2025年9月����,公安部網(wǎng)安局公布6起“護網(wǎng)—2025”專(zhuān)項工作中����,涉及不履行網(wǎng)絡(luò )安全���、數據安全���、個(gè)人信息保護義務(wù)的行政執法典型案例��。隨著(zhù)上海公安機關(guān)對某跨國公司數據出境違規行為的查處�����,企業(yè)數據跨境傳輸的合規問(wèn)題再次引發(fā)關(guān)注��。這一案例猶如一面鏡子�,照出了在國家標準缺失背景下企業(yè)面臨的合規困境�。
在數據跨境流動(dòng)的時(shí)代����,一部具有里程碑意義的國家標準為企業(yè)的個(gè)人信息出境認證提供了明確指南����。
2025年8月29日�����,國家市場(chǎng)監督管理總局(國家標準委)批準發(fā)布《數據安全技術(shù) 個(gè)人信息跨境處理活動(dòng)安全認證要求》(GB/T 46068-2025)推薦性國家標準����,將于2026年3月1日正式實(shí)施�����。
這項標準由隸屬于國家市場(chǎng)監督管理總局的中國網(wǎng)絡(luò )安全審查認證和市場(chǎng)監管大數據中心(以下簡(jiǎn)稱(chēng)“市場(chǎng)監管總局網(wǎng)數中心”)牽頭編制��,是我國個(gè)人信息跨境安全管理領(lǐng)域的首項國家標準���,為日益頻繁的個(gè)人信息跨境處理活動(dòng)提供了規范依據��。
標準出臺背景
隨著(zhù)數字經(jīng)濟的蓬勃發(fā)展��,數據跨境流動(dòng)已成為全球范圍內不可阻擋的趨勢�。從國際商業(yè)合作到跨國企業(yè)日常運營(yíng)���,從云計算服務(wù)到電子商務(wù)��,個(gè)人信息出境的需求呈現爆發(fā)式增長(cháng)��。
然而��,數據的自由流動(dòng)與個(gè)人信息保護之間如何平衡��,成為各國立法和監管機構面臨的共同挑戰��。
我國《個(gè)人信息保護法》已于2021年11月1日正式生效����,其中第三十八條明確規定��,個(gè)人信息處理者因業(yè)務(wù)需要確需向境外提供個(gè)人信息的��,應當通過(guò)國家網(wǎng)信部門(mén)組織的安全評估����、經(jīng)專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證或訂立標準合同等條件�����。
法律搭建了框架��,但具體認證要求的缺失一直困擾著(zhù)眾多企業(yè)���。
市場(chǎng)監管總局網(wǎng)數中心的成立�����,為解決這一問(wèn)題提供了組織保障�。2023年12月25日����,中國網(wǎng)絡(luò )安全審查認證和市場(chǎng)監管大數據中心正式掛牌成立����,整合了網(wǎng)絡(luò )安全審查與認證����、市場(chǎng)監管信息化建設及大數據分析應用等職能�����。
標準核心內容
GB/T 46068-2025國家標準規定了跨境處理個(gè)人信息時(shí)相關(guān)方應遵守的基本原則�����、基本要求和個(gè)人信息主體權益保障要求�����。
該標準適用于跨境處理個(gè)人信息的相關(guān)方規范自身個(gè)人信息跨境處理活動(dòng)�����,也適用于主管部門(mén)����、第三方機構等組織對個(gè)人信息處理者跨境處理個(gè)人信息的活動(dòng)進(jìn)行監督�����、管理�、認證和評估��。
標準為個(gè)人信息保護認證提供了統一規范���,鼓勵個(gè)人信息處理者通過(guò)認證方式提升個(gè)人信息保護能力�。
典型案例剖析
2025年5月����,上海公安機關(guān)網(wǎng)安部門(mén)查處了一起跨國公司不履行個(gè)人信息保護義務(wù)的案件�����,為我們理解標準出臺的緊迫性提供了生動(dòng)注腳�。
