信息安全技術(shù) 個(gè)人信息跨境傳輸認(rèn)證要求-編制說明

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

一、工作簡況

1、任務(wù)來源

《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》，是根據(jù)全國信息安全標(biāo)準(zhǔn)

化技術(shù)委員會(huì)發(fā)布的2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求清單中的第9項(xiàng)征求標(biāo)準(zhǔn)“個(gè)

人信息跨境傳輸認(rèn)證要求”申報(bào)立項(xiàng)的國家信息安全標(biāo)準(zhǔn)制定項(xiàng)目。該標(biāo)準(zhǔn)由中

認(rèn)信安（北京）技術(shù)服務(wù)有限公司牽頭，并聯(lián)合中國網(wǎng)路安全審查技術(shù)與認(rèn)證中

心、中國電子標(biāo)準(zhǔn)化研究院等幾十家單位進(jìn)行開發(fā)。前期各家單位派出了聯(lián)絡(luò)代

表和部分技術(shù)人員，就標(biāo)準(zhǔn)草案稿進(jìn)行了幾輪討論修改。根據(jù)安標(biāo)委秘書處的組

織安排，組建了正式的標(biāo)準(zhǔn)編制組，開始正式的編制工作。

2、標(biāo)準(zhǔn)編制的主要成員單位

中認(rèn)信安（北京）技術(shù)服務(wù)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、

中國電子標(biāo)準(zhǔn)化研究院、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、國家信息技術(shù)

安全研究中心、中國科學(xué)技術(shù)大學(xué)、中央財(cái)經(jīng)大學(xué)、銀行卡檢測中心、深信服科

技股份有限公司阿里巴巴（北京）軟件服務(wù)有限公司、螞蟻科技集團(tuán)股份有限公

司、華為技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、騰訊云計(jì)算（北京）有限

責(zé)任公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京奇虎科技有限公司、北京快手

科技有限公司、北京同城必應(yīng)科技有限公司、上海商湯智能科技有限公司、中國

軟件評(píng)測中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、奇安信科技集團(tuán)股份有限公

司等。

3、參與人員

標(biāo)準(zhǔn)主要起草人包括：布寧、陳世翔、王鳳嬌、胡影、史大為、左曉棟、張

金平、王暉、段靜輝等。

4、主要工作過程

4.1標(biāo)準(zhǔn)啟動(dòng)階段

1)2021年9月-2022年2月，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在主管部

門指導(dǎo)下組織人員對(duì)個(gè)保法第38條提及的個(gè)人信息跨境傳輸認(rèn)證依據(jù)的標(biāo)準(zhǔn)展

開研究。項(xiàng)目組編制了《個(gè)人信息跨境傳輸安全規(guī)范》（草案稿），組織了多次包

1

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

括主管機(jī)關(guān)、行業(yè)技術(shù)專家、測評(píng)機(jī)構(gòu)專家、跨境企業(yè)代表等人員參加的專家研

討會(huì)。專家對(duì)規(guī)范的定位、技術(shù)內(nèi)容的適用性等給出了積極評(píng)價(jià)，初步擬定了規(guī)

范草案的基本內(nèi)容框架。

2)編制組也積極與存在個(gè)人信息跨境傳輸處理活動(dòng)的個(gè)人信息處理者多次

溝通，了解當(dāng)前個(gè)人信息跨境提供的場景、制度管理、技術(shù)措施、合同約束、個(gè)

人信息主體權(quán)益保障等方面的情況。

4.2標(biāo)準(zhǔn)草案

3)2022年3月，中認(rèn)信安(北京)技術(shù)服務(wù)有限公司針對(duì)2022年度的國標(biāo)需

求清單，以《個(gè)人信息跨境處理活動(dòng)安全規(guī)范》（草案稿）為基礎(chǔ)編制了《信息

安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)草案，申報(bào)立項(xiàng)。

4)2022年6月，安標(biāo)委秘書處正式發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南個(gè)人信息跨

