專家解讀｜加快實施個人信息出境認證制度 以高水平數據安全保障數字經濟高質量發展

我國《個人信息保護法》明確規定，個人信息處理者向境外提供個人信息的，應當具備通過安全評估、進行個人信息保護認證、訂立標準合同等條件之一。前期，《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》等相關規章已發布實施。近日，國家互聯網信息辦公室、國家市場監督管理總局聯合發布《個人信息出境認證辦法》（以下簡稱《辦法》），標志著個人信息出境具體制度的全面落地，這對于推進高水平開放、推動高質量發展、保障高水平安全具有重要意義。

一、《辦法》是營造市場化法治化國際化一流營商環境、推進高水平對外開放的重要舉措

認證制度本身發源于市場需求、根植于依規評定、興盛于國際貿易，具有鮮明的市場化、法治化、國際化特征。數字時代，個人信息出境認證制度使得這些特征更加突出。

（一）個人信息出境認證是數字經濟市場化的基礎制度。認證制度與市場化是相互支撐、動態適配的共生關系，二者以安全合規為紐帶，共同服務于數字經濟要素高效配置。市場化進程中合規成本不均、信任缺失、競爭失衡等痛點，直接催生了認證制度的需求。數字經濟市場化需破解個人信息跨境流動難題，但不同規模企業合規能力差異顯著，大型企業可自建合規體系，中小微企業因專業能力不足陷入合規困境。同時，跨境合作中個人信息安全信任缺失會推高交易成本。《辦法》的出臺，通過統一標準、建立第三方專業服務體系等，填補了合規能力缺口，構建了信任機制，有效降低了市場化障礙。

（二）個人信息出境認證是我國數據治理法治延伸。法治化營商環境的前提是有法可依、有法必依。《個人信息保護法》雖明確個人信息出境可通過認證途徑實現，但需具體制度細化實施路徑。《辦法》的出臺，明確了認證機構資質、流程規范、監督管理要求等內容，將法律原則轉化為可操作的合規指引，強化了“有法可依”的實踐保障，為企業提供清晰的合規錨點。同時，個人信息出境認證通過標準化評定，也能夠為監管提供客觀依據。

（三）個人信息出境認證是全球數字治理通行實踐。在數字經濟全球化的背景下，個人信息跨境流動已成為國際數據合作的核心紐帶。據有關統計，全球數據跨境量已達ZB級規模，但合規導致的法律糾紛年均增長47%。在此背景下，個人信息出境認證作為平衡數據流通效率與隱私保護的市場化機制，已成為全球主要國家和國際組織的共同選擇。例如，亞太經合組織（APEC）主導的“跨境隱私規則體系”（CBPR）開創了區域內認證互認的先河，歐盟通過《通用數據保護條例》（GDPR）明確了個人信息跨境傳輸的認證機制。《辦法》的出臺，充分借鑒全球個人信息出境認證的通行做法，主動對接國際規則，為數字貿易國際合作提供制度保障。

二、《辦法》是促進數據高效便利安全跨境流動、推動數字經濟高質量發展的制度保障

個人信息出境認證制度遵循自愿性、市場化、社會化服務原則，由第三方機構實施，既減輕監管部門行政負擔，也賦予企業更多合規選擇權，更激發數字經濟的動能。

（一）《辦法》將有效提升企業的合規效率。個人信息出境合規涉及法律、技術、管理等多領域專業知識，中小微企業往往因缺乏專業人才而面臨合規困境。專業認證機構能夠根據企業需求提供全流程服務，包括個人信息出境風險評估、安全技術方案設計、境外接收方資質審核等，有效彌補企業能力短板，有效提升企業合規效率。

（二）《辦法》將有助于增加企業的信任資產。《辦法》明確，個人信息出境認證由國家認可的專業認證機構實施，認證過程嚴格遵循規定標準，認證結果具有官方認可的公信力。對用戶而言，通過認證意味著企業的數據處理符合國家隱私保護要求，減少企業向用戶傳遞信任的溝通成本。對商業伙伴而言，通過認證是企業數據安全能力的名片，特別在跨境合作中，無需雙方重復開展合規審查，直接以認證結果作為信任基礎，縮短合作談判周期。

（三）《辦法》將倒逼企業加速數字化轉型。個人信息出境認證標準對數據加密、訪問控制、安全審計等技術指標的要求，促使企業加大數據安全投入，在提升合規水平的同時，也優化了企業數據治理能力。實踐證明，通過認證的企業普遍建立了數據全生命周期管理體系，這些能力不僅保障了數據安全，還為企業精準營銷、產品創新等提供了支撐。

（四）《辦法》將有望催生專業數據服務新業態。《辦法》的出臺，通過激活合規服務需求、重構跨境數據服務邏輯，將催生出專業化場景化平臺化的新型服務業態，形成覆蓋咨詢、技術、運營、生態等全鏈條服務體系。認證過程的復雜性，推動合規服務從廣譜咨詢向垂直領域深耕轉型。認證對數據安全技術的硬性要求，將催生出敏感數據識別系統、跨境數據加密傳輸模塊等技術服務新業態。

三、《辦法》是提升數據安全治理監管能力、構建高水平數據安全保障體系的重要抓手

《辦法》基于國家有關主管部門、專業認證機構、個人信息處理者三方主體，構建了責任明確、邊界清晰、環環相扣的“三位一體”個人信息跨境安全保障體系。

（一）明確國家有關主管部門的監管責任。《辦法》明確規定了國家有關主管部門的全流程監管責任。事前，要求國家網信部門會同國家數據管理部門和其他有關部門制定個人信息出境相關標準、技術規范。國家市場監管部門會同國家網信部門制定個人信息保護認證規則、統一認證證書及標志。事中，要求國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督，開展定期或者不定期的檢查，對認證過程和認證結果進行抽查，對專業認證機構進行抽查和評價。事后，要求國家網信部門和有關部門在個人信息保護監督管理工作中發現獲證個人信息處理者存在違規情形的，專業認證機構應當配合暫停其使用直至撤銷認證證書。國家市場監督管理部門與國家網信部門建立認證信息共享機制。

（二）明確認證機構的中介責任。《辦法》對專業認證機構的責任進行了嚴格的規定。專業認證機構應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。在開展認證活動中，發現個人信息出境活動違反法律、行政法規和國家有關規定的，應當及時向國家網信部門和有關部門報告。專業認證機構在出具認證證書或者認證狀態發生變化后5個工作日內，向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息。此外，《辦法》要求專業認證機構應當自國家市場監督管理部門批準取得個人信息保護認證資質之日起10個工作日內向國家網信部門辦理備案手續，并提交相關材料。

（三）明確個人信息處理者的主體責任。《辦法》對個人信息處理者的責任進行了明確的限定。關于開展認證的條件，要求是非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息，且個人信息不包括重要數據。關于開展認證前的要求，包括按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務，并對個人信息保護影響評估重點評估內容進行了詳細規定。關于申請認證的方式，要求應當向專業認證機構申請個人信息出境認證，境外的個人信息處理者應當由其在境內的設立的專門機構或者指定代表協助進行申請。

總之，《辦法》的出臺具有多重里程碑意義，既是我國數據領域開放、發展、安全三者協同統一的制度典范，更是我國數據跨境治理體系走向成熟的重要標志。

作者：王志成　國家網信辦數據與技術保障中心副主任

來源：“網信中國”微信公眾號