2022年第37號

關(guān)于實施個人信息保護認證的公告

為貫徹落實《中華人民共和國個人信息保護法》有關(guān)規(guī)定，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)《中華人民共和國認證認可條例》，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室決定實施個人信息保護認證，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。從事個人信息保護認證工作的認證機構(gòu)應(yīng)當經(jīng)批準后開展有關(guān)認證活動，并按照《個人信息保護認證實施規(guī)則》（見附件）實施認證。

特此公告。

附件：個人信息保護認證實施規(guī)則

國家市場監(jiān)督管理總局

國家互聯(lián)網(wǎng)信息辦公室

2022年11月4日

（此件公開發(fā)布）

  附件：個人信息保護認證實施規(guī)則

個人信息保護認證實施規(guī)則

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國認證認可條例》制定，規(guī)定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。

2 認證依據(jù)

個人信息處理者應(yīng)當符合GB/T 35273《信息安全技術(shù) 個人信息安全規(guī)范》的要求。

對于開展跨境處理活動的個人信息處理者，還應(yīng)當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》的要求。

上述標準、規(guī)范原則上應(yīng)當執(zhí)行最新版本。

3 認證模式

個人信息保護認證的認證模式為：

技術(shù)驗證 + 現(xiàn)場審核 + 獲證后監(jiān)督

4 認證實施程序

4.1 認證委托

認證機構(gòu)應(yīng)當明確認證委托資料要求，包括但不限于認證委托人基本材料、認證委托書、相關(guān)證明文檔等。

認證委托人應(yīng)當按認證機構(gòu)要求提交認證委托資料，認證機構(gòu)在對認證委托資料審查后及時反饋是否受理。

認證機構(gòu)應(yīng)當根據(jù)認證委托資料確定認證方案，包括個人信息類型和數(shù)量、涉及的個人信息處理活動范圍、技術(shù)驗證機構(gòu)信息等，并通知認證委托人。

4.2 技術(shù)驗證

技術(shù)驗證機構(gòu)應(yīng)當按照認證方案實施技術(shù)驗證，并向認證機構(gòu)和認證委托人出具技術(shù)驗證報告。

4.3 現(xiàn)場審核

認證機構(gòu)實施現(xiàn)場審核，并向認證委托人出具現(xiàn)場審核報告。

4.4 認證結(jié)果評價和批準

認證機構(gòu)根據(jù)認證委托資料、技術(shù)驗證報告、現(xiàn)場審核報告和其他相關(guān)資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發(fā)認證證書；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書面形式通知認證委托人終止認證。

如發(fā)現(xiàn)認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認證機構(gòu)應(yīng)當在認證有效期內(nèi)，對獲得認證的個人信息處理者進行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認證機構(gòu)應(yīng)當采取適當?shù)姆绞綄嵤┇@證后監(jiān)督，確保獲得認證的個人信息處理者持續(xù)符合認證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評價

認證機構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進行綜合評價，評價通過的，可繼續(xù)保持認證證書；不通過的，認證機構(gòu)應(yīng)當根據(jù)相應(yīng)情形作出暫停直至撤銷認證證書的處理。

4.6 認證時限

認證機構(gòu)應(yīng)當對認證各環(huán)節(jié)的時限作出明確規(guī)定，并確保相關(guān)工作按時限要求完成。認證委托人應(yīng)當對認證活動予以積極配合。

5 認證證書和認證標志

5.1 認證證書

5.1.1 認證證書的保持 

認證證書有效期為3年。在有效期內(nèi)，通過認證機構(gòu)的獲證后監(jiān)督，保持認證證書的有效性。

證書到期需延續(xù)使用的，認證委托人應(yīng)當在有效期屆滿前6個月內(nèi)提出認證委托。認證機構(gòu)應(yīng)當采用獲證后監(jiān)督的方式，對符合認證要求的委托換發(fā)新證書。

5.1.2 認證證書的變更

認證證書有效期內(nèi)，若獲得認證的個人信息處理者名稱、注冊地址，或認證要求、認證范圍等發(fā)生變化時，認證委托人應(yīng)當向認證機構(gòu)提出變更委托。認證機構(gòu)根據(jù)變更的內(nèi)容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術(shù)驗證和/或現(xiàn)場審核，還應(yīng)當在批準變更前進行技術(shù)驗證和/或現(xiàn)場審核。

5.1.3 認證證書的注銷、暫停和撤銷

當獲得認證的個人信息處理者不再符合認證要求時，認證機構(gòu)應(yīng)當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內(nèi)可申請認證證書暫停、注銷。

5.1.4 認證證書的公布

認證機構(gòu)應(yīng)當采用適當方式對外公布認證證書頒發(fā)、變更、暫停、注銷和撤銷等相關(guān)信息。

5.2 認證標志

不含跨境處理活動的個人信息保護認證標志如下：

包含跨境處理活動的個人信息保護認證標志如下：

“ABCD”代表認證機構(gòu)識別信息。

5.3 認證證書和認證標志的使用

在認證證書有效期內(nèi)，獲得認證的個人信息處理者應(yīng)當按照有關(guān)規(guī)定在廣告等宣傳中正確使用認證證書和認證標志，不得對公眾產(chǎn)生誤導(dǎo)。

6 認證實施細則

認證機構(gòu)應(yīng)當依據(jù)本規(guī)則有關(guān)要求，細化認證實施程序，制定科學、合理、可操作的認證實施細則，并對外公布實施。

7 認證責任

認證機構(gòu)應(yīng)當對現(xiàn)場審核結(jié)論、認證結(jié)論負責。

技術(shù)驗證機構(gòu)應(yīng)當對技術(shù)驗證結(jié)論負責。

認證委托人應(yīng)當對認證委托資料的真實性、合法性負責。