境處理活動(dòng)安全規(guī)范v1.0》。

5)2022年8月，組織召開編制組討論會(huì)，對(duì)《信息安全技術(shù)個(gè)人信息跨

境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)草案進(jìn)行了討論和一定范圍內(nèi)征求意見，9月對(duì)收到

的意見進(jìn)行匯總處理后形成新的修訂稿。

6)2022年10月，組織召開兩次《個(gè)人信息跨境傳輸安全規(guī)范》的專家交

流研討會(huì)，結(jié)合收到的修改意見，對(duì)國家標(biāo)準(zhǔn)草案進(jìn)行同步修改完善。

7)2022年10月30日，安標(biāo)委秘書處正式印發(fā)了《2022年網(wǎng)絡(luò)安全國家標(biāo)

準(zhǔn)立項(xiàng)項(xiàng)目清單》，《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)項(xiàng)目

正式獲批立項(xiàng)。

8)2022年11月8-15日，安標(biāo)委秘書處組織對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—

個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0(征求意見稿)》公開征求意見，根據(jù)收

到的意見對(duì)標(biāo)準(zhǔn)和規(guī)范做了同步修改。

9)2022年12月6日，標(biāo)準(zhǔn)編制組在信安標(biāo)委2022年第二次工作組會(huì)議周

上進(jìn)行項(xiàng)目匯報(bào)，聽取專家意見，WG7組會(huì)議決議結(jié)論為：同意該標(biāo)準(zhǔn)進(jìn)入征

求意見稿階段。

4.3征求意見稿

10)2022年12月8日，安標(biāo)委秘書處組織對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)

人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0(送審稿)》進(jìn)行專家評(píng)審，根據(jù)收到的意

2

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

見對(duì)標(biāo)準(zhǔn)和規(guī)范做了同步修改。

11)2022年12月16日，安標(biāo)委秘書處發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)

人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》。

12)2023年2月9日，安標(biāo)委秘書處組織召開了《信息安全技術(shù)個(gè)人信息

跨境傳輸認(rèn)證要求》（征求意見稿）專家評(píng)審會(huì)，根據(jù)專家意見進(jìn)行了修改。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)技術(shù)研制依據(jù)和論證過程

本標(biāo)準(zhǔn)適用于認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息處理者跨境提供個(gè)人信息活動(dòng)開展個(gè)人

信息保護(hù)認(rèn)證，也適用于主管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理者跨

境提供個(gè)人信息進(jìn)行監(jiān)督、管理和評(píng)估，需要考慮與目前的國際國內(nèi)相關(guān)標(biāo)準(zhǔn)的

兼容和協(xié)調(diào)。在編制過程中，主要調(diào)研了解了具有廣泛影響力的歐盟主導(dǎo)的GDPR

認(rèn)證和美國主導(dǎo)的APEC下的CBPR跨境認(rèn)證體系的推進(jìn)實(shí)施情況。從實(shí)施層面來

看，雖然歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）發(fā)布了一系列GDPR下認(rèn)證的指南文件，但

目前尚未發(fā)布適用于個(gè)人信息跨境提供認(rèn)證依據(jù)的標(biāo)準(zhǔn)，也還沒有實(shí)質(zhì)性的適用

于個(gè)人信息跨境處理認(rèn)證的項(xiàng)目出臺(tái)。CBPR體系將認(rèn)證作為成員國范圍內(nèi)個(gè)人信

息處理者跨境傳輸個(gè)人信息的制度安排，制定了個(gè)人隱私保護(hù)框架，作為認(rèn)證依

據(jù)，提出了原則性要求，但落地性不強(qiáng)。所以從國際上對(duì)個(gè)人信息跨境提供認(rèn)證

依據(jù)相關(guān)標(biāo)準(zhǔn)整體情況看，尚未有成熟的標(biāo)準(zhǔn)可供參考使用。同時(shí)，國內(nèi)也尚無

成熟標(biāo)準(zhǔn)可用，因此，標(biāo)準(zhǔn)完成后將是比較先進(jìn)的。

2、編制原則及論據(jù)

