个人信息出境个人信息保护认证办法(征求意见稿)

国家互联网信息办公室关于《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见的通知

　　为促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法(征求意见稿)》，现向社会公开征求意见。公众可以通过以下途径查看文稿或提出反馈意见：

　　1.登录中国网信网(www.cac.gov.cn)，进入首页“网信要闻”查看文稿。

　　2.登录中华人民共和国司法部(www.moj.gov.cn)、中国政府法制信息网(www.chinalaw.gov.cn)，进入首页主菜单的“立法意见征集”栏目提出意见。

　　3.通过电子邮件方式发送至：shujuju@cac.gov.cn。

　　4.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“个人信息出境个人信息保护认证办法征求意见”。

　　意见反馈截止时间为2025年2月3日。

　　附件：个人信息出境个人信息保护认证办法(征求意见稿)

国家互联网信息办公室

2025年1月3日

个人信息出境个人信息保护认证办法(征求意见稿)

　　第一条 为了便利个人信息出境活动，规范个人信息出境个人信息保护认证工作，保护个人信息权益，促进个人信息高效便利安全跨境流动，根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规，制定本办法。

　　第二条 在中华人民共和国境内开展个人信息出境个人信息保护认证活动，适用本办法。法律、行政法规另有规定的，依照其规定。

　　第三条 本办法所称个人信息出境个人信息保护认证，是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证。

　　本办法所称个人信息出境活动，是指个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的行为。包括但不限于以下情形：

　　(一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外;

　　(二)个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出;

　　(三)符合《中华人民共和国个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

　　第四条 中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的，应当同时符合下列情形：

　　(一)非关键信息基础设施运营者;

　　(二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。

　　前款所称向境外提供的个人信息，不包括重要数据。

　　第五条 符合《中华人民共和国个人信息保护法》第三条第二款规定，在中华人民共和国境外处理中华人民共和国境内个人信息的个人信息处理者，获得个人信息出境个人信息保护认证，可以进行个人信息出境活动。

　　第六条 个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。

　　第七条 国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序，对个人信息出境活动进行监督管理。国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。

　　第八条 开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续。办理备案时，应当提交下列材料：

　　(一)取得的个人信息保护领域的认证资质情况;

　　(二)近3年从事数据安全领域、个人信息保护领域专业工作情况;

　　(三)个人信息保护认证实施细则及工作计划;

　　(四)数据安全风险防范机制;

　　(五)对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制;

　　(六)争议受理机制和投诉处理机制;

　　(七)其他需要提交的材料。

　　第九条 中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。

　　中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请，并承担相应的法律责任，承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理，在认证有效期内接受专业认证机构的持续监督。

　　第十条 个人信息出境个人信息保护认证重点评定以下内容：

　　(一)个人信息出境的目的、范围、方式等的合法性、正当性、必要性;

　　(二)境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响;

　　(三)境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

　　(四)个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务;

　　(五)个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益;

　　(六)专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。

　　第十一条 专业认证机构在开展认证活动中，发现个人信息出境活动危害国家安全、公共利益或者严重影响个人信息权益的，应当及时向国家网信部门及有关部门报告。

　　第十二条 专业认证机构应当在颁发认证证书或者认证证书状态发生变化后5个工作日内，向全国认证认可公共信息平台报送个人信息出境个人信息保护认证证书相关信息，包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。国家市场监督管理部门与国家网信部门建立认证信息共享机制。

　　第十三条 专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等不再符合认证要求的，应当及时暂停、撤销相关认证证书，并予以公布。

　　国家网信部门和有关部门在个人信息保护监督管理工作中发现获证个人信息处理者存在前款情形的，专业认证机构应当配合及时暂停、撤销相关认证证书，并予以公布。

　　第十四条 国家市场监督管理部门会同国家网信部门对个人信息出境个人信息保护认证活动进行监督，对认证过程和认证结果进行抽查，对专业认证机构进行评价。

　　国家市场监督管理部门对个人信息出境安全认证活动存在服务质量等问题的，视情节予以警告、责令限期改正、停业整顿;拒不整改或规定期限内未完成整改的，以及存在弄虚作假的，撤销其认证机构资质，并予以公布。

　　专业认证机构通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的，由国家网信部门予以撤销备案;发生严重违法情形受到停业整顿、撤销认证机构资质等行政处罚的，由国家网信部门予以注销备案。

　　第十五条 任何组织和个人发现获证个人信息处理者违反本办法向境外提供个人信息的，可以向省级以上网信部门和有关部门举报。

　　第十六条 省级以上网信部门和有关部门发现获证个人信息处理者存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。获证个人信息处理者应当按要求整改，消除隐患。

　　第十七条 履行个人信息保护职责的相关部门、专业认证机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，并采取相应的技术措施和其他必要措施，保障相关数据不得泄露或者非法向他人提供、非法使用。

　　第十八条 国家促进个人信息出境个人信息保护认证活动的国际交流与合作，推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认。

　　第十九条 违反本办法规定的，依据《中华人民共和国个人信息保护法》、《中华人民共和国认证认可条例》等法律法规处理;构成犯罪的，依法追究刑事责任。

　　第二十条 本办法自 年 月 日起施行。