PG电子,PG电子官方网站,PG电子试玩,PG电子APP下载

　　按照官方表述，“《办法》的出台，明确了通过认证方式向境外提供个人信息的具体实施路径，标志着《个人信息保护法》明确的数据出境安全评估、个人信息保护认证、个人信息出境标准合同等出境制度设计的全面落地，也标志着我国数据跨境流动制度体系的全面建立。”[1]《认证办法》出台后，我国完整构建了数据出境监管的法律体系，包含3部法律，《网络安全法》《数据安全法》和《个人信息保护法》；1部行政法规，《网络数据安全管理条例》；4部部门规章，《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境认证办法》和《促进和规范数据跨境流动规定》。

　　4部部门规章是落实上位法3部法律和1部行政法规的具体实施规定。《个人信息出境认证办法》的出台，“3+1=4”的数据跨境管理法规体系就已经建立完成，标志着中国数据出境监管机制的进一步细化和优化，也意味着中国数据跨境监管更为成熟、便利。对企业而言，这代表了数据出境合规路径更为丰富明确，同时也对内部数据治理提出了更高要求。建议相关企业结合自身业务实际，审慎评估并选择最适合的合规路径，系统性提升数据出境的合规水平。希望通过本文，能够协助相关企业全面、快速掌握以下要点：

　　是否是关键信息基础设施运营者是首要判断因素。《网络安全法》（2017年）第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。这是我国最早关于数据跨境流动管理的法律规定，明确了“关键信息基础设施运营者”（CIIO）作为跨境数据流动中的特殊主体，其最早负有数据出境合规义务，也是目前数据出境活动中义务最高的主体。

　　关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《关键信息基础设施安全保护条例》（2021年）第十条明确，负责关键信息基础设施安全保护工作的部门根据认定规则组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。由此可以明确的是，关键信息基础设施的认定结果并不向社会公布，仅有关键信息基础设施运营者自身掌握其是否为关键信息基础设施运营者的结果。对于涉及数据跨境活动的企业而言，首先需要排查本企业是否收到过主管部门的通知，将自身认定为关键信息基础设施运营者，这是判断数据出境活动需要承担何种合规义务的第一步。

　　《个人信息保护法》第三十八条规定了三种个人信息出境的方式：通过国家网信部门组织的安全评估（具体见下文），按照国家网信部门的规定经专业机构进行个人信息保护认证，按照国家网信部门制定的标准合同与境外接收方订立合同。同时，个人信息可以按照法律、行政法规规定或者国家网信部门规定的其他条件出境，还可以按照中华人民共和国缔结或者参加的国际条约、协定中向境外提供个人信息的条件出境。《个人信息保护法》对“个人信息”出境的方式作出了位阶最高的规定，也明确了最为主要的三种出境方式，包括本次出台的《认证办法》所规定的保护认证方式。因此，需要注意的是，该三种数据出境的方式实际上是“个人信息”出境的方式。

　　《个人信息保护法》第三十八条中规定“通过国家网信部门组织的安全评估”方式需要符合该法第四十条规定。《个人信息保护法》第四十条衔接了前述《网络安全法》第三十七条的规定，对关键信息基础设施运营者向境外提供个人信息的情况进行了进一步规定，明确了：①个人信息阈值，需达到国家网信部门规定数量；②例外情形，法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。《个人信息保护法》细化了通过安全评估方式向境外提供个人信息的规定，也成为后续相关配套规定的主要依据。

　　豁免情形，数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（《促进和规范数据跨境流动规定》第四条）；关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息，不包括重要数据）的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（《促进和规范数据跨境流动规定》第五条第四项）。

　　《数据安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。《网络数据安全管理条例》第六十二条第四项明确，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。国家网信办在“数据出境安全管理政策问答（2025年4月）”[2]中明确，《数据安全技术 数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》提出了重要数据识别方法，数据处理者可依据相关法律法规、技术标准等识别申报重要数据。实践中，我们建议进一步参考相关自贸区的数据出境负面清单中所列的重要数据，亦可以作为重要数据识别的重要参考。截至目前，已有天津、北京、上海、海南、浙江、重庆、江苏、广西等多个自贸区发布了数据出境负面清单。

