2025年1月3日，作为《个人信息保护法》《网络数据安全管理条例》等法律法规的落地文件，国家互联网信息办公室（以下简称“网信办”）发布了《个人信息出境个人信息保护认证办法（征求意见稿）》（以下简称“《征求意见稿》”），向社会公开征求意见，反馈意见截止时间为2025年2月3日。《征求意见稿》的出台打响了2025年数据保护领域立法的第一枪，也是我国在个人信息保护领域的又一重要举措，对于规范个人信息跨境流动、保障个人信息安全具有重要意义。若正式通过，或可成为境外处理者处理境内个人信息在个保法管辖范围内进行数据合法出境的最优解。《征求意见稿》全文共20条，对个人信息个人信息保护认证的适用范围、适用条件、主要内容等进行了明确，旨在落实《个人信息保护法》第三十八条第一款第二项规定的[1]通过个人信息保护认证实现个人信息出境。本文将对《征求意见稿》涉及个人信息出境企业需关注的问题进行速评解析，并为企业如何开展下一步工作提供建议。

一、背景

根据目前中国数据出境合规的监管框架，企业出境数据时，应结合自身的主体类型、出境数据的类型综合判断认定，是否需要额外：（i）申报并通过数据出境安全评估，（ii）订立个人信息保护标准合同，或（iii）通过个人信息安全保护认证（以下合称为“出境前置程序”）。具体而言：

1.如果企业拟出境的数据为重要数据的，应当申报并通过网信办的数据出境安全评估。

2.如果企业拟出境的数据为个人信息的，则满足以下任一条件，便应当申报并通过网信办的数据出境安全评估：（i）企业被认定为关键信息基础设施运营者的；（ii）处理100万人以上个人信息的；（iii）自上年1月1日起累计向境外提供10万人个人信息的；或（iv）自上年1月1日起累计向境外提供1万人敏感个人信息的。

3.若拟出境的数据为个人信息，且未满足上述任一情形的，则可以选择（i）订立并备案个人信息保护标准合同，或（ii）通过个人信息安全保护认证后出境个人信息。

我国在个人信息出境管理方面已迈出重要一步。自2023年6月1日起，《个人信息出境标准合同办法》已开始实施，为向境外提供个人信息提供了具体指导和规范。

对于个人信息安全保护认证，2022年11月4日，国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》，标志着我国个人信息保护认证制度正式建立。

作为中国个人信息出境合规的路径之一，个人信息出境认证结果与个人信息出境标准合同备案结果具有同等的法律效力。

二、个人信息保护认证的适用范围

（一）可通过个人信息保护认证实现个人信息出境的场景

《征求意见稿》第四条规定了个人信息处理者通过个人信息保护认证向境外提供个人信息所应具备的全部2项条件，包括：

（1）非关键信息基础设施运营者；

（2）自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息；

（3）不包括重要数据。

上述条件将根据《个人信息保护法》以及已经出台的数据安全评估办法必须向网信部门申请数据出境安全评估的情形排除在外。此外需要特别注意的是，满足前述规定的企业可根据实际可以在个人信息保护认证和个人信息出境标准合同备案中选择一项出境合规措施开展，对于符合《促进和规范数据跨境流动规定》第三、四、五、六条豁免情形的企业，可免于申报数据出境安全评估、签订个人信息出境标准合同以及通过个人信息保护认证。

（二）似不适用境外主体直接收集境内个人信息

境外主体直接收集境内自然人个人信息并不属于境内个人信息处理者向境外提供个人信息的情况，不属于《个人信息保护法》第三十八条和征求意见稿意义上的“个人信息出境”，因此似无法适用个人信息保护认证。但《征求意见稿》第五条规定，境外主体满足《个人信息保护法》第三条第二款规定的情况下[2]，其收集并处理境内自然人个人信息仍属于“个人信息跨境处理活动”，可按照《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》规定由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。

三、个人信息保护认证的主要内容

《征求意见稿》对认证机构及各部门在个人信息保护认证领域的职责进行了规定和划分，对于认证机构明确了其认证工作的各个环节和职责义务，对于监管部门提供了有力的监管权责依据和体制，具体如下：

（一）认证评价内容及标准

《征求意见稿》第十条详细列举了个人信息出境个人信息保护认证重点评定的内容，包括：

（1）个人信息出境的目的、范围、方式等的合法性、正当性、必要性；

（2）境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响；

（3）境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（4）个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务；

