信息安全技术 个人信息跨境传输认证要求-编制说明

国家标准（征求意见稿）编制说明

一、工作简况

1、任务来源

《信息安全技术个人信息跨境传输认证要求》，是根据全国信息安全标准

化技术委员会发布的2022年网络安全国家标准需求清单中的第9项征求标准“个

人信息跨境传输认证要求”申报立项的国家信息安全标准制定项目。该标准由中

认信安（北京）技术服务有限公司牵头，并联合中国网路安全审查技术与认证中

心、中国电子标准化研究院等几十家单位进行开发。前期各家单位派出了联络代

表和部分技术人员，就标准草案稿进行了几轮讨论修改。根据安标委秘书处的组

织安排，组建了正式的标准编制组，开始正式的编制工作。

2、标准编制的主要成员单位

中认信安（北京）技术服务有限公司、中国网络安全审查技术与认证中心、

中国电子标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术

安全研究中心、中国科学技术大学、中央财经大学、银行卡检测中心、深信服科

技股份有限公司阿里巴巴（北京）软件服务有限公司、蚂蚁科技集团股份有限公

司、华为技术有限公司、北京百度网讯科技有限公司、腾讯云计算（北京）有限

责任公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京快手

科技有限公司、北京同城必应科技有限公司、上海商汤智能科技有限公司、中国

软件评测中心、成都卫士通信息产业股份有限公司、奇安信科技集团股份有限公

司等。

3、参与人员

标准主要起草人包括：布宁、陈世翔、王凤娇、胡影、史大为、左晓栋、张

金平、王晖、段静辉等。

4、主要工作过程

4.1标准启动阶段

1)2021年9月-2022年2月，中国网络安全审查技术与认证中心在主管部

门指导下组织人员对个保法第38条提及的个人信息跨境传输认证依据的标准展

开研究。项目组编制了《个人信息跨境传输安全规范》（草案稿），组织了多次包

1

国家标准（征求意见稿）编制说明

括主管机关、行业技术专家、测评机构专家、跨境企业代表等人员参加的专家研

讨会。专家对规范的定位、技术内容的适用性等给出了积极评价，初步拟定了规

范草案的基本内容框架。

2)编制组也积极与存在个人信息跨境传输处理活动的个人信息处理者多次

沟通，了解当前个人信息跨境提供的场景、制度管理、技术措施、合同约束、个

人信息主体权益保障等方面的情况。

4.2标准草案

3)2022年3月，中认信安(北京)技术服务有限公司针对2022年度的国标需

求清单，以《个人信息跨境处理活动安全规范》（草案稿）为基础编制了《信息

安全技术个人信息跨境传输认证要求》国家标准草案，申报立项。

4)2022年6月，安标委秘书处正式发布《网络安全实践指南个人信息跨

境处理活动安全规范v1.0》。

5)2022年8月，组织召开编制组讨论会，对《信息安全技术个人信息跨

境传输认证要求》国家标准草案进行了讨论和一定范围内征求意见，9月对收到

的意见进行汇总处理后形成新的修订稿。

6)2022年10月，组织召开两次《个人信息跨境传输安全规范》的专家交

流研讨会，结合收到的修改意见，对国家标准草案进行同步修改完善。

7)2022年10月30日，安标委秘书处正式印发了《2022年网络安全国家标

准立项项目清单》，《信息安全技术个人信息跨境传输认证要求》国家标准项目

正式获批立项。

8)2022年11月8-15日，安标委秘书处组织对《网络安全标准实践指南—

个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》公开征求意见，根据收

到的意见对标准和规范做了同步修改。

9)2022年12月6日，标准编制组在信安标委2022年第二次工作组会议周

上进行项目汇报，听取专家意见，WG7组会议决议结论为：同意该标准进入征

求意见稿阶段。

4.3征求意见稿

10)2022年12月8日，安标委秘书处组织对《网络安全标准实践指南—个

人信息跨境处理活动安全认证规范V2.0(送审稿)》进行专家评审，根据收到的意

2

国家标准（征求意见稿）编制说明

见对标准和规范做了同步修改。

11)2022年12月16日，安标委秘书处发布了《网络安全标准实践指南—个

人信息跨境处理活动安全认证规范V2.0》。

12)2023年2月9日，安标委秘书处组织召开了《信息安全技术个人信息

跨境传输认证要求》（征求意见稿）专家评审会，根据专家意见进行了修改。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准技术研制依据和论证过程

