《个人信息出境认证办法》明年1月起施行!这些情形适用
据“网信中国”公众号消息,近日,国家互联网信息办公室、国家市场监督管理总局联合公布了《个人信息出境认证办法》(以下简称《办法》)。该《办法》自2026年1月1日起施行。
《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合以下情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息,不包括重要数据。同时,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
《办法》规定了个人信息出境认证的认证办法。个人信息处理者通过认证方式向境外提供个人信息的,应当向专业认证机构申请个人信息出境认证。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动,对符合认证要求的,应当及时出具认证证书。认证证书的有效期为3年。
同时,《办法》还明确了开展个人信息出境认证的专业机构的资质。开展个人信息出境认证的专业认证机构应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。
此外,《办法》还明确了国家市场监督管理部门和国家网信部门的监管职责。 国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。
《办法》强调,国家机关、专业认证机构等从事认证活动的机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
个人信息出境认证办法
第一条 为了保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规,制定本办法。
第二条 个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息,适用本办法。
第三条 本办法所称个人信息出境认证,是指按照《中华人民共和国个人信息保护法》第三十八条第一款第二项规定,由依法取得个人信息保护认证资质的专业认证机构,证明个人信息处理者向中华人民共和国境外提供个人信息等个人信息处理活动符合相关法律、行政法规、部门规章、标准、技术规范的合格评定活动。
第四条 国家网信部门会同国家数据管理部门和其他有关部门制定个人信息出境认证相关标准、技术规范。国家市场监督管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。
第五条 个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
前款所称向境外提供的个人信息,不包括重要数据。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
第六条 个人信息处理者在申请认证向境外提供个人信息前,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。个人信息保护影响评估重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对国家安全、公共利益、个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对出境个人信息安全和个人信息权益的影响;
(六)其他可能影响个人信息出境安全的事项。
第七条 个人信息处理者通过认证方式向境外提供个人信息的,应当向专业认证机构申请个人信息出境认证。
中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请。
第八条 专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的,专业认证机构应当及时出具认证证书。
认证证书的有效期为3年。证书到期需继续使用的,个人信息处理者应当在有效期届满前6个月提出认证申请。
第九条 专业认证机构应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。
国家市场监督管理部门与国家网信部门建立认证信息共享机制。
第十条 专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。
国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的,专业认证机构应当配合暂停其使用直至撤销相关认证证书。
前两款规定的情形,应当通过全国认证认可信息公共服务平台予以公布。
第十一条 专业认证机构在开展认证活动中,发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。
第十二条 开展个人信息出境认证的专业认证机构应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。办理备案时,应当提交下列材料:
(一)取得的个人信息保护领域的认证资质情况;
(二)近3年从事数据安全、个人信息保护领域专业工作情况;
(三)专业认证机构人员安全背景审查材料;
(四)个人信息保护认证实施细则及工作计划;
(五)个人信息安全风险防范机制;
(六)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;
(七)投诉受理和争议解决机制;
(八)其他需要提交的材料。
专业认证机构应当对所备案材料的真实性负责。
国家网信部门收到专业认证机构提交的备案材料后,会同国家数据管理部门对备案材料进行审核。材料齐全的,应当在30个工作日内予以备案并进行公示;材料不齐全的,不予备案,应当在30个工作日内通知专业认证机构并说明理由。
第十三条 国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。
第十四条 国家机关、专业认证机构等从事认证活动的机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十五条 任何组织和个人发现获证个人信息处理者违反本办法规定向境外提供个人信息的,可以向专业认证机构、网信部门和有关部门投诉、举报。
第十六条 省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改,消除隐患。
第十七条 违反本办法规定的,依据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十八条 本办法施行前制定的关于个人信息出境认证的相关规定与本办法不一致的,按照本办法执行。
第十九条 本办法自2026年1月1日起施行。
出品:南都大数据研究院
采写:南都研究员 罗韵
banquan@nandu.cc. 020-87006626