（5）个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益；

（6）专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。

该条涵盖了个人信息出境活动的各个核心环节：首先，强调对个人信息出境目的、范围以及传输方式的合法性、正当性审查，确保个人信息的跨境传输基于真实且合理的商业需求，并限定在必需的范围内，严格遵守法律规范，避免信息的过度搜集或被用于非法用途；其二，关注境外接收方所处国家或地区的法规政策与数据安全环境，注重评估外部环境及因素对个人信息安全保护的潜在影响；其三，评估境外接收方个人信息保护水平是否符合我国相应标准，以及审查双方约定中对个人信息保护的责任义务分配情况。同时，还关注审查双方组织架构、管理体系以及技术措施，从实操层面确保数据安全和个人信息权益保障。最后，第六项还规定专业认证机构保有评定其他事项的权力，为未来适应复杂多变的信息保护场景预留空间。

（二）认证机构备案标准

《征求意见稿》第八条规定了开展个人信息出境个人信息保护认证的认证机构应当向国家网信部门备案并提交材料。一系列材料要求旨在全面审查认证机构的专业能力和管理水平，根本保障认证工作有效进行。认证资质说明机构具备准入资格和专业能力，近3年相关专业工作情况反映其实践经验和能力，认证实施细则及工作计划确保认证环节依流程有序进行，数据安全风险防范机制保障认证过程中的数据安全，监督机制维系认证的权威性与监督性，争议受理与投诉处理机制则为解决矛盾纠纷、维护各方权益提供保障。

（三）认证机构义务

《征求意见稿》第十一条规定，“专业认证机构在开展认证活动中，发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的，应当及时向国家网信部门及有关部门报告”。该条为认证机构设定发现异常情况时的报告义务，由直接参与个人信息出境认证工作的认证机构监测并反映异常情况，能够保障相关部门快速响应，有效预防损害扩大。

《征求意见稿》第十二条规定，“专业认证机构应当在颁发认证证书或者认证证书状态发生变化后5个工作日内，向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息，包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等”。该条设定了认证机构的信息报送义务，认证机构应当在规定期限内向公共信息平台报送认证证书，确保认证信息公开透明。此外，该条还规定国家市场监督管理部门与国家网信部门应当建立认证信息共享机制，加强部门协作，共同处理监管过程中发现的问题。

《征求意见稿》第十三条规定，“专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的，应当及时暂停、撤销相关认证证书，并予以公布。国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的，专业认证机构应当配合及时暂停、撤销相关认证证书，并予以公布”。该条规定了认证机构对认证证书的管理义务以及在监管部门发现问题时的配合义务，这意味着认证机构应持续关注个人信息处理者的个人信息出境动态，在发现不符合认证要求的情形时及时采取措施；监管部门在监督管理过程中发现问题时，认证机构应当配合对违规行为的及时处理，阻止不符合认证基准的个人信息出境活动继续进行。

（四）监督与举报机制

《征求意见稿》第十四条规定，“国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督，对认证过程和认证结果进行抽查，对专业认证机构进行评价。国家市场监督管理部门对个人信息出境安全认证活动存在服务质量等问题的，视情节予以警告、责令限期改正、停业整顿；拒不整改或规定期限内未完成整改的，以及存在弄虚作假的，撤销其认证机构资质，并予以公布。专业认证机构通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的，由国家网信部门予以撤销备案；发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的，由国家网信部门予以注销备案”。

此条明确了两大主管部门在个人信息保护认证活动中的监督管理职责及对于违规行为的惩处措施。通过抽查认证过程和结果、评价认证机构共同监督认证活动，保障其有效性、公正性。对于认证中出现的质量问题，采取与情节程度相适应的阶梯式处罚措施，建立一套完整的监管体系。同时，第十六条赋予省级以上网信部门和有关部门在特定情况下对个人信息处理者约谈的权力，面对风险和安全事件，监管部门得以直接与处理者沟通了解情况，提出整改要求和解决措施，最大限度降低个人信息安全风险。

第十五条规定，“任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的，可以向省级以上网信部门和有关部门举报”。此条建立了社会监督举报机制，鼓励各类组织及公民参与监督获证个人信息处理者，有助于监管部门及时获悉并处理个人信息出境活动中的为罚行为。