一家國際知名時(shí)尚消費品牌的中國公司���,在未通過(guò)數據出境安全評估��、未訂立個(gè)人信息出境標準合同�����、未通過(guò)個(gè)人信息保護認證的情況下�,擅自將中國大陸地區用戶(hù)的個(gè)人信息傳輸至其境外總部���。
該中國公司在個(gè)人信息處理的全過(guò)程中存在多項安全合規漏洞:未向用戶(hù)充分告知其個(gè)人信息境外接收方的處理方式��,未取得用戶(hù)“單獨同意”�,未對收集的個(gè)人信息采取加密�、去標識化等安全技術(shù)措施�。
該公司這些行為不僅違反了《個(gè)人信息保護法》第三十八條規定的數據出境路徑��,也侵害了用戶(hù)的知情權與同意權�����,同時(shí)忽略了安全技術(shù)措施這一保護個(gè)人信息的最后防線(xiàn)�����。
此案是《個(gè)人信息保護法》生效以來(lái)���,為數不多的國際知名品牌因違法出境數據而受到行政處罰的案件�,具有非常典型的警示意義�����。
標準制定意義
市場(chǎng)監管總局網(wǎng)數中心制定這項國家標準�,首先在于其為企業(yè)的個(gè)人信息跨境處理活動(dòng)提供了明確規范���。
在標準出臺前��,企業(yè)即使有通過(guò)認證實(shí)現個(gè)人信息合規出境的意愿����,也面臨著(zhù)無(wú)具體標準可循的困境��。
其次����,這項標準為認證機構開(kāi)展個(gè)人信息保護認證提供了技術(shù)依據��,使《個(gè)人信息保護法》規定的認證路徑得以真正落地實(shí)施���。
標準將推動(dòng)個(gè)人信息保護認證工作���,促進(jìn)個(gè)人信息跨境安全�����、有序��、自由流動(dòng)�����,為數字經(jīng)濟的發(fā)展提供有力支撐���。
此外�,標準的發(fā)布實(shí)施還將為監管部門(mén)提供執法參考����,使他們在監督��、管理����、認證和評估個(gè)人信息跨境處理活動(dòng)時(shí)有章可循�����。
對企業(yè)合規的指導價(jià)值
該國家標準的出臺��,為眾多涉及數據跨境流動(dòng)的企業(yè)指明了方向���。
企業(yè)應結合數據處理情況確定數據出境路徑�,全面梳理所有從中國向境外傳輸個(gè)人信息的業(yè)務(wù)流�����。
不屬于必須通過(guò)數據出境安全評估情形的�����,可以選擇通過(guò)個(gè)人信息出境標準合同或是個(gè)人信息保護認證進(jìn)行出境��。
企業(yè)還應做好數據出境活動(dòng)的持續性管理�����,已通過(guò)認證的企業(yè)應當嚴格按照認證時(shí)提交材料中說(shuō)明的情形開(kāi)展數據出境活動(dòng)���。
同時(shí)�����,企業(yè)應及時(shí)跟蹤��、監測出境數據流動(dòng)情況����,銜接好內部出境合規和安全漏洞管理��、安全事件響應等風(fēng)險管理機制��。
合規管理和技術(shù)安全建設并重至關(guān)重要�。企業(yè)必須投入資源��,采取加密���、去標識化���、訪(fǎng)問(wèn)控制等有效技術(shù)措施�,落實(shí)個(gè)人信息安全保護責任���。
數字經(jīng)濟時(shí)代���,數據跨境流動(dòng)如同現代商業(yè)的血液循環(huán)���,而標準與法規則是防止血液外流的血管壁�����。GB/T 46068-2025國家標準的發(fā)布�,正是要在保障安全與促進(jìn)流動(dòng)之間找到平衡點(diǎn)����。
數據出境執法將成為常規化��、常態(tài)化的監管動(dòng)作�,公安�、網(wǎng)信�、行業(yè)主管等多部門(mén)將形成協(xié)同監管合力����。
(作者系中央財經(jīng)大學(xué)政府管理學(xué)院兼職教授��、農工黨中央經(jīng)濟委委員�����、農工黨北京市委社法委副主任兼秘書(shū)長(cháng) 唐成)
手機看中經(jīng)
經(jīng)濟日報微信
中經(jīng)網(wǎng)微信
