您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [炼石网络]:图解国家互联网信息办公室、国家市场监督管理总局《个人信息出境认证办法》 - 发现报告
回到首页 AI 搜索 发现报告 发现数据
发现专题
专题报告 专题百科
研选报告 定制报告 VIP 权益 发现大使
行业研究公司研究宏观策略财报招股书会议纪要seedance2.0低空经济DeepSeekAIGC大模型

图解国家互联网信息办公室、国家市场监督管理总局《个人信息出境认证办法》

信息技术 2025-10-22 炼石网络 SaintL
报告封面

炼石网络2025年10月22日 01图解《个人信息出境认证办法》 02图解《促进和规范数据跨境流动规定》03图解《数据出境安全评估办法》04图解《中国(北京)自由贸易试验区数据出境负面洁单管理办法(试行)》05图解《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)06炼石免改造数据安全保护实践 目录CONTENT 《个人信息出境认证办法》促进个人信息高效安全跨境流动 2025年10月14日,国家互联网信息办公室,国家市场监督管理总局联合公布《个人信息出境认证办法》,自2026年1月1日起施行,旨在保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动。 主要内客 “个人信息保护法》对个人信息出境认证制度作了基本规定,按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。办法3共19条,对个人信息出境认证的适用情形,个人信息出境认证的申请方式、认证要求及证书有效期,专业认证机构应当展行的义务,监督管理要求等作出细化规定。 《个人信息出境认证办法》出台标志我国三种个人信息出境制度全面落地 《促进和规范数据跨境流动规定》 《网络数据安全管理条例》 《个人信息保护法》 &认证认可条例》 制定依据 第三十五条。行合下列件之一的,因格热配处至者可的微出培安全评估:(二)投国家信票门送至 第五十九条认证购有下列档B之一的,责电改正,5万元以上20万元百全意证批排文件,并手公布:(三)未对其认证的产品,限高,首用体系以下的题,有得的,没收过得;情节严更的,吉令停业整起,生的有效的留究通台,或者发现其认证的产品,限,首理体系不量持使4 三十八备,个人信户处理者因业为尊量z,重中中人民共和国院外程供个人信息安全评估;(二)提国家用信门送整专业机进行个人总保护认话;(三)技同国家网信留门详准合网与换外接收方订立合国,教定双方的收利用支务 人信息出境认证制度与相关制度,共同构筑我国数据跨境监管的完整体系 个人信息出境认证和通用个人信息保护认证 个人信息出境认证和标准合同、安全评估的关系 个人信皇保护法 所规定的“认证到度”在第三十八条和第六十二条均有体现,本次的办法为第三十八条落地提供了支撑, 《关于实施个人信息保护认证的公告 国家市场监骨管理总局在2022年11月联合发布,决定实地个人电国家互联网信员办公率,信息保护认证实的规用。个人信息保护整力,并明确个人信对不人信息护认让的认证做据作出定,提出值患处理者应当符合GB/T35273 值患安全技术个人值患安全理范》的要录,对于开应购境处理活动的上人信息处理者,还变当物合TC260-PG-20222A个人信息跑质处理活动安全认证规范》的量枣”,日前,国家标准变公布新的推荐性国家标准GB/T46068十3月1日禁(个人信息跑境处理活动安全认证规范》持不周适用。 兼具通用要求和跨境要求 强化法律的适用效力 个人信息出境认证是特殊类型的个人信息保护认证,除符合通用个人造息保护认证的标准要求外,还应符合关于个人信息跨境的特殊要求,并只有专门的认证标志。 办法”规定,本办法施行前制定的关于个人信息出境认证的相关规定与本办法不一政的,按照本办法热行,明确了制度间的适用效力。 人人信息出境认证的四人特性 当个人信息出境认证 统一性 自愿性 社会化 市场化 认证活动以需求为导尚,由政府、专业认证机构、申请人以及社会公众共同合作实现。 主管部门制定个人信息出境认证相关标准、技术规范、认证规则,统一认证证书和标志,专业认证机构按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动,能够保证认证门的一致性,避免申请人为了提升认证通过率,选择采用标准更低的认证机构。 认证主体是市场化的专业认证机构而非国家监管部门,这在很大程度上有助于激发认证活动的活力,增强认证制度的适用性。 认证申请系由个人信息处理者自愿向专业认证机构提出,认证不是强制性的出境手续,不会给企业带来合规负担。 《办法》是营造市场化法治化国际化一流营商环境、推进高水平对外开放的重要举措 认证制度本身发源于市场需求、根植于依规评定、兴盛于国际贸易,具有鲜明的市场化、法治化、国际化特征。数字时代,个人信息出境认证制度使得这些特征更加突出。 通行实践 法治延伸 基础制度 个人信息出境认证是全球政字治理通行实践。在数字经济全球化的背景下,个人信息跨境流动已成为国际数据合作的核心纽带。据有关统计,全球数据跨境量已达ZB级规模,但合规导致的法律纠纷年均增长47%。在此青景下,个人信息出境认证作为平衡数据流通效率与隐私保护的市场化机制,已成为全球主要国家和国际组织的共同选择。例如,亚太经合组织(APEC)主导的“鹭境院我规则体系”(CBPR)开创了区域内认证互认的先河,欧盟通过通用数据保护条例(GDPR)明确了个人信息跨境传输的认证机制。办法的出台,充分借鉴全球个人信息出境认证的通行做法,主动对接国际规则,为数字贸易国际合作提供制度保障。 个人信息出境认证是数字经济市场化的其础制度。认证制度与市场化是相互支择、动态适配的共生关系,二者以安全合规为纽带,共同服务于数字经济要泰高效配置。 个人信息出境认证是我国数据治理法治延伸。法治化营商环境的前提是有法可依、有法必依。个人信息保护法明确个人信息出境可通过认证选径实现,但需具体制度组化实施路径。 市场化进程中合规成本不均、信任缺失,竞争失衡等痛点,直接催生了认证制度的需求。