本标准适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人

信息保护认证，也适用于主管部门、第三方评估机构等组织对个人信息处理者跨

境提供个人信息进行监督、管理和评估，需要考虑与目前的国际国内相关标准的

兼容和协调。在编制过程中，主要调研了解了具有广泛影响力的欧盟主导的GDPR

认证和美国主导的APEC下的CBPR跨境认证体系的推进实施情况。从实施层面来

看，虽然欧盟数据保护委员会（EDPB）发布了一系列GDPR下认证的指南文件，但

目前尚未发布适用于个人信息跨境提供认证依据的标准，也还没有实质性的适用

于个人信息跨境处理认证的项目出台。CBPR体系将认证作为成员国范围内个人信

息处理者跨境传输个人信息的制度安排，制定了个人隐私保护框架，作为认证依

据，提出了原则性要求，但落地性不强。所以从国际上对个人信息跨境提供认证

依据相关标准整体情况看，尚未有成熟的标准可供参考使用。同时，国内也尚无

成熟标准可用，因此，标准完成后将是比较先进的。

2、编制原则及论据

本标准在编制过程中遵循了采用国际通行理念原则、协调性原则。

采用国际通行理念原则体现在编制组从落实《个人信息保护法》等法律法规

相关要求出发，充分调研分析国际个人信息跨境提供遵循的通行理念和做法，参

考《欧盟通用数据保护条例》（GDPR）相关有约束力公司规则（BCR）、标准合

同（SCC），欧盟数据保护委员会发布的认证相关指南和报告，以及APEC构架下

的跨境隐私规则体系（CBPR）中的认证规则等内容，在标准中明确了6项基本原

则，目的是保障境外接收方处理个人信息的活动达到我国个保法规定的个人信息

保护标准，并便于后续推动国际互认。

3

国家标准（征求意见稿）编制说明

协调性原则体现在与其它法律法规制度的衔接协调。本标准编制中充分考虑

了与数据出境安全评估、个人信息出境标准合同等制度的衔接协调，在框架和内

容上都做了相应的对照。

3、拟解决的主要问题

支撑《个人信息保护法》38条“建立个人信息保护认证制度”的需要，明确

个人信息跨境处理相关安全要求。

4、主要内容

本标准规定了个人信息处理者跨境提供个人信息的基本原则和要求。适用于

认证机构对个人信息处理者开展个人信息跨境提供活动进行个人信息保护认证，

也可为主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进

行监督、管理和评估。

标准的整体构架及主要内容包括7部分，范围、规范性引用文件、术语和定

义、缩略语、基本原则、基本要求（包括具有法律约束力的协议、组织管理、个

人信息跨境处理规则、个人信息保护影响评估）及个人信息主体权益保障（包括

个人信息主体的权力、个人信息处理者和境外接受方的责任义务）。

三、主要试验[或验证]情况分析

将根据标准试点工作开展情况而定。

四、知识产权情况说明

本文件不涉及专利等知识产权。

五、产业化情况、推广应用论证和预期达到的经济效果

国内主要的个人信息保护和数据安全相关标准研究机构、认证机构、测评机

构、典型的个人信息处理者以及高校的政策、法律专家均深度参与标准研制进程，

前期充分征集并尽量反映了业界需求以及监管需求，当前标准内容框架适用于国

内产业实践和发展需求。

本标准的制定将为后续个人信息处理者跨境处理个人信息的活动等提供参

考，有助于在保障个人信息主体权益的基础上推动个人信息跨境安全、有序流动，

助推数字经济发展。欧盟、APEC等个人信息跨境认证已经进行了大量研究探索，

4

国家标准（征求意见稿）编制说明

但是尚无直接可用的认证依据标准。《个人信息跨境处理活动安全认证规范》和

本标准从实践层面做出了积极探索。

六、采用国际标准和国外先进标准情况

无。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准编制中充分考虑了与数据出境安全评估、个人信息出境标准合同等制

