近期，国家市场监督管理总局及国家互联网信息办公室联合发布《个人信息保护认证实施规则》（“《认证规则》”），全国信息安全标准化技术委员发布《个人信息跨境处理活动安全认证规范（V2.0征求意见稿）》（“《跨境认证规范V2.0》”），将个人信息出境认证机制向前推进了一大步。本期专题简要梳理安全认证相关规则，展望个人信息出境认证机制的未来趋势。

一、安全认证的适用情形

国家网信办在《数据出境安全评估办法》第4条规定处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，都必须进行安全评估，为数据处理者申报数据出境安全评估设立了100万、10万、1万这“三条标准”。数据处理者处理信息量一旦达到需要评估的标准，由政府组织、经政府批准的安全评估即成为唯一的数据出境机制。而对于数据出境场景有限、出境个人信息量较少的企业，则可以选择标准合同或安全认证作为数据出境机制。

二、安全认证的流程

一般而言，信息安全认证的本质是企业委托第三方机构检查控制点，认证流程通常包括建设阶段、自测阶段、认证阶段三个步骤，认证机构为企业建设信息安全体系提供清晰可行的控制点指引，后对企业信息安全进行检查认证并颁发证书。在建设阶段，企业自行筹备并框定目标，搭建体系、分析并弥补差距；在此过程中设置控制点，并通过培训和政策制定确保控制点落实到位。在自测阶段，企业在对控制点充分测试、审核评估的基础上完成自评估，形成自评估报告。在认证阶段，企业将自评估报告提交给认证机构进行认证，对符合要求的，认证机构颁发认证证书；对暂不符合要求的，可要求企业限期整改，如能整改合格，则予以认证，整改后仍不合格，则终止认证。

《认证规则》采用了常见的认证模式。认证证书的有效期为3年。如需延长认证期限，企业可在认证到期前六个月内提出认证委托，认证机构应当采用获证后监督的方式，对符合认证要求的委托换发新证书。

三、安全认证的控制点

《跨境认证规范V2.0》为安全认证设定了控制点，这些控制点包括：

1、法律协议

境内处理者和境外接收方之间需存在法律协议，以确保个人信息出境后，仍能得到符合《个人信息保护法》标准的要求的个人信息保护。为此目的，《跨境认证规范V2.0》对相关法律协议必备的条款进一步做出了详细规定。值得注意的是，《跨境认证规范V2.0》并未要求安全认证中的法律协议必须为数据出境标准合同。

2、责任落实

为确保控制点落实到位，责任落实到人，《跨境认证规范V2.0》同时明确了责任主体，即境内外的个人信息保护负责人。为防止个人信息保护负责人成为徒有其名的虚职，《跨境认证规范V2.0》规定了支持个人信息保护负责人的相关机构，强调了资源的配备和相关的权责。

3、个人信息跨境处理规则

境内处理者和境外接收方需遵守同一个人信息跨境处理规则。个人信息跨境处理规则类似于欧盟《通用数据保护条例》（General Data Protection Regulation，“GDPR”）第45条的“有约束力的公司规则”（Binding Corporate Rules，“BCR”），即要求跨国公司的各个关联公司遵守同一标准的个人信息跨境处理规则。《跨境认证规范V2.0》仅对个人信息跨境处理规则的规制内容提出原则性基本要求，如基本处理情况、数据跨境的范围和目的、中转国家、数据生命周期管理和事件处置等。

4、个人信息保护影响评估

根据《个人信息保护法》第55条第4项的规定，在个人信息出境的场景下，数据处理者需“事前进行个人信息保护影响评估，并对处理情况进行记录”。和数据出境标准合同相关要求类似，《认证规则》也对个人信息保护影响评估（简称“自评估”）做出类似规定。安全评估、安全认证和标准合同三项出境机制都为其各自项下的自评估做了预设，今后企业内部在进行跨境自评估时，可能要先明确准备选择哪项出境机制，然后再按其要求有针对性地完成跨境自评估。

