个人信息出境选择保护认证还是标准合同？——解读《个人信息出境保护认证管理办法（征求意见稿）》

2025年1月3日，国家互联网信息办公室公布了《个人信息出境保护认证管理办法（征求意见稿）》（以下称《征求意见稿》），以促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作。《个人信息保护法》和《网络数据安全管理条例》等法律法规，规定了向境外提供个人信息的方式，包括申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证3条合规路径，以及可以向境外提供个人信息的其他条件。2022年，国家市场监管总局、国家网信办联合发布了《关于实施个人信息保护认证的公告》，其中明确了个人信息出境的认证要求及程序。本次国家网信办以规章立法的方式，专门明确了个人信息出境保护认证工作的要求、程序等，对我国提升数据出境管理水平，优化企业数据出境策略，扩大数字领域开放和保障个人信息出境安全等具有重要意义。本文就《征求意见稿》进行初步解读，同时亦将跟踪立法动向，欢迎企业关注和就关心的问题与我们联系。

1. 对个人信息出境活动的规定

对于个人信息出境活动，《征求意见稿》维持了现行的监管思路，即三种情形：（1）个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；（2）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（3）符合《中华人民共和国个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

值得注意的是第三种情形，《个人信息保护法》第三条第二款情形属于境外直接处理，按照跨境监管逻辑，这是数据出境的情形之一，应当符合数据出境的相关要求。境外直接处理和数据出境具有相似性，但在法律形式上有所差别，中国和欧盟采取了不同的监管思路。欧盟《通用数据保护条例》（GDPR）中没有对数据跨境（transfer）进行界定，因此欧盟数据保护委员会（EDPB）通过《关于GDPR第三条和第五章跨境传输条款相互影响的指南》（Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR） [1] 进行了释明。其中，EDPB认为境外直接处理的情形下，因为在欧盟境内并无一个出口者（exporter），而是由境外方跨境直接处理了个人数据，且该境外方受GDPR管辖，所以这不构成数据出境（transfer）。EDPB解释称，跨境监管的目的在于保证数据接收方不会降低数据保护水平，而境外直接处理的情形中，境外处理者本身就落入了GDPR的监管框架，因此没有必要再通过跨境进行监管。

当然，我国采取了与欧盟不同的态度，无论是数据出境安全评估以及个人信息标准合同，还是本次《征求意见稿》中对数据出境的界定，都将跨境直接处理视为数据出境。2024年9月，广州互联网法院公布的国内首例跨境传输个人信息纠纷的判决书（参见前期文章： 吟一字拈数须——首例个人信息跨境纠纷解读 ）中，某高公司住所地位于法国，在中国境内并无实体，属于在境外直接处理个人信息。法院认为，某高公司的处理活动符合《个人信息保护法》第三条第二款的情形，受《个人信息保护法》管辖，同时亦认为其处理活动属于数据跨境。可见，在境外直接处理与数据跨境的问题上，司法机关与行政机关的态度基本一致。

2. 对适用情形的规定

《征求意见稿》对适用情形同样维持了现行的监管思路，明确为三点：（1）非关键信息基础设施运营者；（2）自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息；（3）不包含重要数据。

根据《个人信息保护法》《促进和规范数据跨境流动规定》等要求，关键信息基础设施运营者向境外提供个人信息或者重要数据，以及数据处理者向境外提供重要数据，都需要申报数据出境安全评估。保护认证仅适用于一定数量的个人信息数据出境场景。

3. 个人信息出境个人信息保护认证机构

根据《征求意见稿》，个人信息保护认证遵循自愿性、市场化、社会化服务原则。个人信息保护认证是由个人信息处理者自主选择的一种方式，但这是一种相对自由的出境方式。根据法律规定，符合条件的个人信息出境活动，可以通过个人信息保护认证或者签订个人信息保护标准合同的方式出境。也就是说，个人信息处理者进行个人信息出境活动，其个人信息达到相应阈值的，必须办理相关手续，可以选择标准合同，也可以选择保护认证。

个人信息保护认证的机构是“具备资质的专业认证机构”。相较于国家市监总局和国家网信办联合发布的《关于实施个人信息保护认证的公告》，《征求意见稿》明确了个人信息出境个人信息保护认证的专业认证机构的资质要求，相应的专业机构应当具备专业资质，并向国家网信部门办理备案手续。

4. 如何获得个人信息保护认证？

根据《关于实施个人信息保护认证的公告》随附的《个人信息保护认证实施规则》，个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督，对于开展跨境处理活动的个人信息处理者，应当符合GB/T 35273《信息安全技术 个人信息安全规范》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。《征求意见稿》中明确个人信息出境个人信息保护认证的重点评定内容为六项。具体保护：

5. 认证后的监督

《征求意见稿》第九条第二款中规定，中华人民共和国境外的个人信息处理者申请个人信息保护认证的，……在认证有效期内接受专业认证机构的持续监督。但是，《征求意见稿》并未规定认证的有效期。《个人信息保护认证实施规则》中明确认证证书有效期为3年。《征求意见稿》第七条中规定，国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。因此，现行的《个人信息保护认证实施规则》的跨境部分有可能被新的实施规则所替代。而无论如何，认证证书势必有确定的有效期，在有效期内，个人信息处理者仍需受到相应的监督。具体包括三个方面：

