近日,国家互联网信息办公室通过“网信中国”公众号发布了一则重要消息,旨在促进个人信息在跨境流动中的高效、便利与安全,同时规范个人信息出境的保护认证工作。这一举措是基于《中华人民共和国个人信息保护法》等法律法规,并正式推出了《个人信息出境个人信息保护认证办法(征求意见稿)》,现正面向全社会公开征求各方意见。
根据征求意见稿的内容,中华人民共和国境内的个人信息处理者,若选择通过个人信息出境保护认证的方式向境外提供个人信息,需满足以下两个条件:首先,该信息处理者不得是关键信息基础设施的运营者;其次,从当年1月1日起,其向境外提供的个人信息数量需在10万至100万之间(不包含敏感个人信息),或敏感个人信息数量不超过1万。
征求意见稿详细列出了个人信息出境保护认证的核心评估内容。这包括:个人信息出境的目的、范围、方式的合法性、正当性和必要性;境外个人信息处理者及其所在国家或地区的个人信息保护政策法律,以及网络和数据安全环境对出境个人信息安全的影响;境外个人信息处理者的个人信息保护水平是否符合中国法律、行政法规及强制性国家标准;个人信息处理者与境外接收方签订的协议是否包含明确的个人信息保护义务;以及双方的组织架构、管理体系和技术措施是否足以有效保障数据安全和个人信息权益等。
境内的个人信息处理者可自愿向专业认证机构申请个人信息出境保护认证。而对于境外的个人信息处理者,如欲申请该认证,则需通过其在境内设立的专门机构或指定代表进行协助申请,并承担相应的法律责任。同时,他们还需承诺遵守中国的个人信息保护相关法律法规,并接受监督管理,在认证有效期内接受专业认证机构的持续监督。
我国在个人信息出境管理方面已迈出重要一步。自2023年6月1日起,《个人信息出境标准合同办法》已开始实施。该办法明确了个人信息出境标准合同的适用范围、订立条件和备案要求,并提供了标准合同范本,为向境外提供个人信息提供了具体指导和规范。
