1月3日，2025年的第一個周五，作為《中華人民共和國個人信息保護法》（“《個人信息保護法》”）的配套落地文件，國家網信辦就《個人信息出境個人信息保護認證辦法（征求意見稿）》（“《辦法（征求意見稿）》”）向社會公開征求意見，也打響了2025年數據保護領域立法的第一槍。

2022年11月4日，國家市場監(jiān)督管理總局、國家互聯(lián)網信息辦公室聯(lián)合發(fā)布《關于實施個人信息保護認證的公告》，這被視為我國個人信息保護認證制度建立的重要標志。而作為個人信息保護認證的一種重要類型，亦是《個人信息保護法》第38條規(guī)定的三條數據出境合規(guī)路徑之一，個人信息出境個人信息保護認證自《個人信息保護法》出臺之日起即備受關注。但這兩年來，不同于數據出境安全評估和個人信息出境標準合同備案的順利開展，由于具體細則遲遲未能落地，個人信息出境個人信息保護認證的實踐活動遇到一定阻力。而隨著《辦法（征求意見稿）》的出臺，個人信息出境個人信息保護認證落地在即，我們相信其將會進一步完善我國個人信息出境管理制度體系，在便利個人信息跨境流轉，保障個人信息主體權益方面發(fā)揮更重要的作用。

關于個人信息出境個人信息保護認證適用的相關問題

一、適用范圍

個人信息保護認證的適用范圍已經為《促進和規(guī)范數據跨境流動規(guī)定》所框定，《辦法（征求意見稿）》亦基本沿襲了這一規(guī)定，即適用于同時符合：（1）非關鍵信息基礎設施運營者；（2）自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的個人信息出境活動。

二、個人信息出境個人信息保護認證VS個人信息出境標準合同

個人信息出境個人信息保護認證的適用范圍與個人信息出境標準合同基本重合，且兩者都是《個人信息保護法》第38條規(guī)定的數據合規(guī)出境路徑，故對于企業(yè)而言，厘清二者的區(qū)別，結合企業(yè)自身情況決定是否選擇個人信息出境個人信息保護認證非常重要。結合法律法規(guī)規(guī)定及實踐情況，我們整理二者的主要區(qū)別大致如下：

?從關注的側重點而言，標準合同備案更側重于所傳輸的“個人信息”的評估，其要求“向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的”，應當重新備案，而認證更側重于對“個人信息處理者”的評估；

?從效力來看，兩者效力相同，但根據《關于實施個人信息保護認證的公告》之附件《個人信息保護認證實施規(guī)則》第5.1.1條，認證證書的有效期為3年，而標準合同備案一般長期有效；

?從費用上看，盡管未有明確的收費標準，但實踐中認證的花費往往會高于標準合同備案；

?從適用場景來看，某些標準合同備案適用效果有限的場景，如因符合《個人信息保護法》第3條第2款情形構成的個人信息出境，選擇認證往往更為符合現實需要。

三、實施認證活動適用的規(guī)范

根據《個人信息保護認證實施規(guī)則》第2條，個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規(guī)范》以及TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》的要求。其中，《個人信息跨境處理活動安全認證規(guī)范》既包括針對個人信息出境活動的具體合規(guī)要求，也包含了實施個人信息出境個人信息保護認證的程序要求。

《個人信息出境個人信息保護認證辦法（征求意見稿）》逐條解讀

第一條 為了便利個人信息出境活動，規(guī)范個人信息出境個人信息保護認證工作，保護個人信息權益，促進個人信息高效便利安全跨境流動，根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規(guī)，制定本辦法。

【解讀】上位規(guī)定除《個人信息保護法》外，還包括剛剛生效的《網絡數據安全管理條例》以及2023年修訂的《認證認可條例》。

還需要注意的是，2022年發(fā)布的《關于實施個人信息保護認證的公告》及其附件《個人信息保護認證實施規(guī)則》雖非上位規(guī)定，但仍然適用于個人信息出境個人信息保護認證工作。同時，GB/T 35273《信息安全技術 個人信息安全規(guī)范》以及TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》也是開展個人信息保護認證工作過程中需要參照的文件。

第二條 在中華人民共和國境內開展個人信息出境個人信息保護認證活動，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

【解讀】明確了適用范圍是“境內”開展的個人信息出境個人信息保護認證活動，也兼顧了后續(xù)立法的彈性和靈活性。

第三條 本辦法所稱個人信息出境個人信息保護認證，是指依法設立并經國家市場監(jiān)督管理部門批準取得個人信息保護認證資質的專業(yè)認證機構，對個人信息處理者個人信息出境活動開展的個人信息保護認證。

