新華社北京10月17日電 國家互聯網信息辦公室、國家市場監督管理總局近日聯合公布《個人信息出境認證辦法》。辦法旨在保護個人信息權益,規范個人信息出境認證活動,促進個人信息高效安全跨境流動,將于2026年1月1日起施行。
國家網信辦有關負責人表示,個人信息保護法對個人信息出境認證制度作了基本規定,按照國家網信部門的規定經專業機構進行個人信息保護認證是向境外提供個人信息的法定途徑之一。辦法對個人信息出境認證的適用情形,個人信息出境認證的申請方式、認證要求及證書有效期,專業認證機構應當履行的義務,監督管理要求等作出細化規定。
個人信息出境認證的適用情形方面,辦法明確,個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的,應當同時符合:非關鍵信息基礎設施運營者;自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息,且向境外提供的個人信息中不包括重要數據等情形。
辦法規定,個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。
根據辦法,個人信息處理者應當向專業認證機構申請個人信息出境認證,專業認證機構應當按照認證基本規范、個人信息保護認證規則開展認證活動。
國家互聯網信息辦公室
國家市場監督管理總局
令
第20號
《個人信息出境認證辦法》已經2025年7月21日國家互聯網信息辦公室2025年第17次室務會會議審議通過,并經國家市場監督管理總局同意,現予公布,自2026年1月1日起施行。
國家互聯網信息辦公室主任 莊榮文
國家市場監督管理總局局長 羅 文
2025年10月14日
個人信息出境認證辦法
第一條 為了保護個人信息權益,規范個人信息出境認證活動,促進個人信息高效安全跨境流動,根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規,制定本辦法。
第二條 個人信息處理者通過個人信息保護認證的方式向中華人民共和國境外提供個人信息,適用本辦法。
第三條 本辦法所稱個人信息出境認證,是指按照《中華人民共和國個人信息保護法》第三十八條第一款第二項規定,由依法取得個人信息保護認證資質的專業認證機構,證明個人信息處理者向中華人民共和國境外提供個人信息等個人信息處理活動符合相關法律、行政法規、部門規章、標準、技術規范的合格評定活動。
第四條 國家網信部門會同國家數據管理部門和其他有關部門制定個人信息出境認證相關標準、技術規范。國家市場監督管理部門會同國家網信部門制定個人信息保護認證規則、統一認證證書及標志。
第五條 個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的,應當同時符合下列情形:
(一)非關鍵信息基礎設施運營者;
(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。
前款所稱向境外提供的個人信息,不包括重要數據。
法律、行政法規或者國家網信部門另有規定的,從其規定。
個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。
第六條 個人信息處理者在申請認證向境外提供個人信息前,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。個人信息保護影響評估重點評估以下內容:
(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對國家安全、公共利益、個人信息權益帶來的風險;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
(四)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)境外接收方所在國家或者地區的個人信息保護政策和法規對出境個人信息安全和個人信息權益的影響;
(六)其他可能影響個人信息出境安全的事項。
第七條 個人信息處理者通過認證方式向境外提供個人信息的,應當向專業認證機構申請個人信息出境認證。
中華人民共和國境外的個人信息處理者申請個人信息出境認證的,應當由其在境內設立的專門機構或者指定代表協助進行申請。
第八條 專業認證機構應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。符合認證要求的,專業認證機構應當及時出具認證證書。
認證證書的有效期為3年。證書到期需繼續使用的,個人信息處理者應當在有效期屆滿前6個月提出認證申請。
第九條 專業認證機構應當在出具認證證書或者認證證書狀態發生變化后5個工作日內,向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態變化信息等。
國家市場監督管理部門與國家網信部門建立認證信息共享機制。
第十條 專業認證機構發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形,不再符合認證要求的,應當暫停其使用直至撤銷相關認證證書。
國家網信部門和有關部門在個人信息保護監督管理工作中發現獲證個人信息處理者存在前款情形的,專業認證機構應當配合暫停其使用直至撤銷相關認證證書。
前兩款規定的情形,應當通過全國認證認可信息公共服務平臺予以公布。
第十一條 專業認證機構在開展認證活動中,發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。
第十二條 開展個人信息出境認證的專業認證機構應當自國家市場監督管理部門批準取得個人信息保護認證資質之日起10個工作日內向國家網信部門辦理備案手續。辦理備案時,應當提交下列材料:
(一)取得的個人信息保護領域的認證資質情況;
(二)近3年從事數據安全、個人信息保護領域專業工作情況;
(三)專業認證機構人員安全背景審查材料;
(四)個人信息保護認證實施細則及工作計劃;
(五)個人信息安全風險防范機制;
(六)對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續監督機制;
(七)投訴受理和爭議解決機制;
(八)其他需要提交的材料。
專業認證機構應當對所備案材料的真實性負責。
國家網信部門收到專業認證機構提交的備案材料后,會同國家數據管理部門對備案材料進行審核。材料齊全的,應當在30個工作日內予以備案并進行公示;材料不齊全的,不予備案,應當在30個工作日內通知專業認證機構并說明理由。
第十三條 國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督,開展定期或者不定期的檢查,對認證過程和認證結果進行抽查,對專業認證機構進行抽查和評價。
第十四條 國家機關、專業認證機構等從事認證活動的機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十五條 任何組織和個人發現獲證個人信息處理者違反本辦法規定向境外提供個人信息的,可以向專業認證機構、網信部門和有關部門投訴、舉報。
第十六條 省級以上網信部門和有關部門發現獲證個人信息處理者個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按照要求整改,消除隱患。
第十七條 違反本辦法規定的,依據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規處理;構成犯罪的,依法追究刑事責任。
第十八條 本辦法施行前制定的關于個人信息出境認證的相關規定與本辦法不一致的,按照本辦法執行。
第十九條 本辦法自2026年1月1日起施行。
近日,國家互聯網信息辦公室、國家市場監督管理總局聯合公布了《個人信息出境認證辦法》(以下簡稱《辦法》)。國家互聯網信息辦公室有關負責人就《辦法》有關問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景。
答:隨著全球數字經濟飛速發展,數據跨境流動成為推動數據要素全球配置、開展高水平國際合作競爭的關鍵。《個人信息保護法》規定,按照國家網信部門的規定經專業機構進行個人信息保護認證是向境外提供個人信息的法定途徑之一。為落實法律規定要求,2022年11月,國家市場監督管理總局、國家互聯網信息辦公室公布了規范性文件《關于實施個人信息保護認證的公告》。在此基礎上,制定《辦法》,完善我國個人信息跨境流動管理制度,有利于保護個人信息權益,促進個人信息合規利用,為數字經濟高質量發展提供法治保障。
問2:《辦法》的主要內容是什么?
