《个人信息出境个人信息保护认证办法(征求意见稿)》来了
《个人信息出境个人信息保护认证办法(征求意见稿)》来了
1月3日,2025年的第一个周五,作为《中华人民共和国个人信息保护法》(“《个人信息保护法》”)的配套落地文件,国家网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》(“《办法(征求意见稿)》”)向社会公开征求意见,也打响了2025年数据保护领域立法的第一枪。
2022年11月4日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》,这被视为我国个人信息保护认证制度建立的重要标志。而作为个人信息保护认证的一种重要类型,亦是《个人信息保护法》第38条规定的三条数据出境合规路径之一,个人信息出境个人信息保护认证自《个人信息保护法》出台之日起即备受关注。但这两年来,不同于数据出境安全评估和个人信息出境标准合同备案的顺利开展,由于具体细则迟迟未能落地,个人信息出境个人信息保护认证的实践活动遇到一定阻力。而随着《办法(征求意见稿)》的出台,个人信息出境个人信息保护认证落地在即,我们相信其将会进一步完善我国个人信息出境管理制度体系,在便利个人信息跨境流转,保障个人信息主体权益方面发挥更重要的作用。
关于个人信息出境个人信息保护认证适用的相关问题
一、适用范围
个人信息保护认证的适用范围已经为《促进和规范数据跨境流动规定》所框定,《办法(征求意见稿)》亦基本沿袭了这一规定,即适用于同时符合:(1)非关键信息基础设施运营者;(2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的个人信息出境活动。
二、个人信息出境个人信息保护认证VS个人信息出境标准合同
个人信息出境个人信息保护认证的适用范围与个人信息出境标准合同基本重合,且两者都是《个人信息保护法》第38条规定的数据合规出境路径,故对于企业而言,厘清二者的区别,结合企业自身情况决定是否选择个人信息出境个人信息保护认证非常重要。结合法律法规规定及实践情况,我们整理二者的主要区别大致如下:
•从关注的侧重点而言,标准合同备案更侧重于所传输的“个人信息”的评估,其要求“向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的”,应当重新备案,而认证更侧重于对“个人信息处理者”的评估;
•从效力来看,两者效力相同,但根据《关于实施个人信息保护认证的公告》之附件《个人信息保护认证实施规则》第5.1.1条,认证证书的有效期为3年,而标准合同备案一般长期有效;
•从费用上看,尽管未有明确的收费标准,但实践中认证的花费往往会高于标准合同备案;
•从适用场景来看,某些标准合同备案适用效果有限的场景,如因符合《个人信息保护法》第3条第2款情形构成的个人信息出境,选择认证往往更为符合现实需要。
三、实施认证活动适用的规范
根据《个人信息保护认证实施规则》第2条,个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》以及TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。其中,《个人信息跨境处理活动安全认证规范》既包括针对个人信息出境活动的具体合规要求,也包含了实施个人信息出境个人信息保护认证的程序要求。
《个人信息出境个人信息保护认证办法(征求意见稿)》逐条解读
第一条 为了便利个人信息出境活动,规范个人信息出境个人信息保护认证工作,保护个人信息权益,促进个人信息高效便利安全跨境流动,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规,制定本办法。
【解读】上位规定除《个人信息保护法》外,还包括刚刚生效的《网络数据安全管理条例》以及2023年修订的《认证认可条例》。
还需要注意的是,2022年发布的《关于实施个人信息保护认证的公告》及其附件《个人信息保护认证实施规则》虽非上位规定,但仍然适用于个人信息出境个人信息保护认证工作。同时,GB/T 35273《信息安全技术 个人信息安全规范》以及TC260-PG-20222A《个人信息跨境处理活动安全认证规范》也是开展个人信息保护认证工作过程中需要参照的文件。
第二条 在中华人民共和国境内开展个人信息出境个人信息保护认证活动,适用本办法。法律、行政法规另有规定的,依照其规定。
【解读】明确了适用范围是“境内”开展的个人信息出境个人信息保护认证活动,也兼顾了后续立法的弹性和灵活性。
第三条 本办法所称个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证。
本办法所称个人信息出境活动,是指个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的行为。包括但不限于以下情形:
(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;
(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)符合《中华人民共和国个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。
【解读】给出了本办法下个人信息出境个人信息保护认证以及个人信息出境活动的定义。
