Q&A on the 'Personal Information Outbound Certification Measures'

近日，国家互联网信息办公室、国家市场监督管理总局联合公布了《个人信息出境认证办法》（以下简称《办法》）。国家互联网信息办公室有关负责人就《办法》有关问题回答了记者提问。<br> 问1：请介绍一下《办法》的出台背景。<br> 答：随着全球数字经济飞速发展，数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。《个人信息保护法》规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。为落实法律规定要求，2022年11月，国家市场监督管理总局、国家互联网信息办公室公布了规范性文件《关于实施个人信息保护认证的公告》。在此基础上，制定《办法》，完善我国个人信息跨境流动管理制度，有利于保护个人信息权益，促进个人信息合规利用，为数字经济高质量发展提供法治保障。<br> 问2：《办法》的主要内容是什么？<br> 答：《办法》主要对下列内容进行了规定：一是明确立法目的依据、适用范围。规定个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息，适用本办法。二是明确个人信息出境认证的适用情形。规定个人信息处理者通过个人信息出境认证的方式向境外提供个人信息应当符合的情形，即非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且个人信息不包括重要数据。三是明确个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证，中华人民共和国境外的个人信息处理者申请个人信息出境认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年，证书到期需继续使用的，个人信息处理者应当在有效期届满前6个月提出认证申请。四是明确专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息，发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。五是明确监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部门备案，国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。<br> 问3：通过个人信息出境认证的方式向境外提供个人信息的适用情形如何？<br> 答：《办法》明确个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息；三是向境外提供的个人信息，不包括重要数据。同时，规定个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。<br> 问4：个人信息处理者在申请认证向境外提供个人信息前应当履行什么义务？<br> 答：落实《个人信息保护法》《网络数据安全管理条例》规定要求，《办法》对个人信息处理者在申请认证向境外提供个人信息前应当履行的义务作了细化。规定应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。个人信息保护影响评估重点评估以下内容：一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；二是出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对国家安全、公共利益、个人信息权益带来的风险；三是境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；五是境外接收方所在国家或者地区的个人信息保护政策和法规对出境个人信息安全和个人信息权益的影响；六是其他可能影响个人信息出境安全的事项。<br> 问5：《办法》对专业认证机构提出了哪些要求？<br> 答：《办法》对专业认证机构提出了如下要求：一是应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的，应当及时出具认证证书。二是应当在出具认证证书或者认证证书状态发生变化后5个工作日内，向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息，包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。三是发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形，不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。四是发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。五是应当自国家市场监督管理部门批准取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续，并对所备案材料的真实性负责。六是应当对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密。<br> 问6：《办法》如何对专业认证机构与获证个人信息处理者进行监督管理？<br> 答：《办法》对专业认证机构与获证个人信息处理者的监督管理作了如下规定：一是国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督，开展定期或者不定期的检查，对认证过程和认证结果进行抽查，对专业认证机构进行抽查和评价。二是省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按照要求整改，消除隐患。三是任何组织和个人发现获证个人信息处理者违反本办法规定向境外提供个人信息的，可以向专业认证机构、网信部门和有关部门投诉、举报。四是违反《办法》规定的，依据《个人信息保护法》《网络数据安全管理条例》《认证认可条例》等法律法规处理；构成犯罪的，依法追究刑事责任。<br> 问7：我国数据跨境流动的制度设计情况如何？<br> 答：《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》对数据跨境流动作出基本规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。国家互联网信息办公室先后出台《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》，明确了数据出境安全评估、个人信息出境标准合同等管理制度的实施路径，同时建立了自贸试验区数据出境负面清单制度。《办法》的出台，明确了通过认证方式向境外提供个人信息的具体实施路径，标志着《个人信息保护法》明确的数据出境安全评估、个人信息保护认证、个人信息出境标准合同等出境制度设计的全面落地，也标志着我国数据跨境流动制度体系的全面建立。