5、个人信息主体权益保障

个人信息主体权利即个人信息主体在《个人信息保护法》项下的各项权利，如知情权、决策权、查阅权、复制权等，这些权利不得因为个人信息跨境而受到减损。《认证规则》要求个人信息主体权益能够在数据出境场景中得到落实。从企业义务的角度，值得注意的问题包括：　

需要明确的是，《个人信息跨境处理活动安全认证规范（V2.0征求意见稿）》是在2022年6月施行的《个人信息跨境处理活动安全认证规范》的基础上进行修订的征求意见稿，两版《个人信息跨境处理活动安全认证规范》之间的差异主要在于，《跨境认证规范V2.0》补强了法律协议的条款、细化了个人信息保护影响评估的相关内容，并增加了企业义务。

四、安全认证的价值

安全认证与标准合同相比（以2022年6月30日国家网信办发布的《个人信息出境标准合同规定（征求意见稿）》为依据），具有以下特点：

- 安全认证具有“定制化”的特点，数据出境中的合规要求更为灵活。不同于由政府统一制定的数据出境标准合同，安全认证中的相关数据处理标准可以由企业自行制定，《跨境认证规范V2.0》对此仅作原则性要求，因此采取安全认证的路径，企业可根据场景需求制定符合自身情况的数据出境合规方案。

- 在应对出境数据向境外第三方再传输的情形，安全认证确立的规则更为合理高效。根据数据出境标准合同条款，出境数据向境外第三方再传输时，仍需满足较为严格的条件，实践成本较高。而通过适用安全认证所要求的个人信息跨境处理规则，境外数据接收方或可以向其他受到该处理规则约束的关联企业进行数据再传输，流程更为高效。

- 在申请手续方面，安全认证需要经过第三方机构认证，流程相比于数据出境标准合同更为严格。但是，数据出境标准合同也需要在签署后去有关网信部门备案，且该机制也要求完成个人信息保护影响评估。

五、安全认证的认证机构

目前，关于安全认证机构的选取，尚无明确规定。根据以往的实践经验，在网络安全领域，中国网络安全审查技术与认证中心（下称“CCRC”）已经依规开展了一系列的安全认证，如APP个人信息保护安全认证等。因此，安全认证领域的认证职责也有可能由CCRC承担。

六、待解决的问题

首先，《跨境认证规范V2.0》和《认证规则》只是对企业如何取得安全认证提供方向性的指引。与成熟的认证程序例如ISO27001认证和网络安全等级保护认证相比，安全认证尚缺乏具体评分项目和详细程序、认证机构和人员配备等方面的细节性规定，并且《跨境认证规范V2.0》目前仍未生效，施行时间尚不确定，希望有关部门能够在未来尽快明确。

其次，《认证规则》项下的安全认证实际上包含了两套规范，《信息安全技术 个人信息安全规范》和《个人信息跨境处理活动安全认证规范》。换言之，《认证规则》对企业在中国境内的数据处理和跨境数据传输行为均做出规定。认证机构在执行《认证规则》时如何协调两套规范之间的关系、数据处理者能否仅依据《个人信息跨境处理活动安全认证规范》进行数据出境认证而不依据《个人信息安全规范》对境内的数据处理进行认证，这些问题的解答，有赖于《认证规则》相关实施细则的颁布。

此外，跨国公司内部各子公司之间，如果之前就存在相关处理规则的安排，能否据此在集团内部传输个人数据，而无需考虑《个人信息跨境处理活动安全认证规范》对“向第三方传输”做出的限制，也需要《认证规则》相关实施细则予以明确。

• 个人信息出境安全认证机制简析　[尹云霞、张毅、邓云卫 合规及政府监管组，方达律师事务所]

新修订的《认证规范》无疑从更明晰的定义、适用主体和范围、基本原则、个人信息处理者和境外接收方的责任义务、响应个人信息主体保障权益等各方面综合考量，为企业的个人信息出境认证提供了更明确的指示和要求。但如上所述，《认证规范》在适用范围、适用主体，以及与《个人信息保护法》下“个人信息跨境提供”认证机制的衔接等方面仍然存在一些有待明确的问题。下文中我们尝试为读者阐明这些问题，并提出我们对于认证机制未来发展的思考和展望。

