網信辦就個人信息出境個人信息保護認證辦法公開征求意見

C114訊 1月6日消息（顏翊）為促進個人信息高效便利安全跨境流動，規(guī)范個人信息出境個人信息保護認證工作，國家互聯網信息辦公室1月3日向社會公布《個人信息出境個人信息保護認證辦法（征求意見稿）》。意見反饋截止時間為2025年2月3日。

根據征求意見稿，我國境內的個人信息處理者通過個人信息出境個人信息保護認證方式向境外提供個人信息的，應為非關鍵信息基礎設施運營者，且自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息等情形。

征求意見稿要求，履行個人信息保護職責的相關部門、專業(yè)認證機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等應當依法予以保密，并采取相應的技術措施和其他必要措施，保障相關數據不得泄露或者非法向他人提供、非法使用。

附件：個人信息出境個人信息保護認證辦法（征求意見稿）

個人信息出境個人信息保護認證辦法

（征求意見稿）

第一條 為了便利個人信息出境活動，規(guī)范個人信息出境個人信息保護認證工作，保護個人信息權益，促進個人信息高效便利安全跨境流動，根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規(guī)，制定本辦法。

第二條 在中華人民共和國境內開展個人信息出境個人信息保護認證活動，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三條 本辦法所稱個人信息出境個人信息保護認證，是指依法設立并經國家市場監(jiān)督管理部門批準取得個人信息保護認證資質的專業(yè)認證機構，對個人信息處理者個人信息出境活動開展的個人信息保護認證。

本辦法所稱個人信息出境活動，是指個人信息處理者因業(yè)務等需要確需向中華人民共和國境外提供個人信息的行為。包括但不限于以下情形：

（一）個人信息處理者將在境內運營中收集和產生的個人信息傳輸至境外；

（二）個人信息處理者收集和產生的個人信息存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；

（三）符合《中華人民共和國個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他個人信息處理活動。

第四條 中華人民共和國境內的個人信息處理者通過個人信息出境個人信息保護認證方式向境外提供個人信息的，應當同時符合下列情形：

（一）非關鍵信息基礎設施運營者；

（二）自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息。

前款所稱向境外提供的個人信息，不包括重要數據。

第五條 符合《中華人民共和國個人信息保護法》第三條第二款規(guī)定，在中華人民共和國境外處理中華人民共和國境內個人信息的個人信息處理者，獲得個人信息出境個人信息保護認證，可以進行個人信息出境活動。

第六條 個人信息保護認證遵循自愿性、市場化、社會化服務原則。由具備資質的專業(yè)認證機構按照統一標準、統一規(guī)則、統一標識開展個人信息出境個人信息保護認證活動。

第七條 國家網信部門會同有關部門組織制定個人信息出境個人信息保護認證相關標準、技術法規(guī)和合格評定程序，對個人信息出境活動進行監(jiān)督管理。國家市場監(jiān)督管理部門會同國家網信部門組織制定個人信息出境個人信息保護認證實施規(guī)則、統一認證證書及標志。

第八條 開展個人信息出境個人信息保護認證的專業(yè)認證機構應當向國家網信部門辦理備案手續(xù)。辦理備案時，應當提交下列材料：

（一）取得的個人信息保護領域的認證資質情況；

（二）近3年從事數據安全領域、個人信息保護領域專業(yè)工作情況；

（三）個人信息保護認證實施細則及工作計劃；

（四）數據安全風險防范機制；

（五）對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續(xù)監(jiān)督機制；

（六）爭議受理機制和投訴處理機制；

（七）其他需要提交的材料。

第九條 中華人民共和國境內的個人信息處理者自愿向專業(yè)認證機構申請個人信息出境個人信息保護認證。

中華人民共和國境外的個人信息處理者申請個人信息出境個人信息保護認證的，應當由其在境內設立的專門機構或者指定代表協助進行申請，并承擔相應的法律責任，承諾遵守中華人民共和國個人信息保護有關法律法規(guī)并接受監(jiān)督管理，在認證有效期內接受專業(yè)認證機構的持續(xù)監(jiān)督。

第十條 個人信息出境個人信息保護認證重點評定以下內容：

（一）個人信息出境的目的、范圍、方式等的合法性、正當性、必要性；

（二）境外個人信息處理者、境外接收方所在國家或者地區(qū)的個人信息保護政策法律和網絡和數據安全環(huán)境對出境個人信息安全的影響；

（三）境外個人信息處理者、境外接收方的個人信息保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求；

（四）個人信息處理者與境外接收方訂立的有法律約束力的協議是否約定了個人信息保護的義務；

（五）個人信息處理者、境外接收方的組織架構、管理體系、技術措施能否充分有效保障數據安全和個人信息權益；

（六）專業(yè)認證機構根據個人信息保護認證相關標準認為需要評定的其他事項。

第十一條 專業(yè)認證機構在開展認證活動中，發(fā)現個人信息出境活動危害國家安全、公共利益或者嚴重影響個人信息權益的，應當及時向國家網信部門及有關部門報告。

第十二條 專業(yè)認證機構應當在頒發(fā)認證證書或者認證證書狀態(tài)發(fā)生變化后5個工作日內，向全國認證認可公共信息平臺報送個人信息出境個人信息保護認證證書相關信息，包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態(tài)變化信息等。國家市場監(jiān)督管理部門與國家網信部門建立認證信息共享機制。

第十三條 專業(yè)認證機構發(fā)現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等不再符合認證要求的，應當及時暫停、撤銷相關認證證書，并予以公布。

國家網信部門和有關部門在個人信息保護監(jiān)督管理工作中發(fā)現獲證個人信息處理者存在前款情形的，專業(yè)認證機構應當配合及時暫停、撤銷相關認證證書，并予以公布。

第十四條 國家市場監(jiān)督管理部門會同國家網信部門對個人信息出境個人信息保護認證活動進行監(jiān)督，對認證過程和認證結果進行抽查，對專業(yè)認證機構進行評價。

國家市場監(jiān)督管理部門對個人信息出境安全認證活動存在服務質量等問題的，視情節(jié)予以警告、責令限期改正、停業(yè)整頓；拒不整改或規(guī)定期限內未完成整改的，以及存在弄虛作假的，撤銷其認證機構資質，并予以公布。

專業(yè)認證機構通過隱瞞有關情況、提供虛假材料等不正當手段取得備案的，由國家網信部門予以撤銷備案；發(fā)生嚴重違法情形受到停業(yè)整頓、撤銷認證機構資質等行政處罰的，由國家網信部門予以注銷備案。

第十五條 任何組織和個人發(fā)現獲證個人信息處理者違反本辦法向境外提供個人信息的，可以向省級以上網信部門和有關部門舉報。

第十六條 省級以上網信部門和有關部門發(fā)現獲證個人信息處理者存在較大風險或者發(fā)生個人信息安全事件的，可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按要求整改，消除隱患。

第十七條 履行個人信息保護職責的相關部門、專業(yè)認證機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等應當依法予以保密，并采取相應的技術措施和其他必要措施，保障相關數據不得泄露或者非法向他人提供、非法使用。

第十八條 國家促進個人信息出境個人信息保護認證活動的國際交流與合作，推動個人信息出境個人信息保護認證與其他國家、地區(qū)、國際組織之間的互認。

第十九條 違反本辦法規(guī)定的，依據《中華人民共和國個人信息保護法》、《中華人民共和國認證認可條例》等法律法規(guī)處理；構成犯罪的，依法追究刑事責任。

第二十條 本辦法自 年 月 日起施行。