新华社北京10月17日电 国家互联网信息办公室、国家市场监督管理总局近日联合公布《个人信息出境认证办法》。办法旨在保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动,将于2026年1月1日起施行。
国家网信办有关负责人表示,个人信息保护法对个人信息出境认证制度作了基本规定,按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。办法对个人信息出境认证的适用情形,个人信息出境认证的申请方式、认证要求及证书有效期,专业认证机构应当履行的义务,监督管理要求等作出细化规定。
个人信息出境认证的适用情形方面,办法明确,个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合:非关键信息基础设施运营者;自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息中不包括重要数据等情形。
办法规定,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
根据办法,个人信息处理者应当向专业认证机构申请个人信息出境认证,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。
国家互联网信息办公室
国家市场监督管理总局
令
第20号
《个人信息出境认证办法》已经2025年7月21日国家互联网信息办公室2025年第17次室务会会议审议通过,并经国家市场监督管理总局同意,现予公布,自2026年1月1日起施行。
国家互联网信息办公室主任 庄荣文
国家市场监督管理总局局长 罗 文
2025年10月14日
个人信息出境认证办法
第一条 为了保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规,制定本办法。
第二条 个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息,适用本办法。
第三条 本办法所称个人信息出境认证,是指按照《中华人民共和国个人信息保护法》第三十八条第一款第二项规定,由依法取得个人信息保护认证资质的专业认证机构,证明个人信息处理者向中华人民共和国境外提供个人信息等个人信息处理活动符合相关法律、行政法规、部门规章、标准、技术规范的合格评定活动。
第四条 国家网信部门会同国家数据管理部门和其他有关部门制定个人信息出境认证相关标准、技术规范。国家市场监督管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。
第五条 个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
前款所称向境外提供的个人信息,不包括重要数据。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
第六条 个人信息处理者在申请认证向境外提供个人信息前,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。个人信息保护影响评估重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对国家安全、公共利益、个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对出境个人信息安全和个人信息权益的影响;
(六)其他可能影响个人信息出境安全的事项。
第七条 个人信息处理者通过认证方式向境外提供个人信息的,应当向专业认证机构申请个人信息出境认证。
中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请。
第八条 专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的,专业认证机构应当及时出具认证证书。
认证证书的有效期为3年。证书到期需继续使用的,个人信息处理者应当在有效期届满前6个月提出认证申请。
第九条 专业认证机构应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。
国家市场监督管理部门与国家网信部门建立认证信息共享机制。
第十条 专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。
国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的,专业认证机构应当配合暂停其使用直至撤销相关认证证书。
前两款规定的情形,应当通过全国认证认可信息公共服务平台予以公布。
第十一条 专业认证机构在开展认证活动中,发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。
第十二条 开展个人信息出境认证的专业认证机构应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。办理备案时,应当提交下列材料:
(一)取得的个人信息保护领域的认证资质情况;
(二)近3年从事数据安全、个人信息保护领域专业工作情况;
(三)专业认证机构人员安全背景审查材料;
(四)个人信息保护认证实施细则及工作计划;
(五)个人信息安全风险防范机制;
(六)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;
(七)投诉受理和争议解决机制;
(八)其他需要提交的材料。
专业认证机构应当对所备案材料的真实性负责。
国家网信部门收到专业认证机构提交的备案材料后,会同国家数据管理部门对备案材料进行审核。材料齐全的,应当在30个工作日内予以备案并进行公示;材料不齐全的,不予备案,应当在30个工作日内通知专业认证机构并说明理由。
第十三条 国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。
第十四条 国家机关、专业认证机构等从事认证活动的机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十五条 任何组织和个人发现获证个人信息处理者违反本办法规定向境外提供个人信息的,可以向专业认证机构、网信部门和有关部门投诉、举报。
第十六条 省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改,消除隐患。
第十七条 违反本办法规定的,依据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十八条 本办法施行前制定的关于个人信息出境认证的相关规定与本办法不一致的,按照本办法执行。
第十九条 本办法自2026年1月1日起施行。
近日,国家互联网信息办公室、国家市场监督管理总局联合公布了《个人信息出境认证办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》有关问题回答了记者提问。
问1:请介绍一下《办法》的出台背景。
答:随着全球数字经济飞速发展,数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。《个人信息保护法》规定,按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。为落实法律规定要求,2022年11月,国家市场监督管理总局、国家互联网信息办公室公布了规范性文件《关于实施个人信息保护认证的公告》。在此基础上,制定《办法》,完善我国个人信息跨境流动管理制度,有利于保护个人信息权益,促进个人信息合规利用,为数字经济高质量发展提供法治保障。
问2:《办法》的主要内容是什么?
答:《办法》主要对下列内容进行了规定:一是明确立法目的依据、适用范围。规定个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息,适用本办法。二是明确个人信息出境认证的适用情形。规定个人信息处理者通过个人信息出境认证的方式向境外提供个人信息应当符合的情形,即非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且个人信息不包括重要数据。三是明确个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证,中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年,证书到期需继续使用的,个人信息处理者应当在有效期届满前6个月提出认证申请。四是明确专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。五是明确监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内,应当向国家网信部门备案,国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。
问3:通过个人信息出境认证的方式向境外提供个人信息的适用情形如何?
答:《办法》明确个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息;三是向境外提供的个人信息,不包括重要数据。同时,规定个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
问4:个人信息处理者在申请认证向境外提供个人信息前应当履行什么义务?
答:落实《个人信息保护法》《网络数据安全管理条例》规定要求,《办法》对个人信息处理者在申请认证向境外提供个人信息前应当履行的义务作了细化。规定应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。个人信息保护影响评估重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对国家安全、公共利益、个人信息权益带来的风险;三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策和法规对出境个人信息安全和个人信息权益的影响;六是其他可能影响个人信息出境安全的事项。
问5:《办法》对专业认证机构提出了哪些要求?
答:《办法》对专业认证机构提出了如下要求:一是应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的,应当及时出具认证证书。二是应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。三是发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。四是发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。五是应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续,并对所备案材料的真实性负责。六是应当对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密。
问6:《办法》如何对专业认证机构与获证个人信息处理者进行监督管理?
答:《办法》对专业认证机构与获证个人信息处理者的监督管理作了如下规定:一是国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。二是省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改,消除隐患。三是任何组织和个人发现获证个人信息处理者违反本办法规定向境外提供个人信息的,可以向专业认证机构、网信部门和有关部门投诉、举报。四是违反《办法》规定的,依据《个人信息保护法》《网络数据安全管理条例》《认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
问7:我国数据跨境流动的制度设计情况如何?
答:《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》对数据跨境流动作出基本规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。国家互联网信息办公室先后出台《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》,明确了数据出境安全评估、个人信息出境标准合同等管理制度的实施路径,同时建立了自贸试验区数据出境负面清单制度。《办法》的出台,明确了通过认证方式向境外提供个人信息的具体实施路径,标志着《个人信息保护法》明确的数据出境安全评估、个人信息保护认证、个人信息出境标准合同等出境制度设计的全面落地,也标志着我国数据跨境流动制度体系的全面建立。
