国家互联网信息办公室与国家市场监督管理总局近日联合发布《个人信息出境认证办法》,该办法将于2026年1月1日起正式实施。这一举措旨在完善个人信息跨境流动管理制度,通过细化认证规则保障公民数据权益,同时促进国际数据要素的高效流通。
根据国家网信办相关负责人介绍,新规是对《个人信息保护法》中出境认证制度的进一步落实。依据法律规定,通过专业机构开展个人信息保护认证已成为向境外传输数据的法定路径之一。此次出台的办法从适用场景、申请流程、机构责任到监管机制进行了全方位规范,构建起覆盖认证全周期的管理体系。
在适用范围方面,办法明确两类主体可申请认证:非关键信息基础设施运营者,且年度累计向境外传输的个人信息需满足特定条件。具体而言,包括向境外提供10万至100万人非敏感个人信息,或提供不满1万人敏感个人信息,同时明确排除重要数据的传输场景。监管部门特别强调,严禁通过拆分数据量等方式规避更严格的安全评估程序。
关于认证实施流程,办法规定申请主体应向具备资质的专业机构提交材料。认证机构需依据国家标准和专项规则开展评估,核发有效期为3年的认证证书。证书信息将同步至全国认证认可信息公共服务平台,实现全过程可追溯管理。
专业认证机构承担着重要监管职责。除定期报送认证数据外,当发现获证企业存在超出认证范围传输数据、不再符合认证标准等情形时,须立即暂停证书使用直至撤销资质。若发现传输行为涉嫌违法违规,应及时向网信部门和行业主管部门报告。
在监督管理层面,办法构建起多层级防控体系。认证机构需在取得资质后10个工作日内向网信部门备案,两部委将联合开展专项监督检查。省级以上网信部门对存在重大风险或发生安全事件的获证企业,可依法采取约谈等处置措施。
办法还详细规定了违反认证规则的法律责任条款,对不同违规情形设定了相应的处罚标准,确保制度执行的刚性和权威性。
