的境内个人信息处理者，即非关键信息基础设施，且自当年1月1日起累积向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的个人信息处理者；另一类是《办法》第5条规定的境外处理中国境内个人信息的个人信息处理者。

其次，对境外个人信息处理者探索更务实高效的认证方式。CBPR认证机构主要通过审核申请企业提交的《企业自评估文件》完成认证，不要求现场审核。欧盟《EDPB指南》要求认证机构具备到境外开展现场审核的能力。相比之下，对于境外个人信息处理者的申请，《办法》第9条第2款探索一种无须认证机构到境外开展现场审核但又能有效达到认证目的的方式，即境外个人信息处理者可以由其在境内设立的专门机构或者指定代表协助进行申请认证，而且由其代为承担相应的法律责任，并承诺遵守专业认证机构的持续监督、遵守我国法律和接受监督管理。

最后，为未来探索形式多样的国际互认预留充分空间。中国方案与其他两种方案在认证的宗旨、属性、标准、内容和作用方面具有共通之处，也明确鼓励国际互认合作。而且，实践中我国已经在粤港澳大湾区开展互认的探索。在2024年11月21日，我国国家安全标准委员会秘书处已经联合香港私隐公署编制并发布《粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》，除明确大湾区内个人信息跨境流动开展认证互认应当遵守的基本原则和要求之外，并探索获证企业通过认证即可开展粤港澳大湾区（内地、香港）个人信息跨境流动，无须申报数据出境安全评估或订立个人信息出境标准合同；而且在认证方式上探索专业认证机构与官方认可相结合的方式，即内地采用专业机构认证，香港由香港个人资料私隐专员公署设立认可名单。因此，《办法》的出台，也预示着粤港澳大湾区（内地、香港）的个人信息保护认证互认工作可以实际开展，为我国将来与其他国家、国际组织开展相关互认在积累经验的同时，更提供一种互认的示范。

总而言之，从全球个人信息保护认证制度比较视角来看，《办法》规定的个人信息保护认证方案在寻求广泛共识的基础之上开展了积极的创新探索。

四、推动个人信息出境个人信息保护认证制度落地 促进个人信息高效便利安全跨境流动

作者：王晖　国家计算机网络应急技术处理协调中心高级工程师

数据跨境流动加速了各国产业与经济的数字化转型进程，推动全球数据跨境流动合作已经成为国际社会共同的意愿和选择，探索全球数字领域规则和秩序是当下新形势。制定《个人信息出境个人信息保护认证办法（征求意见稿）》（以下简称《办法》）是为了贯彻落实《中华人民共和国个人信息保护法》（以下简称《个保法》）要求，进一步完善数据出境安全管理制度，对于促进个人信息高效便利安全跨境流动具有重要意义，也为促进数字经济贸易发展和国际合作提供保障。

4.1 总体考虑

《办法》切实贯彻《个保法》要求，全面梳理有关规定并做好衔接，统筹高质量发展和高水平安全，从市场需求出发推进个人信息出境个人信息保护认证工作规范化、制度化、市场化。

（一）处理好《办法》与现行法律法规的关系

制定《办法》是为了落实《个保法》第三十八条规定。明确了本《办法》即《个保法》中的“国家网信部门的规定”；明确了个人信息出境个人信息保护认证是针对个人信息处理者向境外提供个人信息开展的个人信息保护认证活动，即《个保法》中的“个人信息保护认证”在个人信息出境情形下的适用。本《办法》和《数据出境安全评估办法》《个人信息出境标准合同办法》共同构筑了我国数据跨境管理制度体系设计的三种路径，在《促进和规范数据跨境流动规定》已明确规定各自的适用范围。

（二）处理好个人信息出境情形中安全和发展的关系

《办法》在为个人信息处理者提供个人信息出境高效便利的基础上，还要兼顾个人信息出境活动的安全监管。监管则主要体现在对认证机构的规范和约束，制度设计上也充分考虑了避免对个人信息处理者的压力传导，通过对认证机构的规范，并在不额外增加企业负担的基础上，有效保障个人信息的安全跨境传输。