数字经济市场化需破解个人信息跨境流动难题,但不同规模企业合规能力差异显著,大型企业可自建合规体系,中小微企业因专业能力不足陷入合规困境。同时,跨境合作中个人信息安全信任缺失会推高交易成本。协办法的出台,通过统一标准、建立第三方专业服务体系等,填补了合规能力缺口,构建了信任机制,有效降低了市场化障碍。 协法”的出台,明确了认证机构资质、流程规范、监替管理要求等内容,将法律原则转化为可择作的合规指引,强化了“有法可依”的实践保障,为企业提供清晰的合规错点。同时,个人信息出境认证通过标准化评定,也能够为监管提供客观依据。 炼石整理《个人信息出境认证办法》总结构 《办法》基于国家有关主管部门、专业认证机构、个人信息处理者三方主体构建了责任明确、边界清晰、环环相扣的“三位一体”个人信息跨境安全保障体系 一问:《办法》的出台背景? 随着全球数字经济飞速发展,数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。 2022年11月,国家市场监督管理总局。国家互联网信息办公室公布了规范性文件《关于实施个人信息保护认证的公告》 《个人信息出境认证办法》完善我国个人信息跨境流动管理制度,有利于保护个人信息权益,促进个人信息合规利用,为致字经济高质量发展提供法治保障。 二问:《办法》的主要内容是什么? 明确个人信息出境认证的中请方式、认证要求及证书有效期 明确个人信息出境认证的适用情形 明确立法目的依据、适用范围 规定个人信息处理者应当向专业认证机构申请个人信息出境认证,中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年,证书到期需继续使用的,个人信息处理者应当在有效期届酒前6个月提出认证中请。 规定个人信息处理者通过个人信息出境认证的方式向境外提供个人信息应当符合的情形,即非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上,不满100万人个人信息(不含敏感个人信息)或者不满1万人数感个人信息,且个人信息不包括重要数据。 规定个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息适用本办法。 明确监督管理要求 明确专业认证机构应当服行的义务 规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。 规定专业认证机构自取得认证资质之日起10个工作日内,应当向国家网信部门备案,国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。 三问:通过个人信息出境认证的方式向境外提供个人信息的适用情形如何?炼石 《办法》明确个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形: 四问:个人信息保护影响评估重点评估内容是什么? 五问:《办法》是如何通过部门协同与动态监管来确保认证的权威性和有效性的? 明确网信部门与市场监管部门等部门的职责分工,形成协同监管与动态治理的合力 建立共享机制 违规处罚 制定规则 在发现获证个人信息处理者存在进规情形时,国家网信部门和有关部门可依法要求专业认证机构暂停直至撤销相关认证证书,省级以上网信部门和有关部门可对涉事企业开展约谈并实施整改监督。 办法第四条明确,国家市场监智管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。 《办法》第九条、第十条、第十三条、第十六条明确,国家市场监哲管理部门和国家网信部门建立认证信息共享机制,对个人信息出境认证活动开展定期或者不定期的检查,并对认证过程与结果进行抽查。 这种分工明确、互为补充的监管模式,既避免了职能重叠与资源浪费,又确保了认证活动全流程的可控性与应变能力,充分体现了我国在个人信息保护领域治理能力现代化水平的提升。 六问:《办法》对专业认证机构提出了哪些要求? 暂停使用,撤销证书 [证书状态,报送信息 按照规则,出具证书 二是应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息,包括认证证书编号、获证个人信息处理者名称、认证范困以及证书状态变化信息等。 三是发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,!应当暂停其使用首至撤销相关认证证书。 是应当按照认证基本规范、个人信息保护认证规则开展个人信总出境认证活动。符合认证要求的,应当及时出具认证证书。 十个工作日内,办理备案 违反法规,部门报告 履行职责,依法保密 五是应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续,并对所备案材料的真实性负责。 六是应当对在履行职责中知悉的个人隐私,个人信息、商业秘密、保密商务信息等依法予以保密。 四是发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。 七问:开展个人信息出境认证的专业认证机构办理备案时,应当提交什么材料? 办理备案时,应当提交下列材料: (六)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制; 八问:《办法》如何对专业认证机构与获证个人信息处理者进行监督管理? 国家市场监督管理部门和国家网信部门 对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价。 省级以上网信部门和有关部门 发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改,消除隐患。 任何组织和个人 发现获证个人信息处理者违反本办法规定向境外提供个人信息的,可以向专业认证机构、网信部门和有关部门投诉、举报, 违反《办法》规定的,依据《个人信息保护法》《网络数据安全管理条例》《认证认可条例》等法律法规处理;构成犯罪的,依法追究刑事责任。 《办法》对促进数据安全跨境流动、数字经济高质量发展重大意义?炼石九问: 个人信息出境认证制度遵循自愿性、市场化、社会化服务原则,由第三方机构实施,既减轻监管部门行政负担

点击免费查看完整报告