度的衔接协调，在框架和内容上都做了相应的对照。

国内外尚无成熟的标准可供参考使用。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准为推荐性标准。

十、贯彻标准的要求和措施建议

本文标准适用于认证机构对个人信息处理者开展个人信息跨境提供活动进

行个人信息保护认证，也可为主管部门、第三方评估机构等组织对个人信息处理

者跨境提供个人信息进行监督、管理和评估。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

致谢

我们对在《信息安全技术个人信息跨境传输认证要求》标准申报立项过程

中提供宝贵意见的专家和同行们表示衷心的感谢！

《信息安全技术个人信息跨境传输认证要求》标准编制工作组

2023年2月9日

5

国家标准（征求意见稿）编制说明

一、工作简况

1、任务来源

《信息安全技术个人信息跨境传输认证要求》，是根据全国信息安全标准

化技术委员会发布的2022年网络安全国家标准需求清单中的第9项征求标准“个

人信息跨境传输认证要求”申报立项的国家信息安全标准制定项目。该标准由中

认信安（北京）技术服务有限公司牵头，并联合中国网路安全审查技术与认证中

心、中国电子标准化研究院等几十家单位进行开发。前期各家单位派出了联络代

表和部分技术人员，就标准草案稿进行了几轮讨论修改。根据安标委秘书处的组

织安排，组建了正式的标准编制组，开始正式的编制工作。

2、标准编制的主要成员单位

中认信安（北京）技术服务有限公司、中国网络安全审查技术与认证中心、

中国电子标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术

安全研究中心、中国科学技术大学、中央财经大学、银行卡检测中心、深信服科

技股份有限公司阿里巴巴（北京）软件服务有限公司、蚂蚁科技集团股份有限公

司、华为技术有限公司、北京百度网讯科技有限公司、腾讯云计算（北京）有限

责任公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京快手

科技有限公司、北京同城必应科技有限公司、上海商汤智能科技有限公司、中国

软件评测中心、成都卫士通信息产业股份有限公司、奇安信科技集团股份有限公

司等。

3、参与人员

标准主要起草人包括：布宁、陈世翔、王凤娇、胡影、史大为、左晓栋、张

金平、王晖、段静辉等。

4、主要工作过程

4.1标准启动阶段

1)2021年9月-2022年2月，中国网络安全审查技术与认证中心在主管部

门指导下组织人员对个保法第38条提及的个人信息跨境传输认证依据的标准展

开研究。项目组编制了《个人信息跨境传输安全规范》（草案稿），组织了多次包

1

国家标准（征求意见稿）编制说明

括主管机关、行业技术专家、测评机构专家、跨境企业代表等人员参加的专家研

讨会。专家对规范的定位、技术内容的适用性等给出了积极评价，初步拟定了规

范草案的基本内容框架。

2)编制组也积极与存在个人信息跨境传输处理活动的个人信息处理者多次

沟通，了解当前个人信息跨境提供的场景、制度管理、技术措施、合同约束、个

人信息主体权益保障等方面的情况。

4.2标准草案

3)2022年3月，中认信安(北京)技术服务有限公司针对2022年度的国标需

求清单，以《个人信息跨境处理活动安全规范》（草案稿）为基础编制了《信息

安全技术个人信息跨境传输认证要求》国家标准草案，申报立项。

4)2022年6月，安标委秘书处正式发布《网络安全实践指南个人信息跨

境处理活动安全规范v1.0》。

5)2022年8月，组织召开编制组讨论会，对《信息安全技术个人信息跨

境传输认证要求》国家标准草案进行了讨论和一定范围内征求意见，9月对收到

的意见进行汇总处理后形成新的修订稿。

6)2022年10月，组织召开两次《个人信息跨境传输安全规范》的专家交

流研讨会，结合收到的修改意见，对国家标准草案进行同步修改完善。

7)2022年10月30日，安标委秘书处正式印发了《2022年网络安全国家标

准立项项目清单》，《信息安全技术个人信息跨境传输认证要求》国家标准项目

正式获批立项。

8)2022年11月8-15日，安标委秘书处组织对《网络安全标准实践指南—

个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》公开征求意见，根据收

到的意见对标准和规范做了同步修改。

9)2022年12月6日，标准编制组在信安标委2022年第二次工作组会议周

上进行项目汇报，听取专家意见，WG7组会议决议结论为：同意该标准进入征

求意见稿阶段。

4.3征求意见稿

10)2022年12月8日，安标委秘书处组织对《网络安全标准实践指南—个

人信息跨境处理活动安全认证规范V2.0(送审稿)》进行专家评审，根据收到的意

2

国家标准（征求意见稿）编制说明

见对标准和规范做了同步修改。

11)2022年12月16日，安标委秘书处发布了《网络安全标准实践指南—个

人信息跨境处理活动安全认证规范V2.0》。

12)2023年2月9日，安标委秘书处组织召开了《信息安全技术个人信息

跨境传输认证要求》（征求意见稿）专家评审会，根据专家意见进行了修改。