我国数据跨境流动制度体系全面建立
国家互联网信息办公室、国家市场监督管理总局联合发布的《个人信息出境认证办法》(以下简称《办法》),将于2026年1月1日起正式施行。
《办法》细化了个人信息出境认证的适用情形、申请方式、认证要求、证书有效期及专业认证机构义务,旨在保障个人信息权益,规范认证活动,促进数据高效、安全跨境流动。
中国人民大学法学院副院长丁晓东指出,《办法》融合我国认证制度与个人信息保护法律框架,构建了一套契合国情、具备针对性和可操作性的出境认证机制,标志着我国个人信息出境制度体系已基本建成。
明确适用条件
清华大学法学院教授申卫星表示,认证作为国际通行的监管互认工具,将跨境传输所需保障具象为“第三方审核+持续监督+对数据主体可执行的承诺与救济”三重机制,体现公私协同治理价值。当前实践中,因认证机构资质不足、细则不明等原因,企业较少采用该路径;《办法》立足监管实际,推动认证制度真正落地。
在适用范围上,《办法》明确:不适用于关键信息基础设施运营者;不适用于重要数据;在处理规模上,需满足自当年1月1日起累计向境外提供10万至100万人(不含敏感个人信息)或不满1万人敏感个人信息的条件。
同时,《办法》对认证机构的重点审查事项、认证程序作出规范,强化认证过程的专业性与一致性。
国家网信办数据与技术保障中心副主任王志成强调,个人信息出境认证坚持自愿性、市场化、社会化服务原则,由第三方机构实施,既可缓解行政监管压力,也赋予企业多元合规选择,有利于激发数字经济活力。
完善监管体系
《办法》规定,个人信息处理者应向具备资质的专业认证机构提出认证申请;认证机构须依据认证基本规范及个人信息保护认证规则开展工作;认证证书有效期为3年,并须在全国认证认可信息公共服务平台备案相关信息。
在部门协同方面,《办法》厘清网信、市场监管等部门职责:事前,由国家网信部门会同数据管理等部门制定出境相关标准与技术规范,市场监管部门会同网信部门制定认证规则、统一证书及标志;事中,两部门联合开展认证活动监督、抽查与评价;事后,对违规获证主体,认证机构须配合暂停或撤销证书,监管部门建立认证信息共享机制。
北京航空航天大学法学院副教授赵精武认为,这一分工明确、覆盖全流程的协同监管模式,有效避免职能交叉与资源浪费,提升监管可控性与响应能力,彰显我国个人信息保护治理能力现代化水平。
国家网信办有关负责人表示,《办法》明确了认证路径的具体实施规则,意味着《个人信息保护法》确立的数据出境安全评估、个人信息保护认证、标准合同三大制度已全部落地,我国数据跨境流动制度体系全面建立。
文章来源:科技日报