一、删除《个保法》第三条第二款项下的域外适用：向司法现实主义的转向

正式文本中最引人注目的变化之一，是删除了《征求意见稿》中关于认证机制直接适用于纯粹域外个人信息处理活动的规定。这一修订是基于执法可行性的务实考量，旨在构建一个在所有出境路径下逻辑一致的管辖权框架。

（一）认证办法文本分析：管辖权的精准定位

《征求意见稿》的文本明确地展现了将认证机制延伸至《个保法》域外“长臂管辖”范围的意图。其第三条在定义“个人信息出境活动”时，纳入了“符合《中华人民共和国个人信息保护法》第三条第二款情形”的场景，即在境外分析、评估境内自然人的活动。紧随其后，第五条进一步规定，符合该情形的境外处理者在获得认证后，即可进行个人信息出境活动[3]。这实质上为没有在中国境内设立实体的境外公司提供了一条独立的个保法域外合规路径。

《认证办法》正式文本则重塑了这一逻辑。第二条开宗明义地将适用范围限定为“个人信息处理者通过个人信息保护认证的方式向中华人民共和国境外提供个人信息”。这一表述，将管辖的触发点从个人信息主体身处何处，转移到了从中国境内范围内发起的，向境外提供个人信息和数据的行为，即数据的逻辑出境（传输至境外，或从境外查询、调取、下载、导出）和物理出境（运输、携带）。尽管第七条保留了境外处理者可以通过境内代表申请个人信息出境认证的程序性便利，但这一定位已从《征求意见稿》中的一条域外主体对中国法的合规路径，转变为就源自境内的数据出境活动，由境内代表协助境外处理者的一项程序性安排。

（二）动因之一：务实主义与执法挑战

《征求意见稿》的设想在理论上是完备的，但在实践中却面临着一个根本性的挑战。我们可以设想一个场景：一家在位于海外的社交媒体平台，仅通过网站向包括中国的多国用户提供服务，但其在中国无任何分支机构、员工或资产。根据《征求意见稿》，该公司可以通过中国的认证来使其跨境处理中国用户个人信息的活动合规。

随之而来的问题是现实且棘手的：

1. 如何开展审核？试想，一家依据中国法律设立并获得资质的专业认证机构，如何能有效支撑一家无任何在华关联的海外公司提交内部资料、配合现场或远程审核？
    
2. 如何持续监督？《认证办法》第十条明确要求认证机构对获证者进行持续监督，并在其不再符合认证准则时暂停乃至撤销证书。如果该海外公司在获得认证后怠于配合后续监督，认证机构除了公告撤销其证书外，将缺乏任何有效的监督手段。
    
3. 如何追究责任？如果发生数据泄露事件，中国的监管部门和司法机关如何对一个在其管辖范围外且无在华资产的实体进行有效的调查、处罚和追责？

这些问题触及了国际法上的司法主权和执法合作的复杂领域。因此，删除域外适用条款，将认证的规范的对象精确地“锚定”于境内个人信息处理者，或虽在境外但通过境内代表申请认证的主体的数据出境活动之上，确保了每一个认证申请的背后都有一个明确处于中国司法管辖之下的责任实体。这一调整，是监管智慧的体现，即优先确保制度的可执行性和有效性，而非追求理论上的管辖范围最大化。

（三）动因之二：出境路径监管一致性

中国数据出境合规框架主要由三大支柱构成：安全评估、标准合同和个人信息保护认证。在《认证办法》正式文本出台前，安全评估[4]和标准合同[5]的适用前提[6] [7]均已明确，即由境内的处理者“向境外提供”数据。

《征求意见稿》的规定则使认证机制成为了一个“异类”，其将个保法第三条第二款纳入范围所导致的管辖权触发逻辑与其他两种路径截然不同。这会给企业的合规工作实务带来困惑——跨国公司在规划其数据出境合规策略、理解三个出境机制的适用性时，除了对自身是否为关键信息基础设施运营者、拟出境数据的类型、敏感程度、对应的规模和是否适用豁免等关键问题逐一作出判断之外，在梳理跨境数据流时，还不得不面对两个逻辑不一致的判断题：

