近日，國家互聯網信息辦公室、國家市場監督管理總局聯合公布《個人信息出境認證辦法》（以下簡稱《辦法》），自2026年1月1日起施行。

國家互聯網信息辦公室有關負責人表示，《個人信息保護法》對個人信息出境認證制度作了基本規定，按照國家網信部門的規定經專業機構進行個人信息保護認證是向境外提供個人信息的法定途徑之一。《辦法》對個人信息出境認證的適用情形，個人信息出境認證的申請方式、認證要求及證書有效期，專業認證機構應當履行的義務，監督管理要求等作出細化規定，旨在保護個人信息權益，規范個人信息出境認證活動，促進個人信息高效安全跨境流動。

  《辦法》明確了個人信息出境認證的適用情形。個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的，應當同時符合下列情形：一是非關鍵信息基礎設施運營者；二是自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息，且向境外提供的個人信息中不包括重要數據。規定個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。

《辦法》明確了個人信息出境認證的申請方式、認證要求及證書有效期。規定個人信息處理者應當向專業認證機構申請個人信息出境認證，專業認證機構應當按照認證基本規范、個人信息保護認證規則開展認證活動。明確認證證書的有效期為3年。

《辦法》明確了專業認證機構應當履行的義務。規定專業認證機構應當向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息。發現獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形，不再符合認證要求的，應當暫停其使用直至撤銷相關認證證書。發現個人信息出境活動違反法律、行政法規和國家有關規定的，應當及時向國家網信部門和有關部門報告。

《辦法》明確了監督管理要求。規定專業認證機構自取得認證資質之日起10個工作日內，應當向國家網信部門備案，國家市場監督管理部門和國家網信部門對個人信息出境認證活動進行監督。省級以上網信部門和有關部門發現獲證個人信息處理者個人信息出境活動存在較大風險或者發生個人信息安全事件的，可以依法對獲證個人信息處理者進行約談。

《辦法》對違反《辦法》規定的法律責任、適用效力等作出了規定。