一、“个人信息跨境处理活动”的含义

鉴于《认证规范》及《认证规则》中提出的“个人信息跨境处理活动”与《个人信息保护法》等法律中的表述不一致，且没有明确的定义，我们认为有必要对“个人信息跨境处理活动”的定义予以明确。

结合上述分析，基于目前《认证规范》的内容，似乎可以将“个人信息跨境处理活动”解释为“个人信息跨境提供”以及“境外个人信息处理者直接收集境内个人信息”两种情形，其中对于“个人信息跨境提供”的认证的法律依据为《个人信息保护法》，而对于“境外个人信息处理者直接收集境内个人信息”的认证不落入《个人信息保护法》的规定，其法律依据为《认证规则》。

无论后续立法或执法机构是否会按照我们对“个人信息跨境处理活动”的上述解读去进行定义，我们认为赋予“个人信息跨境处理活动”明确的外延和内涵，将更有助于有个人信息出境需要的主体选择合适的个人信息出境的法律路径。

二、认证机构、流程及材料

《认证规范》对于个人信息跨境处理活动的认证规范做出了详细的规定，但从企业的角度，更为关心的问题无疑是认证的具体程序。例如，应该向哪个（些）认证机构提交认证申请、认证的具体流程和时间限制，以及认证需要提交哪些申请材料。

对于认证机构，《认证规则》及《认证规范》均未予以明确。《认证规范》中提及《认证规范》的制定得到了中国网络安全审查技术与认证中心（CCRC）的技术支持，而且CCRC也是目前网信办开展数据出境安全评估的技术评测方，因此，我们认为个人信息跨境处理活动的认证有可能会委托CCRC进行。此外，认证工作的常规主管机构为国家认证认可监督管理委员会（CNCA），且CNCA已经认定并发布了认证机构的名录列表（参见认证机构信息列表），因此未来也不排除将认证工作交由CNCA指定的认证机构进行。

认证的材料及认证所需的法定时限也有待进一步的明确。由于《认证规范》中明确对“有法律约束力的协议”提出了规范要求，将来出境方与境外接收方就个人信息跨境处理活动签署的个人信息出境协议（是否需要采用网信办公布的标准合同有待明确）或将会作为认证申请材料的重要部分。

三、认证对象

目前《认证规则》及《认证规范》尚未明确的另一个问题是，认证的对象究竟是“个人信息跨境处理活动”，抑或是出境或境外接收个人信息的主体。

如果认证的对象是“个人信息跨境处理活动”，那么认证的范围将会相对较为狭窄，即便是跨国集团内部的数据出境活动，其出境个人信息的目的、范围、类型和方式也不是一尘不变的，如果仅仅针对“处理活动”进行认证，那么很有可能导致后续处理活动发生变化后，需要重新进行认证。

企业更期待看到的应当是对于出境主体和/或境外个人信息接收主体的认证，即认证是对个人信息出境方和/或境外接收方的个人信息出境合规及个人信息安全保护能力的证明。也就是说，即使其出境/接收的个人信息范围、类型等始终在变化，经过认证的主体仍然可以自由地在遵守中国法律的前提下，进行个人信息出境/接收行为。 如此，可适当减轻企业的合规负担，从而提升企业进行认证的积极性。

四、认证有效期

根据目前的法律草案，除非合同涉及的出境情形发生重大变化，否则标准合同备案后将长期有效。对于认证而言，我们认为将会采取相同的机制，即除非认证的“个人信息跨境处理活动”，或认证的对象发生重大变化，个人信息跨境提供的认证也将会是长期有效的状态。

五、认证与标准合同的关系

就个人信息跨境提供而言，认证与标准合同并列个人信息跨境提供的法律路径。但除非这两种路径的复杂性、有效性、成本等完全相同，否则企业没有理由不选择更容易、成本更低的路径。

从目前《认证规范》对于“有法律效力的协议”的要求来看，很有可能会要求申请认证的主体提交境内外双方签署的出境协议（即使不是标准合同，也不会有太大的区别）。意即企业如果通过标准合同出境个人信息，仅需签订合同，而如果通过认证出境个人信息，除标准合同外，还需要履行其他的认证手续。若如此，除非认证机制在其他方面有优于标准合同之处，出境方恐难说服境外接收方配合进行个人信息出境认证。

