王佳雯、刘能斌:要点解读《个人信息出境个人信息保护认证办法(征求意见稿)》_贸法通
EN

专家观点

王佳雯、刘能斌:要点解读《个人信息出境个人信息保护认证办法(征求意见稿)》

发布日期:2025-01-08
字体:
分享到:
文章二维码

微信扫一扫

2025年1月3日,国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》(下文简称《认证办法》)为个人信息跨境传输合规路径中“个人信息保护认证”提供了明确、权威的实践指引。本文将对认证办法中涉及个人信息出境企业需关注的问题进行重点解读。

一、个人信息保护认证法律依据

为保证个人信息在安全合规的前提下实现高效跨境流动,我国在《中华人民共和国个人信息保护法》第三十八条及《网络数据安全管理条例》中根据出境个人信息敏感程度及量级明确了包括:通过国家网信部门组织的安全评估、标准合同备案、个人信息保护认证等多种个人信息出境合规措施。

同时,2024年3月发布的《促进和规范数据跨境流动规定》第八条中进一步明确了个人信息保护认证适用情形,即“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。”

此次《认证办法》的发布为企业开展个人信息保护认证提供了权威且可操作性强的实践指引。

二、个人信息出境个人信息保护认证和标准合同备案的区别

根据《促进和规范数据跨境流动规定》的规定,个人信息保护认证和个人信息出境标准合同备案为并行的个人信息出境合规路径,企业可根据意愿择一开展。但两者仍存在着申请主体、有效期限等方面的差异,了解两者差异可帮助企业选择更适合内部实际情况的合规措施:

(一)申请主体差异

《认证办法》明确境内和境外的个人信息处理者均可申请个人信息出境个人信息保护认证,境外个人信息处理者应当由其在境内设立的专门机构或者指定代表协助进行申请,承担相应的法律责任并接受监督管理。

标准合同签订主体为境内个人信息处理者和境外接收方,而备案的主体须与标准合同境内签署境内主体一致。

(二)有效期限不同

当前,个人信息出境个人信息保护认证有效期限为三年,而个人信息出境标准合同备案的期限可在合同协议中由合同主体自由约定,但不建议约定长期有效。

(三)审核机构不同

个人信息保护认证需要经过国家认证的专业机构审核评定,并在有效期内需要接受专业认证机构的持续监督,国家网信部门和有关部门负责对个人信息保护认证活动及认证机构进行监督评价。个人信息出境标准合同备案材料由省级网信部门收集。

三、个人信息出境个人信息保护认证适用情形

根据《认证办法》第四条的规定,我国境内个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的,应当同时符合下列情形:

  • 非关键信息基础设施运营者;
  • 自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息;
  • 向境外提供的个人信息应不包括重要数据。

此外需要特别注意的是,符合上述规定的企业可根据实际可以在个人信息保护认证和个人信息出境标准合同备案中选择一项出境合规措施开展,且属于《促进和规范数据跨境流动规定》中第三条、第四条、第五条、第六条规定的合规措施豁免情形的企业仍从其规定,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

四、开展个人信息出境个人信息保护认证的机构

根据《认证办法》第六条及第七条的规定,个人信息保护认证应当由相关专业机构开展,且可开展认证的机构应当是被授予国家权威专业资质的主体。

目前我国已有的个人信息保护认证机构仅有中国网络安全审查认证和市场监管大数据中心,预计随着《认证办法》的发布,为满足企业实际需求,可开展该工作的专业机构将会逐渐增加。

五、个人信息出境个人信息保护认证重点评定内容

根据《认证办法》第十条的规定个人信息出境个人信息保护认证重点评定以下内容:

  • 个人信息出境的目的、范围、方式等的合法性、正当性、必要性;
  • 境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响;
  • 境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
  • 个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;
  • 个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益;
  • 专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。

六、认证结果的监督机制

《认证办法》规定国家相关部门将对个人信息保护认证工作进行监督,一方面对企业认证过程和认证结果进行抽查,另一方面对开展认证的专业机构进行认证情况监督。

对于经过认证但仍存在较大风险或者发生个人信息安全事件的企业,国家相关部门可依法对获证个人信息处理者进行约谈。获证企业应当按要求整改,消除隐患。

对于以不正当手段取得备案的专业认证机构,国家相关部门将:

  • 撤销备案;
  • 发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的,注销备案。

七、个人信息出境个人信息保护认证的流程

《认证办法》目前尚未对个人信息保护流程进行明确规定,在后续具体实施标准出台前,可参考2022年国家市场监督管理总局、国家互联网信息办公室发布的《个人信息保护认证实施规则》。

《个人信息保护认证实施规则》规定个人信息保护认证模式为:技术验证+现场审核+获证后监督。具体流程如下图所示:

获得跨境认证后企业将获得相关认证证书和认证标志,认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。

跨境认证标志(如下图):

“ABCD”代表认证机构识别信息

八、结语

《个人信息出境个人信息保护认证办法(征求意见稿)》的出台是我国在个人信息保护领域的又一重要举措,对于规范个人信息跨境流动、保障个人信息安全具有重要意义。通过明确适用范围、规范认证机构管理、确定认证重点内容、强化认证结果监督以及建立完善的认证流程,该办法为企业提供了清晰的合规指引,同时也为相关国家部门提供了有力的监管依据。

然而,随着数字经济的不断发展和国际数据流动格局的变化,个人信息保护工作仍面临诸多挑战,期待相关部门能够根据实际情况不断完善认证办法及相关配套标准,在保障个人信息安全的同时,促进数据跨境自由流动。企业也应积极关注政策动态,加强自身合规建设,以适应日益严格的监管要求,共同构建健康、有序的数字生态环境。

来源:赛博研究院;邮箱:public@sicsi.org.cn、电话:021-61432693

作者:

  • 王佳雯,赛博研究院咨询顾问,助理研究员
  • 刘能斌,赛博研究院咨询顾问,助理研究员
免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询