國家互聯網信息辦公室與國家市場監督管理總局近日聯合發布《個人信息出境認證辦法》,該辦法將于2026年1月1日起正式實施。這一舉措旨在完善個人信息跨境流動管理制度,通過細化認證規則保障公民數據權益,同時促進國際數據要素的高效流通。
根據國家網信辦相關負責人介紹,新規是對《個人信息保護法》中出境認證制度的進一步落實。依據法律規定,通過專業機構開展個人信息保護認證已成為向境外傳輸數據的法定路徑之一。此次出臺的辦法從適用場景、申請流程、機構責任到監管機制進行了全方位規范,構建起覆蓋認證全周期的管理體系。
在適用范圍方面,辦法明確兩類主體可申請認證:非關鍵信息基礎設施運營者,且年度累計向境外傳輸的個人信息需滿足特定條件。具體而言,包括向境外提供10萬至100萬人非敏感個人信息,或提供不滿1萬人敏感個人信息,同時明確排除重要數據的傳輸場景。監管部門特別強調,嚴禁通過拆分數據量等方式規避更嚴格的安全評估程序。
關于認證實施流程,辦法規定申請主體應向具備資質的專業機構提交材料。認證機構需依據國家標準和專項規則開展評估,核發有效期為3年的認證證書。證書信息將同步至全國認證認可信息公共服務平臺,實現全過程可追溯管理。
專業認證機構承擔著重要監管職責。除定期報送認證數據外,當發現獲證企業存在超出認證范圍傳輸數據、不再符合認證標準等情形時,須立即暫停證書使用直至撤銷資質。若發現傳輸行為涉嫌違法違規,應及時向網信部門和行業主管部門報告。
在監督管理層面,辦法構建起多層級防控體系。認證機構需在取得資質后10個工作日內向網信部門備案,兩部委將聯合開展專項監督檢查。省級以上網信部門對存在重大風險或發生安全事件的獲證企業,可依法采取約談等處置措施。
辦法還詳細規定了違反認證規則的法律責任條款,對不同違規情形設定了相應的處罰標準,確保制度執行的剛性和權威性。
