解读中国新出台的个人信息保护境外认证办法

fabiha01

《个人信息保护法》、《网络数据安全管理条例》等法律法规规定了个人信息出境的办法，包括：数据传输安全评估、格式合同、认证等。此外，其他条件可能允许个人信息转移到海外。

近日，国家互联网信息办公室以行政法规形式发布《个人信息境外保护认证办法》（征求意见稿，以下简称《征求意见稿》）。本文件具体规定了境外转移个人信息保护认证的要求和程序。

适用范围
个人信息保护认证的范围在《关于促进和规范跨境数据流动的规定》中已有明确规定，草案也基本沿用了这些规定。该认证适用于同时满足以下条件的个人信息出境活动：

非关键信息基础设施运营者的实体；
自2025年1月1日起，他们累计已向海外转移：
超过10万但少于100万个人的个人信息（不包括敏感个人信息），或
不到10,000人的敏感个人信息。
认证机构
草案第三条强调，只有依法设立、经国家市场监督管理总局批准，比利时商业传真列表 具有个人信息保护认证资质的专业认证机构，才有权实施认证工作。

截至2025年1月14日，国家认证认可信息公共服务平台列出的唯一有权进行此类认证的实体是中国网络安全审查认证和市场监管大数据中心。

认证内容
草案第十条概述了评估海外个人信息保护认证的关键因素：

适度处理：转移的合法性、正当性和必要性。
影响评估：接收者所在国家/地区的法律和环境对数据的影响
同等保护：与中国的法律法规标准接轨。
合同协议：在协议中纳入个人信息保护义务。
保障措施：保护个人信息的组织、管理和技术措施的充分性。
其他事项：根据认证标准需要进行额外评估。
认证后监管
草案第十一条、第十三至第十六条对认证后监管职责进行了具体规定。涉及以下实体：

网信部门：在国家层面，国家网信办和国家市场监督管理总局有权指令暂停或撤销认证。省级网信部门可以采取约谈等方式要求有关部门整改，解决相关风险。
专业认证机构：有权自行决定或根据有关部门的指示暂停或撤销认证。
公众：个人可以向有关部门举报问题或违规行为。
结论
官方解读称，个人信息保护认证为有个人信息海外传输需求的企业提供了市场化、标准化的合规途径。企业可借助专业认证机构的专业知识，提升自身的合规能力和海外数据传输效率。对于有此类需求的企业，建议提前规划，寻求更高效、更适合自身业务情况的海外数据传输方式。