国家互联网信息办公室、国家市场监督管理总局近日联合公布的《个人信息出境认证办法》（以下简称《办法》），将于2026年1月1日起施行。

　　《办法》对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务等作出细化规定，旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动。

　　“《办法》结合我国认证制度与个人信息保护的相关法律规定，形成了一套契合中国国情、具有较强针对性和可操作性的个人信息出境认证制度。”中国人民大学法学院副院长丁晓东认为，《办法》的出台是我国个人信息出境领域立法和监管体系的重要完善，标志着我国个人信息出境制度体系已构建完成。

　　明确适用条件

　　清华大学法学院教授申卫星解释说，认证是由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证之所以可以成为个人信息出境的合法途径之一，是因为它把跨境传输所需的适当保障具体化为“经第三方审核+持续监督+对数据主体可执行的承诺与救济”的组合。认证是国际经贸领域监管互认的主流工具、是持续完善公私合作治理的价值体现，专业认证机构切实履行跟踪调查职责是其功能实现的保障。

　　“现有的个人信息出境认证主要停留在规定层面，实践中由于缺乏具备认证资质的认证机构、认证细则不明确等，企业较少采用此种机制进行个人信息跨境传输。”丁晓东说，《办法》立足我国个人信息保护规定和监管经验，切实推动了个人信息出境认证制度落地。

　　一方面，《办法》明确适用个人信息出境认证的条件。主体方面，《办法》明确不适用于关键信息基础设施运营者；信息类型方面，明确不适用于重要数据；处理信息数量方面，规定需满足自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的条件。

　　另一方面，《办法》明确专业认证机构认证重点要求，规范个人信息出境认证程序。

　　“《办法》是促进数据高效便利安全跨境流动、推动数字经济高质量发展的制度保障。”国家互联网信息办公室数据与技术保障中心副主任王志成认为，个人信息出境认证制度遵循自愿性、市场化、社会化服务原则，由第三方机构实施，既有利于减轻监管部门行政负担，也赋予企业更多合规选择权，更有助于激发数字经济活力。

　　完善监管体系

　　《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期，规定个人信息处理者应当向专业认证机构申请个人信息出境认证，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。《办法》明确认证证书的有效期为3年，同时规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。

　　《办法》还明确了网信与市场监管等部门的职责分工，形成协同监管与动态治理的合力。比如，《办法》明确规定了国家有关主管部门的全流程监管责任。事前，要求国家网信部门会同国家数据管理部门和其他有关部门制定个人信息出境相关标准、技术规范。国家市场监管部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。事中，要求国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督，开展定期或者不定期的检查，对认证过程和认证结果进行抽查，对专业认证机构进行抽查和评价。事后，要求国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在违规情形的，专业认证机构应当配合暂停其使用直至撤销认证证书。国家市场监督管理部门与国家网信部门建立认证信息共享机制。

　　“这种分工明确、互为补充的监管模式，既避免了职能重叠与资源浪费，又确保了认证活动全流程的可控性与应变能力，充分体现了我国在个人信息保护领域治理能力现代化水平的提升。”北京航空航天大学法学院副教授赵精武说。

　　国家互联网信息办公室有关负责人说，《办法》的出台，明确了通过认证方式向境外提供个人信息的具体实施路径，标志着个人信息保护法明确的数据出境安全评估、个人信息保护认证、个人信息出境标准合同等出境制度设计的全面落地，也标志着我国数据跨境流动制度体系的全面建立。