（三）坚持问题导向，充分考虑市场发展需求

《办法》围绕个人信息出境活动，明确个人信息出境个人信息保护认证和个人信息保护认证之间的关系，切实解决如何降低合规成本、认证怎么评定、认证机构怎么管理、境外组织如何适用等实践中的问题，更好地服务个人信息处理者，在合法合规的前提下充分满足相关组织机构个人信息出境需求，指导、规范个人信息出境活动。

4.2 重要意义

《办法》定位部门规章，共计20条，明确了个人信息出境个人信息保护认证的总体设计，规定了个人信息出境个人信息保护认证机构备案制度，细化了个人信息出境个人信息保护认证的认证落地实施和监督管理方面的具体要求，规范认证机构和引导行业自律，促进数字经济和推动国际合作，对于护航数字贸易发展具有重要意义。

（一）规范认证机构

《办法》明确细化了个人信息出境个人信息保护认证机构的职责，引导和规范认证机构依法依规提供高质量认证服务，为个人信息处理者开展个人信息出境活动提供更为高效便利安全的路径选择。首先明确《个保法》中的“专业机构”是依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业机构；其次明确了认证机构开展个人信息出境个人信息保护认证活动需要向国家网信部门备案；最后还明确了认证机构的责任和义务，包括重大事件报告、信息报送和配合监管的义务，包括保障服务质量以及对获证组织个人信息出境活动进行监督的职责，当然还包括保密责任。

（二）引导行业自律

《办法》明确个人信息出境个人信息保护认证遵循自愿性、市场化、社会化的服务原则，认证活动依据统一标准、统一规则、统一标识。《办法》明确认证内容要点，评定内容聚焦确保境外个人信息处理者处理个人信息的活动达到和境内个人信息处理者同等的个人信息保护标准。鼓励以市场方式引导个人信息处理者自愿申请认证，通过合格评定，取得认证证书，并维持证书有效性。认证活动全过程，需要个人信息处理者积极发挥主观能动性，自愿选择是否通过认证这种方式进行出境，自主拟定什么场景和什么范围进行申请和验证，以至于自觉采用什么技术手段来符合标准要求，是一种主动合规行为，从而形成一种行业自律的机制。

（三）促进数字经济

《办法》统筹发展和安全，注重促发展的市场需求、导向，深化“放管服”改革精神，制度设计为个人信息出境个人信息保护认证活动创造三个方面的便利：一是境内、境外个人信息处理者任一方都可以申请认证，在自由度和开放性方面有制度性突破；二是境内、境外个人信息处理者任一方获得认证，即可开展个人信息出境活动，更加便捷高效；三是与个人信息保护认证衔接，简化认证程序，节省部分评定指标重复验证的时间和费用成本。既“放得活”又“管得住”，有利于构建“供得出、流得动、用得好、保安全”的数据生态，为数字经济发展提供活力。

（四）推动国际合作

《办法》充分考虑到数据跨境国际规则制定需要，以及数据流通共享的国际市场需求，对于稳外贸、稳外资，扩大高水平对外开放，积极发展数字贸易具有积极作用。一是国际上个人信息跨境规则体系中，认证制度的选择是一种较为成熟的通行做法，如《通用数据保护条例》（GDPR）框架下的数据跨境传输认证，亚太经合组织框架下的跨境隐私规则（CBPR）认证体系。制定《办法》是我国在推动个人信息跨境国际互认、促进数字贸易国际合作的尝试中迈出的坚实一步。二是国际社会正在探索形成全球数字领域规则秩序。联合国制定发布《全球数字契约》（GDC）、世贸组织电子商务谈判以及《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）等多双边实践正在开展。制定《办法》是主动对接国际高标准经贸规则的需要，也是探索数据跨境流动治理与国际规则衔接机制的努力。

