智通財經APP獲悉,1月3日,國家互聯網信息辦公室發佈關於《個人信息出境個人信息保護認證辦法(徵求意見稿)》公開徵求意見的通知。意見稿提到,中華人民共和國境內的個人信息處理者通過個人信息出境個人信息保護認證方式向境外提供個人信息的,應當同時符合下列情形:(一)非關鍵信息基礎設施運營者;(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。前款所稱向境外提供的個人信息,不包括重要數據。
原文如下:
國家互聯網信息辦公室關於《個人信息出境個人信息保護認證辦法(徵求意見稿)》公開徵求意見的通知
爲促進個人信息高效便利安全跨境流動,規範個人信息出境個人信息保護認證工作,根據《中華人民共和國個人信息保護法》等法律法規,國家互聯網信息辦公室起草了《個人信息出境個人信息保護認證辦法(徵求意見稿)》,現向社會公開徵求意見。公衆可以通過以下途徑查看文稿或提出反饋意見:
1.登錄中國網信網(www.cac.gov.cn),進入首頁“網信要聞”查看文稿。
2.登錄中華人民共和國司法部(www.moj.gov.cn)、中國政府法制信息網(www.chinalaw.gov.cn),進入首頁主菜單的“立法意見徵集”欄目提出意見。
3.通過電子郵件方式發送至:shujuju@cac.gov.cn。
4.通過信函方式將意見寄至:北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局,郵編100048,並在信封上註明“個人信息出境個人信息保護認證辦法徵求意見”。
意見反饋截止時間爲2025年2月3日。
國家互聯網信息辦公室
2025年1月3日
個人信息出境個人信息保護認證辦法
(徵求意見稿)
第一條 爲了便利個人信息出境活動,規範個人信息出境個人信息保護認證工作,保護個人信息權益,促進個人信息高效便利安全跨境流動,根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》、《中華人民共和國認證認可條例》等法律法規,制定本辦法。
第二條 在中華人民共和國境內開展個人信息出境個人信息保護認證活動,適用本辦法。法律、行政法規另有規定的,依照其規定。
第三條 本辦法所稱個人信息出境個人信息保護認證,是指依法設立並經國家市場監督管理部門批准取得個人信息保護認證資質的專業認證機構,對個人信息處理者個人信息出境活動開展的個人信息保護認證。本辦法所稱個人信息出境活動,是指個人信息處理者因業務等需要確需向中華人民共和國境外提供個人信息的行爲。包括但不限於以下情形:
(一)個人信息處理者將在境內運營中收集和產生的個人信息傳輸至境外;
(二)個人信息處理者收集和產生的個人信息存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;
(三)符合《中華人民共和國個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他個人信息處理活動。
第四條 中華人民共和國境內的個人信息處理者通過個人信息出境個人信息保護認證方式向境外提供個人信息的,應當同時符合下列情形:(一)非關鍵信息基礎設施運營者;(二)自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息。前款所稱向境外提供的個人信息,不包括重要數據。
第五條 符合《中華人民共和國個人信息保護法》第三條第二款規定,在中華人民共和國境外處理中華人民共和國境內個人信息的個人信息處理者,獲得個人信息出境個人信息保護認證,可以進行個人信息出境活動。
第六條 個人信息保護認證遵循自願性、市場化、社會化服務原則。由具備資質的專業認證機構按照統一標準、統一規則、統一標識開展個人信息出境個人信息保護認證活動。
第七條 國家網信部門會同有關部門組織制定個人信息出境個人信息保護認證相關標準、技術法規和合格評定程序,對個人信息出境活動進行監督管理。國家市場監督管理部門會同國家網信部門組織制定個人信息出境個人信息保護認證實施規則、統一認證證書及標誌。
第八條 開展個人信息出境個人信息保護認證的專業認證機構應當向國家網信部門辦理備案手續。