本条强调了仅有经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构才可以实施个人信息出境个人信息保护认证。截至2025年1月3日,全国认证认可信息公共服务平台公示的、经批准有权开展个人信息保护认证的机构仅有中国网络安全审查认证和市场监管大数据中心。
关于个人信息出境活动,本条所给出的定义与《个人信息出境标准合同备案指南(第二版)》相一致,是首次在法律、法规层面明确符合《中华人民共和国个人信息保护法》第3条第2款情形,在境外处理境内自然人个人信息的个人信息处理活动应当遵守《个人信息保护法》第三章的相关规定。
第四条 中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
前款所称向境外提供的个人信息,不包括重要数据。
【解读】本条明确了个人信息出境个人信息保护认证适用的对象,具体条件与《促进和规范数据跨境流动规定》第8条第1款保持了一致,但却未包含《促进和规范数据跨境流动规定》第8条第2款的内容,可能因此产生歧义。若后续正式落地,可能需要进一步明确。
第五条 符合《中华人民共和国个人信息保护法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内个人信息的个人信息处理者,获得个人信息出境个人信息保护认证,可以进行个人信息出境活动。
【解读】重申了符合《个人信息保护法》第3条第2款规定的境外个人信息处理者可以通过个人信息出境个人信息保护认证合规出境。
在既往个人信息出境合规实务中,如何采取符合《个人信息保护法》第3条第2款情形下的合规动作一直是实务中的难点。不论是数据出境安全评估还是标准合同备案,均要求个人信息处理者与境外接收方之间签署相应的合同以规范双方之间的权利义务,但在基于《个人信息保护法》第3条第2款出境这一场景下,个人信息处理者和境外接收方常常归于一方,使得合同的签署存在事实上的障碍。
可以想见,在个人信息出境个人信息保护认证规则正式落地后,基于《个人信息保护法》第3条第2款处理个人信息的境外个人信息处理者,将更多选择通过个人信息出境个人信息保护认证的方式使个人信息合规出境。
第六条 个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。
【解读】明确了认证机构在开展个人信息保护认证工作的过程中应当遵守的原则。通过“统一标准”“统一规则”“统一标识”以确保市场化的认证工作具备“一致性”。此处的标准和规则可以是《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》或其他标准和规则;此处的“统一标识”可以参见《个人信息保护认证实施规则》第5.2条。
第七条 国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序,对个人信息出境活动进行监督管理。国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。
【解读】明确了个人信息保护认证相关实施规则、实施标准等的制定要求。其中关于个人信息出境个人信息保护认证实施规则、统一认证证书及标志等内容,可见于2022年国家市场监督管理总局与国家网信办联合发布的《关于实施个人信息保护认证的公告》。
第八条 开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续。办理备案时,应当提交下列材料:
(一)取得的个人信息保护领域的认证资质情况;
(二)近3年从事数据安全领域、个人信息保护领域专业工作情况;
(三)个人信息保护认证实施细则及工作计划;
(四)数据安全风险防范机制;
(五)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;
(六)争议受理机制和投诉处理机制;
(七)其他需要提交的材料。
【解读】明确开展认证工作的专业机构应当报向国家网信部门办理备案,并明确了相应的材料要求。该条一旦落地,意味着相关认证机构不仅需要经市场监督管理总局批准,还需要完成网信办备案的前置程序。
第九条 中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。
中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,并承担相应的法律责任,承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理,在认证有效期内接受专业认证机构的持续监督。
【解读】此条规定了境内外个人信息处理者申请个人信息出境个人信息保护认证的程序要求。
就境外个人信息处理者而言,《办法(征求意见稿)》要求应当由其根据《个人信息保护法》第53条设立的专门机构或者指定代表协助进行申请,并承担相应的法律责任。
我们理解本条立法精神类似于2019年的《个人信息出境安全评估办法(征求意见稿)》第20条,旨在明确境内的监管连接点。但考虑到《个人信息保护法》第53条及《网络数据安全管理条例》第26条均未明确规定“专门机构或者指定代表”需要在任何情况下均承担法律责任,此处直接载明境内设立的专门机构或者指定代表应当承担法律责任或有待商榷。
第十条 个人信息出境个人信息保护认证重点评定以下内容:
(一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响;
(三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;
