问题一：如何看待《认证办法（征）》的立法目的？

我国在2021年颁布了《中华人民共和国个人信息保护法》（以下简称“《个保法》”），其中第三十八条规定了个人信息出境应采取的三条主要合规路径，即申报数据出境安全评估、进行个人信息保护认证（以下简称“出境个保认证”）以及签订并备案个人信息出境标准合同。关于数据出境安全评估与个人信息出境标准合同这两种路径，此前网信办已出台《数据出境安全评估办法》《个人信息出境标准合同办法》及相关指南作为明确的监管规则与落地实施指引。

而关于出境个保认证，网信办与国家市场监督管理总局（以下简称“市监总局”）曾在2022年11月4日联合发布《关于实施个人信息保护认证的公告》（以下简称“《认证公告》”）及附件《个人信息保护认证实施规则》（以下简称“《认证规则》”），规定了开展出境个保认证的认证依据、模式与流程，标志着我国个人信息保护认证制度的初步建立。随后，全国信息安全标准化技术委员会（TC260）（以下简称“信安标委”）于2022年6月发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（以下简称“《认证规范V1.0》”）进一步为个人信息出境场景下的出境个保认证制度提供了落地支撑，并于同年12月发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（以下简称“《认证规范V2.0》”），通过具有法律约束力的协议约定明确的内容、个人信息保护机构应承担的职责、个人信息保护影响评估应涵盖的事项、个人信息主体应享有的权利以及个人信息处理者和境外接收方应承担的义务责任等五方面对《认证规范V1.0》进行了细化。2023年3月16日，信安标委再次发布了推荐性国家标准《信息安全技术 个人信息跨境传输认证要求》（征求意见稿）（以下简称“《跨境认证要求（征）》”），除增加“敏感个人信息”和“单独同意”的定义并删除了“认证主体”的相关要求外，整体内容与《认证规范V2.0》基本保持一致。

虽然上述国家标准及相关监管机构发布的指南可提供参考，个人信息保护认证作为出境合规机制之一，其落地的法律依据在效力等级上并不如数据出境安全评估与个人信息标准合同所依据的部门规章强。直至2025年1月3日，网信办发布《认证办法（征）》并公开征求意见。一旦生效，其效力等级同为部门规章，在顺接、吸收了《认证规则》相关内容的同时，还进一步规定了在我国境内开展出境个保认证的方式与具体要求，明确了出境场景下个人信息保护认证的适用情形、基本原则、申请方式、认证内容、专业机构的义务以及监管机制等主要问题。值得注意的是，《认证办法（征）》与《认证规范V2.0》《跨境认证要求（征）》也存在不同之处。《认证办法（征）》并未对每一个认证评估事项展开说明，而是在第十条列明了重点评估事项所包含的六大方面（将在下文问题五展开介绍）。这既符合此前数据出境安全评估、个人信息出境标准合同路径下“办法+实施指南”的立法方式，也更加详细地将落地操作要求放到了标准或指南来说明。

至此，《认证办法（征）》和《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》共同构成了数据出境2.0时代的治理框架，延续了原有数据出境管理机制，填补了我国数据出境管理机制中三大合规路径的最后一块拼图。对个人信息处理者而言，《认证办法（征）》通过确立个人信息保护认证作为数据出境的合规路径之一，为个人信息处理者提供了更加明确且可行的合规操作方案与法律依据。其不仅提升了数据出境活动的规范性，也为企业的跨境数据流动创造了便利条件。对认证机构而言，《认证办法（征）》赋予认证机构作为第三方市场主体在出境个保认证机制中的核心角色。对监管部门而言，相较于相对方主导的个人信息出境标准合同备案和监管主导的数据出境安全评估，出境个保认证由认证机构直接评估企业的数据保护水平。这种分工模式既保证了评估的专业性，也可以为监管部门减负提效，同时为企业数据出境时，结合自身特点选择多元的合规路径，有助于高效完成数据出境活动。总之，通过《认证办法（征），我国逐渐构建了“监管部门—市场认证机构—个人信息处理者”三位一体的出境个保认证管理机制，实现了公共利益、数据安全要求以及业务发展的多方面平衡，激活了市场化机制的治理效能。

