2025年1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》（下称“征求意见稿”），向社会公开征求意见。

根据《个人信息保护法》，数据出境有三条合规路径，即数据出境安全评估、个人信息出境标准合同备案和个人信息保护认证。近年来，国家网信办先后出台了个人信息出境标准合同和数据出境安全评估的相关指南，但个人信息出境个人信息保护认证的配套指导文件迟迟没有出台。此次征求意见稿的发布，标志着个人信息出境管理制度体系的进一步完善，也将对企业个人信息出境合规工作起到重要指导意义。

个人信息出境个人信息保护认证的适用范围和情形与个人信息出境标准合同基本相同，即个人信息处理者为非关键信息基础设施运营者，且自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息。但二者在侧重点上存在一定差异，标准合同备案侧重于对所传输的个人信息的评估，重点评估个人信息跨境提供的目的、范围、种类、敏感程度、方式、保存地点等；而个人信息保护认证侧重于对个人信息处理者（包括境内个人信息处理者、境外接收方）的评估，除个人信息出境的目的、范围、方式外，评估重点还包括境外接收方所在国家或地区的个人信息保护政策法律、网络和数据安全环境以及境内个人信息处理者与境外接收方的组织架构、管理体系、技术措施能否有效保障数据安全和个人信息权益等内容。

《征求意见稿》仍在征求意见之中，尚待进一步修订和正式发布；作为《个人信息保护法》项下的个人信息出境合规路径之一，个人信息出境个人信息保护认证的实施仍处于探索和发展阶段。随着数据安全和个人信息相关法律、国家标准的逐步完善，相信中国数据跨境活动及相关监管将更加规范、便捷。对于有数据跨境需求的企业，尤其是跨国企业，可以根据个人信息保护认证和标准合同备案的各自特点，结合企业数据合规工作的实际需求，提前布局，选择更加适合企业自身实际的数据出境方式，进一步优化、完善企业数据合规制度和策略。