2025-12-29 00:48:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 国家升级个人信息出境认证依据，跨境专项标准转为国标GB/T46068，2026年实施。新规明确适用范围及体系衔接。企业须依据新国标调整跨境活动，在规定时限内完成认证与续期，提前布局合规体系以应对监管。 综合评分： 88 文章分类： 政策法规,数据安全

cover_image

个人信息出境认证依据标准变更

原创

CodingYi

Sec Online

2025年12月27日 17:15 上海

认证标准全面升级

企业出海合规路径更清晰

2022年11月4日，国家市场监督管理总局与国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》（2022年第37号），初步确立了以认证作为个人信息出境的合规机制之一，为数据跨境流动提供了制度基础。

时隔三年，为构建更为完善、可操作的个人信息出境合规路径，国家相关主管部门对认证所依据的核心标准进行了重要调整。两部门于2025年12月12日进一步发布《关于变更个人信息出境认证依据标准的公告》（2025年第53号），对认证的标准和技术依据进行了关键性升级。

一、原有框架：以《个人信息保护法》为基石的初步探索

在2025年新规出台前，个人信息出境认证工作主要依据2022年构建的初步框架展开。其上位法依据是《中华人民共和国个人信息保护法》第三十八条规定的认证路径，具体操作则遵循《关于实施个人信息保护认证的公告》及其附件《个人信息保护认证实施规则》。

在技术标准层面，当时的认证活动主要依赖两项文件：作为基础通用标准的GB/T 35273《信息安全技术个人信息安全规范》，以及作为跨境场景专项指导的TC260-PG-20222A《个人信息跨境处理活动安全认证规范》。

其中，后者作为全国信息安全标准化技术委员会发布的技术文件，为早期的跨境认证实践提供了重要参考，但其法律效力和规范层级有待进一步明确和提升。

二、现行体系：衔接专门办法与新国标的成熟架构

本次制度建设的核心突破在于法规体系的全方位完善。2025年10月14日，国家互联网信息办公室与国家市场监督管理总局联合公布了《个人信息出境认证办法》，该办法自2026年1月1日起施行，为认证路径提供了细致、权威的法规依据。

为直接配套该办法，2025年8月29日，国家市场监督管理总局批准发布了GB/T 46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》推荐性国家标准，该标准将于2026年3月1日正式实施。

由此，现行认证体系的技术依据明确为“基础通用标准（GB/T 35273）+ 跨境专项国家标准（GB/T 46068）”的二元结构。这标志着专项标准完成了从“技术文件”到“国家标准”的关键跃升，其权威性、稳定性和约束力得到实质性强化。

《个人信息出境认证办法》明确规定，此认证路径适用于同时符合以下情形的个人信息处理者：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。

三、变更要点与实操影响分析

此次法规与标准的完善为企业合规与认证实践带来了清晰的方向与明确的要求，其要点与影响主要体现在以下方面：

1、认证依据层级实现根本性提升

最显著的变化是跨境专项依据从技术文件升级为国家标准。GB/T 46068作为国家推荐性标准，其技术权威性和规范效力远超以往的技术文件，标志着个人信息跨境认证制度步入成熟、稳定的新阶段。

2、与上位法规完成体系化衔接

此次变更直接服务于《个人信息出境认证办法》的落地实施。通过将国家标准明确为认证依据，使得“法律-部门规章-国家标准”三层级构成的认证合规路径完整、清晰且具备高度的可操作性。

3、明确了跨境与一般认证的依据差异

新体系清晰界定，涉及个人信息出境的处理者，其认证依据必须同时满足基础通用标准（GB/T 35273）和跨境专项标准（GB/T 46068）；而不涉及跨境的一般个人信息保护认证，则主要依据基础通用标准即可。这为企业精准对标合规提供了明确指引。

4、对企业合规提出新的时限与内容要求

自2025年标准发布后，新申请或续期的认证工作即需开始对标新国标GB/T 46068；自2026年3月1日该国家标准正式实施之日起，认证活动将完全依据新标准体系运行。

企业需立即依据新国标全面审视、评估并调整其个人信息跨境处理活动，以应对更为严格的认证审核与监管检查。根据新规，认证证书有效期为3年，证书到期需继续使用的，个人信息处理者应当在有效期届满前6个月提出认证申请。

四、一图读懂新标准《个人信息出境认证办法》.pdf

《个人信息跨境处理活动安全认证要求》.pdf

结数据跨境流动制度体系全面建立

《个人信息出境认证办法》和《个人信息跨境处理活动安全认证要求》的发布，标志着我国数据跨境流动制度体系的全面建立。企业现在可以根据自身情况，选择最适合的合规路径：数据出境安全评估、个人信息保护认证或个人信息出境标准合同。

随着2026年1月1日《个人信息出境认证办法》的正式施行和2026年3月1日《个人信息跨境处理活动安全认证要求》的生效，企业个人信息出境合规工作将迎来全新的规范环境。及早理解新规要求，提前布局合规体系建设，将是企业在数字经济时代稳健开展跨境业务的关键保障。

参考链接：

网信中国：“国家市场监督管理总局国家互联网信息办公室关于变更个人信息出境认证依据标准的公告”
市说新语：“我国个人信息跨境安全管理领域首项国家标准发布（附一图读懂）”
市说新语：“一图读懂 | 《个人信息出境认证办法》核心要点”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sec Online CodingYi《个人信息出境认证依据标准变更》