1. 对于适用标准合同和安全评估的情形，这个问题是：“我们的境内实体是否正在将数据从中国境内传输出去？”
    
2. 对于适用认证的情形，除上述问题，另一层考虑则会是：“我们的境外实体是否正在处理位于中国境内个人的数据，即使处理活动完全发生在中国境外？”

这种制度设计上的不统一，不仅可能增加企业理解和遵循法律的成本，也可能导致监管实践中的困难。通过在正式文本中删除域外条款，监管机构成功地实现了三大出境路径在管辖权触发点上的统一。现在，所有企业在判断是否需要履行数据出境手续时，其首要且一致的问题是：“我的业务活动是否会导致个人信息从中华人民共和国境内向境外转移？”而统一的逻辑起点，将有机会进一步提升整个数据出境监管机制的内在协调性，和我国数据政策的可预测性。

（四）比较法分析：欧盟的“累加模式”与中国的“属地模式”

考察欧盟《通用数据保护条例》（GDPR）的相关规定，更能凸显中国主管部门此次修订的务实抉择。GDPR第三条第二款确立了其域外效力，适用于身处欧盟境外、但向欧盟境内数据主体提供商品或服务或监控其行为的控制者或处理者[8]。同时，GDPR第五章专门规制国际数据传输，要求采用充分性认定、标准合同条款（Standard Contract Clauses, SCCs）或认证（依据GDPR第四十二条）[9]等适当保障措施。

关键的问题在于：这两条规定是互斥还是可以并存？欧盟数据保护委员会（European Data Protection Board, EDPB）在其发布的官方指南[10]中给出了明确答案：二者是累加适用（cumulative），而非互斥的（mutually exclusive）。这意味着，一家因GDPR第三条第二款而受其管辖的非欧盟公司（例如，一家向欧洲用户提供服务的美国公司），当它将欧洲用户的数据进一步传输给另一家位于第三国的实体（即使是其集团内部的另一家美国公司）时，仍然必须遵守第五章的规定，采用条例所规定的传输工具。

EDPB的逻辑是以数据主体为中心（data subject-centric），其核心目标是确保“受GDPR保障的保护水平不因数据转移而受损害”。即便一家非欧盟公司在名义上受GDPR约束，EDPB仍然担忧，数据一旦转移，接收方所在国的法律环境或可能实质性地削弱GDPR提供的保护。因此，第五章的数据传输工具所提供的额外保障措施是必不可少的。

相比之下，中国《认证办法》正式文本的修订，则清晰地展现了一种以属地为中心（territory-centric）的数据出境治理理念。监管的核心关切在于规范数据跨越主权边界的流动。虽然《个保法》本身具备域外效力，但用以使数据出境合法化的三大机制（安全评估、标准合同、认证），其触发点被统一地锚定在“数据离境”这一行为上。而这标志着一个制度设计的分野，将中国的出境管理框架与欧盟的模式区别开来，反映出中国在平衡主权安全与数据流动时务实的考量与路径选择。

二、移除明确的数据处理协议（DPA）要求：回归认证机制的本质

《认证办法》正式文本的另一项实质性修订，是将《征求意见稿》中作为一项明确评定内容的“数据处理协议”（DPA）条款移除。这一变化并非意图放任对境外接收方的合同约束水平的降低，而是通过重塑在认证流程中的角色，意图实现两个关键目的：（1）清晰地区分认证路径与标准合同路径的本质差异；（2）厘清认证活动中的核心法律关系，将认证的一个焦点从“审查境内外订立的合同”提升至“全盘评估境内外主体的体系化管理”。

（一）定位转变，从“审核准则的一个单项”到“完备体系的一个部分”

《征求意见稿》第十条第四项，将“个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务”列为认证的重点评定内容之一。这使得DPA本身成为认证机构必须直接审查和评价的对象，其内容是否完备、条款是否合理，直接关系到认证审核的结果。

《认证办法》正式文本则改变了这一安排。在第六条关于个人信息保护影响评估（PIPIA）的规定中，虽然不再直接提及“协议”，但要求处理者在申请认证前必须重点评估：“（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全”。