问题二：什么是出境个保认证？与其他个人信息保护认证的区别？

根据《认证办法（证）》第三条规定，出境个保认证是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证。该规定呼应了《个保法》第三十八条所规定的“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应具备下列条件之一：……（三）按照国家网信部门的规定经专业机构进行个人信息保护认证”，是个保认证在个人信息出境情形下的适用。

那么出境个保认证与一般的个保认证有何区别呢？主要区别在于认证对象、认证依据与认证标志的不同。在认证对象方面，前者仅针对个人信息跨境处理活动，后者的范围比较广泛，包含了对个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动的认证。比如《认证规则》第二条就对两类认证对象进行了说明，针对一般的个保认证应当符合《信息安全技术 个人信息安全规范》（GB/T 35273）（以下简称“《个人信息安全规范》”）的要求，而对于开展跨境处理活动的个人信息处理者，除了须符合一般性个保认证的要求以外，还应进一步符合针对跨境数据处理活动相关的《认证规范V2.0》的要求（由于《跨境认证要求（征）》还在编制中，后续正式出台后将可能代替《认证规范V2.0》，成为跨境数据处理活动的认证依据[1]）。此外，根据《认证规则》第5.2条，两者的认证标志也有所不同，具体如下方图示。

注：“ABCD”代表认证机构识别信息。

问题三：哪些情况可以适用出境个保认证？

如上述问题二的解答，出境个保认证的对象是个人信息出境处理活动。个人信息处理者在开展合规路径适用分析前，应当判断其个人信息处理活动是否属于“个人信息出境”。《认证办法（征）》第三条阐明了个人信息出境的定义，与之前颁布的《数据出境安全评估指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》对数据出境的定义保持一致，将“数据出境”的范围限定至“个人信息出境”，即：

（一）个人信息处理者将在境内运营中收集和产生的个人信息传输至境外；

（二）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（三）符合《个保法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动。

其次，确认满足“个人信息出境”定义后，个人信息处理者可以借助以下三个问题就其是否适用出境个保认证路径进行判断：

（一）从豁免情形而言：是否属于《促进和规范数据跨境流动新规》（以下简称“《促进新规》”）中豁免三大数据出境合规路径的六种情形？

（二）从出境主体来看：是否属于关键信息基础设施运营者？

（三）从出境数据类型及数量来看：出境的数据是否涉及重要数据？出境的个人信息涉及的自然人数量是否超过100万人？出境的敏感个人信息涉及的自然人数量是否超过1万人？

如果问题一的答案为“是”，则个人信息处理者既能免予申报数据出境安全评估，又能免予订立并备案个人信息出境标准合同或进行出境个保认证。

如果问题一答案为“否”，同时问题二和问题三中任一答案为“是”，则个人信息处理者必须申报数据出境安全评估。

如果上述问题的答案均为“否”，且“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息”，则个人信息处理者在数据出境三大合规路径中可以选择适用出境个保认证或者标准合同备案作为合规路径。

为直观展示数据出境管理机制下的三大合规路径，我们归纳总结了不同路径的适用情形，具体如下表所示：

问题四：境内境外主体申请出境个保认证有何不同？

根据《认证办法（征）》第九条，中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请，并承担相应的法律责任，承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理，在认证有效期内接受专业认证机构的持续监督。对于申请的主体，《认证办法（征）》延续了《认证规范v2.0》的规定，保持一律由境内主体提交认证申请的基本思路，即境内个人信息处理者直接申请出境个保认证，境外个人信息处理者由其境内设立主体或指定代表协助申请出境个保认证，《认证规范》提及了下述情形：

（一）境内个人信息处理者为其所在的跨国公司或者同一经济、事业实体下属子公司或关联公司开展个人信息跨境处理活动；

（二）境内个人信息处理者向无关联关系的其他境外公司开展个人信息跨境处理活动。

而《认证办法（征）》第九条则从字面上对《认证规范v2.0》个人信息跨境处理的适用场景范围进行了扩展，涵盖了除跨国公司或者同一经济、事业实体下关联公司数据跨境以外的更多数据跨境处理活动，更加符合实际中数据跨境流动的情形。

同时，还应注意到，依据《个保法》第三十八条和《认证办法（征）》第三条所规定的适用范围，出境个保认证不适用于受托方，这一点与GDPR项下的数据控制者（data controller）与数据处理者（data processor）都可以获得数据跨境认证存在明显不同[2]。

