《个人信息出境个人信息保护认证办法（征求意见稿）》要点解读与启示｜mhp君悦评论

国家互联网信息办公室近日发布了《个人信息出境个人信息保护认证办法（征求意见稿）》（“《认证征求意见稿》”），拟制订个人信息出境相关的个人信息保护认证细则，以规范对个人信息处理者个人信息出境活动开展的个人信息保护认证。

一、《认证征求意见稿》出台的背景

1. 个人信息保护认证是个人信息跨境传输的合法基础之一

《个人信息保护法》第六十二条要求网信部门推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。同时，根据《个人信息保护法》和相关部门规章的规定，当个人信息处理者向中华人民共和国境外提供个人信息，其需要通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同[1]，个人信息保护认证是个人信息跨境传输的合法基础之一。

2. 个人信息保护认证是对个人信息保护管理体系的认证

根据《认证认可条例》规定，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。国家市场监督管理总局与国家互联网信息办公室于2022年11月4日开始实施个人信息保护认证，发布了《个人信息保护认证实施规则》（“《认证规则》”）。《认证规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。一般而言，个人信息保护认证是一种对个人信息保护管理体系的认证；当个人信息处理者通过个人信息保护管理体系的认证，则授予相应的PIP认证证书或PIPCB认证证书（取决于认证范围）。在个人信息保护认证中，《认证规则》就是开展个人信息保护认证所依据的认证规则。

3. 《认证规则》对个人信息处理者开展跨境处理活动涉及的认证有原则性规定

《认证规则》明确，个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督。个人信息保护认证应依据GB/T 35273《信息安全技术 个人信息安全规范》。而对于开展跨境处理活动的个人信息处理者，还应符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》（V2.0-202212）（“《跨境处理认证规范》”）（全国信息安全标准化技术委员会发布）。

4. 《认证征求意见稿》进一步细化《认证规则》中有关个人信息出境活动的认证要求

《认证规则》适用于一般情况下的个人信息保护认证，包括普通个人信息处理活动和个人信息跨境处理活动的认证。《认证征求意见稿》则专门针对个人信息出境活动，明确了其适用范围仅限于跨境数据传输场景，并对出境活动中的适用范围、认证流程、评定内容及监管措施进行了详细规定。

二、《认证征求意见稿》要点

1. 个人信息出境认证适用范围

这里包括两个方面，一方面是个人信息出境活动的定义，另一方面是具体哪些个人信息出境活动可以进行个人信息保护认证。

• 《认证征求意见稿》所称的“个人信息出境活动”与《个人信息出境标准合同备案指南（第二版）》以及《数据出境安全评估申报指南（第二版）》所定义的“个人信息出境行为”与“数据出境行为”基本一致，包括以下三种情形：

  （一） 个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；

  （二） 个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

  （三） 符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

  
  

• 允许进行个人信息保护认证的个人信息出境活动需同时满足以下条件：

  （一） 个人信息处理者不是关键信息基础设施运营者；

  （二） 自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息；且

  （三） 向境外提供的个人信息不包括重要数据。

2. 个人信息处理者自愿申请认证

相关个人信息处理者本着自愿原则向认证机构申请个人信息出境个人信息保护认证。如果是境外的个人信息处理者，应由其在境内设立的专门机构或指定代表协助进行申请。

3. 认证机构应向国家网信部门办理备案

征求意见稿》要求开展个人出境个人信息保护认证的认证机构向国家网信部门办理备案手续。截至目前，提供个人信息保护认证服务的机构主要是中国网络安全审查认证和市场监管大数据中心（简称CCRC）。该中心是国家市场监督管理总局直属的正司局级事业单位，负责在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训、检验检测等工作。

4. 个人信息出境个人信息保护认证重点评定内容

《认证征求意见稿》明确个人信息出境个人信息保护认证需重点评定以下内容：

（一） 个人信息出境的目的、范围、方式等的合法性、正当性、必要性；

（二） 境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响；

（三） 境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（四） 个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务；

（五） 个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益；

（六） 认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。

三、个人信息出境个人信息保护认证的技术标准

《跨境处理认证规范》是个人信息保护认证的认证依据之一。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求，而开展跨境处理活动的个人信息处理者，还需要满足《跨境处理认证规范》的要求。从《认证规则》来看，对于开展跨境处理活动的个人信息处理者，需要同时满足《信息安全技术 个人信息安全规范》和《跨境处理认证规范》的要求。

1. 适用情形

《跨境处理认证规范》适用于个人信息处理者开展个人信息跨境处理活动。

2. 认证主体

《跨境处理认证规范》下认证主体可以是具有合法法人资格的个人信息处理者。还特别规定：

跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动，可以由境内一方申请认证

对于境外处理活动，可以由境外个人信息处理者的境内专门机构或指定代表申请认证

3. 境外接收方

“境外接收方”是指位于中国境外并自个人信息处理者处接收个人信息的组织或个人。《跨境处理认证规范》要求，为了保证个人信息主体权益，个人信息处理者和境外接收方应指定境内一方、多方或境外接收方在境内设置的机构对境外接收方的个人信息违规处理活动承担法律责任。

4. 认证基本要求

《跨境处理认证规范》规定了个人信息跨境处理活动认证的基本要求：

但我们注意到，《认证征求意见稿》第七条明确，（1）国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序；（2）国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。因此，我们不排除在相关部门正式颁布个人信息保护认证办法后，《跨境处理认证规范》将被后续制订的认证相关标准、法规、规则所取代。

四、个人信息跨境传输中的个人信息保护认证与订立标准合同

从《个人信息保护法》第三十八条来看，除因为满足法定条件而需要通过国家网信部门组织的安全评估，个人信息处理者在向境外提供个人信息时，可以选择适用个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同。

下表简要比较了在个人信息跨境传输中个人信息保护认证与订立标准合同的异同：

两者相比较，个人信息保护认证需要满足《跨境处理认证规范》中列明的各项要求（其中包括签订法律约束力和可执行的文件）、取得认证后还需接受认证机构的日常监督、认证证书每三年更新、向认证机构支付认证费用，在实践中似乎并不具有优势。

五、启示与结语

如前所述，个人信息保护认证是一种对个人信息保护管理体系的认证，而且《跨境处理认证规范》特别提到，跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证，进一步考虑到目前《跨境处理认证规范》强调个人信息处理者与境外接收方均需指定个人信息保护负责人、个人信息保护机构等要求，个人信息保护认证似乎更适合于大型企业、组织与境外开展的长期个人信息跨境处理活动（而非偶发性、一次性或短期的个人信息跨境处理活动），通过第三方专业认证机构对个人信息保护管理体系的认证以及个人信息处理活动的持续监督，保护个人信息相关权益，在个人信息高效便利流动与个人信息安全之间达成更好平衡。

【1】《促进和规范数据跨境流动规定》明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形除外。