本辦法所稱個人信息出境活動，是指個人信息處理者因業(yè)務等需要確需向中華人民共和國境外提供個人信息的行為。包括但不限于以下情形：

（一）個人信息處理者將在境內運營中收集和產生的個人信息傳輸至境外；

（二）個人信息處理者收集和產生的個人信息存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；

（三）符合《中華人民共和國個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他個人信息處理活動。

【解讀】給出了本辦法下個人信息出境個人信息保護認證以及個人信息出境活動的定義。

本條強調了僅有經國家市場監(jiān)督管理部門批準取得個人信息保護認證資質的專業(yè)認證機構才可以實施個人信息出境個人信息保護認證。截至2025年1月3日，全國認證認可信息公共服務平臺公示的、經批準有權開展個人信息保護認證的機構僅有中國網絡安全審查認證和市場監(jiān)管大數據中心。

關于個人信息出境活動，本條所給出的定義與《個人信息出境標準合同備案指南（第二版）》相一致，是首次在法律、法規(guī)層面明確符合《中華人民共和國個人信息保護法》第3條第2款情形，在境外處理境內自然人個人信息的個人信息處理活動應當遵守《個人信息保護法》第三章的相關規(guī)定。

第四條 中華人民共和國境內的個人信息處理者通過個人信息出境個人信息保護認證方式向境外提供個人信息的，應當同時符合下列情形：

（一）非關鍵信息基礎設施運營者；

（二）自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息。

前款所稱向境外提供的個人信息，不包括重要數據。

【解讀】本條明確了個人信息出境個人信息保護認證適用的對象，具體條件與《促進和規(guī)范數據跨境流動規(guī)定》第8條第1款保持了一致，但卻未包含《促進和規(guī)范數據跨境流動規(guī)定》第8條第2款的內容，可能因此產生歧義。若后續(xù)正式落地，可能需要進一步明確。

第五條 符合《中華人民共和國個人信息保護法》第三條第二款規(guī)定，在中華人民共和國境外處理中華人民共和國境內個人信息的個人信息處理者，獲得個人信息出境個人信息保護認證，可以進行個人信息出境活動。

【解讀】重申了符合《個人信息保護法》第3條第2款規(guī)定的境外個人信息處理者可以通過個人信息出境個人信息保護認證合規(guī)出境。

在既往個人信息出境合規(guī)實務中，如何采取符合《個人信息保護法》第3條第2款情形下的合規(guī)動作一直是實務中的難點。不論是數據出境安全評估還是標準合同備案，均要求個人信息處理者與境外接收方之間簽署相應的合同以規(guī)范雙方之間的權利義務，但在基于《個人信息保護法》第3條第2款出境這一場景下，個人信息處理者和境外接收方常常歸于一方，使得合同的簽署存在事實上的障礙。

可以想見，在個人信息出境個人信息保護認證規(guī)則正式落地后，基于《個人信息保護法》第3條第2款處理個人信息的境外個人信息處理者，將更多選擇通過個人信息出境個人信息保護認證的方式使個人信息合規(guī)出境。

第六條 個人信息保護認證遵循自愿性、市場化、社會化服務原則。由具備資質的專業(yè)認證機構按照統(tǒng)一標準、統(tǒng)一規(guī)則、統(tǒng)一標識開展個人信息出境個人信息保護認證活動。

【解讀】明確了認證機構在開展個人信息保護認證工作的過程中應當遵守的原則。通過“統(tǒng)一標準”“統(tǒng)一規(guī)則”“統(tǒng)一標識”以確保市場化的認證工作具備“一致性”。此處的標準和規(guī)則可以是《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范V2.0》或其他標準和規(guī)則；此處的“統(tǒng)一標識”可以參見《個人信息保護認證實施規(guī)則》第5.2條。

第七條 國家網信部門會同有關部門組織制定個人信息出境個人信息保護認證相關標準、技術法規(guī)和合格評定程序，對個人信息出境活動進行監(jiān)督管理。國家市場監(jiān)督管理部門會同國家網信部門組織制定個人信息出境個人信息保護認證實施規(guī)則、統(tǒng)一認證證書及標志。

【解讀】明確了個人信息保護認證相關實施規(guī)則、實施標準等的制定要求。其中關于個人信息出境個人信息保護認證實施規(guī)則、統(tǒng)一認證證書及標志等內容，可見于2022年國家市場監(jiān)督管理總局與國家網信辦聯(lián)合發(fā)布的《關于實施個人信息保護認證的公告》。

