国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》，旨在规范个人信息跨境流动，并明确了认证的适用条件和重点内容。该办法适用于非关键信息基础设施运营者，且年累计向境外提供10万以上不满100万个人信息或不满1万敏感个人信息的个人信息处理者。认证重点包括出境目的、境外接收方所在地区的个人信息保护政策、境外接收方的个人信息保护水平以及相关协议约定等。个人信息处理者可自愿申请认证，境外处理者需由境内机构或代表协助申请，并承担法律责任，同时需接受持续监督。

📜 认证适用条件：该办法主要针对非关键信息基础设施运营者，且年累计向境外提供10万以上不满100万个人信息或不满1万敏感个人信息的个人信息处理者。

🔒 认证核心内容：认证重点在于评估个人信息出境的合法性、正当性、必要性，以及境外接收方所在国家或地区的个人信息保护政策和数据安全环境的影响。

🤝 认证流程：境内个人信息处理者可自愿申请认证，境外处理者需由其境内机构或代表协助申请，并承诺遵守中国个人信息保护相关法律法规。

🧐 认证持续监督：获得认证的个人信息处理者及境外接收方，在认证有效期内需接受专业认证机构的持续监督，确保信息安全。

⚖️ 法律责任：境外信息处理者需通过境内机构或代表协助申请，并承担相应的法律责任，承诺遵守中国个人信息保护相关法律法规。

IT之家 1 月 3 日消息，据“网信中国”公众号今日消息，为促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法（征求意见稿）》，现向社会公开征求意见。

征求意见稿指出，中华人民共和国境内的个人信息处理者通过个人信息出境个人信息保护认证方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）自当年 1 月 1 日起累计向境外提供 10 万人以上、不满 100 万人个人信息（不含敏感个人信息）或者不满 1 万人敏感个人信息。

征求意见稿提到，个人信息出境个人信息保护认证重点评定以下内容：

（一）个人信息出境的目的、范围、方式等的合法性、正当性、必要性；

（二）境外个人信息处理者、境外接收方所在国家或者地区的个人信息保护政策法律和网络和数据安全环境对出境个人信息安全的影响；

（三）境外个人信息处理者、境外接收方的个人信息保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；

（四）个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务；

（五）个人信息处理者、境外接收方的组织架构、管理体系、技术措施能否充分有效保障数据安全和个人信息权益；

（六）专业认证机构根据个人信息保护认证相关标准认为需要评定的其他事项。

中华人民共和国境内的个人信息处理者自愿向专业认证机构申请个人信息出境个人信息保护认证。

中华人民共和国境外的个人信息处理者申请个人信息出境个人信息保护认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请，并承担相应的法律责任，承诺遵守中华人民共和国个人信息保护有关法律法规并接受监督管理，在认证有效期内接受专业认证机构的持续监督。

据IT之家此前报道，我国《个人信息出境标准合同办法》已于 2023 年 6 月 1 日起施行，规定了个人信息出境标准合同（以下简称标准合同）的适用范围、订立条件和备案要求，明确了标准合同范本，为向境外提供个人信息提供了具体指引。