2022年4月29日，全国信息安全标准化技术委员会发布《网络安全标准实践指南—个人信息跨境处理活动认证技术规范》（下称“《技术规范》”）公开征求意见，这也是探索《个人信息保护法》第三十八条认证路径的一种有益尝试。在此之前，国家网信办已经多次发布数据出境安全评估规则。

本文中，汇业黄春林律师团队结合最新立法、标准实践，以及数据出境合规项目经验，简要解读个人信息跨境提供之“认证路径”的最新实践如下，仅供参考。

一、关于个人信息跨境提供的三种情形

哪种情形属于《个人信息保护法》意义上的数据出境？结合类似项目经验，主要有三种情况：

1. 个人信息直接出境。处理境内个人信息的服务器直接设置在境外，境内没有服务器。这里又有两种情形：一种是境内主体在境内收集，但是存储在境外，例如很多企业经常使用的SAP、Salesforce、Workday等系统；另一种是参照《个人信息保护法》第三条第二款规定，境外主体直接在境外处理境内主体的个人信息，这次《认证技术规范》也明确属于跨境提供，应当按照第二部分的合规路径方可出境，这个也算回应了实务中的一些不同观点。

2. 个人信息同步出境。处理境内个人信息的服务器在境内，境内收集和产生的个人信息先存储在境内服务器（例如阿里云），然后通过API等方式同步给境外服务器上。当然，实践中也有反向的，根据其数量级和实体性质不同，合规性有待商榷。

3. 个人信息境外访问。处理境内个人信息的服务器在境内（例如腾讯云上），不会传输给境外的服务器，但是给境外的总部人员、合作伙伴员工等开了权限、镜像，他们可以远程访问境内服务器上的数据，属于逻辑出境。虽然这种情况下个人信息没有物理传输到境外，但是仍然可能导致风险向境外传导的风险，从国家安全的角度，仍然属于法律意义上的数据出境。

（图一：个人信息跨境提供的三种情形）

二、关于个人信息跨境提供的四种路径

《个人信息保护法》第三十八条提供了四种路径，具体为：

关于数据出境安全评估，参照网信办此前发布的《数据出境安全评估办法（征求意见稿）》，根据汇业黄春林律师团队类似项目经验，相关的准备工作、评估流程及合规要点如下图所示：

（图二：数据出境安全评估流程图）

三、关于“认证路径”的实践指南解读

截至目前，国家网信办暂未发布为落实《个人信息保护法》第38条第1款第2项建立的个人信息保护认证路径的管理办法。作为实践经验探索，为认证机构实施个人信息跨境处理活动认证提供认证依据，信安标委先行发布了《认证技术规范》公开征求意见。

1. 谁可以认证？

我们理解，正式的认证机构名单，需要国家网信办发布认证管理办法后，由有关机构正式指定。参照《网络安全审查办法》的经验来看，中国网络安全审查技术与认证中心（CCRC）大概率会成为指定的认证机构之一，其他等保测评机构是否会进入指定机构，目前还不得而知。《认证技术规范》也明确提及，该规范等到了中国网络安全审查技术与认证中心的技术支持。

值得注意的是，根据《认证认可条例》、《认证机构管理办法》等规定，取得认证机构资质，应当经国家认监委批准。未经批准，任何单位和个人不得在中国境内从事认证活动。

2. 谁来申请认证？

根据《认证技术规范》，不同的出境类型，认证的申请主体不同：

（1）境内主体在境内收集和产生的个人信息出境的，由境内一方申请认证，并承担法律责任。

（2）境外主体参照《个人信息保护法》第三条第二款规定直接在境外处理境内主体的个人信息的，由境外组织机构根据《个人信息保护法》五十三条规定在境内设立的专门机构或指定代表申请认证，并承担法律责任。这也打消了此前业界大家争议的，该种情形实际没有申请主体和没有协议相对方的问题。

3.  认证哪些内容？

根据《认证技术规范》，认证维度至少包括如下几个方面：

4.  哪些未解之谜？

《认证技术规范》仍然还有很多未解之谜，例如认证的效力是否能够抗辩合规检查，认证的有效期多久，单个认证能还涵盖多少场景、目的及系统，认证的周期及费用，集团下不同实体共用系统的由谁认证，等等，还需要未来网信办另行发布办法或者行业实践进一步探索。