第八條 開展個人信息出境個人信息保護認證的專業(yè)認證機構應當向國家網信部門辦理備案手續(xù)。辦理備案時，應當提交下列材料：

（一）取得的個人信息保護領域的認證資質情況；

（二）近3年從事數據安全領域、個人信息保護領域專業(yè)工作情況；

（三）個人信息保護認證實施細則及工作計劃；

（四）數據安全風險防范機制；

（五）對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續(xù)監(jiān)督機制；

（六）爭議受理機制和投訴處理機制；

（七）其他需要提交的材料。

【解讀】明確開展認證工作的專業(yè)機構應當報向國家網信部門辦理備案，并明確了相應的材料要求。該條一旦落地，意味著相關認證機構不僅需要經市場監(jiān)督管理總局批準，還需要完成網信辦備案的前置程序。

第九條 中華人民共和國境內的個人信息處理者自愿向專業(yè)認證機構申請個人信息出境個人信息保護認證。

中華人民共和國境外的個人信息處理者申請個人信息出境個人信息保護認證的，應當由其在境內設立的專門機構或者指定代表協(xié)助進行申請，并承擔相應的法律責任，承諾遵守中華人民共和國個人信息保護有關法律法規(guī)并接受監(jiān)督管理，在認證有效期內接受專業(yè)認證機構的持續(xù)監(jiān)督。

【解讀】此條規(guī)定了境內外個人信息處理者申請個人信息出境個人信息保護認證的程序要求。

就境外個人信息處理者而言，《辦法（征求意見稿）》要求應當由其根據《個人信息保護法》第53條設立的專門機構或者指定代表協(xié)助進行申請，并承擔相應的法律責任。

我們理解本條立法精神類似于2019年的《個人信息出境安全評估辦法（征求意見稿）》第20條，旨在明確境內的監(jiān)管連接點。但考慮到《個人信息保護法》第53條及《網絡數據安全管理條例》第26條均未明確規(guī)定“專門機構或者指定代表”需要在任何情況下均承擔法律責任，此處直接載明境內設立的專門機構或者指定代表應當承擔法律責任或有待商榷。

第十條 個人信息出境個人信息保護認證重點評定以下內容：

（一）個人信息出境的目的、范圍、方式等的合法性、正當性、必要性；

（二）境外個人信息處理者、境外接收方所在國家或者地區(qū)的個人信息保護政策法律和網絡和數據安全環(huán)境對出境個人信息安全的影響；

（三）境外個人信息處理者、境外接收方的個人信息保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求；

（四）個人信息處理者與境外接收方訂立的有法律約束力的協(xié)議是否約定了個人信息保護的義務；

（五）個人信息處理者、境外接收方的組織架構、管理體系、技術措施能否充分有效保障數據安全和個人信息權益；

（六）專業(yè)認證機構根據個人信息保護認證相關標準認為需要評定的其他事項。

【解讀】此條規(guī)定了個人信息出境個人信息保護認證工作開展過程中評定的主要因素。僅從文義上而言，這些評定因素更接近于數據出境安全評估而非標準合同備案，但落地后實際執(zhí)行過程中認證機構如何把握這些評估因素可能還有待實踐探索。

值得注意的是，如前所述，由于認證更傾向于對“個人信息處理者”的評定，而非針對“出境個人信息”的評定，故區(qū)別于數據出境安全評估及標準合同備案，本條規(guī)定的考慮因素并未囊括“出境數據的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險”。

第十一條 專業(yè)認證機構在開展認證活動中，發(fā)現個人信息出境活動危害國家安全、公共利益或者嚴重影響個人信息權益的，應當及時向國家網信部門及有關部門報告。

【解讀】規(guī)定了專業(yè)認證機構的報告義務。從這個維度出發(fā)，專業(yè)認證機構更接近于居中的“裁判者”，而非受個人信息處理者委托實施認證的機構。

第十二條 專業(yè)認證機構應當在頒發(fā)認證證書或者認證證書狀態(tài)發(fā)生變化后5個工作日內，向全國認證認可公共信息平臺報送個人信息出境個人信息保護認證證書相關信息，包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態(tài)變化信息等。國家市場監(jiān)督管理部門與國家網信部門建立認證信息共享機制。

