近日,国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》(以下简称《办法》),进一步推动《个人信息保护法》第三十八条所规定的个人信息出境合规体系全面落地。《办法》详细规定了个人信息出境认证的适用情形,个人信息出境认证的申请方式、认证要求及证书有效期,专业认证机构应当履行的义务,监督管理要求等关键内容,填补了此前个人信息出境认证机制在操作层面的法律空白。同时,《办法》与《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章相互衔接,共同构筑起一套多层次、全覆盖的个人信息出境监管框架,为实现个人信息安全有序跨境流动提供了坚实的制度保障。

在国际数据治理实践中,个人信息出境认证已成为数据跨境流动的重要合法性机制之一。欧盟《通用数据保护条例》明确将数据保护认证作为判断数据跨境流动合法性的依据,该类认证制度的适用范围不断扩大,有助于解决各国关于个人信息安全出境的制度分歧。与数据出境安全评估、个人信息出境标准合同等其他数据出境制度相比,个人信息出境认证制度展现出其独特优势:它不是由主管部门对申报材料直接审核,而是将认证活动交由具备资质的专业认证机构组织实施,并由其颁发认证证书。获证个人信息处理者在证书有效期内无需重复申请认证,既能在一定程序上确保个人信息出境的安全性,又减轻了企业合规负担。此前,国家互联网信息办公室与国家市场监督管理总局联合发布了《关于实施个人信息保护认证的公告》,提出《个人信息保护认证实施规则》,明确将推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》和网安标委实践指南TC260-PG-20222A《个人信息跨境处理活动安全认证规范》作为认证依据,并规定上述标准、规范原则上应当执行最新版本。日前,国家标准委公布新的推荐性国家标准GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》,将于2026年3月1日实施,《个人信息跨境处理活动安全认证规范》将不再适用。《办法》与以上文件、标准共同形成了涵盖认证标准、实施程序与机构管理的完整制度体系,使个人信息出境认证机制从原则性规定走向具体实践。总体来看,《办法》在借鉴国际通行做法的基础上,结合我国数据出境治理实践,对个人信息出境认证制度进行了系统设计,使其在保障安全的同时更好地服务于数据跨境流动的现实需求。具体而言,主要表现为以下三个方面。

第一,精准界定认证制度适用范围,实现风险分级与监管聚焦的有机结合。《办法》第五条明确,适用认证机制的个人信息处理者应为非关键信息基础设施运营者,且在当年度累计向境外提供的个人信息数量处于特定区间,即不含敏感个人信息的数量在10万人以上、不满100万人,或敏感个人信息的数量为不满1万人。同时,《办法》强调所涉出境个人信息不得包含重要数据,并禁止通过数量拆分等方式规避安全评估义务。这种分类分级的设计思路,既体现了基于风险的监管逻辑,也为不同类型、不同规模的企业提供了与其风险等级相匹配的个人信息出境路径选择,实现了精准监管与促进发展的平衡。除此之外,《办法》第七条明确,中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,规定了我国个人信息出境认证制度的域外适用效力,有助于提升我国数据跨境流动法律制度的国际竞争力。

第二,明确专业认证机构应当履行的义务,构建权责清晰、运行透明的认证实施体系。《办法》第八条、第九条明确,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动;应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送相关信息。《办法》第十条明确,专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。《办法》第十一条、第十二条明确,专业认证机构发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告;在取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。这些要求不仅强化了专业认证机构的规范水平、专业责任与社会信用,也通过信息公示与备案管理增强了认证过程的透明度与公信力,为认证结果的权威性奠定了制度基础。

第三,明确网信部门与市场监管部门等部门的职责分工,形成协同监管与动态治理的合力。《办法》第四条明确,国家市场监督管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。《办法》第九条、第十条、第十三条、第十六条明确,国家市场监督管理部门和国家网信部门建立认证信息共享机制,对个人信息出境认证活动开展定期或者不定期的检查,并对认证过程与结果进行抽查。在发现获证个人信息处理者存在违规情形时,国家网信部门和有关部门可依法要求专业认证机构暂停直至撤销相关认证证书,省级以上网信部门和有关部门可对涉事企业开展约谈并实施整改监督。这种分工明确、互为补充的监管模式,既避免了职能重叠与资源浪费,又确保了认证活动全流程的可控性与应变能力,充分体现了我国在个人信息保护领域治理能力现代化水平的提升。

《办法》的出台,不仅是我国个人信息出境制度完善的重要里程碑,也是全球数据治理体系中的一项积极实践。它通过认证这一市场化机制,在安全与效率、监管与市场之间找到了富有中国智慧的数据出境治理新方案。随着未来认证工作的逐步推广,我国个人信息跨境流动将迎来更加规范、便捷的新局面,为数字经济的持续健康发展注入强劲动力。(作者:赵精武,北京航空航天大学法学院副教授)