附全文 | 信安标委正式发布《个人信息跨境传输认证要求》征求意见稿

3月16日，全国信息安全标准化技术委员会秘书处发布《信息安全技术 个人信息跨境传输认证要求》征求意见稿。该标准拟解决的主要问题是支撑《个人信息保护法》38条“建立个人信息保护认证制度”的需要，明确个人信息跨境处理相关安全要求。

适用范围和研制依据
标准适用于：

>认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证

>主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估

标准需要考虑与目前的国际国内相关标准的兼容和协调。

基于具有广泛影响力的欧盟主导的GDPR认证和美国主导的APEC下的CBPR跨境认证体系的推进实施情况，从实施层面来看，虽然欧盟数据保护委员会（EDPB）发布了一系列GDPR下认证的指南文件，但目前尚未发布适用于个人信息跨境提供认证依据的标准，也还没有实质性的适用于个人信息跨境处理认证的项目出台。CBPR体系将认证作为成员国范围内个人信息处理者跨境传输个人信息的制度安排，制定了个人隐私保护框架，作为认证依据，提出了原则性要求，但落地性不强。所以从国际上对个人信息跨境提供认证依据相关标准整体情况看，尚未有成熟的标准可供参考使用。同时，国内也尚无成熟标准可用，因此，标准完成后将是比较先进的。

主要内容

该标准规定了个人信息处理者跨境提供个人信息的基本原则和要求。标准的整体构架及主要内容包括7部分，范围、规范性引用文件、术语和定义、缩略语、基本原则、基本要求（包括具有法律约束力的协议、组织管理、个人信息跨境处理规则、个人信息保护影响评估）及个人信息主体权益保障（包括个人信息主体的权力、个人信息处理者和境外接受方的责任义务）。

附全文：