想必大家都已经熟知我国个人信息出境的三条政府监管路径，即数据出境安全评估、个人信息出境标准合同，以及个人信息保护认证。其中，安全评估与标准合同均已有位阶较高的法规予以明确规定（《数据出境安全评估办法》及《个人信息出境标准合同规定》均为国家互联网信息办公室（“网信办”）的部门规章），而有关认证的法规却迟迟没有出台。2022年11月4日，网信办与国家市场监督管理总局曾联合发布《关于实施个人信息保护认证的公告》，但这仍然没有明确认证的法律地位。在近日，网信办终于发布了《个人信息出境个人信息保护认证办法（征求意见稿）》（“《认证办法》”），对出境认证的适用情形、评估内容及操作流程等进行了细化和完善。本文旨在梳理《认证办法》的核心内容，并分析在个人信息出境路径中，选择标准合同备案还是认证机制的主要考量。

一、个人信息出境活动的认定

《认证办法》沿用了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》中对于个人信息出境活动的界定，明确以下三种典型出境情形：

• 个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；
• 个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；
• 符合《个人信息保护法》（“个保法”）第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

值得特别注意的是第三类情形，根据个保法的域外适用原则，在满足“向境内自然人提供产品或服务”或“分析、评估境内自然人行为”两种情形之一时，个人信息处理活动将直接受到个保法的规制。《认证办法》进一步明确，相关境外处理者在对境内自然人个人信息开展处理活动之前，还需就“自境外收集数据”的行为完成个人信息出境的相关合规程序。如选择适用认证，应由境外处理者在境内设立的专门机构或者指定代表协助进行申请。

二、认证的适用条件

与《促进和规范数据跨境流动规定》第八条的规定保持一致，企业在选择认证作为个人信息出境的合规路径时，需满足以下三个条件：

• 企业未被认定为关键信息基础设施运营者；
• 不涉及出境重要数据；
• 当年累计向境外提供10万人以上、不满100万人普通个人信息（不含敏感个人信息）；或者当年累计向境外提供不满1万人敏感个人信息。

在选择认证路径前，建议企业对自身个人信息出境活动进行全面梳理，包括明确涉及的业务场景、数据的类型以及出境规模。特别是对于出境数据是否涉及重要数据，应密切关注相关主管部门发布的政策文件，以确保符合认证的适用条件。

三、认证的评估内容

《认证办法》提出了六大方面的评估内容，与标准合同备案的评估要求有一定重叠，具体如下表：

两者的主要区别包括：

• 认证区分了“境外个人信息处理者”和“境外接收方”两类角色，并且在第（四）项中，仅要求评估个人信息处理者与境外接收方之间订立的协议。按此理解，如果认证对象为“境外个人信息处理者”，则无需额外签署跨境传输相关协议；
• 认证的第（五）项中，要求同时对个人信息处理者和境外接收方的“组织架构、管理体系、技术措施”进行评估，而标准合同备案侧重于评估境外接收方“履行义务的管理和技术措施、能力”，对个人信息处理者的管理能力等没有特别要求。

四、信息公开与持续监督

《认证办法》强调认证过程的透明度和对于认证结果的持续监督。认证机构需在颁发认证证书后的五个工作日内，将相关信息报送至全国认证认可公共信息平台（https://cx.cnca.cn/）。

此外，认证机构需建立持续监督机制，确保认证主体在认证有效期内持续符合标准。一旦发现认证主体在证书有效期内不再符合认证要求的，认证机构可以暂停、撤销认证证书，并将相关情况予以公布。国家网信部门和相关监管部门也将对获证主体进行监督管理，并对存在问题的企业采取相应措施。

五、认证与标准合同备案如何选择?

由于大多数企业不会触发数据出境安全评估的高门槛要求，标准合同备案和个人信息保护认证将成为企业实现个人信息出境的主要合规路径。那么，企业在考量到底选择标准合同备案还是个人信息保护认证时，应当考虑哪些因素呢?以下我们列出了两者的对比，供企业判断选择：

来源：通力律师

作者：

• 潘永建，通力律师事务所合伙人；电话：+86 136 2172 0830，+86 21 3135 8701、邮箱：david.pan@llinkslaw.com
• 朱晓阳，通力律师事务所合伙人；电话：+86 180 1764 2887，+86 21 3135 8683、邮箱：nigel.zhu@llinkslaw.com
• 邓梓珊，通力律师事务所律师
• 左嘉玮，通力律师事务所律师

声明：本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。