征求意见稿发布 个人信息出境认证路径进一步明确

2025年1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》（以下简称“《认证办法（征求意见稿）》”）。继2022年发布并实施的《个人信息保护认证实施规则》（以下简称“《实施规则》”）和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》（TC260-PG-20222A）（以下简称“《TC260认证规范》”），《认证办法（征求意见稿）》将针对个人信息出境活动的个人信息保护认证明确定义为“个人信息出境个人信息保护认证”，并进一步对个人信息出境个人信息保护认证制度的适用情形和对象、认证评价内容、实施过程、认证结果的使用、认证后的监督等关键环节进行完善。

在个人信息保护认证的法规文件体系中，《实施规则》偏向于规定个人信息保护认证的基本流程和模式，《TC260认证规范》侧重于个人信息保护认证的实质性要求，为认证机构开展认证提供依据，《认证办法（征求意见稿）》则作为我国首部针对个人信息出境个人信息保护认证的专门立法，为后续具体认证工作提供了法律遵循，也为未来开展国际互认提供了基础。

我们将在下文中具体说明《认证办法（征求意见稿）》中的核心要点，为企业日后开展个人信息出境个人信息保护认证提供参考。

一、认证名称

《认证办法（征求意见稿）》中规定的“个人信息出境个人信息保护认证”是针对个人信息处理者的个人信息出境活动开展的个人信息保护认证，属于个人信息保护认证的一个类别。因此，《实施规则》中规定的个人信息保护认证的流程仍然适用，企业可以选择不含跨境处理活动的个人信息保护认证（PIP认证）和包含跨境处理活动的个人信息保护认证（PIPCB认证）。如企业有意通过认证路径以满足个人信息出境的合规条件，则应当选择含跨境处理活动的个人信息保护认证，即《认证办法（征求意见稿）》中规定的“个人信息出境个人信息保护认证”。

二、认证适用情形

《认证办法（征求意见稿）》第4条规定了可以通过个人信息出境个人信息保护认证方式向境外提供个人信息的情形，该情形与《促进和规范数据跨境流动规定》的规定保持一致，即：非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息。

值得注意的是，《认证办法（征求意见稿）》特别明确了《个人信息保护法》第3条第2款规定的境外个人信息处理者也可以适用个人信息出境个人信息保护认证路径。境外个人信息处理者直接从中国境内收集个人信息并存储于境外，此场景中不存在典型的个人信息出境方，信息收集方和境外接收方为同一个境外主体，因此，此场景不满足签订个人信息出境标准合同的条件。对此，境外个人信息处理者可以选择个人信息出境个人信息保护认证路径，并委托其在境内设立的专门机构或者指定代表协助进行申请。但《认证办法（征求意见稿）》尚未明确该等境内设立的专门机构或指定代表的条件，例如是否必须为境外个人信息处理者的关联公司。

三、认证依据

《认证办法（征求意见稿）》第7条规定，国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序。根据《实施规则》，个人信息出境个人信息保护认证的认证依据包含两方面：

第一，个人信息处理活动的通用要求，具体认证评价标准为《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（以下简称“《信安规范》”），该标准从个人信息安全基本原则、个人信息处理全流程规范，个人信息主体的权利、个人信息安全事件处置、个人信息安全管理和组织等方面做出了相关要求。

第二，个人信息出境处理活动的相关要求，具体认证评价标准为《TC260认证规范》。《TC260认证规范》从个人信息出境活动的基本原则、个人信息处理者和境外接收方在个人信息出境活动的个人信息保护、个人信息主体权益保障等方面提出了要求，为认证机构对个人信息出境活动开展认证提供依据。

因此，在个人信息出境个人信息保护认证的过程中，认证范围并不仅限于个人信息跨境传输活动，认证机构也会一并评估个人信息处理者对个人信息处理活动的通用要求的符合情况。《认证办法（征求意见稿）》定稿后对于相关标准和要求是否会有类似规定需待进一步观察。

四、认证要点

《认证办法（征求意见稿）》第10条规定了个人信息出境个人信息保护认证的重点评定内容。该等评定内容可以大致分为三个方面：（1）个人信息出境行为的合规；（2）境外个人信息处理者、境外接收方的个人信息保护水平，以及所在国家/地区的政策法律和网络安全环境；（3）个人信息处理者与境外接收方订立的有法律约束力的协议情况及其组织架构、管理体系、技术措施情况。

以上《认证办法（征求意见稿）》中规定的认证重点评定内容，是将《TC260认证规范》中规定的认证要求进行了整合和提炼。与个人信息出境标准合同备案的评估重点相比，个人信息出境个人信息保护认证更强调考察境外个人信息处理者、境外接收方的个人信息保护水平，和其所在国家/地区的政策法律和网络安全环境，以及个人信息处理者与境外接收方订立的有法律约束力的协议情况及其组织架构、管理体系、技术措施情况。

五、基本流程

个人信息保护认证的基本流程已明确规定于《实施规则》中，具体包含认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督共五个环节。若参照《实施规则》的规定，认证证书有效期为3年，认证证书续期应当在证书有效期届满前6个月提出。

《认证办法（征求意见稿）》第11条至第13条在《实施规则》的基础上，进一步明确了认证机构在认证过程中对重大风险的报告义务以及获证后认证机构的监督义务。如认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的，应当及时暂停、撤销相关认证证书，并予以公布。 

根据《认证办法（征求意见稿）》第13条至第16条的规定，除了认证机构的持续监督，政府部门也具有开展监督和检查的职权，具体包括以下情形：（1）国家网信部门和有关部门在个人信息保护监督管理工作中，如发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的，要求认证机构暂停或撤销证书；（2）国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督，对认证过程和认证结果进行抽查；（3）省级以上网信部门和有关部门接收对获证个人信息处理者违规出境个人信息的举报；（4）省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。

六、认证现状

根据《认证办法（征求意见稿）》第8条的规定，符合相关规定条件的开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续。我国目前已有的个人信息保护认证机构仅有中国网络安全审查认证和市场监管大数据中心（以下简称“网数中心”）。但随着相应规定的落实和推广，未来可能会出现更多可选择的认证机构。

根据网数中心官网的报道，截至2025年1月，网数中心一共接收了超过100个申请，共向7家单位颁发了个人信息保护认证证书。¹但根据目前公开的证书信息，尚未见到有企业取得了包含跨境处理活动的个人信息保护认证证书。

作为《个人信息保护法》项下的个人信息出境合规路径之一，个人信息出境个人信息保护认证的实施仍处于探索和发展阶段，待《认证办法（征求意见稿）》正式发布后，将会进一步开展和实施，其具体的认证标准、认证程序、认证要求等，也仍待逐步明确。 

1. 网数中心官网（2025年1月12日访问）：https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml

https://www.isccc.gov.cn/xwdt/tpxw/11/910689.shtml