答:《辦法》主要對下列內容進行了規定:一是明確立法目的依據、適用范圍。規定個人信息處理者通過個人信息保護認證的方式向中華人民共和國境外提供個人信息,適用本辦法。二是明確個人信息出境認證的適用情形。規定個人信息處理者通過個人信息出境認證的方式向境外提供個人信息應當符合的情形,即非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息,且個人信息不包括重要數據。三是明確個人信息出境認證的申請方式、認證要求及證書有效期。規定個人信息處理者應當向專業認證機構申請個人信息出境認證,中華人民共和國境外的個人信息處理者申請個人信息出境認證的,應當由其在境內設立的專門機構或者指定代表協助進行申請。專業認證機構應當按照認證基本規范、個人信息保護認證規則開展認證活動。明確認證證書的有效期為3年,證書到期需繼續使用的,個人信息處理者應當在有效期屆滿前6個月提出認證申請。四是明確專業認證機構應當履行的義務。規定專業認證機構應當向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。五是明確監督管理要求。規定專業認證機構自取得認證資質之日起10個工作日內,應當向國家網信部門備案,國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督。
問3:通過個人信息出境認證的方式向境外提供個人信息的適用情形如何?
答:《辦法》明確個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的,應當同時符合下列情形:一是非關鍵信息基礎設施運營者;二是自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息;三是向境外提供的個人信息,不包括重要數據。同時,規定個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。
問4:個人信息處理者在申請認證向境外提供個人信息前應當履行什么義務?
答:落實《個人信息保護法》《網絡數據安全管理條例》規定要求,《辦法》對個人信息處理者在申請認證向境外提供個人信息前應當履行的義務作了細化。規定應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。個人信息保護影響評估重點評估以下內容:一是個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;二是出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對國家安全、公共利益、個人信息權益帶來的風險;三是境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;四是個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;五是境外接收方所在國家或者地區的個人信息保護政策和法規對出境個人信息安全和個人信息權益的影響;六是其他可能影響個人信息出境安全的事項。
問5:《辦法》對專業認證機構提出了哪些要求?
答:《辦法》對專業認證機構提出了如下要求:一是應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。符合認證要求的,應當及時出具認證證書。二是應當在出具認證證書或者認證證書狀態發生變化后5個工作日內,向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態變化信息等。三是發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形,不再符合認證要求的,應當暫停其使用直至撤銷相關認證證書。四是發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。五是應當自國家市場監督管理部門批準取得個人信息保護認證資質之日起10個工作日內向國家網信部門辦理備案手續,并對所備案材料的真實性負責。六是應當對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等依法予以保密。
問6:《辦法》如何對專業認證機構與獲證個人信息處理者進行監督管理?
答:《辦法》對專業認證機構與獲證個人信息處理者的監督管理作了如下規定:一是國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督,開展定期或者不定期的檢查,對認證過程和認證結果進行抽查,對專業認證機構進行抽查和評價。二是省級以上網信部門和有關部門發現獲證個人信息處理者個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按照要求整改,消除隱患。三是任何組織和個人發現獲證個人信息處理者違反本辦法規定向境外提供個人信息的,可以向專業認證機構、網信部門和有關部門投訴、舉報。四是違反《辦法》規定的,依據《個人信息保護法》《網絡數據安全管理條例》《認證認可條例》等法律法規處理;構成犯罪的,依法追究刑事責任。
問7:我國數據跨境流動的制度設計情況如何?
答:《網絡安全法》《數據安全法》《個人信息保護法》《網絡數據安全管理條例》對數據跨境流動作出基本規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:(一)通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。國家互聯網信息辦公室先后出臺《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》,明確了數據出境安全評估、個人信息出境標準合同等管理制度的實施路徑,同時建立了自貿試驗區數據出境負面清單制度。《辦法》的出臺,明確了通過認證方式向境外提供個人信息的具體實施路徑,標志著《個人信息保護法》明確的數據出境安全評估、個人信息保護認證、個人信息出境標準合同等出境制度設計的全面落地,也標志著我國數據跨境流動制度體系的全面建立。
