《國家市場(chǎng)監督管理總局國家互聯(lián)網(wǎng)信息辦公室關(guān)于實(shí)施個(gè)人信息保護認證的公告》（國家市場(chǎng)監督管理總局、國家互聯(lián)網(wǎng)信息辦公室公告2022年第37號）

國家市場(chǎng)監督管理總局國家互聯(lián)網(wǎng)信息辦公室關(guān)于實(shí)施個(gè)人信息保護認證的公告






國家市場(chǎng)監督管理總局、國家互聯(lián)網(wǎng)信息辦公室公告2022年第37號

為貫徹落實(shí)《中華人民共和國個(gè)人信息保護法》有關(guān)規定，規范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據《中華人民共和國認證認可條例》，國家市場(chǎng)監督管理總局、國家互聯(lián)網(wǎng)信息辦公室決定實(shí)施個(gè)人信息保護認證，鼓勵個(gè)人信息處理者通過(guò)認證方式提升個(gè)人信息保護能力。從事個(gè)人信息保護認證工作的認證機構應當經(jīng)批準后開(kāi)展有關(guān)認證活動(dòng)，并按照《個(gè)人信息保護認證實(shí)施規則》（見(jiàn)附件）實(shí)施認證。

特此公告。



附件：個(gè)人信息保護認 證實(shí)施規則

國家市場(chǎng)監督管理總局

國家互聯(lián)網(wǎng)信息辦公室

2022年11月4日

個(gè)人信息保護認證實(shí)施規則

1 適用范圍

本規則依據《中華人民共和國認證認可條例》制定，規定了對個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認證的基本原則和要求。

2 認證依據

個(gè)人信息處理者應當符合GB/T35273《信息安全技術(shù) 個(gè)人信 息安全規范》的要求。

對于開(kāi)展跨境處理活動(dòng)的個(gè)人信息處理者，還應當符合TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認證規范》的要求。

上述標準、規范原則上應當執行最新版本。

3 認證模式

個(gè)人信息保護認證的認證模式為：

技術(shù)驗證 + 現場(chǎng)審核 + 獲證后監督

4 認證實(shí)施程序

4.1 認證委托

認證機構應當明確認證委托資料要求，包括但不限于認證委托人基本材料、認證委托書(shū)、相關(guān)證明文檔等。

認證委托人應當按認證機構要求提交認證委托資料，認證機構在對認證委托資料審查后及時(shí)反饋是否受理。

認證機構應當根據認證委托資料確定認證方案，包括個(gè)人信息類(lèi)型和數量、涉及的個(gè)人信息處理活動(dòng)范圍、技術(shù)驗證機構信息等，并通知認證委托人。

4.2 技術(shù)驗證

技術(shù)驗證機構應當按照認證方案實(shí)施技術(shù)驗證，并向認證機構和認證委托人出具技術(shù)驗證報告。

4.3 現場(chǎng)審核

認證機構實(shí)施現場(chǎng)審核，并向認證委托人出具現場(chǎng)審核報告。

4.4 認證結果評價(jià)和批準

認證機構根據認證委托資料、技術(shù)驗證報告、現場(chǎng)審核報告和其他相關(guān)資料信息進(jìn)行綜合評價(jià)，作出認證決定。對符合認證要求的，頒發(fā)認證證書(shū)；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書(shū)面形式通知認證委托人終止認證。

如發(fā)現認證委托人、個(gè)人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實(shí)施的行為時(shí)，認證不予通過(guò)。

4.5 獲證后監督

4.5.1 監督的頻次

認證機構應當在認證有效期內，對獲得認證的個(gè)人信息處理者進(jìn)行持續監督，并合理確定監督頻次。

4.5.2 監督的內容

認證機構應當采取適當的方式實(shí)施獲證后監督，確保獲得認證的個(gè)人信息處理者持續符合認證要求。

4.5.3 獲證后監督結果的評價(jià)

認證機構對獲證后監督結論和其他相關(guān)資料信息進(jìn)行綜合評價(jià)，評價(jià)通過(guò)的，可繼續保持認證證書(shū)；不通過(guò)的，認證機構應當根據相應情形作出暫停直至撤銷(xiāo)認證證書(shū)的處理。

4.6 認證時(shí)限

認證機構應當對認證各環(huán)節的時(shí)限作出明確規定，并確保相關(guān)工作按時(shí)限要求完成。認證委托人應當對認證活動(dòng)予以積極配合。

5 認證證書(shū)和認證標志

5.1 認證證書(shū)

5.1.1 認證證書(shū)的保持

認證證書(shū)有效期為3年。在有效期內，通過(guò)認證機構的獲證后監督，保持認證證書(shū)的有效性。

證書(shū)到期需延續使用的，認證委托人應當在有效期屆滿(mǎn)前6個(gè)月內提出認證委托。認證機構應當采用獲證后監督的方式，對符合認證要求的委托換發(fā)新證書(shū)。

5.1.2 認證證書(shū)的變更

認證證書(shū)有效期內，若獲得認證的個(gè)人信息處理者名稱(chēng)、注冊地址，或認證要求、認證范圍等發(fā)生變化時(shí)，認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容，對變更委托資料進(jìn)行評價(jià)，確定是否可以批準變更。如需進(jìn)行技術(shù)驗證和/或現場(chǎng)審核，還應
當在批準變更前進(jìn)行技術(shù)驗證和/或現場(chǎng)審核。

5.1.3 認證證書(shū)的注銷(xiāo)、暫停和撤銷(xiāo)

當獲得認證的個(gè)人信息處理者不再符合認證要求時(shí)，認證機構應當及時(shí)對認證證書(shū)予以暫停直至撤銷(xiāo)。認證委托人在認證證書(shū)有效期內可申請認證證書(shū)暫停、注銷(xiāo)。

5.1.4 認證證書(shū)的公布

認證機構應當采用適當方式對外公布認證證書(shū)頒發(fā)、變更、暫停、注銷(xiāo)和撤銷(xiāo)等相關(guān)信息。

5.2 認證標志

不含跨境處理活動(dòng)的個(gè)人信息保護認證標志如下：

包含跨境處理活動(dòng)的個(gè)人信息保護認證標志如下：

“ABCD”代表認證機構識別信息。

5.3 認證證書(shū)和認證標志的使用

在認證證書(shū)有效期內，獲得認證的個(gè)人信息處理者應當按照有關(guān)規定在廣告等宣傳中正確使用認證證書(shū)和認證標志，不得對公眾產(chǎn)生誤導。

6 認證實(shí)施細則

認證機構應當依據本規則有關(guān)要求，細化認證實(shí)施程序，制定科學(xué)、合理、可操作的認證實(shí)施細則，并對外公布實(shí)施。

7 認證責任

認證機構應當對現場(chǎng)審核結論、認證結論負責。

技術(shù)驗證機構應當對技術(shù)驗證結論負責。

認證委托人應當對認證委托資料的真實(shí)性、合法性負責。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/doc/137738.html

本文關(guān)鍵詞： 實(shí)施, 個(gè)人信息, 保護, 認證, 國家市場(chǎng)監督管理總局, 國家互聯(lián)網(wǎng)信息辦公室, 公告, 2022年, 第37號