本標(biāo)準(zhǔn)在編制過程中遵循了采用國際通行理念原則、協(xié)調(diào)性原則。

采用國際通行理念原則體現(xiàn)在編制組從落實(shí)《個(gè)人信息保護(hù)法》等法律法規(guī)

相關(guān)要求出發(fā)，充分調(diào)研分析國際個(gè)人信息跨境提供遵循的通行理念和做法，參

考《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）相關(guān)有約束力公司規(guī)則（BCR）、標(biāo)準(zhǔn)合

同（SCC），歐盟數(shù)據(jù)保護(hù)委員會(huì)發(fā)布的認(rèn)證相關(guān)指南和報(bào)告，以及APEC構(gòu)架下

的跨境隱私規(guī)則體系（CBPR）中的認(rèn)證規(guī)則等內(nèi)容，在標(biāo)準(zhǔn)中明確了6項(xiàng)基本原

則，目的是保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到我國個(gè)保法規(guī)定的個(gè)人信息

保護(hù)標(biāo)準(zhǔn)，并便于后續(xù)推動(dòng)國際互認(rèn)。

3

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

協(xié)調(diào)性原則體現(xiàn)在與其它法律法規(guī)制度的銜接協(xié)調(diào)。本標(biāo)準(zhǔn)編制中充分考慮

了與數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同等制度的銜接協(xié)調(diào)，在框架和內(nèi)

容上都做了相應(yīng)的對(duì)照。

3、擬解決的主要問題

支撐《個(gè)人信息保護(hù)法》38條“建立個(gè)人信息保護(hù)認(rèn)證制度”的需要，明確

個(gè)人信息跨境處理相關(guān)安全要求。

4、主要內(nèi)容

本標(biāo)準(zhǔn)規(guī)定了個(gè)人信息處理者跨境提供個(gè)人信息的基本原則和要求。適用于

認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息處理者開展個(gè)人信息跨境提供活動(dòng)進(jìn)行個(gè)人信息保護(hù)認(rèn)證，

也可為主管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理者跨境提供個(gè)人信息進(jìn)

行監(jiān)督、管理和評(píng)估。

標(biāo)準(zhǔn)的整體構(gòu)架及主要內(nèi)容包括7部分，范圍、規(guī)范性引用文件、術(shù)語和定

義、縮略語、基本原則、基本要求（包括具有法律約束力的協(xié)議、組織管理、個(gè)

人信息跨境處理規(guī)則、個(gè)人信息保護(hù)影響評(píng)估）及個(gè)人信息主體權(quán)益保障（包括

個(gè)人信息主體的權(quán)力、個(gè)人信息處理者和境外接受方的責(zé)任義務(wù)）。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

將根據(jù)標(biāo)準(zhǔn)試點(diǎn)工作開展情況而定。

四、知識(shí)產(chǎn)權(quán)情況說明

本文件不涉及專利等知識(shí)產(chǎn)權(quán)。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

國內(nèi)主要的個(gè)人信息保護(hù)和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)研究機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)、測評(píng)機(jī)

構(gòu)、典型的個(gè)人信息處理者以及高校的政策、法律專家均深度參與標(biāo)準(zhǔn)研制進(jìn)程，

前期充分征集并盡量反映了業(yè)界需求以及監(jiān)管需求，當(dāng)前標(biāo)準(zhǔn)內(nèi)容框架適用于國

內(nèi)產(chǎn)業(yè)實(shí)踐和發(fā)展需求。

本標(biāo)準(zhǔn)的制定將為后續(xù)個(gè)人信息處理者跨境處理個(gè)人信息的活動(dòng)等提供參

考，有助于在保障個(gè)人信息主體權(quán)益的基礎(chǔ)上推動(dòng)個(gè)人信息跨境安全、有序流動(dòng)，

助推數(shù)字經(jīng)濟(jì)發(fā)展。歐盟、APEC等個(gè)人信息跨境認(rèn)證已經(jīng)進(jìn)行了大量研究探索，

4

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

但是尚無直接可用的認(rèn)證依據(jù)標(biāo)準(zhǔn)?！秱€(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》和

