手机看中经经济日报微信中经网微信

个人信息跨境认证国标发布 为数据出海铺设合规基石

2025年10月14日 12:41   来源:中国经济网   
[手机看新闻]
[字号 ]
[打印本稿]

2025年9月,公安部网安局公布6起“护网—2025”专项工作中,涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。随着上海公安机关对某跨国公司数据出境违规行为的查处,企业数据跨境传输的合规问题再次引发关注。这一案例犹如一面镜子,照出了在国家标准缺失背景下企业面临的合规困境。

在数据跨境流动的时代,一部具有里程碑意义的国家标准为企业的个人信息出境认证提供了明确指南。

2025年8月29日,国家市场监督管理总局(国家标准委)批准发布《数据安全技术 个人信息跨境处理活动安全认证要求》(GB/T 46068-2025)推荐性国家标准,将于2026年3月1日正式实施。

这项标准由隶属于国家市场监督管理总局的中国网络安全审查认证和市场监管大数据中心(以下简称“市场监管总局网数中心”)牵头编制,是我国个人信息跨境安全管理领域的首项国家标准,为日益频繁的个人信息跨境处理活动提供了规范依据。

标准出台背景

随着数字经济的蓬勃发展,数据跨境流动已成为全球范围内不可阻挡的趋势。从国际商业合作到跨国企业日常运营,从云计算服务到电子商务,个人信息出境的需求呈现爆发式增长。

然而,数据的自由流动与个人信息保护之间如何平衡,成为各国立法和监管机构面临的共同挑战。

我国《个人信息保护法》已于2021年11月1日正式生效,其中第三十八条明确规定,个人信息处理者因业务需要确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证或订立标准合同等条件。

法律搭建了框架,但具体认证要求的缺失一直困扰着众多企业。

市场监管总局网数中心的成立,为解决这一问题提供了组织保障。2023年12月25日,中国网络安全审查认证和市场监管大数据中心正式挂牌成立,整合了网络安全审查与认证、市场监管信息化建设及大数据分析应用等职能。

标准核心内容

GB/T 46068-2025国家标准规定了跨境处理个人信息时相关方应遵守的基本原则、基本要求和个人信息主体权益保障要求。

该标准适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动,也适用于主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。

标准为个人信息保护认证提供了统一规范,鼓励个人信息处理者通过认证方式提升个人信息保护能力。

典型案例剖析

2025年5月,上海公安机关网安部门查处了一起跨国公司不履行个人信息保护义务的案件,为我们理解标准出台的紧迫性提供了生动注脚。

一家国际知名时尚消费品牌的中国公司,在未通过数据出境安全评估、未订立个人信息出境标准合同、未通过个人信息保护认证的情况下,擅自将中国大陆地区用户的个人信息传输至其境外总部。

该中国公司在个人信息处理的全过程中存在多项安全合规漏洞:未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”,未对收集的个人信息采取加密、去标识化等安全技术措施。

该公司这些行为不仅违反了《个人信息保护法》第三十八条规定的数据出境路径,也侵害了用户的知情权与同意权,同时忽略了安全技术措施这一保护个人信息的最后防线。

此案是《个人信息保护法》生效以来,为数不多的国际知名品牌因违法出境数据而受到行政处罚的案件,具有非常典型的警示意义。

标准制定意义

市场监管总局网数中心制定这项国家标准,首先在于其为企业的个人信息跨境处理活动提供了明确规范。

在标准出台前,企业即使有通过认证实现个人信息合规出境的意愿,也面临着无具体标准可循的困境。

其次,这项标准为认证机构开展个人信息保护认证提供了技术依据,使《个人信息保护法》规定的认证路径得以真正落地实施。

标准将推动个人信息保护认证工作,促进个人信息跨境安全、有序、自由流动,为数字经济的发展提供有力支撑。

此外,标准的发布实施还将为监管部门提供执法参考,使他们在监督、管理、认证和评估个人信息跨境处理活动时有章可循。

对企业合规的指导价值

该国家标准的出台,为众多涉及数据跨境流动的企业指明了方向。

企业应结合数据处理情况确定数据出境路径,全面梳理所有从中国向境外传输个人信息的业务流。

不属于必须通过数据出境安全评估情形的,可以选择通过个人信息出境标准合同或是个人信息保护认证进行出境。

企业还应做好数据出境活动的持续性管理,已通过认证的企业应当严格按照认证时提交材料中说明的情形开展数据出境活动。

同时,企业应及时跟踪、监测出境数据流动情况,衔接好内部出境合规和安全漏洞管理、安全事件响应等风险管理机制。

合规管理和技术安全建设并重至关重要。企业必须投入资源,采取加密、去标识化、访问控制等有效技术措施,落实个人信息安全保护责任。

数字经济时代,数据跨境流动如同现代商业的血液循环,而标准与法规则是防止血液外流的血管壁。GB/T 46068-2025国家标准的发布,正是要在保障安全与促进流动之间找到平衡点。

数据出境执法将成为常规化、常态化的监管动作,公安、网信、行业主管等多部门将形成协同监管合力。

(作者系中央财经大学政府管理学院兼职教授、农工党中央经济委委员、农工党北京市委社法委副主任兼秘书长 唐成)

(责任编辑:佟明彪)

精彩图片
产业专题
  • ·三保行动 我们一起出发
  • ·第六届世界互联网大会
  • ·第18届中国企业领袖年会
  • ·推动中国
    • 企业家

    钟睒睒寻找下一个“富矿”

    61岁马云回归,阿里市值重返3万亿港元

  • ·90后王兴兴闯关IPO,一场估值超120亿的“机器人冒险”
  • ·蔡浩宇,困在“原神”里
    • 本网专稿
  • ·警惕久坐危害:从预防“经济舱综合征”到办公室健康指南
  • ·探厂vlog|带你揭秘中药创新的“硬核”实力
  • ·智能酿造开启精酿啤酒新变革
  • ·餐桌上的“大食物”如何迭代升级
  • ·发展成果更多更公平惠及全民
  • ·培育壮大先进制造业集群
    • 人民网  新华网 中国网 中国日报网 国际在线 CNTV 中青网 中国台湾网 中广网 中国西藏网 中新网 中工网 光明网 百度 新浪 搜狐 网易 凤凰 腾讯 和讯 
    友情链接
    国家机关
    地方政府网站
    地方新闻网站
    媒体网站
    中央企业
    金融机构
    热点网站
    财经网站
    电子商务
    更多