個人信息出境認證辦法
個人信息出境認證辦法
國家市場監督管理總局 國家互聯網信息辦公室
個人信息出境認證辦法
國家互聯網信息辦公室
國家市場監督管理總局
令
第20號
《個人信息出境認證辦法》已經2025年7月21日國家互聯網信息辦公室2025年第17次室務會會議審議通過,并經國家市場監督管理總局同意,現予公布,自2026年1月1日起施行。
國家互聯網信息辦公室主任 莊榮文
國家市場監督管理總局局長 羅 文
2025年10月14日
個人信息出境認證辦法
第一條為了保護個人信息權益,規范個人信息出境認證活動,促進個人信息高效安全跨境流動,根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規,制定本辦法。
第二條個人信息處理者通過個人信息保護認證的方式向中華人民共和國境外提供個人信息,適用本辦法。
第三條本辦法所稱個人信息出境認證,是指按照《中華人民共和國個人信息保護法》第三十八條第一款第二項規定,由依法取得個人信息保護認證資質的專業認證機構,證明個人信息處理者向中華人民共和國境外提供個人信息等個人信息處理活動符合相關法律、行政法規、部門規章、標準、技術規范的合格評定活動。
第四條國家網信部門會同國家數據管理部門和其他有關部門制定個人信息出境認證相關標準、技術規范。國家市場監督管理部門會同國家網信部門制定個人信息保護認證規則、統一認證證書及標志。
第五條個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的,應當同時符合下列情形:
(一)非關鍵信息基礎設施運營者;
(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。
前款所稱向境外提供的個人信息,不包括重要數據。
法律、行政法規或者國家網信部門另有規定的,從其規定。
個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。
第六條個人信息處理者在申請認證向境外提供個人信息前,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。個人信息保護影響評估重點評估以下內容:
(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對國家安全、公共利益、個人信息權益帶來的風險;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
(四)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)境外接收方所在國家或者地區的個人信息保護政策和法規對出境個人信息安全和個人信息權益的影響;
(六)其他可能影響個人信息出境安全的事項。
第七條個人信息處理者通過認證方式向境外提供個人信息的,應當向專業認證機構申請個人信息出境認證。
中華人民共和國境外的個人信息處理者申請個人信息出境認證的,應當由其在境內設立的專門機構或者指定代表協助進行申請。
第八條專業認證機構應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。符合認證要求的,專業認證機構應當及時出具認證證書。
認證證書的有效期為3年。證書到期需繼續使用的,個人信息處理者應當在有效期屆滿前6個月提出認證申請。
第九條專業認證機構應當在出具認證證書或者認證證書狀態發生變化后5個工作日內,向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息,包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態變化信息等。
國家市場監督管理部門與國家網信部門建立認證信息共享機制。
第十條專業認證機構發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形,不再符合認證要求的,應當暫停其使用直至撤銷相關認證證書。
國家網信部門和有關部門在個人信息保護監督管理工作中發現獲證個人信息處理者存在前款情形的,專業認證機構應當配合暫停其使用直至撤銷相關認證證書。
前兩款規定的情形,應當通過全國認證認可信息公共服務平臺予以公布。
第十一條專業認證機構在開展認證活動中,發現個人信息出境活動違反法律、行政法規和國家有關規定的,應當及時向國家網信部門和有關部門報告。
第十二條開展個人信息出境認證的專業認證機構應當自國家市場監督管理部門批準取得個人信息保護認證資質之日起10個工作日內向國家網信部門辦理備案手續。辦理備案時,應當提交下列材料:
(一)取得的個人信息保護領域的認證資質情況;
(二)近3年從事數據安全、個人信息保護領域專業工作情況;
(三)專業認證機構人員安全背景審查材料;
(四)個人信息保護認證實施細則及工作計劃;
(五)個人信息安全風險防范機制;
(六)對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續監督機制;
(七)投訴受理和爭議解決機制;
(八)其他需要提交的材料。
專業認證機構應當對所備案材料的真實性負責。
國家網信部門收到專業認證機構提交的備案材料后,會同國家數據管理部門對備案材料進行審核。材料齊全的,應當在30個工作日內予以備案并進行公示;材料不齊全的,不予備案,應當在30個工作日內通知專業認證機構并說明理由。
第十三條國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督,開展定期或者不定期的檢查,對認證過程和認證結果進行抽查,對專業認證機構進行抽查和評價。
第十四條國家機關、專業認證機構等從事認證活動的機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十五條任何組織和個人發現獲證個人信息處理者違反本辦法規定向境外提供個人信息的,可以向專業認證機構、網信部門和有關部門投訴、舉報。
第十六條省級以上網信部門和有關部門發現獲證個人信息處理者個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按照要求整改,消除隱患。
第十七條違反本辦法規定的,依據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規處理;構成犯罪的,依法追究刑事責任。
第十八條本辦法施行前制定的關于個人信息出境認證的相關規定與本辦法不一致的,按照本辦法執行。
第十九條本辦法自2026年1月1日起施行。
