近日，國家互聯(lián)網(wǎng)信息辦公室、國家市場監(jiān)督管理總局聯(lián)合公布了《個人信息出境認(rèn)證辦法》(以下簡稱《辦法》)。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》有關(guān)問題回答了記者提問。

　　問1：請介紹一下《辦法》的出臺背景。

　　答：隨著全球數(shù)字經(jīng)濟(jì)飛速發(fā)展，數(shù)據(jù)跨境流動成為推動數(shù)據(jù)要素全球配置、開展高水平國際合作競爭的關(guān)鍵?！秱€人信息保護(hù)法》規(guī)定，按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證是向境外提供個人信息的法定途徑之一。為落實法律規(guī)定要求，2022年11月，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室公布了規(guī)范性文件《關(guān)于實施個人信息保護(hù)認(rèn)證的公告》。在此基礎(chǔ)上，制定《辦法》，完善我國個人信息跨境流動管理制度，有利于保護(hù)個人信息權(quán)益，促進(jìn)個人信息合規(guī)利用，為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展提供法治保障。

　　問2：《辦法》的主要內(nèi)容是什么？

　　答：《辦法》主要對下列內(nèi)容進(jìn)行了規(guī)定：一是明確立法目的依據(jù)、適用范圍。規(guī)定個人信息處理者通過個人信息保護(hù)認(rèn)證的方式向中華人民共和國境外提供個人信息，適用本辦法。二是明確個人信息出境認(rèn)證的適用情形。規(guī)定個人信息處理者通過個人信息出境認(rèn)證的方式向境外提供個人信息應(yīng)當(dāng)符合的情形，即非關(guān)鍵信息基礎(chǔ)設(shè)施運營者自當(dāng)年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息，且個人信息不包括重要數(shù)據(jù)。三是明確個人信息出境認(rèn)證的申請方式、認(rèn)證要求及證書有效期。規(guī)定個人信息處理者應(yīng)當(dāng)向?qū)I(yè)認(rèn)證機構(gòu)申請個人信息出境認(rèn)證，中華人民共和國境外的個人信息處理者申請個人信息出境認(rèn)證的，應(yīng)當(dāng)由其在境內(nèi)設(shè)立的專門機構(gòu)或者指定代表協(xié)助進(jìn)行申請。專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)按照認(rèn)證基本規(guī)范、個人信息保護(hù)認(rèn)證規(guī)則開展認(rèn)證活動。明確認(rèn)證證書的有效期為3年，證書到期需繼續(xù)使用的，個人信息處理者應(yīng)當(dāng)在有效期屆滿前6個月提出認(rèn)證申請。四是明確專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)履行的義務(wù)。規(guī)定專業(yè)認(rèn)證機構(gòu)應(yīng)當(dāng)向全國認(rèn)證認(rèn)可信息公共服務(wù)平臺報送個人信息出境認(rèn)證證書相關(guān)信息，發(fā)現(xiàn)個人信息出境活動違反法律、行政法規(guī)和國家有關(guān)規(guī)定的，應(yīng)當(dāng)及時向國家網(wǎng)信部門和有關(guān)部門報告。五是明確監(jiān)督管理要求。規(guī)定專業(yè)認(rèn)證機構(gòu)自取得認(rèn)證資質(zhì)之日起10個工作日內(nèi)，應(yīng)當(dāng)向國家網(wǎng)信部門備案，國家市場監(jiān)督管理部門和國家網(wǎng)信部門對個人信息出境認(rèn)證活動進(jìn)行監(jiān)督。

　　問3：通過個人信息出境認(rèn)證的方式向境外提供個人信息的適用情形如何？

　　答：《辦法》明確個人信息處理者通過個人信息出境認(rèn)證的方式向境外提供個人信息的，應(yīng)當(dāng)同時符合下列情形：一是非關(guān)鍵信息基礎(chǔ)設(shè)施運營者;二是自當(dāng)年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息;三是向境外提供的個人信息，不包括重要數(shù)據(jù)。同時，規(guī)定個人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過個人信息出境認(rèn)證的方式向境外提供。

　　問4：個人信息處理者在申請認(rèn)證向境外提供個人信息前應(yīng)當(dāng)履行什么義務(wù)？

　　答：落實《個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》規(guī)定要求，《辦法》對個人信息處理者在申請認(rèn)證向境外提供個人信息前應(yīng)當(dāng)履行的義務(wù)作了細(xì)化。規(guī)定應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知、取得個人單獨同意、進(jìn)行個人信息保護(hù)影響評估等義務(wù)。個人信息保護(hù)影響評估重點評估以下內(nèi)容：一是個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是出境個人信息的規(guī)模、范圍、種類、敏感程度，個人信息出境可能對國家安全、公共利益、個人信息權(quán)益帶來的風(fēng)險;三是境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全;四是個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險，個人信息權(quán)益維護(hù)的渠道是否通暢等;五是境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)對出境個人信息安全和個人信息權(quán)益的影響;六是其他可能影響個人信息出境安全的事項。