　　就重要数据出境问题，国家网信办在“数据出境安全管理政策问答（2025年4月）”中明确回答，对于确需出境的重要数据，法律作了制度上的安排，经数据出境安全评估认为不会危害国家安全和社会公共利益的，可以出境。根据国家网信办披露的数据，评估后准予出境的重要数据项占申报数据项总数的63.9%（截至2025年3月）。实际上，现行法律规定中从未有禁止重要数据出境的要求，只是重要数据本身性质的敏感性、重要性，导致在安全评估过程中需要对出境的必要性、采取安全措施的适当性等作出详细的说明和妥善的安排，因此相较于个人信息数据，通过安全评估的难度自然较大。

　　2024年8月，中国裁判文书网公布了一起广州互联网法院于2023年9月作出的判决〔（2022）粤0192民初6486号〕，本案系个人信息保护纠纷，是《个人信息保护法》出台后法院公布的首个有关跨境传输个人信息纠纷的司法裁判。原告主张被告某琴公司（被告一）和某高公司（被告二）通过“A”移动应用（App）违法跨境处理其个人信息。判决书涉及四个法律问题：（1）法律适用问题；（2）个人起诉是否需要前置条件；（3）如何认定侵害个人信息权益；（4）如何认定及承担民事侵权责任。（详见前期文章：《吟一字拈数须——首例个人信息跨境纠纷解读》）

　　今年3月28日，中央网信办、工信部、公安部、市场监管总局联合发布了《关于开展2025年个人信息保护系列专项行动的公告》（以下简称《2025年公告》）。这是自2019年以来四部委再次联合部署个人信息保护专项行动。此前2019年，上述四部委就发布了《关于开展App违法违规收集使用个人信息专项治理的公告》（以下简称《2019年公告》），开启了App个人信息治理活动并持续至今。相较于2019年，今年四部委专项行动十分密集和深入。截至目前，四部委专项行动累计公开通报27批，累计通报1179款移动应用，下架340款移动应用。其中，工信部信管局通报了7批违法违规收集使用个人信息的移动应用和1批违法违规收集使用个人信息的智能终端；中央网信办通报了2批违法违规收集使用个人信息的移动应用；国家计算机病毒应急处理中心通报了12批违法违规收集使用个人信息的移动应用；公安部计算机信息系统安全产品质量监督检验中心通报了5批违法违规收集使用个人信息的移动应用。

　　《2025年公告》中确定了六类重点问题：（1）App（含小程序、公众号、快应用）违法违规收集使用个人信息；（2）SDK违法违规收集使用个人信息；（3）智能终端违法违规收集使用个人信息；（4）公共场所违法违规收集使用人脸识别信息；（5）线下消费场景违法违规收集使用个人信息；（6）个人信息相关违法犯罪案件。不过，实际行动中，监管机构（及检测机构）将跨境传输数据纳入行动范围。国家计算机病毒应急处理中心的通报中多次涉及“个人信息处理者向中华人民共和国境外提供个人信息的，未向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项”的违法情形。

　　结合法律规定和执法实践，数据跨境管理无疑是监管重点之一，也呈现出精细化、科学化管理的趋势。企业在数据出境合规中，宜综合、准确理解有关法律法规要求，选择合适的数据出境方式，优化企业合规成本，同时避免数据出境不合规带来的法律风险。根据《个人信息保护法》《网络数据安全管理条例》《规范和促进数据跨境流动规定》等要求，在豁免情形和依法应当申报数据出境安全评估以外（参见前述），个人信息处理者开展数据出境活动的，满足“订立个人信息出境标准合同”或“通过个人信息保护认证”的条件之一即可。根据《认证办法》和《个人信息出境标准合同办法》的规定，两种方式的要求基本一致（具体见下表）。

　　《认证办法》对此前的征求意见稿进行了大幅修改，从而与《个人信息出境标准合同办法》保持一致，仅在个人信息出境风险中增加了“国家安全、公共利益”的考量。但是，两者在适用场景上可能存在差别。国家网信办“数据出境安全管理政策问答（2025年10月）”[63]中明确，个人信息出境保护认证参照的依据和标准主要是2022年11月公布的《关于实施个人信息保护认证的公告》以及国家标准《数据安全技术 个人信息跨境处理活动安全认证要求》（GB/T 46068-2025）。《数据安全技术 个人信息跨境处理活动安全认证要求》（GB/T 46068-2025）中列举了5类典型个人信息跨境处理场景：（1）跨国公司或同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；（2）境内个人信息处理者委托境外服务提供商处理数据；（3）境内个人信息处理者向境外接收方提供个人信息；（4）境内个人信息处理者与境外接收方共同处理个人信息；（5）境外个人信息处理者在境外收集分析境内自然人个人信息。从形式上来看，保护认证的方式特别适用于境外接收方不具有独立性的场景，比如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中指出，其适用于“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”。比较保护认证和标准合同两种方式，我们总结以下几点作为具体选择策略的参考：

