專家解讀｜《個人信息出境認證辦法》公布 完成數據跨境制度體系新拼圖

個人信息跨境流動關系個人權益保護、國際經貿活動秩序和國家司法管轄權，“按照國家網信部門的規定經專業機構進行個人信息保護認證”是《個人信息保護法》第三十八條所規定的數據出境合法途徑之一。近日，國家互聯網信息辦公室、國家市場監督管理總局聯合公布《個人信息出境認證辦法》（以下簡稱《辦法》），進一步完善了數據跨境流動規則，打通了個人信息依法出境的新通道，便利了個人信息的有序跨境流動。

一、《辦法》確立了個人信息出境的新方向

認證是由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。“認證”之所以可以成為個人信息出境的合法途徑之一，是因為它把跨境傳輸所需的適當保障具體化為經認可第三方審核+持續監督+對數據主體可執行的承諾與救濟的組合。

（一）認證是國際經貿領域監管互認的主流工具

個人信息出境的主要需求是國際經濟貿易往來，“認證”則是國際經貿領域常見的第三方合格評定方式。WTO框架下的《技術性貿易壁壘協定》開篇提到，認識到國際標準和合格評定體系可以通過提高生產效率和便利國際貿易的進行而在這方面作出重要貢獻，因此期望鼓勵制定此類國際標準和合格評定體系。為此，我們在各種進出口產品中都能看到很多認證標志，以此作為跨國監管互認的通行憑證。可以說，認證是跨國組織常見且容易被接受的安全管理方式，將認證機制引入數據跨境工作能夠增強跨國組織的認可度。

作為個人信息出境監管的先行者，歐盟《通用數據保護條例》（GDPR）在第46條要求數據處理者或控制者在向第三國或國際組織進行個人信息傳輸時必須提供適當的安全保障措施，其中就包括GDPR第42條規定的認證機制。為此，歐洲個人信息保護監督機構在2022年發布了《關于認證作為跨境傳輸工具的07/2022號指南》。我國《個人信息保護法》和《網絡數據安全管理條例》均將“認證”作為個人信息出境的有效途徑之一，《辦法》的出臺將促進我國個人信息出境認證機制的完善。盡管中國和歐洲國家尚未達成關于數據充分性保護的協定，“認證”作為國際上具有互信基礎的監管工具，將有助于促進各國認證結果互認。

（二）認證是持續完善公私合作治理的價值體現

認證能夠通過發揮市場化的專業力量支持政府實現公共治理目標。借助市場化的第三方機構開展認證工作，不僅可以提升治理的專業水平、降低政府成本，同時也能夠提升認證申請人的自由選擇度和獲得感。在這個過程中，監管部門通過認定、備案和管理認證機構來擴展監管能力，認證機構則依靠專業服務的信譽來獲得社會各方認可。

認證是企業主動合規體系建設的體現。認證制度遵循自愿性、市場化、社會化服務原則，故而個人信息保護認證不會額外增加企業負擔，而是為有志于積極從事合規體系建設的企業提供了檢驗合規工作效果的測試場。隨著個人信息保護法律法規的貫徹落實，各類數據處理者主動深化合規體系建設的意識不斷增強。符合相關條件的企業可以主動申請開展認證，從而對自身內部合規決策進行檢查復核，提升企業的數據安全治理能力。

（三）專業認證機構切實履行跟蹤調查職責是其功能實現的保障

《辦法》建立了全鏈條管理機制來壓實專業認證機構的責任。專業認證機構向國家網信部門辦理備案手續時，應當提交對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續監督機制。在出具認證證書之后，專業認證機構發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形，不再符合認證要求的，應當暫停其使用直至撤銷相關認證證書，并予以公布。