本標(biāo)準(zhǔn)從實(shí)踐層面做出了積極探索。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

無。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)編制中充分考慮了與數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同等制

度的銜接協(xié)調(diào)，在框架和內(nèi)容上都做了相應(yīng)的對(duì)照。

國內(nèi)外尚無成熟的標(biāo)準(zhǔn)可供參考使用。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

本文標(biāo)準(zhǔn)適用于認(rèn)證機(jī)構(gòu)對(duì)個(gè)人信息處理者開展個(gè)人信息跨境提供活動(dòng)進(jìn)

行個(gè)人信息保護(hù)認(rèn)證，也可為主管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理

者跨境提供個(gè)人信息進(jìn)行監(jiān)督、管理和評(píng)估。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無。

十二、其它應(yīng)予說明的事項(xiàng)

無。

致謝

我們對(duì)在《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》標(biāo)準(zhǔn)申報(bào)立項(xiàng)過程

中提供寶貴意見的專家和同行們表示衷心的感謝！

《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》標(biāo)準(zhǔn)編制工作組

2023年2月9日

5

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

一、工作簡況

1、任務(wù)來源

《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》，是根據(jù)全國信息安全標(biāo)準(zhǔn)

化技術(shù)委員會(huì)發(fā)布的2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求清單中的第9項(xiàng)征求標(biāo)準(zhǔn)“個(gè)

人信息跨境傳輸認(rèn)證要求”申報(bào)立項(xiàng)的國家信息安全標(biāo)準(zhǔn)制定項(xiàng)目。該標(biāo)準(zhǔn)由中

認(rèn)信安（北京）技術(shù)服務(wù)有限公司牽頭，并聯(lián)合中國網(wǎng)路安全審查技術(shù)與認(rèn)證中

心、中國電子標(biāo)準(zhǔn)化研究院等幾十家單位進(jìn)行開發(fā)。前期各家單位派出了聯(lián)絡(luò)代

表和部分技術(shù)人員，就標(biāo)準(zhǔn)草案稿進(jìn)行了幾輪討論修改。根據(jù)安標(biāo)委秘書處的組

織安排，組建了正式的標(biāo)準(zhǔn)編制組，開始正式的編制工作。

2、標(biāo)準(zhǔn)編制的主要成員單位

中認(rèn)信安（北京）技術(shù)服務(wù)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、

中國電子標(biāo)準(zhǔn)化研究院、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、國家信息技術(shù)

安全研究中心、中國科學(xué)技術(shù)大學(xué)、中央財(cái)經(jīng)大學(xué)、銀行卡檢測中心、深信服科

技股份有限公司阿里巴巴（北京）軟件服務(wù)有限公司、螞蟻科技集團(tuán)股份有限公

司、華為技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、騰訊云計(jì)算（北京）有限

責(zé)任公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京奇虎科技有限公司、北京快手

科技有限公司、北京同城必應(yīng)科技有限公司、上海商湯智能科技有限公司、中國

軟件評(píng)測中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、奇安信科技集團(tuán)股份有限公

