個(gè)人信息出境認(rèn)證辦法

國(guó)家互聯(lián)網(wǎng)信息辦公室 國(guó)家市場(chǎng)監(jiān)督管理總局令 

第20號(hào)

　　《個(gè)人信息出境認(rèn)證辦法》已經(jīng)2025年7月21日國(guó)家互聯(lián)網(wǎng)信息辦公室2025年第17次室務(wù)會(huì)會(huì)議審議通過(guò)，并經(jīng)國(guó)家市場(chǎng)監(jiān)督管理總局同意，現(xiàn)予公布，自2026年1月1日起施行。

　　國(guó)家互聯(lián)網(wǎng)信息辦公室主任 莊榮文

　　國(guó)家市場(chǎng)監(jiān)督管理總局局長(zhǎng) 羅文

　　2025年10月14日

　　個(gè)人信息出境認(rèn)證辦法

　　第一條 為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息出境認(rèn)證活動(dòng)，促進(jìn)個(gè)人信息高效安全跨境流動(dòng)，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》等法律法規(guī)，制定本辦法。

　　第二條 個(gè)人信息處理者通過(guò)個(gè)人信息保護(hù)認(rèn)證的方式向中華人民共和國(guó)境外提供個(gè)人信息，適用本辦法。

　　第三條 本辦法所稱個(gè)人信息出境認(rèn)證，是指按照《中華人民共和國(guó)個(gè)人信息保護(hù)法》第三十八條第一款第二項(xiàng)規(guī)定，由依法取得個(gè)人信息保護(hù)認(rèn)證資質(zhì)的專業(yè)認(rèn)證機(jī)構(gòu)，證明個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息等個(gè)人信息處理活動(dòng)符合相關(guān)法律、行政法規(guī)、部門(mén)規(guī)章、標(biāo)準(zhǔn)、技術(shù)規(guī)范的合格評(píng)定活動(dòng)。

　　第四條 國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)家數(shù)據(jù)管理部門(mén)和其他有關(guān)部門(mén)制定個(gè)人信息出境認(rèn)證相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范。國(guó)家市場(chǎng)監(jiān)督管理部門(mén)會(huì)同國(guó)家網(wǎng)信部門(mén)制定個(gè)人信息保護(hù)認(rèn)證規(guī)則、統(tǒng)一認(rèn)證證書(shū)及標(biāo)志。

　　第五條 個(gè)人信息處理者通過(guò)個(gè)人信息出境認(rèn)證的方式向境外提供個(gè)人信息的，應(yīng)當(dāng)同時(shí)符合下列情形：

　?。ㄒ唬┓顷P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；

　　（二）自當(dāng)年1月1日起累計(jì)向境外提供10萬(wàn)人以上、不滿100萬(wàn)人個(gè)人信息（不含敏感個(gè)人信息）或者不滿1萬(wàn)人敏感個(gè)人信息。

　　前款所稱向境外提供的個(gè)人信息，不包括重要數(shù)據(jù)。

　　法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)另有規(guī)定的，從其規(guī)定。

　　個(gè)人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過(guò)出境安全評(píng)估的個(gè)人信息通過(guò)個(gè)人信息出境認(rèn)證的方式向境外提供。

　　第六條 個(gè)人信息處理者在申請(qǐng)認(rèn)證向境外提供個(gè)人信息前，應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知、取得個(gè)人單獨(dú)同意、進(jìn)行個(gè)人信息保護(hù)影響評(píng)估等義務(wù)。個(gè)人信息保護(hù)影響評(píng)估重點(diǎn)評(píng)估以下內(nèi)容：

　?。ㄒ唬﹤€(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

　?。ǘ┏鼍硞€(gè)人信息的規(guī)模、范圍、種類、敏感程度，個(gè)人信息出境可能對(duì)國(guó)家安全、公共利益、個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn)；

　?。ㄈ┚惩饨邮辗匠兄Z承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全；

　?。ㄋ模﹤€(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；

　?。ㄎ澹┚惩饨邮辗剿趪?guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)出境個(gè)人信息安全和個(gè)人信息權(quán)益的影響；

　?。┢渌赡苡绊憘€(gè)人信息出境安全的事項(xiàng)。

　　第七條 個(gè)人信息處理者通過(guò)認(rèn)證方式向境外提供個(gè)人信息的，應(yīng)當(dāng)向?qū)I(yè)認(rèn)證機(jī)構(gòu)申請(qǐng)個(gè)人信息出境認(rèn)證。

　　中華人民共和國(guó)境外的個(gè)人信息處理者申請(qǐng)個(gè)人信息出境認(rèn)證的，應(yīng)當(dāng)由其在境內(nèi)設(shè)立的專門(mén)機(jī)構(gòu)或者指定代表協(xié)助進(jìn)行申請(qǐng)。

　　第八條 專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證基本規(guī)范、個(gè)人信息保護(hù)認(rèn)證規(guī)則開(kāi)展個(gè)人信息出境認(rèn)證活動(dòng)。符合認(rèn)證要求的，專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)出具認(rèn)證證書(shū)。

　　認(rèn)證證書(shū)的有效期為3年。證書(shū)到期需繼續(xù)使用的，個(gè)人信息處理者應(yīng)當(dāng)在有效期屆滿前6個(gè)月提出認(rèn)證申請(qǐng)。

　　第九條 專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在出具認(rèn)證證書(shū)或者認(rèn)證證書(shū)狀態(tài)發(fā)生變化后5個(gè)工作日內(nèi)，向全國(guó)認(rèn)證認(rèn)可信息公共服務(wù)平臺(tái)報(bào)送個(gè)人信息出境認(rèn)證證書(shū)相關(guān)信息，包括認(rèn)證證書(shū)編號(hào)、獲證個(gè)人信息處理者名稱、認(rèn)證范圍以及證書(shū)狀態(tài)變化信息等。