而这一调整的精妙之处在于：对DPA的要求并未消失，而是其法律地位和接受审查的方式被重新定位。DPA从认证机构案头上一份需要“打勾”的检查单项，变成了个人信息处理者在其自行或委外完成的风险评估（PIPIA）过程中，证明其已对境外接收方进行尽职调查和充分约束的一组核心证据。认证机构遵循认证规范和相关标准开展审查的重心，也将随之从评判合同条款的充分性和有效性，转向评估处理者开展PIPIA的流程是否健全、评估结论是否合理、以及其是否有足够能力和保障，来确保境外接收方的承诺能够落地。

（二）区分认证与标准合同路径

标准合同（Standard Clause Contract, SCC）路径围绕一份由国家网信部门制定的、标准化的合同文本展开。其合规的核心在于，数据出境方与接收方完整、不加修改地签署这份合同，并通过合同条款来分配权利义务、共同保障数据安全跨境流动。

如果认证机制的核心环节也包括对DPA的审查，那么它将不可避免地与SCC路径高度重叠，甚至可能在实践中逐渐演变为“标准合同（具备来源的权威性）+ 第三方审计（提供额外的背书）”的模式。而这将可能带来困惑：如果两种路径的内核都包含标准合同，企业为何要选择成本更高、周期更长的认证，而不是直接签署SCC并完成备案来获得来自主管部门的核准？在适用条件一致的提前下，重叠的要求自然将企业导向“更易于操作”的SCC，从而可能限制认证机制作为一种独立选项的价值。

而通过移除对DPA的直接评定，主管部门则厘清了两种路径选项的差异，从而使企业拥有了真正的选项：

1. 标准合同路径：是一种契约性的机制。它聚焦于单次的、或特定场景或多个特定场景组合的跨境数据传输，境内外双方可以通过标准化的法律文本快速构建合规基础，使这一机制尤其适用于偶发的（ad-hoc）和特定场景下与境外第三方合作的数据出境活动[11]。
    
2. 认证路径：则是一种对整个管理体系的符合性评价机制。它聚焦于全面评估申请者（个人信息处理者）的整个数据保护管理体系、风险管理能力和对境外合作方的持续监督能力。这将使其更适合处理那些规模化、持续性的数据流，例如跨国集团内部在不同法域公司之间的常规数据共享[12]。

这一修订确保了认证与标准合同并行不悖、各司其职，在适用类似规模和同等敏感程度的数据出境活动时，共同构成功能互补、面向不同需求的数据出境合规工具箱。

（三）厘清认证中的核心法律关系

每一种出境路径都对应着一组独特的法律关系。厘清这些关系，是理解制度设计的关键。

1. 标准合同路径：核心法律关系是存在于数据出境方与境外接收方之间的双边私法合同关系。主管部门的角色是提供合同范本、接受备案申请，并依职权开展形式或实质审查，本质上属于事前的规范引导和事后的监督。
    
2. 认证路径：核心法律关系是存在于申请认证的个人信息处理者与具备资质的专业认证机构之间的第三方评定服务关系。

《征求意见稿》对DPA的强调，在一定程度上模糊了认证路径的法律关系。它使得原本属于独立第三方的认证机构，似乎需要深入到出境方与接收方的私法关系中，去评判一份两者之间的合同。《认证办法》正式文本的修订，则精准地纠正了这一点，将审查的焦点从数据处理协议转到了体系：

1. 个人信息处理者对其与境外接收方的关系负首要责任，这份责任需要通过订立DPA、开展充分的尽职调查和事后的持续监控来实现。
    
2. 认证机构的职责，则是评估该处理者是否建立并有效运行了这一套完整的、可被审计的管理体系，用以规范其所有的数据出境活动。这个体系需要包括但不限于：健全的供应商、接收方尽职调查程序、科学的PIPIA方法论、以及有效监控和确保境外合作方履行合同义务的制度安排与技术管理能力。