司等。

3、參與人員

標(biāo)準(zhǔn)主要起草人包括：布寧、陳世翔、王鳳嬌、胡影、史大為、左曉棟、張

金平、王暉、段靜輝等。

4、主要工作過程

4.1標(biāo)準(zhǔn)啟動(dòng)階段

1)2021年9月-2022年2月，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在主管部

門指導(dǎo)下組織人員對(duì)個(gè)保法第38條提及的個(gè)人信息跨境傳輸認(rèn)證依據(jù)的標(biāo)準(zhǔn)展

開研究。項(xiàng)目組編制了《個(gè)人信息跨境傳輸安全規(guī)范》（草案稿），組織了多次包

1

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

括主管機(jī)關(guān)、行業(yè)技術(shù)專家、測評(píng)機(jī)構(gòu)專家、跨境企業(yè)代表等人員參加的專家研

討會(huì)。專家對(duì)規(guī)范的定位、技術(shù)內(nèi)容的適用性等給出了積極評(píng)價(jià)，初步擬定了規(guī)

范草案的基本內(nèi)容框架。

2)編制組也積極與存在個(gè)人信息跨境傳輸處理活動(dòng)的個(gè)人信息處理者多次

溝通，了解當(dāng)前個(gè)人信息跨境提供的場景、制度管理、技術(shù)措施、合同約束、個(gè)

人信息主體權(quán)益保障等方面的情況。

4.2標(biāo)準(zhǔn)草案

3)2022年3月，中認(rèn)信安(北京)技術(shù)服務(wù)有限公司針對(duì)2022年度的國標(biāo)需

求清單，以《個(gè)人信息跨境處理活動(dòng)安全規(guī)范》（草案稿）為基礎(chǔ)編制了《信息

安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)草案，申報(bào)立項(xiàng)。

4)2022年6月，安標(biāo)委秘書處正式發(fā)布《網(wǎng)絡(luò)安全實(shí)踐指南個(gè)人信息跨

境處理活動(dòng)安全規(guī)范v1.0》。

5)2022年8月，組織召開編制組討論會(huì)，對(duì)《信息安全技術(shù)個(gè)人信息跨

境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)草案進(jìn)行了討論和一定范圍內(nèi)征求意見，9月對(duì)收到

的意見進(jìn)行匯總處理后形成新的修訂稿。

6)2022年10月，組織召開兩次《個(gè)人信息跨境傳輸安全規(guī)范》的專家交

流研討會(huì)，結(jié)合收到的修改意見，對(duì)國家標(biāo)準(zhǔn)草案進(jìn)行同步修改完善。

7)2022年10月30日，安標(biāo)委秘書處正式印發(fā)了《2022年網(wǎng)絡(luò)安全國家標(biāo)

準(zhǔn)立項(xiàng)項(xiàng)目清單》，《信息安全技術(shù)個(gè)人信息跨境傳輸認(rèn)證要求》國家標(biāo)準(zhǔn)項(xiàng)目

正式獲批立項(xiàng)。

8)2022年11月8-15日，安標(biāo)委秘書處組織對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—

個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0(征求意見稿)》公開征求意見，根據(jù)收

到的意見對(duì)標(biāo)準(zhǔn)和規(guī)范做了同步修改。

9)2022年12月6日，標(biāo)準(zhǔn)編制組在信安標(biāo)委2022年第二次工作組會(huì)議周

上進(jìn)行項(xiàng)目匯報(bào)，聽取專家意見，WG7組會(huì)議決議結(jié)論為：同意該標(biāo)準(zhǔn)進(jìn)入征

求意見稿階段。

4.3征求意見稿

10)2022年12月8日，安標(biāo)委秘書處組織對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)

人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0(送審稿)》進(jìn)行專家評(píng)審，根據(jù)收到的意

2

國家標(biāo)準(zhǔn)（征求意見稿）編制說明

見對(duì)標(biāo)準(zhǔn)和規(guī)范做了同步修改。

11)2022年12月16日，安標(biāo)委秘書處發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)

人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》。

12)2023年2月9日，安標(biāo)委秘書處組織召開了《信息安全技術(shù)個(gè)人信息

跨境傳輸認(rèn)證要求》（征求意見稿）專家評(píng)審會(huì)，根據(jù)專家意見進(jìn)行了修改。