辦理備案時,應當提交下列材料:
(一)取得的個人信息保護領域的認證資質情況;
(二)近3年從事數據安全領域、個人信息保護領域專業工作情況;
(三)個人信息保護認證實施細則及工作計劃;
(四)數據安全風險防範機制;
(五)對獲證個人信息處理者進行的個人信息出境活動符合認證標準情況的持續監督機制;
(六)爭議受理機制和投訴處理機制;
(七)其他需要提交的材料。
第九條 中華人民共和國境內的個人信息處理者自願向專業認證機構申請個人信息出境個人信息保護認證。
中華人民共和國境外的個人信息處理者申請個人信息出境個人信息保護認證的,應當由其在境內設立的專門機構或者指定代表協助進行申請,並承擔相應的法律責任,承諾遵守中華人民共和國個人信息保護有關法律法規並接受監督管理,在認證有效期內接受專業認證機構的持續監督。
第十條 個人信息出境個人信息保護認證重點評定以下內容:
(一)個人信息出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外個人信息處理者、境外接收方所在國家或者地區的個人信息保護政策法律和網絡和數據安全環境對出境個人信息安全的影響;
(三)境外個人信息處理者、境外接收方的個人信息保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
(四)個人信息處理者與境外接收方訂立的有法律約束力的協議是否約定了個人信息保護的義務;
(五)個人信息處理者、境外接收方的組織架構、管理體系、技術措施能否充分有效保障數據安全和個人信息權益;
(六)專業認證機構根據個人信息保護認證相關標準認爲需要評定的其他事項。
第十一條 專業認證機構在開展認證活動中,發現個人信息出境活動危害國家安全、公共利益或者嚴重影響個人信息權益的,應當及時向國家網信部門及有關部門報告。
第十二條 專業認證機構應當在頒發認證證書或者認證證書狀態發生變化後5個工作日內,向全國認證認可公共信息平臺報送個人信息出境個人信息保護認證證書相關信息,包括認證證書編號、獲證個人信息處理者名稱、認證範圍以及證書狀態變化信息等。國家市場監督管理部門與國家網信部門建立認證信息共享機制。
第十三條 專業認證機構發現獲證個人信息處理者存在個人信息出境情況與認證範圍不一致等不再符合認證要求的,應當及時暫停、撤銷相關認證證書,並予以公佈。國家網信部門和有關部門在個人信息保護監督管理工作中發現獲證個人信息處理者存在前款情形的,專業認證機構應當配合及時暫停、撤銷相關認證證書,並予以公佈。
第十四條 國家市場監督管理部門會同國家網信部門對個人信息出境個人信息保護認證活動進行監督,對認證過程和認證結果進行抽查,對專業認證機構進行評價。國家市場監督管理部門對個人信息出境安全認證活動存在服務質量等問題的,視情節予以警告、責令限期改正、停業整頓;拒不整改或規定期限內未完成整改的,以及存在弄虛作假的,撤銷其認證機構資質,並予以公佈。專業認證機構通過隱瞞有關情況、提供虛假材料等不正當手段取得備案的,由國家網信部門予以撤銷備案;發生嚴重違法情形受到停業整頓、撤銷認證機構資質等行政處罰的,由國家網信部門予以註銷備案。
第十五條 任何組織和個人發現獲證個人信息處理者違反本辦法向境外提供個人信息的,可以向省級以上網信部門和有關部門舉報。
第十六條 省級以上網信部門和有關部門發現獲證個人信息處理者存在較大風險或者發生個人信息安全事件的,可以依法對獲證個人信息處理者進行約談。獲證個人信息處理者應當按要求整改,消除隱患。
第十七條 履行個人信息保護職責的相關部門、專業認證機構及其工作人員對在履行職責中知悉的個人隱私、個人信息、商業祕密、保密商務信息等應當依法予以保密,並採取相應的技術措施和其他必要措施,保障相關數據不得泄露或者非法向他人提供、非法使用。
第十八條 國家促進個人信息出境個人信息保護認證活動的國際交流與合作,推動個人信息出境個人信息保護認證與其他國家、地區、國際組織之間的互認。
第十九條 違反本辦法規定的,依據《中華人民共和國個人信息保護法》、《中華人民共和國認證認可條例》等法律法規處理;構成犯罪的,依法追究刑事責任。
第二十條 本辦法自 年 月 日起施行。
本文編選自“網信中國”微信公衆號,智通財經編輯:劉家殷。