國家市場監(jiān)督管理總局 國家互聯(lián)網(wǎng)信息辦公室

　　國家互聯(lián)網(wǎng)信息辦公室

　　國家市場監(jiān)督管理總局

　　令

　　第20號

　　《個人信息出境認證辦法》已經(jīng)2025年7月21日國家互聯(lián)網(wǎng)信息辦公室2025年第17次室務會會議審議通過，并經(jīng)國家市場監(jiān)督管理總局同意，現(xiàn)予公布，自2026年1月1日起施行。

　　國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文

　　國家市場監(jiān)督管理總局局長 羅　文

　　2025年10月14日

　　個人信息出境認證辦法

　　第一條為了保護個人信息權(quán)益，規(guī)范個人信息出境認證活動，促進個人信息高效安全跨境流動，根據(jù)《中華人民共和國個人信息保護法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》、《中華人民共和國認證認可條例》等法律法規(guī)，制定本辦法。

　　第二條個人信息處理者通過個人信息保護認證的方式向中華人民共和國境外提供個人信息，適用本辦法。

　　第三條本辦法所稱個人信息出境認證，是指按照《中華人民共和國個人信息保護法》第三十八條第一款第二項規(guī)定，由依法取得個人信息保護認證資質(zhì)的專業(yè)認證機構(gòu)，證明個人信息處理者向中華人民共和國境外提供個人信息等個人信息處理活動符合相關法律、行政法規(guī)、部門規(guī)章、標準、技術規(guī)范的合格評定活動。

　　第四條國家網(wǎng)信部門會同國家數(shù)據(jù)管理部門和其他有關部門制定個人信息出境認證相關標準、技術規(guī)范。國家市場監(jiān)督管理部門會同國家網(wǎng)信部門制定個人信息保護認證規(guī)則、統(tǒng)一認證證書及標志。

　　第五條個人信息處理者通過個人信息出境認證的方式向境外提供個人信息的，應當同時符合下列情形：

　　(一)非關鍵信息基礎設施運營者;

　　(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。

　　前款所稱向境外提供的個人信息，不包括重要數(shù)據(jù)。

　　法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的，從其規(guī)定。

　　個人信息處理者不得采取數(shù)量拆分等手段，將依法應當通過出境安全評估的個人信息通過個人信息出境認證的方式向境外提供。

　　第六條個人信息處理者在申請認證向境外提供個人信息前，應當按照法律、行政法規(guī)的規(guī)定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。個人信息保護影響評估重點評估以下內(nèi)容：

　　(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;

　　(二)出境個人信息的規(guī)模、范圍、種類、敏感程度，個人信息出境可能對國家安全、公共利益、個人信息權(quán)益帶來的風險;

　　(三)境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;

　　(四)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險，個人信息權(quán)益維護的渠道是否通暢等;

　　(五)境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對出境個人信息安全和個人信息權(quán)益的影響;

　　(六)其他可能影響個人信息出境安全的事項。

　　第七條個人信息處理者通過認證方式向境外提供個人信息的，應當向?qū)�業(yè)認證機構(gòu)申請個人信息出境認證。

　　中華人民共和國境外的個人信息處理者申請個人信息出境認證的，應當由其在境內(nèi)設立的專門機構(gòu)或者指定代表協(xié)助進行申請。

　　第八條專業(yè)認證機構(gòu)應當按照認證基本規(guī)范、個人信息保護認證規(guī)則開展個人信息出境認證活動。符合認證要求的，專業(yè)認證機構(gòu)應當及時出具認證證書。

　　認證證書的有效期為3年。證書到期需繼續(xù)使用的，個人信息處理者應當在有效期屆滿前6個月提出認證申請。

　　第九條專業(yè)認證機構(gòu)應當在出具認證證書或者認證證書狀態(tài)發(fā)生變化后5個工作日內(nèi)，向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關信息，包括認證證書編號、獲證個人信息處理者名稱、認證范圍以及證書狀態(tài)變化信息等。

　　國家市場監(jiān)督管理部門與國家網(wǎng)信部門建立認證信息共享機制。

　　第十條專業(yè)認證機構(gòu)發(fā)現(xiàn)獲證個人信息處理者存在個人信息出境情況與認證范圍不一致等情形，不再符合認證要求的，應當暫停其使用直至撤銷相關認證證書。

　　國家網(wǎng)信部門和有關部門在個人信息保護監(jiān)督管理工作中發(fā)現(xiàn)獲證個人信息處理者存在前款情形的，專業(yè)認證機構(gòu)應當配合暫停其使用直至撤銷相關認證證書。

　　前兩款規(guī)定的情形，應當通過全國認證認可信息公共服務平臺予以公布。

　　第十一條專業(yè)認證機構(gòu)在開展認證活動中，發(fā)現(xiàn)個人信息出境活動違反法律、行政法規(guī)和國家有關規(guī)定的，應當及時向國家網(wǎng)信部門和有關部門報告。

　　第十二條開展個人信息出境認證的專業(yè)認證機構(gòu)應當自國家市場監(jiān)督管理部門批準取得個人信息保護認證資質(zhì)之日起10個工作日內(nèi)向國家網(wǎng)信部門辦理備案手續(xù)。辦理備案時，應當提交下列材料：

　　(一)取得的個人信息保護領域的認證資質(zhì)情況;

　　(二)近3年從事數(shù)據(jù)安全、個人信息保護領域?qū)�業(yè)工作情況;

　　(三)專業(yè)認證機構(gòu)人員安全背景審查材料;

　　(四)個人信息保護認證實施細則及工作計劃;

　　(五)個人信息安全風險防范機制;

　　(六)對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續(xù)監(jiān)督機制;

　　(七)投訴受理和爭議解決機制;

　　(八)其他需要提交的材料。

　　專業(yè)認證機構(gòu)應當對所備案材料的真實性負責。

　　國家網(wǎng)信部門收到專業(yè)認證機構(gòu)提交的備案材料后，會同國家數(shù)據(jù)管理部門對備案材料進行審核。材料齊全的，應當在30個工作日內(nèi)予以備案并進行公示;材料不齊全的，不予備案，應當在30個工作日內(nèi)通知專業(yè)認證機構(gòu)并說明理由。

　　第十三條國家市場監(jiān)督管理部門和國家網(wǎng)信部門對個人信息出境認證活動進行監(jiān)督，開展定期或者不定期的檢查，對認證過程和認證結(jié)果進行抽查，對專業(yè)認證機構(gòu)進行抽查和評價。

　　第十四條國家機關、專業(yè)認證機構(gòu)等從事認證活動的機構(gòu)及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供、非法使用。

　　第十五條任何組織和個人發(fā)現(xiàn)獲證個人信息處理者違反本辦法規(guī)定向境外提供個人信息的，可以向?qū)�業(yè)認證機構(gòu)、網(wǎng)信部門和有關部門投訴、舉報。

　　第十六條省級以上網(wǎng)信部門和有關部門發(fā)現(xiàn)獲證個人信息處理者個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件的，可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按照要求整改，消除隱患。

　　第十七條違反本辦法規(guī)定的，依據(jù)《中華人民共和國個人信息保護法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》、《中華人民共和國認證認可條例》等法律法規(guī)處理;構(gòu)成犯罪的，依法追究刑事責任。

　　第十八條本辦法施行前制定的關于個人信息出境認證的相關規(guī)定與本辦法不一致的，按照本辦法執(zhí)行。

　　第十九條本辦法自2026年1月1日起施行。