4.3 创新举措

《办法》充分借鉴国外通行做法和实践中有益经验，制度设计具有鲜明的系统性、开放性、创新性，特别是在为企业降低合规成本方面提出了诸多创新举措。

（一）境内境外个人信息处理者均可申请认证

《办法》明确境外个人信息处理者也可以申请认证是借鉴了GDPR的做法。这种制度上的安排为个人信息处理活动提供了很好的便利性和开放性，符合国际经贸规则的平等性要求。

（二）境内境外个人信息处理者任意一方通过认证即可

在《办法》设计的认证制度下，境内境外个人信息处理者任意一方申请并通过认证后，在认证范围内和认证有效期内，无论是由境内方还是境外方发起，个人信息都可以合法出境流动，这就要求个人信息处理者对认证范围明确圈定。这种制度设计特别利好的是跨国公司等一对多或者多对一的出境传输场景，将大大节省合规成本。

（三）认证机构备案机制

《办法》明确开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续，主要提交资质证明、经验案例、实施细则等材料，要求建立数据安全风险防范、获证后持续监督、争议受理解决等机制。需要特别指出的是该备案机制并非许可审批，而是对认证机构的监督管理要求，是对认证结果负责的需要，对社会负责的需要。

五、构建个人信息出境个人信息保护认证制度 保障个人信息跨境安全有序流动

作者：国震寰　中央网信办数据与技术保障中心处长　姜松浩　中央网信办数据与技术保障中心工程师

全球数字经济高速发展的背景下，数据跨境流动已成为世界各国的重要议题。党中央高度重视数据出境安全管理工作，党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》（以下简称《决定》）指出“建立高效便利安全的数据跨境流动机制”。近日，国家网信办发布《个人信息出境个人信息保护认证办法（征求意见稿）》（以下简称《认证办法（意见稿）》），推动建立个人信息出境个人信息保护认证制度，为个人信息出境活动的便利化、个人信息出境个人信息保护认证工作的规范化提供了明确具体的办法指引，对进一步扩大高水平对外开放、保障个人信息出境安全、充分释放数据要素活力具有重要意义。

5.1 建立个人信息出境个人信息保护认证制度是衔接国际通行规则的迫切需要

党的二十届三中全会《决定》指出“扩大面向全球的高标准自由贸易区网络，建立同国际通行规则衔接的合规机制，优化开放合作环境。”认证是国际通行的个人信息跨境传输保护规则。欧盟的《通用数据保护条例》（GDPR）第42条、第43条规定了对数据控制者和处理者的数据处理操作进行数据保护认证的机制，第42（2）款、第46（2）款明确认证机制可以作为数据跨境传输（转移至第三国或国际组织）的合规方式。亚太经合组织（APEC）建立了《数据跨境隐私规则》（CBPR）认证体系和《数据处理者隐私识别》（PRP）认证体系。一些国家或地区也建立了相关认证体系，例如，新加坡的《个人数据保护条例》（PDPR）规定，境外个人数据接收方通过CBPR认证或PRP认证的，属于满足新加坡相关法律对于数据跨境传输接收方的合规要求，可作为个人数据跨境传输的合规方式。

我国在数据安全和个人信息保护方面建立了相关认证体系。2022年，国家市场监督管理总局、国家互联网信息办公室联合印发了《关于开展数据安全管理认证工作的公告》《关于实施个人信息保护认证的公告》，决定实施数据安全管理认证、个人信息保护认证。但对于数据跨境传输方面的认证工作具体要求，此前尚未进行明确。在2024年世界互联网大会乌镇峰会期间，《全球数据跨境流动合作倡议》对外发布，发出“提升个人信息保护机制、规则之间的兼容性，推动相关标准、技术法规及合格评定程序的互认”等倡议。此次公布的《认证办法（意见稿）》，对个人信息出境个人信息保护认证工作进行了明确，提出国家促进个人信息出境个人信息保护认证活动的国际交流合作，推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认等，彰显了我国包容开放的数据跨境国际合作态度，为与其他国家、地区、国际组织之间建立数据跨境流动机制打下基础。

