◎本報記者　崔　爽

國家互聯網信息辦公室、國家市場監督管理總局近日聯合公布的《個人信息出境認證辦法》（以下簡稱《辦法》），將于2026年1月1日起施行。

《辦法》對個人信息出境認證的適用情形，個人信息出境認證的申請方式、認證要求及證書有效期，專業認證機構應當履行的義務等作出細化規定，旨在保護個人信息權益，規范個人信息出境認證活動，促進個人信息高效安全跨境流動。

“《辦法》結合我國認證制度與個人信息保護的相關法律規定，形成了一套契合中國國情、具有較強針對性和可操作性的個人信息出境認證制度?！敝袊嗣翊髮W法學院副院長丁曉東認為，《辦法》的出臺是我國個人信息出境領域立法和監管體系的重要完善，標志著我國個人信息出境制度體系已構建完成。

明確適用條件

清華大學法學院教授申衛星解釋說，認證是由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證之所以可以成為個人信息出境的合法途徑之一，是因為它把跨境傳輸所需的適當保障具體化為“經第三方審核＋持續監督＋對數據主體可執行的承諾與救濟”的組合。認證是國際經貿領域監管互認的主流工具、是持續完善公私合作治理的價值體現，專業認證機構切實履行跟蹤調查職責是其功能實現的保障。

“現有的個人信息出境認證主要停留在規定層面，實踐中由于缺乏具備認證資質的認證機構、認證細則不明確等，企業較少采用此種機制進行個人信息跨境傳輸?！倍詵|說，《辦法》立足我國個人信息保護規定和監管經驗，切實推動了個人信息出境認證制度落地。

一方面，《辦法》明確適用個人信息出境認證的條件。主體方面，《辦法》明確不適用于關鍵信息基礎設施運營者；信息類型方面，明確不適用于重要數據；處理信息數量方面，規定需滿足自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的條件。

另一方面，《辦法》明確專業認證機構認證重點要求，規范個人信息出境認證程序。

“《辦法》是促進數據高效便利安全跨境流動、推動數字經濟高質量發展的制度保障?！眹一ヂ摼W信息辦公室數據與技術保障中心副主任王志成認為，個人信息出境認證制度遵循自愿性、市場化、社會化服務原則，由第三方機構實施，既有利于減輕監管部門行政負擔，也賦予企業更多合規選擇權，更有助于激發數字經濟活力。

完善監管體系

《辦法》明確了個人信息出境認證的申請方式、認證要求及證書有效期，規定個人信息處理者應當向專業認證機構申請個人信息出境認證，專業認證機構應當按照認證基本規范、個人信息保護認證規則開展認證活動?！掇k法》明確認證證書的有效期為3年，同時規定專業認證機構應當向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息。

《辦法》還明確了網信與市場監管等部門的職責分工，形成協同監管與動態治理的合力。比如，《辦法》明確規定了國家有關主管部門的全流程監管責任。事前，要求國家網信部門會同國家數據管理部門和其他有關部門制定個人信息出境相關標準、技術規范。國家市場監管部門會同國家網信部門制定個人信息保護認證規則、統一認證證書及標志。事中，要求國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督，開展定期或者不定期的檢查，對認證過程和認證結果進行抽查，對專業認證機構進行抽查和評價。事后，要求國家網信部門和有關部門在個人信息保護監督管理工作中發現獲證個人信息處理者存在違規情形的，專業認證機構應當配合暫停其使用直至撤銷認證證書。國家市場監督管理部門與國家網信部門建立認證信息共享機制。

“這種分工明確、互為補充的監管模式，既避免了職能重疊與資源浪費，又確保了認證活動全流程的可控性與應變能力，充分體現了我國在個人信息保護領域治理能力現代化水平的提升?！北本┖娇蘸教齑髮W法學院副教授趙精武說。

國家互聯網信息辦公室有關負責人說，《辦法》的出臺，明確了通過認證方式向境外提供個人信息的具體實施路徑，標志著個人信息保護法明確的數據出境安全評估、個人信息保護認證、個人信息出境標準合同等出境制度設計的全面落地，也標志著我國數據跨境流動制度體系的全面建立。