问题五：企业需要提交什么材料申请出境个保认证？

尽管《认证办法（征）》未明确列出个人信息处理者申请出境个保认证时所需提交的具体材料清单，但2022年发布的《认证规则》规定，认证委托资料应包括但不限于认证委托人基本材料、认证委托书及相关证明文件等。同时，根据我们向中国网络安全审查认证和市场监管大数据中心（以下简称“网安审认证和市监大数据中心”）咨询的结果以及网信办于2024年3月22日发布的《<促进和规范数据跨境流动规定>答记者问》，企业可以通过个人信息保护认证管理系统（具体网址为 https://data.isccc.gov.cn）向网安审认证和市监大数据中心进行申请。个人信息处理者可参考《认证规则》以及网安审认证和市监大数据中心官网上公示的《个人信息保护认证申请书》，来熟悉需要准备哪些认证材料。

同时，个人信息处理者还应根据《认证办法（征）》规定的出境个保认证重点评定内容，针对性地准备足够论证评定事项合规性的材料内容，具体如下：

（一）个人信息出境的目的、范围、方式等的合法性、正当性、必要性：个人信息处理者需就跨境传输事项的合法性、正当性、必要性展开论证说明。合法性侧重体现在个人信息出境活动必须有法律依据，具备个人信息主体对出境活动单独同意的合法性基础，且不属于法律法规禁止出境的情况；正当性包含个人信息出境的目的应当明确且合理；必要性主要包含目的必要与个人信息出境范围必要（即出境目的与出境个人信息有直接关联且数量最小化）。

（二）境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响：个人信息处理者需梳理境外个人信息处理者、接收方所在国家和地区有关个人信息保护的法律法规、当地执法司法机构是否完善等情况，以证明境外国家/地区的个人信息保护政策法律和网络和数据安全环境不会对出境个人信息的安全产生负面影响。

（三）境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求：个人信息处理者在此部分可阐述该国家/地区是否加入数据保护相关国际组织，在数据保护方面是否作出过具有约束力的国际承诺，或是否与中国缔结了有关数据流通、共享等方面双边或多边的协定。

（四）个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务：若个人信息处理者与境外接收方签署了数据处理协议（DPA），协议应设置专门条款，约定双方在个人信息保护方面承担的责任义务，以确保出境数据的安全。

（五）个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益：个人信息处理者应就是否设立个人信息保护部门或管理机构、是否设立PIPO岗位，以及针对个人信息跨境活动采取了哪些技术保护措施等展开具体说明。

鉴于出境个保认证与标准合同备案在数据出境机制中适用情形一致，且通过比较发现，所涉评定内容与《个人信息保护影响评估报告》所涵盖事项实则存在较大重合，故我们认为，在向认证机构提交出境个保认证材料时，若企业曾就个人信息出境活动开展过个人信息保护影响评估，出具《个人信息保护影响评估报告》在很大程度上能起到履行合规义务的证明作用，并作为出境个保认证的重要材料提交参考，从而降低合规证明成本。

问题六：出境个保认证评定内容如何映射到其他管理体系的要求？

根据《认证办法（征）》第十条的规定，出境个人信息保护认证的重点评定内容已明确。可以预见，未来作为认证机构的单位将依据此条规定，同时结合2022年网信办与市监总局发布的《认证公告》《认证规则》、信安标委发布的《认证规范v2.0》以及《跨境认证要求（征）》，制定具体的评定标准和程序。

从《认证办法（征）》第十条的内容来看，已建立个人信息管理体系的企业，可以通过梳理自身组织结构与技术控制措施来回应评定要求。通过管理体系所要求的监视、测量和持续改进的控制措施，企业能够确保其持续符合这些认证要求。

特别地，《认证办法（征）》第十条第（五）款提到了管理体系的要求，这为企业的实际操作提供了明确指引。实践中，许多企业已经依据国际标准化组织（ISO）和国际电工委员会（IEC）发布的ISO/IEC 27701标准建立了隐私信息管理体系（Privacy Information Management System, PMIS）。该体系不仅帮助企业满足法定义务、合同义务及标准要求的合规性，还为企业提供了能够有效应对外部认证要求的框架。