我们认为，相较于标准合同仅能与单个的境外接收方一对一签署，且合同中能约定（预见）的数据出境场景和类型也比较固定，认证的机制可以是相对比较灵活的。例如，认证不仅可以针对个人信息跨境提供的行为，也可以针对跨境提供的提供方和接收方主体。如果可以针对主体进行认证，比如对某一境外接收方进行认证，只要已经证明其具有符合中国法律要求的数据安全保护能力，此后其从其他境内主体接收数据，或者境内主体向其传输的个人信息范围或类型发生变化，不需要再履行认证或者其他的个人信息跨境提供义务。此将大大提高认证机制对于个人信息出境方及境外接收方的吸引力，促使企业选择认证作为个人信息出境的法律路径。

• 个人信息出境认证机制展望——以《个人信息跨境处理活动安全认证规范》为起点　[潘永建、朱晓阳、吴若蘅，通力律师事务所]

目前，个人信息跨境处理安全认证工作逐步落地，《个人信息保护认证实施规则》明确了“技术验证+现场审核+获证后监督”的认证模式，对符合审核条件的，颁发3年有效认证证书并授予认证标志。

从认证规范征求意见稿的相关规定来看，在个人信息跨境处理问题上，规范标准侧重保障个人信息主体权益。对个人信息处理者与境外接收者而言，处理活动需贯彻保障个人信息的原则、严格遵守相关规范要求、确保处理行为合规。

一、结合企业现实，选择合适出境路径

个人信息处理者及境外接收者企业在跨境处理个人信息活动中，应当结合企业现实，重点分析企业数据规模及传输的数据类型，针对性选择数据出境路径。对于符合数据安全评估要求的企业，应当采取申报数据出境安全评估的方式。不符合数据安全评估要求的企业，可由个人信息处理者与境外接收者达成个人信息出境标准合同并申请备案的方式，或由提出安全认证的方式，实现个人信息出境在先条件。

二、在既定出境路径下，严格保障个人权益

事实上无论何种出境路径，都对处理者及接收者的责任义务做了明确要求。个人信息处理者及境外接收者应当以保障个人信息主体权益为处理活动的中心，以确保处理行为合规。近年来，《个人信息保护法》、《数据安全法》、《网络安全法》等保障信息安全的法律规范陆续出台，维护个人信息权益的立法动态明显。对个人信息处理者及境外接收者而言，需严格遵守相关要求、合规经营个人信息跨境活动。

三、明确约定责任负担，避免权责不清

在个人信息处理者及境外接收方违反要求跨境处理个人信息的法律后果上，相关标准规范往往要求责任方承担连带责任，并可由双方协商确定责任负担问题。考虑到跨境传输个人信息过程中可能出现的安全风险，为合理界分双方责任、避免后期矛盾纠纷，个人信息处理者及境外接收方应当在进行个人信息处理活动前就相关事项达成合意并订立协议。尤其对个人信息处理者而言，由于管辖问题限制，应在处理活动开始前通过协议方式合理规避风险。

四、定期审核评估，确保合规无虞

为确保个人信息跨境处理活动全流程合规，个人信息处理者及境外接收方宜在个人信息处理活动中定期开展个人信息保护影响评估、安全风险排查等形式的监督审核活动。通过协议形式明确各方监督权利与义务，确保个人信息跨境处理活动全流程合规。

• 个人信息跨境处理合规要义——暨谈《个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》　[彭晓燕，万商天勤律师事务所]

• 浅析个人信息跨境处理活动安全认证制度的主要关注点　[刘展、吴骏坤，环球律师事务所]
• 我国个人信息跨境传输安全认证规则简析　[薛颖、陈扬，己任律师事务所]
• 跨境认证——解读个人信息出境的第三条路　[杨建媛、邬丹、李天烁，海问律师事务所]
• 个人信息出境合规指引之三——《网络安全标准实践指南 个人信息跨境处理活动安全认证规范》　[孟洁、殷坤、鲁裕鑫，环球律师事务所]