小结而言，持证后的监督主体为网信部门、专业认证机构以及社会公众。专业认证机构有权暂停、撤销认证证书，其可以自行进行决定，也可以依据国家网信部门和有关部门的指示进行。有权指示暂停、撤销认证证书的是国家层面，而省级网信部门和有关部门可以通过约谈等方式要求整改，消除隐患。

根据《个人信息保护法》《网络数据安全管理条例》《规范和促进数据跨境流动规定》等要求，在豁免情形和依法应当申报数据出境安全评估以外，个人信息处理者开展数据出境活动的，满足“订立个人信息出境标准合同”或“通过个人信息保护认证”的条件之一即可。根据《征求意见稿》和《个人信息出境标准合同办法》的规定，两种方式的要求基本一致但有所区别。

从保护认证和标准合同的条件来看，都聚焦处理活动、同等保护、协议约定等方面，但其侧重点和细节部分还是体现出了差异。

第一，处理活动。两者均要求处理个人信息的目的、范围、方式等合法、正当、必要。相较而言，标准合同要求评估个人信息处理者和境外接收方处理个人信息的目的、范围、方式等，而保护认证则是评定个人信息出境的目的、范围、方式等，保护认证并未对境外接收方的处理目的、范围、方式提出评定要求。对此，有两种理解，一种是境外接收方的处理目的、范围、方式被“个人信息出境的目的、范围、方式”所覆盖，境外接收方的处理目的、范围、方式不能超出个人信息出境的目的、范围、方式；另一种是保护认证的方式更适用于委托处理等特定场景，个人信息处理者与境外接收方具有相同或一致的个人信息处理目的、范围、方式，如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中指出，其适用于“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”。

第二，同等保护。两者均要求境外具有保护同等水平，包括境外接收方自身的个人信息保护能力，以及所在国家或者地区的个人信息保护政策和法规。略微有所差异的是，标准合同稍侧重于主观性，其要求包括“境外接收方承诺的义务”，而保护认证则强调客观性，要求“境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求”。而在消极影响方面，两者都关注境外接收方所在国家或者地区的个人信息保护政策和法规的影响，不过保护认证中增加了“网络和数据安全环境”的因素。

第三，协议约定。保护认证要求个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务，而标准合同本身即可以作为个人信息处理者与境外接收方订立的有法律约束力的协议的一种。因此，两种方式均以协议作为一种控制手段，以保证境外接收方履行个人信息保护相关义务。值得注意的是，《征求意见稿》第十条第四项中关于协议约定的义务，仅适用于“境外接收方”，而不适用于“境外个人信息处理者”。这是考虑了境外直接处理的场景，虽然境外个人信息处理者应当在境内设立专门机构或者指定代表，但再要求其与其自己设立的专门机构或者指定代表签署协议，似乎并无必要。就此细节而言，也在一定程度上表明了保护认证更为适用的主体类型。

对比而言，保护认证明显增加了一个条件，即个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益。标准合同中的要求则属于结果导向，即个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等。

结合保护认证和标准合同的异同，我们总结以下几点作为具体选择策略的参考：

1. 主体类型 [2]

正如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中所指， 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的跨境，首选保护认证的方式。《征求意见稿》第十条第四项亦一定程度豁免了该类主体类型签署协议的要求，对于实践中通过标准合同方式出境的企业来说，可以作为未来的替代方式。特别是对于境外直接处理的场景，如前述广州互联网法院判例中的某高公司，从境外直接处理境内个人信息，就可以考虑用保护认证的方式满足个人信息跨境合规要求。

2. 出境事项

从保护认证和标准合同的条件来看，企业整体合规的要求基本一致，但在具体条件中有所不同，特别是前述关于保护认证的特有要求，即“个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益”（《征求意见稿》第十条第五项）。标准合同更倾向于“一事一议”，关注某一项个人信息出境活动是否满足合规要求；保护认证则更倾向于“一司一议”，关注个人信息处理者和境外接收方的保护能力是否满足合规要求。因此，保护认证更适合长期、频繁的个人信息处理活动，而标准合同则相对适合于短期、偶发的个人信息处理活动。

3. 监督能力

标准合同属于民事范畴，双方通过协议方式达成一致，通过协议约束权利义务关系。而保护认证则以第三方监督为视角，以专业认证机构的能力作为支撑。因此，对于个人信息出境方和接收方而言，如果双方谈判能力相当，则标准合同的方式较为合适；如果双方谈判能力差距较大，则可考虑保护认证的方式，借助专业认证机构来满足个人信息出境合规要求。

4. 信用评价

标准合同生效且备案后，个人信息处理者就可以开展个人信息出境活动，标准合同本身属于商业合同的范畴或商业合同的一部分，实践中并无公开的要求，社会公众无法对其评价。而保护认证则具有一定的公权力属性，在一定程度上代表了行政机关对个人信息跨境活动的认可以及对企业个人信息保护水平的认可（前述所分析的第十条第五项）。因此，对于个人信息保护商誉等有较高需求的企业，如商业模式以ToC为主的企业，需要提升消费者对其个人信息保护水平满意度的企业，都可以通过保护认证的方式获得外部的信用评价。

脚注：

[1] See edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf

[2] 注：这里需要说明的是，《征求意见稿》并未限定保护认证的主体类型，本文仅从效率角度给出选择性建