個人信息跨境認證國標發布 為數據出海鋪設合規基石

2025年9月，公安部網安局公布6起“護網—2025”專項工作中，涉及不履行網絡安全、數據安全、個人信息保護義務的行政執法典型案例。隨著上海公安機關對某跨國公司數據出境違規行為的查處，企業數據跨境傳輸的合規問題再次引發關注。這一案例猶如一面鏡子，照出了在國家標準缺失背景下企業面臨的合規困境。

在數據跨境流動的時代，一部具有里程碑意義的國家標準為企業的個人信息出境認證提供了明確指南。

2025年8月29日，國家市場監督管理總局（國家標準委）批準發布《數據安全技術 個人信息跨境處理活動安全認證要求》（GB/T 46068-2025）推薦性國家標準，將于2026年3月1日正式實施。

這項標準由隸屬于國家市場監督管理總局的中國網絡安全審查認證和市場監管大數據中心（以下簡稱“市場監管總局網數中心”）牽頭編制，是我國個人信息跨境安全管理領域的首項國家標準，為日益頻繁的個人信息跨境處理活動提供了規范依據。

標準出臺背景

隨著數字經濟的蓬勃發展，數據跨境流動已成為全球范圍內不可阻擋的趨勢。從國際商業合作到跨國企業日常運營，從云計算服務到電子商務，個人信息出境的需求呈現爆發式增長。

然而，數據的自由流動與個人信息保護之間如何平衡，成為各國立法和監管機構面臨的共同挑戰。

我國《個人信息保護法》已于2021年11月1日正式生效，其中第三十八條明確規定，個人信息處理者因業務需要確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估、經專業機構進行個人信息保護認證或訂立標準合同等條件。

法律搭建了框架，但具體認證要求的缺失一直困擾著眾多企業。

市場監管總局網數中心的成立，為解決這一問題提供了組織保障。2023年12月25日，中國網絡安全審查認證和市場監管大數據中心正式掛牌成立，整合了網絡安全審查與認證、市場監管信息化建設及大數據分析應用等職能。

標準核心內容

GB/T 46068-2025國家標準規定了跨境處理個人信息時相關方應遵守的基本原則、基本要求和個人信息主體權益保障要求。

該標準適用于跨境處理個人信息的相關方規范自身個人信息跨境處理活動，也適用于主管部門、第三方機構等組織對個人信息處理者跨境處理個人信息的活動進行監督、管理、認證和評估。

標準為個人信息保護認證提供了統一規范，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。

典型案例剖析

2025年5月，上海公安機關網安部門查處了一起跨國公司不履行個人信息保護義務的案件，為我們理解標準出臺的緊迫性提供了生動注腳。

一家國際知名時尚消費品牌的中國公司，在未通過數據出境安全評估、未訂立個人信息出境標準合同、未通過個人信息保護認證的情況下，擅自將中國大陸地區用戶的個人信息傳輸至其境外總部。

該中國公司在個人信息處理的全過程中存在多項安全合規漏洞：未向用戶充分告知其個人信息境外接收方的處理方式，未取得用戶“單獨同意”，未對收集的個人信息采取加密、去標識化等安全技術措施。

該公司這些行為不僅違反了《個人信息保護法》第三十八條規定的數據出境路徑，也侵害了用戶的知情權與同意權，同時忽略了安全技術措施這一保護個人信息的最后防線。

此案是《個人信息保護法》生效以來，為數不多的國際知名品牌因違法出境數據而受到行政處罰的案件，具有非常典型的警示意義。

標準制定意義

市場監管總局網數中心制定這項國家標準，首先在于其為企業的個人信息跨境處理活動提供了明確規范。

在標準出臺前，企業即使有通過認證實現個人信息合規出境的意愿，也面臨著無具體標準可循的困境。

其次，這項標準為認證機構開展個人信息保護認證提供了技術依據，使《個人信息保護法》規定的認證路徑得以真正落地實施。

標準將推動個人信息保護認證工作，促進個人信息跨境安全、有序、自由流動，為數字經濟的發展提供有力支撐。

此外，標準的發布實施還將為監管部門提供執法參考，使他們在監督、管理、認證和評估個人信息跨境處理活動時有章可循。

對企業合規的指導價值

該國家標準的出臺，為眾多涉及數據跨境流動的企業指明了方向。

企業應結合數據處理情況確定數據出境路徑，全面梳理所有從中國向境外傳輸個人信息的業務流。

不屬于必須通過數據出境安全評估情形的，可以選擇通過個人信息出境標準合同或是個人信息保護認證進行出境。

企業還應做好數據出境活動的持續性管理，已通過認證的企業應當嚴格按照認證時提交材料中說明的情形開展數據出境活動。

同時，企業應及時跟蹤、監測出境數據流動情況，銜接好內部出境合規和安全漏洞管理、安全事件響應等風險管理機制。

合規管理和技術安全建設并重至關重要。企業必須投入資源，采取加密、去標識化、訪問控制等有效技術措施，落實個人信息安全保護責任。

數字經濟時代，數據跨境流動如同現代商業的血液循環，而標準與法規則是防止血液外流的血管壁。GB/T 46068-2025國家標準的發布，正是要在保障安全與促進流動之間找到平衡點。

數據出境執法將成為常規化、常態化的監管動作，公安、網信、行業主管等多部門將形成協同監管合力。

（作者系中央財經大學政府管理學院兼職教授、農工黨中央經濟委委員、農工黨北京市委社法委副主任兼秘書長 唐成）