2022年第37號
關于實施個人信息保護認證的公告
為貫徹落實《中華人民共和國個人信息保護法》有關規(guī)定,規(guī)范個人信息處理活動,促進個人信息合理利用,根據《中華人民共和國認證認可條例》,國家市場監(jiān)督管理總局、國家互聯網信息辦公室決定實施個人信息保護認證,鼓勵個人信息處理者通過認證方式提升個人信息保護能力。從事個人信息保護認證工作的認證機構應當經批準后開展有關認證活動,并按照《個人信息保護認證實施規(guī)則》(見附件)實施認證。
特此公告。
附件:個人信息保護認證實施規(guī)則
國家市場監(jiān)督管理總局
國家互聯網信息辦公室
2022年11月4日
(此件公開發(fā)布)
附件:個人信息保護認證實施規(guī)則
個人信息保護認證實施規(guī)則
1 適用范圍
本規(guī)則依據《中華人民共和國認證認可條例》制定,規(guī)定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。
2 認證依據
個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規(guī)范》的要求。
對于開展跨境處理活動的個人信息處理者,還應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》的要求。
上述標準、規(guī)范原則上應當執(zhí)行最新版本。
3 認證模式
個人信息保護認證的認證模式為:
技術驗證 + 現場審核 + 獲證后監(jiān)督
4 認證實施程序
4.1 認證委托
認證機構應當明確認證委托資料要求,包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。
認證委托人應當按認證機構要求提交認證委托資料,認證機構在對認證委托資料審查后及時反饋是否受理。
認證機構應當根據認證委托資料確定認證方案,包括個人信息類型和數量、涉及的個人信息處理活動范圍、技術驗證機構信息等,并通知認證委托人。
4.2 技術驗證
技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和認證委托人出具技術驗證報告。
4.3 現場審核
認證機構實施現場審核,并向認證委托人出具現場審核報告。
4.4 認證結果評價和批準
認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價,作出認證決定。對符合認證要求的,頒發(fā)認證證書;對暫不符合認證要求的,可要求認證委托人限期整改,整改后仍不符合的,以書面形式通知認證委托人終止認證。
如發(fā)現認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時,認證不予通過。
4.5 獲證后監(jiān)督
4.5.1 監(jiān)督的頻次
認證機構應當在認證有效期內,對獲得認證的個人信息處理者進行持續(xù)監(jiān)督,并合理確定監(jiān)督頻次。
4.5.2 監(jiān)督的內容
認證機構應當采取適當的方式實施獲證后監(jiān)督,確保獲得認證的個人信息處理者持續(xù)符合認證要求。
4.5.3 獲證后監(jiān)督結果的評價
認證機構對獲證后監(jiān)督結論和其他相關資料信息進行綜合評價,評價通過的,可繼續(xù)保持認證證書;不通過的,認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。
4.6 認證時限
認證機構應當對認證各環(huán)節(jié)的時限作出明確規(guī)定,并確保相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。
5 認證證書和認證標志
5.1 認證證書
5.1.1 認證證書的保持
認證證書有效期為3年。在有效期內,通過認證機構的獲證后監(jiān)督,保持認證證書的有效性。
證書到期需延續(xù)使用的,認證委托人應當在有效期屆滿前6個月內提出認證委托。認證機構應當采用獲證后監(jiān)督的方式,對符合認證要求的委托換發(fā)新證書。
5.1.2 認證證書的變更
認證證書有效期內,若獲得認證的個人信息處理者名稱、注冊地址,或認證要求、認證范圍等發(fā)生變化時,認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容,對變更委托資料進行評價,確定是否可以批準變更。如需進行技術驗證和/或現場審核,還應當在批準變更前進行技術驗證和/或現場審核。
5.1.3 認證證書的注銷、暫停和撤銷
當獲得認證的個人信息處理者不再符合認證要求時,認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內可申請認證證書暫停、注銷。
5.1.4 認證證書的公布
認證機構應當采用適當方式對外公布認證證書頒發(fā)、變更、暫停、注銷和撤銷等相關信息。
5.2 認證標志
不含跨境處理活動的個人信息保護認證標志如下:
包含跨境處理活動的個人信息保護認證標志如下:
“ABCD”代表認證機構識別信息。
5.3 認證證書和認證標志的使用
在認證證書有效期內,獲得認證的個人信息處理者應當按照有關規(guī)定在廣告等宣傳中正確使用認證證書和認證標志,不得對公眾產生誤導。
6 認證實施細則
認證機構應當依據本規(guī)則有關要求,細化認證實施程序,制定科學、合理、可操作的認證實施細則,并對外公布實施。
7 認證責任
認證機構應當對現場審核結論、認證結論負責。
技術驗證機構應當對技術驗證結論負責。
認證委托人應當對認證委托資料的真實性、合法性負責。