Measures for the Certification of Personal Information Outbound Transfer

近日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》（以下简称《办法》），自2026年1月1日起施行。<br> 国家互联网信息办公室有关负责人表示，《个人信息保护法》对个人信息出境认证制度作了基本规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。《办法》对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定，旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动。<br> 《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。规定个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。<br> 《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年。<br> 《办法》明确了专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形，不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。<br> 《办法》明确了监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部门备案，国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。<br> 《办法》对违反《办法》规定的法律责任、适用效力等作出了规定。