为帮助企业更好地应对认证评定，我们将《认证办法（征）》第十条中提到的重点要求与ISO/IEC 27701：2019标准也进行了对比。通过这种映射，企业能够更加清晰地了解如果已经进行了ISO/IEC 27701认证，如何在此基础上继续准备出境个保认证，从而提升审核效率和合规性，并确保顺利通过出境个人信息保护认证的评定。对此，我们通过以下表格进行解析，说明两者的关系、协同与整体配合。

问题七：如何申请成为出境个保认证机构？

依据《中华人民共和国认证认可条例》以及《认证办法（征）》的相关规定，在数据安全及个人信息保护领域开展工作的专业机构需满足以下要求：

（一）合法设立：机构需依法设立，具有独立法人资格，且必须获得国家市场监督管理部门的批准，取得个人信息保护认证资质，并依法向国家网信部门办理认证机构备案。（同时由于《认证办法（征）》第八条要求认证机构提交“近3年从事数据安全领域、个人信息保护领域专业工作情况”作为机构备案材料，我们理解这里相当于也设立了一个隐形门槛，即要求认证机构需为成立3年以上的组织。）

（二）专业能力：具备与认证领域相关的专业技术能力，能够对数据安全及个人信息保护进行准确评估和认证。能够依据现行有效的法规和标准，制定开展出境个保认证的准则与程序。具备实施技术验证的能力，能够对个人信息处理者的安全技术和措施进行有效评估。这包括对技术架构、数据加密、访问控制等方面的验证，以确保个人信息在出境过程中的安全性。

（三）人员要求：拥有一定数量的专业技术人员和管理人员，这些人员需具备相应的专业知识和实践经验，能评估组织的个人信息处理活动的合规性及其风险控制措施的有效性。

（四）管理体系：建立完善的内部管理体系和质量保证体系，包括制定详细的认证流程、认证实施细则、工作计划、审核标准和质量控制措施，以保证认证工作的专业性和规范性。同时，具备争议受理机制和投诉处理机制。

（五）数据安全风险防范：建立数据安全风险防范机制，确保认证过程中的数据免于遭受篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。

（六）持续监督：建立获证后的监督制度，对获证个人信息处理者进行的个人信息出境活动是否符合认证标准情况进行持续监督。

（七）公正性：机构在开展认证活动时，保持独立性和客观性，避免利益冲突，应遵循客观、公正的原则，不受外界干扰，确保认证结果的真实性和有效性。

（八）信息公开：向公众公开认证依据、认证程序、收费标准等信息，接受社会监督。

问题八：申请出境个保认证的全流程步骤有哪些？

虽然《认证办法（征）》暂未详细列出认证机构开展出境个保认证的具体流程，但根据2022年网信办与市监总局联合发布的《认证公告》及《认证规则》，其中明确规定了认证机构进行个保认证（也涵盖出境个保认证）时的评估流程。因此，在尚未出台更加详细的规则时，企业在现阶段可以此为参考，事先了解出境个保认证的相关流程。根据《认证规则》，认证流程依次包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督等主要环节，其中每个环节中对认证委托人与认证机构的具体要求如下：

问题九：出境个保认证会受到谁的监督？

尽管市场化认证机构开始进入评估体系，《认证办法（征）》通过建立机构监督、监管监督和社会监督相结合的三位一体监督机制，实现了监管多层次和全方位的覆盖。

首先，根据《认证办法（征）》第十一、十三条，赋予认证机构暂停或撤销不符合认证要求的企业认证的职责，通过持续监督保障认证结果的动态合规性；其次，根据《认证办法（征）》第十三、十四与十六条规定，通过网信办和市监总局对认证机构的抽查和评价，防止认证机构失控或认证活动流于形式。同时，根据《认证办法（征）》第十五条规定，引入了外部社会群众的监督，通过举报机制强化了公众的参与，进一步增强了数据出境治理的透明性与合规性。上述监督机制在分工明确的基础上形成了权责制衡，既能调动市场主体的积极性，又兼顾公共利益和数据安全需求。

问题十：其他国家、地区、国际组织有哪些认证机制？

根据国际通行做法，认证是一种自愿的合规工具，旨在鼓励组织展示其符合数据保护法律规定的情况。认证机制允许组织证明其在个人数据处理过程中实施适当的技术和组织措施，以满足适用法律法规的要求。认证由获得认可（accredited）的认证机构（Certification Bodies，CB）进行，这些机构常常需遵循ISO/IEC 17065:2012国际标准以及数据保护监管机关设定的额外要求。

