中国突发“开门”重磅信号

日经亚洲(Nikkei Asia)报道，中国政府发布《个人信息出境个人信息保护认证办法》草案，希望通过允许符合一定标准的公司进行数据传输，缓解外国企业对在华经营的担忧。

中国国家互联网信息办公室公布草案，并向企业和公众征求意见，意见反馈截止日期为2月3日。

根据草案，拟议措施旨在加强个人信息跨境安全高效流动，为认证流程建立清晰的框架。

草案提及，认证应由经国家市场监督管理总局批准的专业机构负责。这些机构将评估将数据转移到海外的公司个人信息处理实践。

根据新规定，任何需要将个人信息从中国转移到海外实体的组织都必须经过认证程序。这包括在国内收集和产生的个人信息被传输到国外或存储在国内但可供外国实体访问的情况。处理中国个人信息的外国实体也需要认证。

草案指出，认证的重点标准将关注跨境数据传输的合法性、必要性，以及目的地国数据保护标准对海外个人信息的影响。

它补充说，认证过程还将评估外国数据处理者的做法是否符合中国数据保护法，以及中国公司与外国实体之间具有约束力的法律协议是否明确规定了数据保护责任。

具体来看，评估将包括保障数据安全和个人隐私权的组织和技术措施。

同时，草案对境内个人信息处理者向境外转移个人信息设定了严格的条件，对数据传输的规模设定了数量限制。

该规定指明，该认证适用于每年传输1万以上、10万以下个人非敏感数据，或1万以下个人敏感个人数据的实体。

为监督这一过程，网信部门将与相关部门制定标准、技术规范和评估程序，以监控和管理跨境个人信息流动的认证工作。市场监管总局和网信部门将共同制定实施规则，包括颁发统一的证书和官方标识。

草案指出，如果组织和个人认为经认证的实体违反新规定并不当将个人数据转移到境外，可以向省级互联网管理部门或其他相关政府机构举报。

山东青岛文康律师事务所律师Ma Qingquan在解读草案的文章中表示，该办法的出台，为涉及跨境数据传输的个人信息处理者提供了明确的合规路径和责任，为其国际化运营提供了明确的指引。

他补充道，对于认证机构来说，草案规范了认证流程的每个步骤，以确保认证工作的专业性和公正性，同时为监管机构提供了具体的监管框架，以提高效率。