我国首部个人信息跨境认证国家标准的亮点和启示
近期,国家市场监督管理总局(国家标准化管理委员会)批准发布《数据安全技术 个人信息跨境处理活动安全认证要求》(GB/T 46068-2025)(以下简称“《认证要求》”)。作为我国出台的首部专门针对个人信息跨境处理活动的推荐性国家标准,虽然其不具有强制性法律约束力,但其确立的基本原则、基本要求和规范流程,为跨境处理个人信息活动提供了权威、统一的技术规范依据,有助于有效促进个人信息依法合规跨境流动。
主要亮点
一、明确法律责任与组织管理要求
《认证要求》第5.2条系统性地规定了个人信息处理者和境外接收方的法律责任与内部管理要求。它要求双方之间订立具有法律效力的协议,明确各自的权利义务;并要求设立专职的个人信息保护机构和个人信息保护负责人,建立组织内部的管理规则和流程,从组织架构上保障跨境处理活动的合规性。
二、明确个人信息主体权益保障
《认证要求》第6.1条详细规定了个人信息主体在跨境场景下的知情权、决定权、查阅复制权、更正补充权、删除权、账户注销权以及权利撤回等核心权利。同时,第6.2条列举了个人信息处理者和境外接收方的义务和责任。例如,个人信息处理者应告知个人信息主体有关跨境处理活动中双方的基本信息。
三、明确典型个人信息跨境处理场景
《认证要求》提出了五个典型的个人信息跨境处理场景。一是跨国公司或同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;二是境内个人信息处理者委托境外服务提供商处理数据;三是境内个人信息处理者向境外接收方提供个人信息;四是境内个人信息处理者与境外接收方共同处理个人信息;五是境外个人信息处理者在境外收集分析境内自然人个人信息。这些场景的明确,为推进个人信息跨境安全标准化建设提供了宝贵的实践参考。
实践启示
随着全球数字经济的快速发展和深度融合,个人信息跨境流动安全已成为企业运营的核心关切。基于《个人信息保护法》规定的个人信息保护认证的出境合规路径和《个人信息出境认证办法》规定的条件要求,《认证要求》为个人信息保护认证提供了具体、可操作的技术规范依据。对此,建议相关企业的法务、合规与技术部门高度重视、协同配合,对照检查自身在个人信息跨境处理活动中的合规差距。特别是在与境外接收方订立法律文件、完善内部管理架构以及健全个人信息主体权利保障机制等方面,应提前进行自我评估与整改,为顺利通过个人信息保护认证做好充分准备。
