专业律师团队提供免费在线法律咨询

个人信息保护认证实施规则

2025-02-16 13:54 admin

发布单位：国家市场监督管理总局国家互联网信息办公室

发布时间：2022年11月4日

个人信息保护认证实施规则

1 适用范围

本规则依据《中华人民共和国认证认可条例》制定，规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

2 认证依据

个人信息处理者应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。

上述标准、规范原则上应当执行最新版本。

3 认证模式

个人信息保护认证的认证模式为：

技术验证 + 现场审核 + 获证后监督

4 认证实施程序

4.1 认证委托

认证机构应当明确认证委托资料要求，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案，包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等，并通知认证委托人。

4.2 技术验证

技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。

4.3 现场审核

认证机构实施现场审核，并向认证委托人出具现场审核报告。

4.4 认证结果评价和批准

认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的，以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。

4.5 获证后监督

4.5.1 监督的频次

认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。

4.5.2 监督的内容

认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。

4.5.3 获证后监督结果的评价

认证机构对获证后监督结论和其他相关资料信息进行综合评价，评价通过的，可继续保持认证证书；不通过的，认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。

4.6 认证时限

认证机构应当对认证各环节的时限作出明确规定，并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。

5 认证证书和认证标志

5.1 认证证书

5.1.1 认证证书的保持

认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。

证书到期需延续使用的，认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式，对符合认证要求的委托换发新证书。

5.1.2 认证证书的变更

认证证书有效期内，若获得认证的个人信息处理者名称、注册地址，或认证要求、认证范围等发生变化时，认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容，对变更委托资料进行评价，确定是否可以批准变更。如需进行技术验证和/或现场审核，还应当在批准变更前进行技术验证和/或现场审核。

5.1.3 认证证书的注销、暂停和撤销

当获得认证的个人信息处理者不再符合认证要求时，认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。

5.1.4 认证证书的公布

认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。

5.2 认证标志

不含跨境处理活动的个人信息保护认证标志如下：

不含跨境处理活动的个人信息保护认证标志

包含跨境处理活动的个人信息保护认证标志如下：

包含跨境处理活动的个人信息保护认证标志

“ABCD”代表认证机构识别信息。

5.3 认证证书和认证标志的使用

在认证证书有效期内，获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志，不得对公众产生误导。

6 认证实施细则

认证机构应当依据本规则有关要求，细化认证实施程序，制定科学、合理、可操作的认证实施细则，并对外公布实施。

7 认证责任

认证机构应当对现场审核结论、认证结论负责。

技术验证机构应当对技术验证结论负责。

认证委托人应当对认证委托资料的真实性、合法性负责。

标签： 个人信息保护 认证 实施规则

网络信息法相关文章：

个人信息保护合规审计指引

发布单位：国家互联网信息办公室发布时间：2025年2月12日个人信息保护合规审计指引一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法...

时间：2025-02-16阅读：354标签： 个人信息保护 合规审计
个人信息保护合规审计管理办法

发布单位：国家互联网信息办公室发布时间：2025年2月12日个人信息保护合规审计管理办法 (经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过，现予公布，自2025年...

时间：2025-02-16阅读：159标签： 管理办法 个人信息保护 合规审计
关于开展网络安全服务认证工作的实施意见

【颁布时间】2023-3-15 【发文号】国市监认证规〔2023〕3号【颁布单位】国家市监总局中央网信办工信部等关于开展网络安全服务认证工作的实施意见国市监认证规〔2023〕3号各省、...

时间：2023-11-25阅读：96标签： 网络安全 认证
中华人民共和国个人信息保护法全文（最新版）

中华人民共和国个人信息保护法(草案全文) 目录第一章总则第二章个人信息处理规则第一节一般规定第二节敏感个人信息的处理规则第三节国家机关处理个人信息的特别规定第...

时间：2024-12-16阅读：6403标签： 个人信息
关于开展快递包装绿色产品认证工作的实施意见

【标题】市场监管总局、国家邮政局关于开展快递包装绿色产品认证工作的实施意见【发文号】国市监认证〔2020〕43号【颁布时间】2020-3-24 【颁布单位】国家市场监督管理总局国家邮...

时间：2020-05-31阅读：243标签：快递 实施意见 绿色产品认证
关于开展商用密码检测认证工作的实施意见

【标题】市场监管总局、国家密码管理局关于开展商用密码检测认证工作的实施意见【发文号】【颁布时间】2020-3-26 【颁布单位】国家市场监督管理总局国家密码管理局【法规来源...

时间：2020-05-31阅读：134标签： 实施意见 商用密码 密码检测 密码认证
电子认证服务密码管理办法

【颁布单位】国家密码管理局【发文字号】国家密码管理局公告（第 2 号）【颁布时间】2005-3-31 国家密码管理局电子认证服务密码管理办法国家密码管理局公告（第 2 号）第一条为...

时间：2018-06-05阅读：206标签： 管理办法 电子认证 服务密码
电子认证服务管理办法

【颁布单位】工业和信息化部【发文字号】工业和信息化部令第29号【颁布时间】2015-4-29 工业和信息化部电子认证服务管理办法（2009年2月18日中华人民共和国工业和信息化部令第1号公...

时间：2018-06-02阅读：144标签： 管理办法 服务 电子认证
电信和互联网用户个人信息保护规定

【颁布单位】工业和信息化部【发文字号】工业和信息化部令第24号【颁布时间】2013-7-16 工业和信息化部电信和互联网用户个人信息保护规定《电信和互联网用户个人信息保护规定》...

时间：2018-05-17阅读：141标签： 互联网 电信 个人信息保护