◎本報記者 崔 爽
國家互聯(lián)網(wǎng)信息辦公室�����、國家市場監(jiān)督管理總局近日聯(lián)合公布的《個人信息出境認證辦法》(以下簡稱《辦法》)�����,將于2026年1月1日起施行���。
《辦法》對個人信息出境認證的適用情形,個人信息出境認證的申請方式����、認證要求及證書有效期,專業(yè)認證機構(gòu)應當履行的義務等作出細化規(guī)定��,旨在保護個人信息權(quán)益���,規(guī)范個人信息出境認證活動��,促進個人信息高效安全跨境流動��。
“《辦法》結(jié)合我國認證制度與個人信息保護的相關(guān)法律規(guī)定����,形成了一套契合中國國情、具有較強針對性和可操作性的個人信息出境認證制度�。”中國人民大學法學院副院長丁曉東認為�����,《辦法》的出臺是我國個人信息出境領域立法和監(jiān)管體系的重要完善����,標志著我國個人信息出境制度體系已構(gòu)建完成。
明確適用條件
清華大學法學院教授申衛(wèi)星解釋說����,認證是由認證機構(gòu)證明產(chǎn)品、服務���、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標準的合格評定活動�����。認證之所以可以成為個人信息出境的合法途徑之一�����,是因為它把跨境傳輸所需的適當保障具體化為“經(jīng)第三方審核+持續(xù)監(jiān)督+對數(shù)據(jù)主體可執(zhí)行的承諾與救濟”的組合。認證是國際經(jīng)貿(mào)領域監(jiān)管互認的主流工具�、是持續(xù)完善公私合作治理的價值體現(xiàn),專業(yè)認證機構(gòu)切實履行跟蹤調(diào)查職責是其功能實現(xiàn)的保障�����。
“現(xiàn)有的個人信息出境認證主要停留在規(guī)定層面���,實踐中由于缺乏具備認證資質(zhì)的認證機構(gòu)����、認證細則不明確等����,企業(yè)較少采用此種機制進行個人信息跨境傳輸?��!倍詵|說���,《辦法》立足我國個人信息保護規(guī)定和監(jiān)管經(jīng)驗,切實推動了個人信息出境認證制度落地����。
一方面��,《辦法》明確適用個人信息出境認證的條件����。主體方面�,《辦法》明確不適用于關(guān)鍵信息基礎設施運營者;信息類型方面��,明確不適用于重要數(shù)據(jù)�;處理信息數(shù)量方面,規(guī)定需滿足自當年1月1日起累計向境外提供10萬人以上����、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的條件。
另一方面���,《辦法》明確專業(yè)認證機構(gòu)認證重點要求���,規(guī)范個人信息出境認證程序�����。
“《辦法》是促進數(shù)據(jù)高效便利安全跨境流動����、推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展的制度保障����?����!眹一ヂ?lián)網(wǎng)信息辦公室數(shù)據(jù)與技術(shù)保障中心副主任王志成認為��,個人信息出境認證制度遵循自愿性�����、市場化����、社會化服務原則,由第三方機構(gòu)實施���,既有利于減輕監(jiān)管部門行政負擔��,也賦予企業(yè)更多合規(guī)選擇權(quán)����,更有助于激發(fā)數(shù)字經(jīng)濟活力。
完善監(jiān)管體系
《辦法》明確了個人信息出境認證的申請方式����、認證要求及證書有效期,規(guī)定個人信息處理者應當向?qū)I(yè)認證機構(gòu)申請個人信息出境認證�,專業(yè)認證機構(gòu)應當按照認證基本規(guī)范、個人信息保護認證規(guī)則開展認證活動���?����!掇k法》明確認證證書的有效期為3年�����,同時規(guī)定專業(yè)認證機構(gòu)應當向全國認證認可信息公共服務平臺報送個人信息出境認證證書相關(guān)信息��。
《辦法》還明確了網(wǎng)信與市場監(jiān)管等部門的職責分工��,形成協(xié)同監(jiān)管與動態(tài)治理的合力���。比如�����,《辦法》明確規(guī)定了國家有關(guān)主管部門的全流程監(jiān)管責任。事前�����,要求國家網(wǎng)信部門會同國家數(shù)據(jù)管理部門和其他有關(guān)部門制定個人信息出境相關(guān)標準�����、技術(shù)規(guī)范�。國家市場監(jiān)管部門會同國家網(wǎng)信部門制定個人信息保護認證規(guī)則、統(tǒng)一認證證書及標志�����。事中��,要求國家市場監(jiān)督管理部門和國家網(wǎng)信部門對個人信息出境認證活動進行監(jiān)督��,開展定期或者不定期的檢查�,對認證過程和認證結(jié)果進行抽查,對專業(yè)認證機構(gòu)進行抽查和評價����。事后��,要求國家網(wǎng)信部門和有關(guān)部門在個人信息保護監(jiān)督管理工作中發(fā)現(xiàn)獲證個人信息處理者存在違規(guī)情形的�,專業(yè)認證機構(gòu)應當配合暫停其使用直至撤銷認證證書�����。國家市場監(jiān)督管理部門與國家網(wǎng)信部門建立認證信息共享機制���。
“這種分工明確�����、互為補充的監(jiān)管模式�,既避免了職能重疊與資源浪費����,又確保了認證活動全流程的可控性與應變能力,充分體現(xiàn)了我國在個人信息保護領域治理能力現(xiàn)代化水平的提升���?��!北本┖娇蘸教齑髮W法學院副教授趙精武說��。
國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人說���,《辦法》的出臺���,明確了通過認證方式向境外提供個人信息的具體實施路徑��,標志著個人信息保護法明確的數(shù)據(jù)出境安全評估��、個人信息保護認證����、個人信息出境標準合同等出境制度設計的全面落地���,也標志著我國數(shù)據(jù)跨境流動制度體系的全面建立���。
手機看中經(jīng)
經(jīng)濟日報微信
中經(jīng)網(wǎng)微信
