中经联播讯（蒋兆民 张宇晖 ）国家互联网信息办公室与国家市场监督管理总局近日联合公布《个人信息出境认证办法》（以下简称《办法》），将于2026年1月1日起正式施行。

这一重要法规的出台标志着我国个人信息出境认证制度全面落地，为个人信息跨境流动提供了明确的法律指引。

《办法》对个人信息出境认证的适用情形、申请方式、认证要求及证书有效期等作出了细化规定，旨在保护个人信息权益，规范个人信息出境认证活动，同时促进个人信息高效安全跨境流动。

背景：填补跨境数据流动监管空白

随着全球数字经济飞速发展，数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。

《个人信息保护法》早已规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。

为落实法律规定要求，2022年11月，国家市场监督管理总局、国家互联网信息办公室公布了规范性文件《关于实施个人信息保护认证的公告》。

在此基础上制定的《办法》，完善了我国个人信息跨境流动管理制度，有利于保护个人信息权益，促进个人信息合规利用，为数字经济高质量发展提供法治保障。

适用范围：明确认证门槛，严防监管套利

《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过认证方式向境外提供个人信息，应当同时满足以下条件：

非关键信息基础设施运营者；

自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息。

同时，《办法》强调向境外提供的个人信息不得包括重要数据，并明令禁止个人信息处理者采取数量拆分等手段。

规避安全评估义务。

对于境外个人信息处理者申请认证的情况，《办法》规定应当由其在境内设立的专门机构或指定代表协助进行申请。

认证流程：构建全方位合规体系

在认证程序方面，《办法》规定个人信息处理者应当向专业认证机构申请个人信息出境认证。

申请认证前，个人信息处理者应当按照法律规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

个人信息保护影响评估需要重点评估多项内容，包括：

个人信息处理者和境外接收方处理个人信息的目的、范围、方式的合法性、正当性、必要性；

出境个人信息的规模、范围、种类、敏感程度及可能带来的风险；

境外接收方承诺承担的义务及其保障措施和能力等。

专业认证机构应当按照认证基本规范和个人信息保护认证规则开展认证活动，符合要求的应及时出具认证证书。

证书管理：三年有效期稳定企业预期

《办法》明确认证证书的有效期为3年。证书到期需继续使用的，个人信息处理者应当在有效期届满前6个月提出认证申请。

专业认证机构应当在出具认证证书或证书状态发生变化后5个工作日内，向全国认证认可信息公共服务平台报送相关信息。

国家市场监督管理部门与国家网信部门将建立认证信息共享机制，加强对认证活动的监督。

此外，专业认证机构发现获证个人信息处理者不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。

监管机制：双部门协同筑牢安全防线

在监督管理方面，《办法》规定了专业认证机构备案制度。专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部门办理备案手续。

国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督，开展定期或不定期的检查，对认证过程和认证结果进行抽查。

省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或发生个人信息安全事件的，可以依法对其进行约谈。

获证个人信息处理者应当按照要求整改，消除隐患。

重要意义：在安全与发展间寻求平衡

专家表示，《办法》的出台不仅是我国个人信息出境制度完善的重要里程碑，也是全球数据治理体系中的一项积极实践。

它通过认证这一市场化机制，在安全与效率、监管与市场之间找到了富有中国智慧的数据出境治理新方案。

《办法》与《数据出境安全评估办法》《个人信息出境标准合同办法》等规章相互衔接，共同构筑起一套多层次、全覆盖的个人信息出境监管框架。

这一制度的建立，为实现个人信息安全有序跨境流动提供了坚实的制度保障。

---

随着2026年实施日期的临近，企业需要为合规做好充分准备。

认证证书有效期为3年的设定为企业提供了稳定预期，而跨部门协同监管机制则构筑了全方位监督体系。

这套认证制度平衡了安全与发展的双重要求。

数据跨境流动从此有了更为规范化、透明化的通道，为我国数字经济发展注入新动能。