　　問5：《辦法》對專業(yè)認(rèn)證機構(gòu)提出了哪些要求？

　　答：《辦法》對專業(yè)認(rèn)證機構(gòu)提出了如下要求：一是應(yīng)當(dāng)按照認(rèn)證基本規(guī)范、個人信息保護(hù)認(rèn)證規(guī)則開展個人信息出境認(rèn)證活動。符合認(rèn)證要求的，應(yīng)當(dāng)及時出具認(rèn)證證書。二是應(yīng)當(dāng)在出具認(rèn)證證書或者認(rèn)證證書狀態(tài)發(fā)生變化后5個工作日內(nèi)，向全國認(rèn)證認(rèn)可信息公共服務(wù)平臺報送個人信息出境認(rèn)證證書相關(guān)信息，包括認(rèn)證證書編號、獲證個人信息處理者名稱、認(rèn)證范圍以及證書狀態(tài)變化信息等。三是發(fā)現(xiàn)獲證個人信息處理者存在個人信息出境情況與認(rèn)證范圍不一致等情形，不再符合認(rèn)證要求的，應(yīng)當(dāng)暫停其使用直至撤銷相關(guān)認(rèn)證證書。四是發(fā)現(xiàn)個人信息出境活動違反法律、行政法規(guī)和國家有關(guān)規(guī)定的，應(yīng)當(dāng)及時向國家網(wǎng)信部門和有關(guān)部門報告。五是應(yīng)當(dāng)自國家市場監(jiān)督管理部門批準(zhǔn)取得個人信息保護(hù)認(rèn)證資質(zhì)之日起10個工作日內(nèi)向國家網(wǎng)信部門辦理備案手續(xù)，并對所備案材料的真實性負(fù)責(zé)。六是應(yīng)當(dāng)對在履行職責(zé)中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密。

　　問6：《辦法》如何對專業(yè)認(rèn)證機構(gòu)與獲證個人信息處理者進(jìn)行監(jiān)督管理？

　　答：《辦法》對專業(yè)認(rèn)證機構(gòu)與獲證個人信息處理者的監(jiān)督管理作了如下規(guī)定：一是國家市場監(jiān)督管理部門和國家網(wǎng)信部門對個人信息出境認(rèn)證活動進(jìn)行監(jiān)督，開展定期或者不定期的檢查，對認(rèn)證過程和認(rèn)證結(jié)果進(jìn)行抽查，對專業(yè)認(rèn)證機構(gòu)進(jìn)行抽查和評價。二是省級以上網(wǎng)信部門和有關(guān)部門發(fā)現(xiàn)獲證個人信息處理者個人信息出境活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以依法對獲證個人信息處理者進(jìn)行約談。獲證個人信息處理者應(yīng)當(dāng)按照要求整改，消除隱患。三是任何組織和個人發(fā)現(xiàn)獲證個人信息處理者違反本辦法規(guī)定向境外提供個人信息的，可以向?qū)I(yè)認(rèn)證機構(gòu)、網(wǎng)信部門和有關(guān)部門投訴、舉報。四是違反《辦法》規(guī)定的，依據(jù)《個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《認(rèn)證認(rèn)可條例》等法律法規(guī)處理;構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　問7：我國數(shù)據(jù)跨境流動的制度設(shè)計情況如何？

　　答：《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》對數(shù)據(jù)跨境流動作出基本規(guī)定，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一：(一)通過國家網(wǎng)信部門組織的安全評估;(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證;(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù);(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。國家互聯(lián)網(wǎng)信息辦公室先后出臺《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，明確了數(shù)據(jù)出境安全評估、個人信息出境標(biāo)準(zhǔn)合同等管理制度的實施路徑，同時建立了自貿(mào)試驗區(qū)數(shù)據(jù)出境負(fù)面清單制度?！掇k法》的出臺，明確了通過認(rèn)證方式向境外提供個人信息的具體實施路徑，標(biāo)志著《個人信息保護(hù)法》明確的數(shù)據(jù)出境安全評估、個人信息保護(hù)認(rèn)證、個人信息出境標(biāo)準(zhǔn)合同等出境制度設(shè)計的全面落地，也標(biāo)志著我國數(shù)據(jù)跨境流動制度體系的全面建立。

　　來源：國家互聯(lián)網(wǎng)信息辦公室