To protect personal information rights, regulate outbound data certification for personal information, and promote the security and efficiency of cross-border personal information flow, the Cyberspace Administration of China (CAC) and the State Administration for Market Regulation (SAMR) have jointly issued the Measures for Certification of Cross-Border Personal Information Transfer.

    The Measures will take effect on January 1, 2026.

    Shen Weixing, professor of the School of Law in Tsinghua University, explained that certification can serve as a legitimate channel for cross-border personal information transfer, as it concretizes the necessary safeguards for cross-border data transfer into a combination of third-party audits, continuous supervision, and enforceable commitments and remedies for data subjects.

    Scope of application

    The Measures specify the applicable scenarios for personal information outbound certification, application methods, certification requirements, and the validity period of the certification.

    According to the Measures, a personal information processor transferring personal information overseas through outbound certification should not be a critical information infrastructure operator.

    Quantitatively speaking, the processor should have cumulatively transferred overseas, since January 1 of the current year, personal information (excluding sensitive personal information) of more than 100,000 individuals but fewer than 1,000,000 individuals, or sensitive personal information of fewer than 10,000 individuals.

    This personal information does not include important data, and the processors shall not employ means such as splitting data into smaller quantities to circumvent the requirement for an outbound security assessment on personal information, thereby providing such information to foreign countries through the personal information outbound certification process.

    Wang Zhicheng, deputy director of the data and technology support center of CAC, pointed out that the certification system operates on the principles of voluntary participation, market-driven operations, and socialized services, and is to be implemented by third-party institutions.

    Personal information processors should apply for certification to professional certification institutions, which should conduct cross-border personal information certification activities in accordance with the basic certification specifications and the personal information protection certification rules.

    When personal information processors outside China apply for the certification, they will be assisted by their specialized institutions or designated representatives within China.

    The certification is valid for three years.

    Regulatory mechanism

    Professional certification institutions should submit relevant information to the national information public service platform under SAMR within five working days after certification is issued or its status changes.

    Professional certification institutions will supervise the outbound information practices of certified processors. In case of any non-compliance, the processors' certification will be suspended until it is revoked.

    The market regulation departments and the cyberspace administration will supervise activities related to personal information outbound transfer certification.

    Provincial or higher-level cyberspace administration departments and relevant authorities can hold regulatory talks with certified processors whose outbound personal information activities involve significant risks or security incidents.

    Zhao Jingwu, associate professor of the School of Law in Beihang University,said this clear division of labor and complementary regulatory model not only prevents functions from overlapping and resource wastage, but also ensures controllability and adaptability throughout the entire certification process.

    A CAC official said the Measures clarify the specific path for providing personal information to overseas entities through certification. 

    It is the concrete implementation framework of the cross-border system under China's Personal Information Protection Law, marking an important step in China's personal information protection system.