Law-lib.com 2025-10-17 21:06:47 中國網信網
近日,國家互聯網信息辦公室、國家市場監督管理總局聯合公布了《個人信息出境認證辦法》(以下簡稱《辦法》)。國家互聯網信息辦公室有關負責人就《辦法》有關問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景。
答:隨著全球數字經濟飛速發展,數據跨境流動成為推動數據要素全球配置、開展高水平國際合作競爭的關鍵。《個人信息保護法》規定,按照國家網信部門的規定經專業機構進行個人信息保護認證是向境外提供個人信息的法定途徑之一。為落實法律規定要求,2022年11月,國家市場監督管理總局、國家互聯網信息辦公室公布了規范性文件《關于實施個人信息保護認證的公告》。在此基礎上,制定《辦法》,完善我國個人信息跨境流動管理制度,有利于保護個人信息權益,促進個人信息合規利用,為數字經濟高質量發展提供法治保障。
問2:《辦法》的主要內容是什么?
答:《辦法》主要對下列內容進行了規定:一是明確立法目的依據、適用范圍。規定個人信息處理者通過個人信息保護認證的方式向中華人民共和國境外提供個人信息,適用本辦法。二是明確個人信息出境認證的適用情形。規定個人信息處理者通過個人信息出境認證的方式向境外提供個人信息應當符合的情形,即非關鍵信息基礎設施運營者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息,且個人信息不包括重要數據。三是明確個人信息出境認證的申請方式、認證要求及證書有效期。規定個人信息處理者應當向專業認證機構申請個人信息出境認證,中華人民共和國境外的個人信息處理者申請個人信息出境認證的,應當由其在境內設立的專門機構或者指定代表協助進行申請。專業認證機構應當按照認證基本規范、個人信息保護認證規則開展認證活動。明確認證證書的有效期為3年,證書到期需繼續使用的,個人信息處理者應當在有效期屆滿前6個月提出認證申請。四是明確專業認證機構應當履行的義務。規定專業認證機構應當向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。五是明確監督管理要求。規定專業認證機構自取得認證資質之日起10個工作日內,應當向國家網信部門備案,國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督。
問3:通過個人信息出境認證的方式向境外提供個人信息的適用情形如何?
答:《辦法》明確個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的,應當同時符合下列情形:一是非關鍵信息基礎設施運營者;二是自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息;三是向境外提供的個人信息,不包括重要數據。同時,規定個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。
問4:個人信息處理者在申請認證向境外提供個人信息前應當履行什么義務?
答:落實《個人信息保護法》《網絡數據安全管理條例》規定要求,《辦法》對個人信息處理者在申請認證向境外提供個人信息前應當履行的義務作了細化。規定應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。個人信息保護影響評估重點評估以下內容:一是個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;二是出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對國家安全、公共利益、個人信息權益帶來的風險;三是境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;四是個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;五是境外接收方所在國家或者地區的個人信息保護政策和法規對出境個人信息安全和個人信息權益的影響;六是其他可能影響個人信息出境安全的事項。
問5:《辦法》對專業認證機構提出了哪些要求?
答:《辦法》對專業認證機構提出了如下要求:一是應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。符合認證要求的,應當及時出具認證證書。二是應當在出具認證證書或者認證證書狀態發生變化后5個工作日內,向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態變化信息等。三是發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形,不再符合認證要求的,應當暫停其使用直至撤銷相關認證證書。四是發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。五是應當自國家市場監督管理部門批準取得個人信息保護認證資質之日起10個工作日內向國家網信部門辦理備案手續,并對所備案材料的真實性負責。六是應當對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等依法予以保密。
問6:《辦法》如何對專業認證機構與獲證個人信息處理者進行監督管理?
答:《辦法》對專業認證機構與獲證個人信息處理者的監督管理作了如下規定:一是國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督,開展定期或者不定期的檢查,對認證過程和認證結果進行抽查,對專業認證機構進行抽查和評價。二是省級以上網信部門和有關部門發現獲證個人信息處理者個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按照要求整改,消除隱患。三是任何組織和個人發現獲證個人信息處理者違反本辦法規定向境外提供個人信息的,可以向專業認證機構、網信部門和有關部門投訴、舉報。四是違反《辦法》規定的,依據《個人信息保護法》《網絡數據安全管理條例》《認證認可條例》等法律法規處理;構成犯罪的,依法追究刑事責任。
問7:我國數據跨境流動的制度設計情況如何?
答:《網絡安全法》《數據安全法》《個人信息保護法》《網絡數據安全管理條例》對數據跨境流動作出基本規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:(一)通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。國家互聯網信息辦公室先后出臺《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》,明確了數據出境安全評估、個人信息出境標準合同等管理制度的實施路徑,同時建立了自貿試驗區數據出境負面清單制度。《辦法》的出臺,明確了通過認證方式向境外提供個人信息的具體實施路徑,標志著《個人信息保護法》明確的數據出境安全評估、個人信息保護認證、個人信息出境標準合同等出境制度設計的全面落地,也標志著我國數據跨境流動制度體系的全面建立。
日期:2025-10-17 21:06:47 | 關閉 |
Copyright © 1999-2021 法律圖書館
.
.