　　國(guó)家市場(chǎng)監(jiān)督管理部門(mén)與國(guó)家網(wǎng)信部門(mén)建立認(rèn)證信息共享機(jī)制。

　　第十條 專業(yè)認(rèn)證機(jī)構(gòu)發(fā)現(xiàn)獲證個(gè)人信息處理者存在個(gè)人信息出境情況與認(rèn)證范圍不一致等情形，不再符合認(rèn)證要求的，應(yīng)當(dāng)暫停其使用直至撤銷相關(guān)認(rèn)證證書(shū)。

　　國(guó)家網(wǎng)信部門(mén)和有關(guān)部門(mén)在個(gè)人信息保護(hù)監(jiān)督管理工作中發(fā)現(xiàn)獲證個(gè)人信息處理者存在前款情形的，專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)配合暫停其使用直至撤銷相關(guān)認(rèn)證證書(shū)。

　　前兩款規(guī)定的情形，應(yīng)當(dāng)通過(guò)全國(guó)認(rèn)證認(rèn)可信息公共服務(wù)平臺(tái)予以公布。

　　第十一條 專業(yè)認(rèn)證機(jī)構(gòu)在開(kāi)展認(rèn)證活動(dòng)中，發(fā)現(xiàn)個(gè)人信息出境活動(dòng)違反法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定的，應(yīng)當(dāng)及時(shí)向國(guó)家網(wǎng)信部門(mén)和有關(guān)部門(mén)報(bào)告。

　　第十二條 開(kāi)展個(gè)人信息出境認(rèn)證的專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)自國(guó)家市場(chǎng)監(jiān)督管理部門(mén)批準(zhǔn)取得個(gè)人信息保護(hù)認(rèn)證資質(zhì)之日起10個(gè)工作日內(nèi)向國(guó)家網(wǎng)信部門(mén)辦理備案手續(xù)。辦理備案時(shí)，應(yīng)當(dāng)提交下列材料：

　?。ㄒ唬┤〉玫膫€(gè)人信息保護(hù)領(lǐng)域的認(rèn)證資質(zhì)情況；

　　（二）近3年從事數(shù)據(jù)安全、個(gè)人信息保護(hù)領(lǐng)域?qū)I(yè)工作情況；

　?。ㄈI(yè)認(rèn)證機(jī)構(gòu)人員安全背景審查材料；

　?。ㄋ模﹤€(gè)人信息保護(hù)認(rèn)證實(shí)施細(xì)則及工作計(jì)劃；

　　（五）個(gè)人信息安全風(fēng)險(xiǎn)防范機(jī)制；

　?。?duì)獲證個(gè)人信息處理者進(jìn)行的個(gè)人信息出境活動(dòng)符合認(rèn)證標(biāo)準(zhǔn)情況的持續(xù)監(jiān)督機(jī)制；

　?。ㄆ撸┩对V受理和爭(zhēng)議解決機(jī)制；

　?。ò耍┢渌枰峤坏牟牧稀?/p>

　　專業(yè)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)所備案材料的真實(shí)性負(fù)責(zé)。

　　國(guó)家網(wǎng)信部門(mén)收到專業(yè)認(rèn)證機(jī)構(gòu)提交的備案材料后，會(huì)同國(guó)家數(shù)據(jù)管理部門(mén)對(duì)備案材料進(jìn)行審核。材料齊全的，應(yīng)當(dāng)在30個(gè)工作日內(nèi)予以備案并進(jìn)行公示；材料不齊全的，不予備案，應(yīng)當(dāng)在30個(gè)工作日內(nèi)通知專業(yè)認(rèn)證機(jī)構(gòu)并說(shuō)明理由。

　　第十三條 國(guó)家市場(chǎng)監(jiān)督管理部門(mén)和國(guó)家網(wǎng)信部門(mén)對(duì)個(gè)人信息出境認(rèn)證活動(dòng)進(jìn)行監(jiān)督，開(kāi)展定期或者不定期的檢查，對(duì)認(rèn)證過(guò)程和認(rèn)證結(jié)果進(jìn)行抽查，對(duì)專業(yè)認(rèn)證機(jī)構(gòu)進(jìn)行抽查和評(píng)價(jià)。

　　第十四條 國(guó)家機(jī)關(guān)、專業(yè)認(rèn)證機(jī)構(gòu)等從事認(rèn)證活動(dòng)的機(jī)構(gòu)及其工作人員對(duì)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供、非法使用。

　　第十五條 任何組織和個(gè)人發(fā)現(xiàn)獲證個(gè)人信息處理者違反本辦法規(guī)定向境外提供個(gè)人信息的，可以向?qū)I(yè)認(rèn)證機(jī)構(gòu)、網(wǎng)信部門(mén)和有關(guān)部門(mén)投訴、舉報(bào)。

　　第十六條 省級(jí)以上網(wǎng)信部門(mén)和有關(guān)部門(mén)發(fā)現(xiàn)獲證個(gè)人信息處理者個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以依法對(duì)獲證個(gè)人信息處理者進(jìn)行約談。獲證個(gè)人信息處理者應(yīng)當(dāng)按照要求整改，消除隱患。

　　第十七條 違反本辦法規(guī)定的，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》、《中華人民共和國(guó)認(rèn)證認(rèn)可條例》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第十八條 本辦法施行前制定的關(guān)于個(gè)人信息出境認(rèn)證的相關(guān)規(guī)定與本辦法不一致的，按照本辦法執(zhí)行。

　　第十九條 本辦法自2026年1月1日起施行。