【发布单位】 国家互联网信息办公室 国家市场监督管理总局 
【发布文号】 国家互联网信息办公室 国家市场监督管理总局令第20号 
【发布日期】 2025年10月14日
【施行日期】 2026年1月1日
【相关链接】 https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm 

《办法》的出台, 标志着《个人信息保护法》所确立的个人信息出境三大法律路径（即安全评估、标准合同、个人信息保护认证）的制度框架全面建成。主要内容如下：
1. 认证与标准合同：在出境不被豁免且不触发强制性安全评估的前提下, 个人信息处理者可以选择标准合同或个人信息保护认证进行个人信息出境。
2. 适用情形：通过认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息），或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。 
3. 前置义务：个人信息处理者在向境外提供个人信息前，应当履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
4. 有效期：认证证书的有效期为3年。证书到期需继续使用的，个人信息处理者应当在有效期届满前6个月提出认证申请。
5. 信息报备：专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息，包括认证证书编号、获证个人信息处理者名称、认证范围以及证书状态变化信息等。