个人信息出境选择保护认证还是标准合同？——解读《个人信息出境保护认证管理办法（征求意见稿）》

2025年1月3日，国家互联网信息办公室公布了《个人信息出境保护认证管理办法（征求意见稿）》（以下称《征求意见稿》），以促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作。《个人信息保护法》和《网络数据安全管理条例》等法律法规，规定了向境外提供个人信息的方式，包括申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证3条合规路径，以及可以向境外提供个人信息的其他条件。2022年，国家市场监管总局、国家网信办联合发布了《关于实施个人信息保护认证的公告》，其中明确了个人信息出境的认证要求及程序。本次国家网信办以规章立法的方式，专门明确了个人信息出境保护认证工作的要求、程序等，对我国提升数据出境管理水平，优化企业数据出境策略，扩大数字领域开放和保障个人信息出境安全等具有重要意义。本文就《征求意见稿》进行初步解读，同时亦将跟踪立法动向，欢迎企业关注和就关心的问题与我们联系。

1. 对个人信息出境活动的规定

对于个人信息出境活动，《征求意见稿》维持了现行的监管思路，即三种情形：（1）个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；（2）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（3）符合《中华人民共和国个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

值得注意的是第三种情形，《个人信息保护法》第三条第二款情形属于境外直接处理，按照跨境监管逻辑，这是数据出境的情形之一，应当符合数据出境的相关要求。境外直接处理和数据出境具有相似性，但在法律形式上有所差别，中国和欧盟采取了不同的监管思路。欧盟《通用数据保护条例》（GDPR）中没有对数据跨境（transfer）进行界定，因此欧盟数据保护委员会（EDPB）通过《关于GDPR第三条和第五章跨境传输条款相互影响的指南》（Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR） [1] 进行了释明。其中，EDPB认为境外直接处理的情形下，因为在欧盟境内并无一个出口者（exporter），而是由境外方跨境直接处理了个人数据，且该境外方受GDPR管辖，所以这不构成数据出境（transfer）。EDPB解释称，跨境监管的目的在于保证数据接收方不会降低数据保护水平，而境外直接处理的情形中，境外处理者本身就落入了GDPR的监管框架，因此没有必要再通过跨境进行监管。

当然，我国采取了与欧盟不同的态度，无论是数据出境安全评估以及个人信息标准合同，还是本次《征求意见稿》中对数据出境的界定，都将跨境直接处理视为数据出境。2024年9月，广州互联网法院公布的国内首例跨境传输个人信息纠纷的判决书（参见前期文章： 吟一字拈数须——首例个人信息跨境纠纷解读 ）中，某高公司住所地位于法国，在中国境内并无实体，属于在境外直接处理个人信息。法院认为，某高公司的处理活动符合《个人信息保护法》第三条第二款的情形，受《个人信息保护法》管辖，同时亦认为其处理活动属于数据跨境。可见，在境外直接处理与数据跨境的问题上，司法机关与行政机关的态度基本一致。

2. 对适用情形的规定

《征求意见稿》对适用情形同样维持了现行的监管思路，明确为三点：（1）非关键信息基础设施运营者；（2）自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息；（3）不包含重要数据。

根据《个人信息保护法》《促进和规范数据跨境流动规定》等要求，关键信息基础设施运营者向境外提供个人信息或者重要数据，以及数据处理者向境外提供重要数据，都需要申报数据出境安全评估。保护认证仅适用于一定数量的个人信息数据出境场景。

3. 个人信息出境个人信息保护认证机构

根据《征求意见稿》，个人信息保护认证遵循自愿性、市场化、社会化服务原则。个人信息保护认证是由个人信息处理者自主选择的一种方式，但这是一种相对自由的出境方式。根据法律规定，符合条件的个人信息出境活动，可以通过个人信息保护认证或者签订个人信息保护标准合同的方式出境。也就是说，个人信息处理者进行个人信息出境活动，其个人信息达到相应阈值的，必须办理相关手续，可以选择标准合同，也可以选择保护认证。

个人信息保护认证的机构是“具备资质的专业认证机构”。相较于国家市监总局和国家网信办联合发布的《关于实施个人信息保护认证的公告》，《征求意见稿》明确了个人信息出境个人信息保护认证的专业认证机构的资质要求，相应的专业机构应当具备专业资质，并向国家网信部门办理备案手续。

4. 如何获得个人信息保护认证？

根据《关于实施个人信息保护认证的公告》随附的《个人信息保护认证实施规则》，个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督，对于开展跨境处理活动的个人信息处理者，应当符合GB/T 35273《信息安全技术 个人信息安全规范》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。《征求意见稿》中明确个人信息出境个人信息保护认证的重点评定内容为六项。具体保护：

5. 认证后的监督

《征求意见稿》第九条第二款中规定，中华人民共和国境外的个人信息处理者申请个人信息保护认证的，……在认证有效期内接受专业认证机构的持续监督。但是，《征求意见稿》并未规定认证的有效期。《个人信息保护认证实施规则》中明确认证证书有效期为3年。《征求意见稿》第七条中规定，国家市场监督管理部门会同国家网信部门组织制定个人信息出境个人信息保护认证实施规则、统一认证证书及标志。因此，现行的《个人信息保护认证实施规则》的跨境部分有可能被新的实施规则所替代。而无论如何，认证证书势必有确定的有效期，在有效期内，个人信息处理者仍需受到相应的监督。具体包括三个方面：

小结而言，持证后的监督主体为网信部门、专业认证机构以及社会公众。专业认证机构有权暂停、撤销认证证书，其可以自行进行决定，也可以依据国家网信部门和有关部门的指示进行。有权指示暂停、撤销认证证书的是国家层面，而省级网信部门和有关部门可以通过约谈等方式要求整改，消除隐患。

根据《个人信息保护法》《网络数据安全管理条例》《规范和促进数据跨境流动规定》等要求，在豁免情形和依法应当申报数据出境安全评估以外，个人信息处理者开展数据出境活动的，满足“订立个人信息出境标准合同”或“通过个人信息保护认证”的条件之一即可。根据《征求意见稿》和《个人信息出境标准合同办法》的规定，两种方式的要求基本一致但有所区别。

从保护认证和标准合同的条件来看，都聚焦处理活动、同等保护、协议约定等方面，但其侧重点和细节部分还是体现出了差异。

第一，处理活动。两者均要求处理个人信息的目的、范围、方式等合法、正当、必要。相较而言，标准合同要求评估个人信息处理者和境外接收方处理个人信息的目的、范围、方式等，而保护认证则是评定个人信息出境的目的、范围、方式等，保护认证并未对境外接收方的处理目的、范围、方式提出评定要求。对此，有两种理解，一种是境外接收方的处理目的、范围、方式被“个人信息出境的目的、范围、方式”所覆盖，境外接收方的处理目的、范围、方式不能超出个人信息出境的目的、范围、方式；另一种是保护认证的方式更适用于委托处理等特定场景，个人信息处理者与境外接收方具有相同或一致的个人信息处理目的、范围、方式，如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中指出，其适用于“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”。