【解讀】規(guī)定了專業(yè)認證機構的報送義務，明確其應當通過全國認證認可公共信息平臺報送個人信息出境個人信息保護認證。但當前網信辦數據出境申報系統(tǒng)中仍保留了個人信息保護認證的相關模塊，后續(xù)是否需要個人信息處理者提交相關的信息，可能還有待進一步澄清。

第十三條 專業(yè)認證機構發(fā)現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等不再符合認證要求的，應當及時暫停、撤銷相關認證證書，并予以公布。

國家網信部門和有關部門在個人信息保護監(jiān)督管理工作中發(fā)現獲證個人信息處理者存在前款情形的，專業(yè)認證機構應當配合及時暫停、撤銷相關認證證書，并予以公布。

【解讀】本條規(guī)定了專業(yè)認證機構暫停、撤銷認證證書，以及監(jiān)管部門督促專業(yè)認證機構暫停、撤銷認證證書的程序。

相較第二款的規(guī)定，專業(yè)認證機構主動發(fā)現“個人信息處理者存在個人信息出境情況與認證范圍不一致等”情況，實踐中可能難度較大。認證證書的暫停、撤銷，很多時候或仍然有賴于相應的監(jiān)管執(zhí)法動作。

第十四條 國家市場監(jiān)督管理部門會同國家網信部門對個人信息出境個人信息保護認證活動進行監(jiān)督，對認證過程和認證結果進行抽查，對專業(yè)認證機構進行評價。

國家市場監(jiān)督管理部門對個人信息出境安全認證活動存在服務質量等問題的，視情節(jié)予以警告、責令限期改正、停業(yè)整頓；拒不整改或規(guī)定期限內未完成整改的，以及存在弄虛作假的，撤銷其認證機構資質，并予以公布。

專業(yè)認證機構通過隱瞞有關情況、提供虛假材料等不正當手段取得備案的，由國家網信部門予以撤銷備案；發(fā)生嚴重違法情形受到停業(yè)整頓、撤銷認證機構資質等行政處罰的，由國家網信部門予以注銷備案。

【解讀】本條規(guī)定了針對個人信息出境個人信息保護認證以及相關認證機構的監(jiān)管職責，監(jiān)管體系的完善有利于個人信息出境個人信息保護認證工作的有序開展。

第十五條 任何組織和個人發(fā)現獲證個人信息處理者違反本辦法向境外提供個人信息的，可以向省級以上網信部門和有關部門舉報。

【解讀】本條規(guī)定了個人信息出境個人信息保護認證相關的舉報機制。從表述上看，本條與《數據出境安全評估辦法》第16條、《個人信息出境標準合同辦法》第10條基本保持了一致。

第十六條 省級以上網信部門和有關部門發(fā)現獲證個人信息處理者存在較大風險或者發(fā)生個人信息安全事件的，可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按要求整改，消除隱患。

【解讀】本條規(guī)定了個人信息出境個人信息保護認證相關的約談機制。從表述上看，本條與《個人信息出境標準合同辦法》第11條基本保持了一致。

第十七條 履行個人信息保護職責的相關部門、專業(yè)認證機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等應當依法予以保密，并采取相應的技術措施和其他必要措施，保障相關數據不得泄露或者非法向他人提供、非法使用。

【解讀】本條強調了履行個人信息保護職責的相關部門（包括市場監(jiān)督管理部門和網信部門）、專業(yè)認證機構及其工作人員的保密義務。從表述上看，本條與《數據出境安全評估辦法》第15條、《個人信息出境標準合同辦法》第9條基本保持了一致。

第十八條 國家促進個人信息出境個人信息保護認證活動的國際交流與合作，推動個人信息出境個人信息保護認證與其他國家、地區(qū)、國際組織之間的互認。

【解讀】本條將個人信息出境個人信息保護認證活動的國際交流與合作納入了參與個人信息保護國際治理的范疇之中，系《個人信息保護法》第12條在個人信息出境個人信息保護認證領域的細化。

第十九條 違反本辦法規(guī)定的，依據《中華人民共和國個人信息保護法》《中華人民共和國認證認可條例》等法律法規(guī)處理；構成犯罪的，依法追究刑事責任。

【解讀】本條規(guī)定了違反《辦法（征求意見稿）》相應的法律責任，有助于進一步規(guī)范相應的認證活動。

第二十條 本辦法自? 年? 月? 日起施行。

【解讀】若參照2021年以來數據出境領域相關法律法規(guī)落地的速度，《個人信息出境個人信息保護認證辦法》正式稿或已經箭在弦上。