5.2 建立个人信息出境个人信息保护认证制度是落实有关法律规定的具体安排

我国始终坚持依法管理数据跨境流动安全。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》在法律层面对向境外提供重要数据和个人信息作出明确规定。其中，《个人信息保护法》第三十八条、《网络数据安全管理条例》第三十五条规定了向境外提供个人信息应当满足的条件，包括申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证3条合规路径，以及可以向境外提供个人信息的其他条件。近年来，国家网信办坚持高质量发展与高水平安全良性互动，出台了《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等一系列文件，建立了数据出境安全评估制度、个人信息出境标准合同备案制度等。

此次发布的《认证办法（意见稿）》，与《数据出境安全评估办法》《个人信息出境标准合同办法》等文件一脉相承。《认证办法（意见稿）》是落实法律对于个人信息处理者因业务等需要向境外提供个人信息的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的具体制度安排。特别是在已有的个人信息保护认证工作基础上，对个人信息出境个人信息保护认证工作进行规范，明确个人信息出境个人信息保护认证的适用情形、认证申请、认证内容、备案要求、机构监管等要求。

值得注意的是，个人信息出境个人信息保护认证的工作视角与数据出境安全评估、个人信息标准合同等制度存在明显区别。数据出境安全评估由国家网信办组织实施，侧重于国家安全视角；个人信息出境标准合同是境内处理者与境外接收方订立，属于甲乙双方责任义务约定视角；而个人信息出境个人信息保护认证则可以发挥专业认证机构的能力作用，主要为第三方监督视角，包括事前阶段对于个人信息出境安全的技术评价，以及事中事后阶段专业机构对于个人信息出境活动安全风险的重大情况报告和监督举报。因此，建立个人信息出境个人信息保护认证制度是我国法律的必然要求，是对个人信息保护认证工作的进一步健全，有利于发挥专业机构的重要支撑作用，加强数据出境安全管理工作力量，提高相关工作的质量和效率。

5.3 建立个人信息出境个人信息保护认证制度是回应社会需求的重要举措

我国数据跨境流动的需求旺盛、场景丰富，数据出境合规是企业开展跨国业务的基础前提。同时，数据出境合规是涉及技术、法律、业务等多学科交叉、专业性较强的工作，市场营销、生产制造等传统行业的部分企业缺少技术和法务相关从业人员，自身合规能力相对薄弱，开展数据出境合规工作存在难度。因此，很多企业选择向市场化、社会化的第三方服务机构寻求帮助，以履行数据出境合规义务，保障数据跨境流动安全。但是，当前市场上的第三方服务机构缺少监督和指导，部分第三方服务机构服务差、要价高，给企业带来了一定的合规负担。

此次发布的《认证办法（意见稿）》，明确个人信息保护认证遵循自愿性、市场化、社会化的服务原则，并规范对认证活动以及专业认证机构的管理监督，正是对企业提高自身合规能力迫切需求的重要回应。个人信息出境个人信息保护认证向有个人信息跨境需求的企业提供了市场化、规范化认证合规方式，企业可借助专业认证机构的能力，提高自身数据跨境合规能力和效率。同时，《认证办法（意见稿）》明确有关部门任务分工，要求有关部门要制定个人信息出境个人信息保护认证相关标准、技术法规、合格评定程序、实施规则等。相关标准化文件不但可用于指导专业认证机构开展认证工作，也可以帮助企业筛选服务机构，进一步降低企业的第三方选择成本。此外，认证标准、规则等文件的公开化，还有利于形成透明稳定可预期的数据出境安全管理政策条件，为企业营造良好的经商营商环境。

未来，经过对各方意见的研究吸纳，个人信息出境个人信息保护认证制度正式确立后，将进一步丰富完善我国数据出境安全管理制度体系，更好的统筹各方力量，在保障个人信息出境安全的基础上，促进数据跨境高效便利安全流动，推动我国数据出境安全管理进入新阶段，为网络强国建设提供坚实的数据安全基础。

来源：“网信中国”微信公众号

​

标签：信息处理,个人信息,认证,保护,保护法,跨境,出境
From： https://www.cnblogs.com/o-O-oO/p/18651178