(五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益;
(六)专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。
【解读】此条规定了个人信息出境个人信息保护认证工作开展过程中评定的主要因素。仅从文义上而言,这些评定因素更接近于数据出境安全评估而非标准合同备案,但落地后实际执行过程中认证机构如何把握这些评估因素可能还有待实践探索。
值得注意的是,如前所述,由于认证更倾向于对“个人信息处理者”的评定,而非针对“出境个人信息”的评定,故区别于数据出境安全评估及标准合同备案,本条规定的考虑因素并未囊括“出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”。
第十一条 专业认证机构在开展认证活动中,发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的,应当及时向国家网信部门及有关部门报告。
【解读】规定了专业认证机构的报告义务。从这个维度出发,专业认证机构更接近于居中的“裁判者”,而非受个人信息处理者委托实施认证的机构。
第十二条 专业认证机构应当在颁发认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。国家市场监督管理部门与国家网信部门建立认证信息共享机制。
【解读】规定了专业认证机构的报送义务,明确其应当通过全国认证认可公共信息平台报送个人信息出境个人信息保护认证。但当前网信办数据出境申报系统中仍保留了个人信息保护认证的相关模块,后续是否需要个人信息处理者提交相关的信息,可能还有待进一步澄清。
第十三条 专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的,应当及时暂停、撤销相关认证证书,并予以公布。
国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的,专业认证机构应当配合及时暂停、撤销相关认证证书,并予以公布。
【解读】本条规定了专业认证机构暂停、撤销认证证书,以及监管部门督促专业认证机构暂停、撤销认证证书的程序。
相较第二款的规定,专业认证机构主动发现“个人信息处理者存在个人信息出境情况与认证范围不一致等”情况,实践中可能难度较大。认证证书的暂停、撤销,很多时候或仍然有赖于相应的监管执法动作。
第十四条 国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督,对认证过程和认证结果进行抽查,对专业认证机构进行评价。
国家市场监督管理部门对个人信息出境安全认证活动存在服务质量等问题的,视情节予以警告、责令限期改正、停业整顿;拒不整改或规定期限内未完成整改的,以及存在弄虚作假的,撤销其认证机构资质,并予以公布。
专业认证机构通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家网信部门予以撤销备案;发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的,由国家网信部门予以注销备案。
【解读】本条规定了针对个人信息出境个人信息保护认证以及相关认证机构的监管职责,监管体系的完善有利于个人信息出境个人信息保护认证工作的有序开展。
第十五条 任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门和有关部门举报。
【解读】本条规定了个人信息出境个人信息保护认证相关的举报机制。从表述上看,本条与《数据出境安全评估办法》第16条、《个人信息出境标准合同办法》第10条基本保持了一致。
第十六条 省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按要求整改,消除隐患。
【解读】本条规定了个人信息出境个人信息保护认证相关的约谈机制。从表述上看,本条与《个人信息出境标准合同办法》第11条基本保持了一致。
第十七条 履行个人信息保护职责的相关部门、专业认证机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,并采取相应的技术措施和其他必要措施,保障相关数据不得泄露或者非法向他人提供、非法使用。
【解读】本条强调了履行个人信息保护职责的相关部门(包括市场监督管理部门和网信部门)、专业认证机构及其工作人员的保密义务。从表述上看,本条与《数据出境安全评估办法》第15条、《个人信息出境标准合同办法》第9条基本保持了一致。
第十八条 国家促进个人信息出境个人信息保护认证活动的国际交流与合作,推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认。
【解读】本条将个人信息出境个人信息保护认证活动的国际交流与合作纳入了参与个人信息保护国际治理的范畴之中,系《个人信息保护法》第12条在个人信息出境个人信息保护认证领域的细化。
第十九条 违反本办法规定的,依据《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。
【解读】本条规定了违反《办法(征求意见稿)》相应的法律责任,有助于进一步规范相应的认证活动。
第二十条 本办法自 年 月 日起施行。
【解读】若参照2021年以来数据出境领域相关法律法规落地的速度,《个人信息出境个人信息保护认证办法》正式稿或已经箭在弦上。