修改适用情形。《认证规范2.0版》删除了《认证规范1.0版》中两种适用情形的限定，即“a）跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；b）《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动”，将其适用情形变更为“个人信息处理者开展个人信息跨境处理活动”。从字面意思理解，此种修改或将扩大《认证规范2.0版》的适用范围，将不适用《个保法》第三条第二款、且非跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动纳入到认证规范中，包括了跨境传输活动中较为常见的基于业务合作关系向境外合作伙伴或其他第三方提供个人信息的情形。

同时，鉴于《认证规范2.0版》明确认证主体包括《个保法》第三条第二款规定的境外个人信息处理者，针对（1）由境外个人信息处理者直接在中国境内收集个人信息并传输至境外进行处理的场景，以及（2）境外个人信息处理者向第三方境外主体提供个人信息的场景，具体如何适用认证规范，尚待进一步观察。

认证主体必须具有法人资格。《认证规范2.0版》增加了“申请认证的个人信息处理者应取得合法的法人资格，正常经营且具有良好的信誉、商誉”的要求，分支机构（如分公司）、办事处等不具有法人资格的组织或机构将不能作为认证主体申请个人信息保护认证。我们理解，这一规定旨在为监管部门提供监管抓手，但在《个保法》第三条第二款规定的境外个人信息处理者申请认证的情形下，其在境内设置的专门机构或指定代表并不要求具备法人资格，后续该等专门机构或代表如何承担法律责任有待观察。

增加跨境传输协议内容。《认证规范2.0版》进一步要求必须在跨境传输协议中明确个人信息处理者和境外接收方保护个人信息的责任与义务，加强个人信息主体权利的保障，并要求在跨境传输协议中进一步明确个人信息处理者和境外接收方需要承担的责任，如果法律责任不明确，应由个人信息处理者承担法律责任。

增加个人信息保护机构的职责。个人信息保护机构需要采取有效措施保障个人信息安全，定期进行合规审计，接受认证机构对个人信息跨境处理活动的监督，包括答复询问、配合检查等。

细化个人信息保护影响评估要求。与《个保法》、《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等法律、标准中的要求看齐。

增加个人主体赔偿请求权。新增个人信息权益受到损害时，个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求。

明确个人信息处理者和境外接收方的责任义务。包括境外接收方的通知义务、境外接收方将所接收的个人信息提供给第三方的保护义务、个人信息跨境处理活动的记录留存义务、根据法律规定向有关部门提供个人信息跨境处理活动记录的义务、出现安全事件的通知义务、配合认证机构的检查及相应
措施并提供书面证明的义务、承担证明相关责任义务己履行的举证责任、承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规的义务等。

总体而言，本次《认证规范2.0版》的修改进一步细化了个人信息保护认证的要求，增加了认证规范的可实践性，从而加强了对个人信息跨境处理活动的监管。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看做是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。