我国《个人信息保护法》明确规定,个人信息处理者向境外提供个人信息的,应当具备通过安全评估、进行个人信息保护认证、订立标准合同等条件之一。前期,《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等相关规章已发布实施。近日,国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》(以下简称《办法》),标志着个人信息出境具体制度的全面落地,这对于推进高水平开放、推动高质量发展、保障高水平安全具有重要意义。

一、《办法》是营造市场化法治化国际化一流营商环境、推进高水平对外开放的重要举措

认证制度本身发源于市场需求、根植于依规评定、兴盛于国际贸易,具有鲜明的市场化、法治化、国际化特征。数字时代,个人信息出境认证制度使得这些特征更加突出。

(一)个人信息出境认证是数字经济市场化的基础制度。认证制度与市场化是相互支撑、动态适配的共生关系,二者以安全合规为纽带,共同服务于数字经济要素高效配置。市场化进程中合规成本不均、信任缺失、竞争失衡等痛点,直接催生了认证制度的需求。数字经济市场化需破解个人信息跨境流动难题,但不同规模企业合规能力差异显著,大型企业可自建合规体系,中小微企业因专业能力不足陷入合规困境。同时,跨境合作中个人信息安全信任缺失会推高交易成本。《办法》的出台,通过统一标准、建立第三方专业服务体系等,填补了合规能力缺口,构建了信任机制,有效降低了市场化障碍。

(二)个人信息出境认证是我国数据治理法治延伸。法治化营商环境的前提是有法可依、有法必依。《个人信息保护法》虽明确个人信息出境可通过认证途径实现,但需具体制度细化实施路径。《办法》的出台,明确了认证机构资质、流程规范、监督管理要求等内容,将法律原则转化为可操作的合规指引,强化了“有法可依”的实践保障,为企业提供清晰的合规锚点。同时,个人信息出境认证通过标准化评定,也能够为监管提供客观依据。

(三)个人信息出境认证是全球数字治理通行实践。在数字经济全球化的背景下,个人信息跨境流动已成为国际数据合作的核心纽带。据有关统计,全球数据跨境量已达ZB级规模,但合规导致的法律纠纷年均增长47%。在此背景下,个人信息出境认证作为平衡数据流通效率与隐私保护的市场化机制,已成为全球主要国家和国际组织的共同选择。例如,亚太经合组织(APEC)主导的“跨境隐私规则体系”(CBPR)开创了区域内认证互认的先河,欧盟通过《通用数据保护条例》(GDPR)明确了个人信息跨境传输的认证机制。《办法》的出台,充分借鉴全球个人信息出境认证的通行做法,主动对接国际规则,为数字贸易国际合作提供制度保障。

二、《办法》是促进数据高效便利安全跨境流动、推动数字经济高质量发展的制度保障

个人信息出境认证制度遵循自愿性、市场化、社会化服务原则,由第三方机构实施,既减轻监管部门行政负担,也赋予企业更多合规选择权,更激发数字经济的动能。

(一)《办法》将有效提升企业的合规效率。个人信息出境合规涉及法律、技术、管理等多领域专业知识,中小微企业往往因缺乏专业人才而面临合规困境。专业认证机构能够根据企业需求提供全流程服务,包括个人信息出境风险评估、安全技术方案设计、境外接收方资质审核等,有效弥补企业能力短板,有效提升企业合规效率。

(二)《办法》将有助于增加企业的信任资产。《办法》明确,个人信息出境认证由国家认可的专业认证机构实施,认证过程严格遵循规定标准,认证结果具有官方认可的公信力。对用户而言,通过认证意味着企业的数据处理符合国家隐私保护要求,减少企业向用户传递信任的沟通成本。对商业伙伴而言,通过认证是企业数据安全能力的名片,特别在跨境合作中,无需双方重复开展合规审查,直接以认证结果作为信任基础,缩短合作谈判周期。

(三)《办法》将倒逼企业加速数字化转型。个人信息出境认证标准对数据加密、访问控制、安全审计等技术指标的要求,促使企业加大数据安全投入,在提升合规水平的同时,也优化了企业数据治理能力。实践证明,通过认证的企业普遍建立了数据全生命周期管理体系,这些能力不仅保障了数据安全,还为企业精准营销、产品创新等提供了支撑。

(四)《办法》将有望催生专业数据服务新业态。《办法》的出台,通过激活合规服务需求、重构跨境数据服务逻辑,将催生出专业化场景化平台化的新型服务业态,形成覆盖咨询、技术、运营、生态等全链条服务体系。认证过程的复杂性,推动合规服务从广谱咨询向垂直领域深耕转型。认证对数据安全技术的硬性要求,将催生出敏感数据识别系统、跨境数据加密传输模块等技术服务新业态。

三、《办法》是提升数据安全治理监管能力、构建高水平数据安全保障体系的重要抓手

《办法》基于国家有关主管部门、专业认证机构、个人信息处理者三方主体,构建了责任明确、边界清晰、环环相扣的“三位一体”个人信息跨境安全保障体系。

(一)明确国家有关主管部门的监管责任。《办法》明确规定了国家有关主管部门的全流程监管责任。事前,要求国家网信部门会同国家数据管理部门和其他有关部门制定个人信息出境相关标准、技术规范。国家市场监管部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。事中,要求国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。事后,要求国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在违规情形的,专业认证机构应当配合暂停其使用直至撤销认证证书。国家市场监督管理部门与国家网信部门建立认证信息共享机制。

(二)明确认证机构的中介责任。《办法》对专业认证机构的责任进行了严格的规定。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。在开展认证活动中,发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。专业认证机构在出具认证证书或者认证状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。此外,《办法》要求专业认证机构应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续,并提交相关材料。

(三)明确个人信息处理者的主体责任。《办法》对个人信息处理者的责任进行了明确的限定。关于开展认证的条件,要求是非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且个人信息不包括重要数据。关于开展认证前的要求,包括按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务,并对个人信息保护影响评估重点评估内容进行了详细规定。关于申请认证的方式,要求应当向专业认证机构申请个人信息出境认证,境外的个人信息处理者应当由其在境内的设立的专门机构或者指定代表协助进行申请。

总之,《办法》的出台具有多重里程碑意义,既是我国数据领域开放、发展、安全三者协同统一的制度典范,更是我国数据跨境治理体系走向成熟的重要标志。(作者:王志成,国家网信办数据与技术保障中心副主任)