2026年3月新规落地：《个人信息出境认证办法》正式实施，规范数据跨境传输安全

2026年3月1日，《个人信息出境认证办法》（以下简称《办法》）正式实施，同步配套实施新推荐性国家标准GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》，取代原有认证规范，进一步完善我国个人信息出境合规体系，为数据跨境传输安全筑牢制度防线。该《办法》由国家互联网信息办公室、国家市场监督管理总局联合发布，与《数据出境安全评估办法》等规章相互衔接，构建起多层次、全覆盖的个人信息出境监管框架。

《办法》精准界定了个人信息出境认证的适用范围，明确非关键信息基础设施运营者，当年度累计向境外提供不含敏感个人信息10万人以上、不满100万人，或敏感个人信息不满1万人时，需申请个人信息出境认证，且禁止通过数量拆分等方式规避安全评估义务。这种分类分级监管思路，实现了风险分级与监管聚焦的有机结合，既保障数据安全，也为不同规模企业提供适配的合规路径。

相较于传统数据出境监管方式，此次《办法》最大的亮点的是引入专业认证机构参与，由具备资质的专业机构开展认证活动并颁发证书，获证企业在证书有效期内无需重复申请，大幅减轻企业合规负担。同时，《办法》明确了专业认证机构的义务与监管要求，规定认证信息需及时报送备案，发现企业违规可暂停或撤销认证证书，形成权责清晰、运行透明的认证实施体系。

业内专家表示，《办法》的实施填补了个人信息出境认证操作层面的法律空白，既借鉴了欧盟《通用数据保护条例》的国际通行做法，又结合我国数据跨境治理实践，实现了安全与效率的平衡。随着数据跨境流动需求日益频繁，该《办法》将推动企业规范个人信息出境流程，助力我国数据安全标准与国际接轨，提升数据跨境治理能力。