　　正如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中所指， 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的跨境，首选保护认证的方式。《认证办法》删除了《征求意见稿》中关于“个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务”的评定要求，更加体现出其与标准合同方式的差异，对于在境外难以找到适格合同主体的个人信息处理者而言，保护认证的方式更为适合。

　　从保护认证和标准合同的条件来看，企业整体合规的要求基本一致，但标准合同更倾向于“一事一议”，更侧重于对单次或特定项下个人信息出境活动的合规性进行约定并满足合规要求；保护认证则更倾向于“一司一议”，更侧重于对个人信息处理者及其境外接收方的数据保护管理体系进行系统性认证，适用于长期、多场景的出境活动合规。因此，保护认证更适合长期、频繁的个人信息处理活动，而标准合同则相对适合于短期、偶发的个人信息处理活动。

　　标准合同生效且备案后，个人信息处理者就可以开展个人信息出境活动，标准合同本身属于商业合同的范畴或商业合同的一部分，实践中并无公开的要求，社会公众无法对其评价。而保护认证则具有一定的公权力属性，在一定程度上代表了行政机关对个人信息跨境活动的认可以及对企业个人信息保护水平的认可。因此，对于个人信息保护商誉等有较高需求的企业，如商业模式以ToC为主的企业，需要提升消费者对其个人信息保护水平满意度的企业，都可以通过保护认证的方式获得外部的信用评价。

　　《个人信息保护法》第十七条要求个人信息处理者在处理个人信息前，以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项（谁处理、怎么处理、如何维权）。需要注意的是，告知义务与用户同意是两个步骤，即便个人信息处理者具有除了同意以外的其他合法性基础，仍然需要履行告知义务。目前，仅有两类情形可以豁免（或部分豁免）告知义务：①法律、行政法规规定应当保密或者不需要告知的情形；②紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的（但在紧急情况消除后应当及时告知）。

　　《个人信息保护法》第三十九条明确，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。该条既包括了告知义务，与《个人信息保护法》第十七条一致，也规定了单独同意的要求。需要注意的是，《个人信息保护法》第十三条第二款明确，依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。也就是说，不以同意为合法性基础的情形下，不需要取得个人的同意，且该范围覆盖至“本法其他有关规定”，即包括跨境场景下的单独同意。如《个人信息保护法》第十三条第一款第二项的合法性基础包括“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，跨国企业以该项合法性基础向境外传输个人信息的，不需要取得个人的同意。《认证办法》第六条中要求“取得个人单独同意”的前提是“按照法律、行政法规的同意”，因此应当结合《个人信息保护法》第十三条第二款理解该处规定。

　　个人信息保护影响评估（PIA）是《个人信息保护法》规定的一项法定的、前置性义务，要求个人信息处理者在开展高风险个人信息处理活动之前（如向境外提供个人信息、处理敏感个人信息等），评估个人信息处理目的和处理方式、对个人权益的影响及安全风险、采取的保护措施的有效性等，以更进一步防范高风险个人信息处理活动可能带来的影响。并且，个人信息保护影响评估报告和处理情况记录应当至少保存三年。《认证办法》重申了这一要求，并针对跨境场景明确了PIA的重点评估内容（具体见下表）。

　　PIA由个人信息处理者自行开展，但是是申请个人信息出境保护认证的重点内容之一，能够全面、充分反映个人信息出境是否能够满足保护要求。《认证办法》细化了《个人信息保护法》有关PIA的评估要求，安全风险包含了国家安全、公共利益和个人信息权益，境外接收方的保护能力和保护水平应当作为评估的重点。对比而言，欧盟在实施GDPR有关跨境的过程中，也十分重视TIA（Transfer Impact Assessment）。TIA与PIA在形式和内容上比较相似，而在具体监督管理过程中，欧盟执法机构会对TIA的内容进行实质性审查，并作为企业跨境传输合法性的主要依据之一。中国虽然还没有相关执法案例，但是从安全评估、标准合同、保护认证等数据出境申请中，亦不难发现PIA的重要性。