1月3日，国家网信办发布《个人信息出境个人信息保护认证办法（征求意见稿）》并向社会公开征求意见，反馈截止时间为2月3日。不涉及关键信息基础设施，且个人信息出境数量符合限定要求的企业，可选择该认证路径开展个人信息出境活动。目前，我国个人信息出境三条路径的具体操作要求基本明确。

首先，《个人信息出境个人信息保护认证办法（征求意见稿）》（下称《征求意见稿》）拟规定，个人信息出境个人信息保护认证，是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证。

国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序，对个人信息出境活动进行监督管理。国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。

《征求意见稿》拟明确，中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的，应当同时符合两种情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息。值得注意的是，前款所称向境外提供的个人信息，不包括重要数据。

个人信息保护认证将重点评定哪些内容？《征求意见稿》主要提到了五方面。

首先是个人信息出境的目的、范围、方式等的合法性、正当性、必要性。其次是境外接收方的保护能力，具体包括境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响，以及境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。

评定内容还包括一系列保障措施，即个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务；个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益。

针对开展个人信息保护认证的专业认证机构，《征求意见稿》拟规定其应具备的资质。这些机构应当向国家网信部门办理备案手续，主要包括六类材料。

一是取得的个人信息保护领域的认证资质情况；二是近3年从事数据安全领域、个人信息保护领域专业工作情况；三是个人信息保护认证实施细则及工作计划；四是数据安全风险防范机制；五是对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制；六是争议受理机制和投诉处理机制。

此外，国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督，对认证过程和认证结果进行抽查，对专业认证机构进行评价。国家市场监督管理部门对个人信息出境安全认证活动存在服务质量等问题的，视情节予以警告、责令限期改正、停业整顿；拒不整改或规定期限内未完成整改的，以及存在弄虚作假的，撤销其认证机构资质，并予以公布。

在惩处机制方面，《征求意见稿》拟明确违反其规定的，依据《个人信息保护法》、《认证认可条例》等法律法规处理；构成犯罪的，依法追究刑事责任。

据南都记者梳理，我国《个人信息保护法》对个人信息跨境提供规则作了基础性规定，明确了安全评估、保护认证、标准合同三条基本路径。如今，随着《征求意见稿》的面世，保护认证这一路径的具体操作要求进一步清晰。

2024年12月31日，中央网信办网络数据管理局副局长王琦在发布会上表示，目前已初步建立我国网络数据出境管理制度体系。落实相关法律规定，国家网信办先后制定发布《数据出境安全评估办法》《个人信息出境标准合同办法》，联合市场监管总局发布《关于实施个人信息保护认证的公告》及其配套认证规则，明确了数据出境安全评估、个人信息出境标准合同等制度的具体实施路径。

据王琦介绍，截至2024年12月，国家网信办共完成安全评估项目285个，个人信息出境标准合同备案1071个。其中安全评估项目未通过评估的27个，占整体比例不到10%，未通过的主要原因是数据处理者未按照法律规定征得个人信息主体同意。

采写：南都记者樊文扬

编辑：李玲

对这篇文章有想法？跟我聊聊吧

樊文扬

李玲