10月17日消息，近日，国家互联网信息办公室与国家市场监督管理总局联合发布了《个人信息出境认证办法》（以下简称《办法》），并确定该办法自2026年1月1日起正式实施。

国家网信办相关负责人在解读时指出，《个人信息保护法》已将个人信息出境认证制度纳入基本法律框架，明确经专业机构进行认证是向境外提供个人信息的合法途径之一。《办法》针对认证适用范围、具体申请流程、认证标准及证书有效期等内容作出了细化规定，同时明确了认证机构应履行的职责与监管要求，旨在全面保护个人信息权益，规范出境认证活动，促进数据安全有序的跨境流动。

根据《办法》，个人信息出境认证主要适用于以下两类情形：一是非关键信息基础设施运营者；二是自当年1月1日起，累计向境外提供10万人以上、但不满100万人的非敏感个人信息，或不满1万人的敏感个人信息，且所提供信息中不涉及重要数据。办法同时强调，个人信息处理者不得通过数据拆分等方式规避认证义务，须依法通过出境安全评估后方可申请认证。

《办法》进一步明确了认证流程的具体安排。个人信息处理者应向具备资质的专业认证机构提出申请，认证机构则按照国家标准和认证规则开展审核评定工作。认证证书的有效期设定为3年，到期需重新进行认证评估。

《办法》还规定了认证机构应当履行的法定义务。专业认证机构需在全国认证认可信息公共服务平台备案并公示认证相关信息。一旦发现获证企业存在认证范围与实际出境情况不符、不再符合认证要求等情形，认证机构应暂停其证书使用直至撤销认证资质。对于发现违反法律法规规定的个人信息出境行为，认证机构应及时向国家网信部门和相关主管部门报告。

在监督管理方面，《办法》要求认证机构在取得资质后的10个工作日内向国家网信部门完成备案。国家市场监督管理总局与国家网信部门将共同对个人信息出境认证活动实施监督。省级以上网信部门在发现认证企业存在较大风险或发生安全事件时，可依法对相关企业进行约谈。

《办法》还对违反规定的法律责任及适用效力作出了明确规定。