快讯:个人信息出境认证新规于2026年1月1日起实施
10月17日,国家互联网信息办公室公布了《个人信息出境认证办法》(以下简称该《办法》),并将于2026年1月1日起实施。敝所本次就该《办法》中值得日系企业注意的事项简要介绍如下,供各企业参考。
1.细化个人信息出境认证的适用范围
该《办法》从主体、数据量等方面对个人信息出境认证的适用范围进行了界定。
◆主体:非关键信息基础设施运营者(如普通企业)。
◆数据量:自当年1月1日起累计向境外提供10万—100万条普通个人信息或不满1万条敏感个人信息(如身份证号、健康信息),且不含重要数据(如涉及国家安全的数据)。
需同时满足上述主体及数据量的条件,方可采取个人信息出境认证的途径向境外传输个人信息。(《办法》第五条)
另外,通过分拆数据量规避更严格的数据安全评估(如将100万条数据拆分为两次传输)可能会受到网信部门等的处罚。
2.该个人信息出境认证系企业自愿选择
个人信息出境认证系通过第三方机构进行评估,结果更具公信力,适合频繁跨境且数据量中等(比如当年度进行10万以上不满100万普通个人信息的出境)的企业。企业需要向第三方认证机构缴纳认证费用,可能会高达数十万元。
需留意,该认证并非数据出境的强制性要求,系由个人信息处理者自愿提出申请。
3.个人信息出境认证前的留意事项
如果企业计划通过个人信息出境认证的方式向境外传输个人信息时,需留意在申请前完成以下两项事项:
(1)告知与个人单独同意:需向用户明确说明数据出境的目的、接收方及风险,并取得个人的单独同意。
(2)风险评估:企业自行或者委托现地律师等完成《个人信息保护影响评估报告》,重点评估境外接收方的安全能力、数据泄露风险及境外法律环境影响。(《办法》第六条)
如果在申请认证前未完成前述操作要求,个人信息出境认证可能会被驳回。
◆对日系企业的建议
个人信息认证作为个人信息及数据出境的合规途径之一,其与订立标准合同签订、数据安全评估共同构成中国个人信息及数据出境的合规制度体系。该《办法》为外资企业提供了一条可操作的合规路径,但需在技术、流程和管理上投入资源。
该三种数据合规出境途径的适用情形、所需手续、时间及费用均不同,企业可以梳理现有数据出境场景,与现地律师商讨,根据企业跨境传输数据的数量、企业类型、传输数据的类型性质、费用及时间成本等因素进行综合判断,选择最合适企业自身的数据跨境传输途径,同时制定、修改相应的规章制度和应急预案,平衡合规成本与业务发展。
作成日:2025年10月20日
