2025年10月14日，国家互联网信息办公室、国家市场监督管理总局联合公布了《个人信息出境认证办法》（以下简称《办法》）。随着全球数字经济飞速发展，数据跨境流动成为推动数据要素全球配置、开展高水平国际合作竞争的关键。《个人信息保护法》规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。为落实法律规定要求，2022年11月，国家市场监督管理总局、国家互联网信息办公室公布了规范性文件《关于实施个人信息保护认证的公告》。在此基础上，制定了该《办法》，完善我国个人信息跨境流动管理制度，有利于保护个人信息权益，促进个人信息合规利用，为数字经济高质量发展提供法治保障。

《办法》主要对下列内容进行了规定：

一是明确立法目的依据、适用范围。规定个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息，适用本办法。

二是明确个人信息出境认证的适用情形。规定个人信息处理者通过个人信息出境认证的方式向境外提供个人信息应当符合的情形，即非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且个人信息不包括重要数据。

三是明确个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证，中华人民共和国境外的个人信息处理者申请个人信息出境认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请。专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年，证书到期需继续使用的，个人信息处理者应当在有效期届满前6个月提出认证申请。

四是明确专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息，发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。五是明确监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部门备案，国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。

为更好地理解该《办法》，炼石网络分别从出台背景、主要内容、适用情形、履行义务、机构要求、监督管理、制度设计、个人信息处理者监督、发展意义、制度设计现状等维度展开解析，并拓展解读了《促进和规范数据跨境流动规定》《数据出境安全评估办法》《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》等内容，涵盖了申报数据出境安全评估、通过个人信息出境保护认证、订立个人信息出境标准合同等数据出境合规细则要点，为企业数据跨境流动提供清晰的操作指引，有效降低合规风险，保障数据要素在安全框架下的有序流通与价值释放。由于作者水平有限，欢迎业界同仁共同探讨完善。

关注本公众号并后台回复关键词“炼石就是数据安全203”，即可打包下载《图解个人信息出境认证办法》PDF版本以及政策原文。

原创声明：本文全景图皆为原创，版权为炼石网络所有，如需转载请关注公众号回复“转载”，或在文章下方留言。

注：欢迎业界同仁反馈改进、共同完善、交流合作，信息反馈请发送邮件至：support@ciphergateway.com。

内容参考来源：中华人民共和国国家互联网信息办公室官网.https://www.cac.gov.cn/2025-10/17/c_1762449729087239.htm

注：全部内容请进入“公众号：炼石网络CipherGateway”查看或下载