四、使用个人信息保护认证的要求

《征求意见稿》同时明确了在通过个人信息保护认证的方式向境外提供个人信息时，个人信息处理者需要履行的配套合规义务和程序性规定，具体如下：

（一）申请主体与责任

《征求意见稿》第九条规定，“中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请，并承担相应的法律责任，承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理，在认证有效期内接受专业认证机构的持续监督”。该条规定了境内外主体的不同申请方式与相应责任，境内处理者可根据自身业务状况需求决定是否申请认证，境外处理者则要求通过在境内设立的专门机构或指定代表协助申请，并承诺遵守我国法规，承担相应法律责任，在我国法律框架内有序开展个人信息出境活动。

（二）申请要求

为便于认证顺利开展，提高认证工作效率，申请个人信息出境个人信息保护认证的个人信息处理者应充分了解标准要求和认证流程，结合自身业务实际准备详细材料，下载相应模板，如实、准确填报认证申请书、自评价表等证明材料。个人信息出境个人信息保护认证范围与个人信息种类、数量、敏感程度以及个人信息出境处理情况、个人信息处理者组织管理、境外接收方个人信息保护水平和法律环境等密切相关，不同业务场景的评价方法和适用指标需要申请处理者根据实际情况进行对照分析。

五、个人信息保护认证与个人信息保护标准合同的区别

个人信息保护认证与个人信息出境标准合同备案为并行的个人信息出境合规路径，企业可根据自身需求及意愿择一开展。两者间存在着申请主体、有效期限等方面的差异，了解两者差异可帮助企业选择更适合其实际情况的合规措施：

（一）申请主体差异

《征求意见稿》明确了境内外主体均可申请个人信息保护认证，境内处理者可根据自身业务状况需求决定是否申请认证，境外处理者则要求通过在境内设立的专门机构或指定代表协助申请，并承诺遵守我国法规，承担相应法律责任。

而个人信息标准合同签订主体为境内个人信息处理者和境外接收方，其备案申请主体须与标准合同签署境内主体一致。

（二）有效期限不同

根据2022年国家市场监督管理总局、国家互联网信息办公室发布的《个人信息保护认证实施规则》第5.1条规定，认证证书的有效期为三年。证书到期需延续使用的，认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式，对符合认证要求的委托换发新证书。

个人信息出境标准合同备案的期限可在合同中由协议主体自由约定，可长期有效。

（三）审核机构不同

个人信息出境标准合同备案材料通过数据出境申报系统统一提交，由省级网信部门审查。个人信息保护认证则需要经过国家认证的专业机构审核评定，并在有效期内需要接受专业认证机构的持续监督，国家网信部门和有关部门负责对个人信息保护认证活动及认证机构进行监督评价，这也决定实践中认证的费用成本通常高于标准合同备案。

六、总结以及企业下一步的措施

《征求意见稿》的出台是我国在个人信息保护领域的又一重要举措，对于规范个人信息的跨境传输和确保其安全具有重大意义。同时也期待相关部门能够根据实际情况不断完善认证办法及相关配套标准，在保障个人信息安全的同时，促进数据跨境自由流动。

考虑到《征求意见稿》对既有的数据出境合规机制将产生的影响，我们建议企业密切关注《征求意见稿》的发布，并结合《征求意见稿》现有文本整体评估对目前正在进行的数据出境合规工作的影响。具体而言，境外个人信息处理者若有处理境内个人信息并出境的需求，应尽快了解认证流程和要求，委托境内专门机构或指定代表，按照规定准备申请材料，积极申请认证。应根据其业务需求、风险承受能力以及对个人信息保护的重视程度，自行决定是否申请认证。若决定申请认证，应关注认证机构的资质和市场声誉，选择服务质量和专业性较高的机构。密切关注相关部门发布的标准、法规、程序和规则，及时掌握政策动态，确保自身行为与最新要求相符。在申请认证前，应依据评定内容进行自我评估。对于出境目的、范围和方式，需准备详尽的说明文档，说明其合法性、正当性和必要性；对境外接收方所在国家或地区的信息保护政策、法律和安全环境进行深入研究，形成风险评估报告；确保与境外接收方签订的协议明确、具体地规定了个人信息保护义务；审视自身及境外接收方的组织架构、管理体系和技术措施，并进行必要的改进和优化。

注释及引用

[1]《中华人民共和国个人信息保护法》第三十八条第一款：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）...（二）按照国家网信部门的规定经专业机构进行个人信息保护认证...”

[2]《中华人民共和国个人信息保护法》第三条第二款：“ 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”