《认证规范》第一条、第二条明确了个人信息保护认证所适用的两种情形及相应的申请主体。

其一，为跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。值得注意的是，虽然《认证规范》规定“可以由境内一方申请认证，并承担相应法律责任”，但根据《网络数据安全管理条例（征求意见稿）》第三十五条的规定，“数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证”系数据出境的路径之一，此情形下境外一方是否需要申请认证，还需等待《网络数据安全管理条例》的出台。

其二，为《个保法》第三条第二款适用的个人信息处理活动，也即在境外以向境内自然人提供产品或者服务为目的，或为分析、评估境内自然人的行为而进行的处理活动。

《评估办法》与《标准合同》规定的适用情形可以说互为补充，以下四种向中国境外提供个人信息的情形不能通过签署标准合同方式，必须采用数据出境安全评估方式：

第一，数据处理者向境外提供重要数据，其中，根据《网络数据安全管理条例（征求意见稿）》第七十三条的规定，“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据；

第二，关键信息基础设施运营者（CIIO），其中，根据《关键信息基础设施安全保护条例》第二条的规定，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等；

第三，处理的个人信息数量达到或超过100万人规模的企业（一般以企业全体部门所处理的个人信息数量之和进行计算）；

第四，在对累计的个人信息（或者敏感个人信息）数量进行统计时，需要从上一年的1月1日开始进行统计，统计结果超过了相关的个人信息数量（累计10万人的个人信息或1万人的个人敏感信息）。

三种模式均要求在开展跨境传输之前，必须进行个人信息保护影响评估，《认证规范》规定的较为简单，《评估办法》与《标准合同》规定的较为详细，也较为相似，主要评估要点包括“跨境传输的合法性、正当性、必要性”、“可能对个人权益带来的风险”、“境外接收方的义务”以及“拟采取安全保障措施”等。同时《标准合同》也注入了一些创新点，特别是第五款纳入“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的考量，借鉴了欧盟跨境传输评估（Transfer Impact Assessment，TIA）的做法，即其核心要点为评估第三国法律的实施是否会损害标准合同条款等跨境传输工具的有效实施。

《评估办法》采取“风险自评估与安全评估相结合”，即在“自评估”后由国家网信部门对跨境数据进行评估，《认证规范》和《标准合同》则在“自评估”后采取签署有法律约束力和执行力的文件作为保障。

比照《评估办法》第五条与第八条，《标准合同》第五条与第六条，《认证规范》4.1条与4.2条，可知自评估的要求与后续安全评估或签署合同有对应关系，可以从其中重复的部分看出自评估的重点同时均是安全评估或签署合同的重点。

此外，《评估办法》的安全评估会从更宏观的领域评估境内合法合规性以及境外国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响。相较于《评估办法》的规定，《认证规范》中提出了一些新的条款内容，例如，境外接收方承诺并遵守统一的个人信息跨境处理规则，并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准；接收方应承诺接受认证机构监督等几项。同时，《认证规范》在其“摘要”中明确指出，申请个人信息保护认证的个人信息处理者应当符合 GB/T35273《信息安全技术个人信息安全规范》的要求，为选择此种模式的企业设置了一个较高的合规基准。

十、申请流程

因《评估办法》流程较为复杂，在此以流程图方式展现。《认证规范》《标准合同》较为简单，以文字方式进行对比。

根据《认证规范》4.1条、4.3条规定，通过申请个人信息保护认证出境的流程可以总结为：①开展个人信息保护影响评估→②签订具有法律约束力和执行力的文件→③提交有关部门进行认证

根据《标准合同》第5条、第7条的规定，通过签署标准合同出境的流程可以总结为：①开展个人信息保护影响评估→②签署标准合同→③在省级的监管机构进行备案。