认证过程包括申请、评估、认证决定以及获证后的监督等环节。认证机构会对申请组织的个人信息处理活动进行全面评估，确保其符合法律规定的认证标准。一旦获得认证，组织需持续遵守认证标准，并接受认证机构的定期监督，以确保其处理活动的合规性。

在欧盟，根据EDPB发布的认证机制名录，目前有以下六项认证机制获得了批准：

Europrivacy：由欧洲认证与隐私中心（ECCP）拥有，卢森堡为负责的监管机构，属于欧盟数据保护印章（EU Data Protection Seal）。

GDPR-CARPA：由卢森堡拥有，属于国家认证标准。

EuroPriSe：由EuroPriSe Cert GmbH拥有，德国/北莱茵-威斯特法伦州为负责的监管机构，属于国家认证标准。

BC5701:2023：由Brand Compliance B.V.拥有，荷兰为负责的监管机构，属于国家认证标准。

AUDITOR conformity assessment：由Competence Centre Trusted Cloud e.V.拥有，德国/北莱茵-威斯特法伦州为负责的监管机构，属于国家认证标准。

EuroPriSe European Privacy Seal：由EuroPriSe Cert GmbH拥有，德国/北莱茵-威斯特法伦州为负责的监管机构，属于欧盟数据保护印章（EU Data Protection Seal）。

值得注意的是，上述认证中，目前没有一项认证机制可被用作从欧盟跨境传输个人数据的工具。[3]

在新加坡，政府通过认可APEC跨境隐私规则（CBPR）和隐私认可计划（PRP）认证，为数据跨境传输提供了一种机制。企业无需针对每个跨境数据传输目的地国家的隐私法律进行单独合规，只需符合APEC CBPR或PRP要求，即可在APEC经济体之间自由传输数据，减少了合规成本和复杂性。获得认证的企业可以展示其在数据隐私和安全方面的高标准和责任感，增强消费者、商业伙伴和监管机构对其的信任，有助于提升企业声誉和竞争力。通过认证，新加坡企业可以更容易地与APEC经济体中的认证组织进行数据交换，而无需满足额外的合规要求。

但与欧盟类似，获得认证，并不能等同于合规。虽然CBPR和PRP在一定程度上弥合了APEC经济体之间的隐私法律差异，但不同国家的隐私法律仍有其独特之处，企业在跨境数据传输时仍需关注目的地国家的具体法律要求。

总结与展望

当前，备受瞩目的《认证办法（征）》尚处在征求意见的关键阶段，在该办法中首次明确提出了认证机构需要具备争议受理机制以及投诉处理机制，然而，就这些机制究竟该如何切实落地，怎样才能在实际操作中充分发挥效能，成为了亟待回应的问题。与此同时，如何有效保障市场上第三方认证机构的公正性与独立性，更是重中之重。毕竟，只有确保这些认证机构能够秉持公正、独立的原则开展工作，才能让整个认证体系具备可信度与权威性。对此，企业可以持续关注后续出台的更为详尽、深入的立法规定以及清晰明了的实操指南，从而为出境个保认证工作的顺利推进提供更为坚实的法规支撑。

最后，在此我们提醒，个人信息保护认证是个人信息跨境活动的起点，而非终点。成功获得出境个保认证仅仅表明企业在当前特定时间点，满足了合规监管所设定的要求，处于一种暂时合规的状态。但要清楚地认识到，这无法囊括企业长期背负的合规责任。如今，技术迭代日新月异，监管环境持续动态调整，企业自身的业务活动也在不断推陈出新。在这样复杂多变的大背景下，个人信息保护认证不仅是一项企业自愿履行合规义务的举措，更应被视作一个持续维持合规水平的过程。个人信息处理者应将认证视为数据保护的起点，定期检查和完善自身的管理策略与技术措施，以此从容应对日益变化的合规环境和个人信息保护的挑战。

注释：

[1] 左晓栋，《中国信息安全》杂志2022年第12期，《顺势而为——谈我国个人信息保护认证制度的设计》。

[2] 欧盟《一般数据保护条例》(General Data Protection Regulation)第42条。

[3] Register of certification mechanisms, seals and mark，https://www.edpb.europa.eu/our-work-tools/accountability-tools/certification-mechanisms-seals-and-marks_en，最后访问时间为2025年1月7日。