在这个新的逻辑框架下，DPA是这套管理体系正常运行所必需的一项任务，而管理体系本身对适用法规、标准、规范的符合性才是审核和认证的真正对象。对法律关系厘清，将认证机制的价值从简单的“合规文件审查”提升到对企业“数据安全治理能力”的全面审核，将有机会从根本上增强认证机制在实务中的认可度。

在厘清认证机制的实体定位与合规路径差异之外，《认证办法》正式文本在立法技术层面的成熟，特别是其与上位法及相关部门规章的协调，同样值得关注。这构成了本文分析的第三个关键变化。

三、对上位法的遵从：立法技术成熟、程序性规定协调

《认证办法》的正式文本相较于此前的征求意见稿，在立法技术和部门协调上体现了显著的成熟与严谨。《认证办法》的颁布机关增加了国家市场监督管理总局，而市监总局的加入，则确保了这一数据安全领域的专门规章，严格遵从了《中华人民共和国认证认可条例》（以下简称“条例”）作为规范认证认可行业上位法的基础性框架。最明显的一个体现，是《办法》正式文本系统性地删除了征求意见稿中与《条例》相重叠的程序性规范和法律责任条款，转而采用引致条款的方式，将这些事项的管辖权“交还”给《条例》。

由此，《认证办法》厘清了数据安全监管机关与认证认可监管部门的协作关系：国家网信部门负责制定个人信息出境的“实体规范”（包括标准和技术规范），而国家市场监管总局则负责制定认证活动的程序规则，并确保认证全过程符合《条例》的统一规定。[13]

（一）《认证办法》对《条例》的遵从

下表展示了《办法》正式文本如何通过删除或修改征求意见稿中的重叠条款，实现了对上位法《条例》管辖权的遵从：

（二）国家网信部门与国家市场监管部门的协作分工

《办法》的条文清晰界定了国家互联网信息办公室与国家市场监督管理总局在个人信息出境认证工作中的协作关系：

结论：企业合规的路径选择与全球数据治理的中国模式

通过对《个人信息出境认证办法》从征求意见稿到正式文本的三项核心修订（即域外适用条款的删除、DPA审查要求的移除、以及与上位法《认证认可条例》的程序性协调）的剖析，本文揭示了中国数据出境监管制度的优化和立法技术的成熟。

对于企业合规实践而言，这些变化带来了更为清晰的指引和更具可比性的实务选择。首先，域外适用条款的删除，将简化企业进行合规范围界定时的初步工作，使其可以将资源集中于识别和管理那些真正构成“数据离境”的业务场景。

其次，认证机制与标准合同路径之间界限的明晰化，使得企业可以根据自身数据出境活动的性质、规模和频率，做出更精准的合规路径选择。标准合同继续作为处理零散的、或交易性数据传输的主力工具，而认证则可以被定位为一种更为复杂的“高级”路径，适用于那些希望通过证明其拥有健全的跨法域的数据合规管理体系和完备的合规保障，从而能够一揽子解决其系统性数据流动合规问题的成熟组织。

在全球数据治理的宏观视角下，本次修订则进一步凸显了中国正在审慎而坚定地开辟一条有别于欧盟模式的中国模式。通过将三大出境机制的管辖权基础统一锚定于管辖边界，我国进一步对数据跨境流动问题上的立场予以明确。这与欧盟以数据主体为中心、力图将GDPR的保护效力延伸至全球的“辐射模式”形成了鲜明对比。中国的行政机关在积极借鉴国际经验的同时，更注重制度设计的本土适应性、体系的内在协调性、以及执法的可行性。

而通过明确国家网信部门与国家市监总局的分工，并确保《认证办法》在程序性规范上严格遵从《认证认可条例》，主管部门不仅提升了制度的严谨性，也厘清了数据安全监管与认证行业监管的协作关系。从《认证办法》的演进中，我们看到一个正在不断适应和完善的顶层设计和监管体系，和监管努力平衡促进数据自由流动与维护国家安全、保护个人权益的多重目标的务实考量。接下来，随着国家网信部门会同国家数据管理部门和其他相关部门进一步推进相关标准和技术规范的制定实施，我们可以期待一套逻辑自洽、操作明确的中国治理方案得以不断完善。