《認證認可條例》通過設定嚴格法律責任監督認證機構勤勉盡責。如果認證機構未對其認證的產品、服務、管理體系實施有效的跟蹤調查，或者發現其認證的產品、服務、管理體系不能持續符合認證要求，不及時暫停其使用或者撤銷認證證書并予以公布的，可能面臨5萬元以上20萬元以下的罰款、沒收違法所得；情節嚴重的，可能被要求停業整頓，直至撤銷批準文件。同時《辦法》規定，國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督，開展定期或者不定期的檢查，對認證過程和認證結果進行抽查，對專業認證機構進行抽查和評價，從而壓實專業認證機構責任。

二、個人信息出境認證制度與相關制度共同構筑我國數據跨境監管的完整體系

《辦法》構建的個人信息出境認證是通用認證體系和數據出境監管中的一塊新拼圖，需要對《辦法》和相關制度的適用關系予以說明。

（一）個人信息出境認證和通用個人信息保護認證

《個人信息保護法》所規定的“認證制度”在第三十八條和第六十二條均有體現，本次的《辦法》為第三十八條落地提供了支撐。《個人信息保護法》第六十二條所規定的“支持有關機構開展個人信息保護認證服務”則在2022年就已經啟動。國家互聯網信息辦公室、國家市場監督管理總局在2022年11月聯合發布了《關于實施個人信息保護認證的公告》，決定實施個人信息保護認證，鼓勵個人信息處理者通過認證方式提升個人信息保護能力，并明確了《個人信息保護認證實施規則》。該規則對個人信息保護認證的認證依據作出規定，提出“個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規范》的要求，對于開展跨境處理活動的個人信息處理者，還應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規范》的要求”，并明確了不含跨境處理活動的個人信息保護認證標志、包含跨境處理活動的個人信息保護認證標志2種認證標志。

根據以上規定，個人信息出境認證是特殊類型的個人信息保護認證，除符合通用個人信息保護認證的標準要求外，還應符合關于個人信息跨境的特殊要求，并具有專門的認證標志。《辦法》公布后，將在部門規章這一更高層面上明確個人信息出境認證的特殊要求，與《關于實施個人信息保護認證的公告》相銜接，共同構建個人信息出境認證的制度規范體系。同時，《辦法》也規定，本辦法施行前制定的關于個人信息出境認證的相關規定與本辦法不一致的，按照本辦法執行，明確了制度間的適用效力。

（二）個人信息出境認證和標準合同、安全評估的關系

《個人信息保護法》明確了安全評估、個人信息保護認證、標準合同等個人信息出境制度。《促進和規范數據跨境流動規定》具體劃定了三種途徑的適用范圍，納入“安全評估”范圍內則不能適用“標準合同”“認證”，而“標準合同”和“認證”的適用范圍均為：非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息，且個人信息不包括重要數據。

值得注意的是，出境認證還可以適用于境外直接處理境內自然人個人信息的企業。《辦法》對此專門規定，中華人民共和國境外的個人信息處理者申請個人信息出境認證的，應當由其在境內設立的專門機構或者指定代表協助進行申請，為境外個人信息處理者提供明確的操作指引。

與一次性簽約的“標準合同”不同，認證是針對特定處理活動的體系化“打包合規”。認證由經認可的認證機構持續監督，且認證結果可撤銷，形成外部“合規張力”，幫助對外提供方在盡職調查與持續監控上節省人力、事務成本，而不必反復做同質化檢查。此外，通過“標準合同”途徑對外提供個人信息的，需要個人信息處理者在標準合同生效之日起10個工作日內通過數據出境申報系統備案，這將促使頻繁向不同接收方提供個人信息的境內主體選擇“認證”方式以減輕事務壓力。

黨的二十屆三中全會《決定》要求我們“建立高效便利安全的數據跨境流動機制”。《辦法》的出臺，標志著中國個人信息出境管理體系的全面建成，這將進一步優化我國法治化營商環境，促進數字經濟健康可持續發展。

作者：申衛星　清華大學法學院教授

來源：“網信中國”微信公眾號