關于實施個人信息保護認證的公告
爲貫徹落實《中華人民共和國(guó)個人信息保護法》有關規定,規範個人信息處理活動,促進(jìn)個人信息合理利用,根據《中華人民共和國(guó)認證認可條例》,國(guó)家市場監督管理總局、國(guó)家互聯網信息辦公室決定實施個人信息保護認證,鼓勵個人信息處理者通過(guò)認證方式提升個人信息保護能(néng)力。從事(shì)個人信息保護認證工作的認證機構應當經(jīng)批準後(hòu)開(kāi)展有關認證活動,并按照《個人信息保護認證實施規則》(見附件)實施認證。國(guó)家市場監督管理總局 國(guó)家互聯網信息辦公室本規則依據《中華人民共和國(guó)認證認可條例》制定,規定了對(duì)個人信息處理者開(kāi)展個人信息收集、存儲、使用、加工、傳輸、提供、公開(kāi)、删除以及跨境等處理活動進(jìn)行認證的基本原則和要求。個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規範》的要求。對(duì)于開(kāi)展跨境處理活動的個人信息處理者,還(hái)應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規範》的要求。認證機構應當明确認證委托資料要求,包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。認證委托人應當按認證機構要求提交認證委托資料,認證機構在對(duì)認證委托資料審查後(hòu)及時反饋是否受理。認證機構應當根據認證委托資料确定認證方案,包括個人信息類型和數量、涉及的個人信息處理活動範圍、技術驗證機構信息等,并通知認證委托人。技術驗證機構應當按照認證方案實施技術驗證,并向(xiàng)認證機構和認證委托人出具技術驗證報告。認證機構實施現場審核,并向(xiàng)認證委托人出具現場審核報告。認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進(jìn)行綜合評價,作出認證決定。對(duì)符合認證要求的,頒發(fā)認證證書;對(duì)暫不符合認證要求的,可要求認證委托人限期整改,整改後(hòu)仍不符合的,以書面(miàn)形式通知認證委托人終止認證。如發(fā)現認證委托人、個人信息處理者存在欺騙、隐瞞信息、故意違反認證要求等嚴重影響認證實施的行爲時,認證不予通過(guò)。認證機構應當在認證有效期内,對(duì)獲得認證的個人信息處理者進(jìn)行持續監督,并合理确定監督頻次。認證機構應當采取适當的方式實施獲證後(hòu)監督,确保獲得認證的個人信息處理者持續符合認證要求。認證機構對(duì)獲證後(hòu)監督結論和其他相關資料信息進(jìn)行綜合評價,評價通過(guò)的,可繼續保持認證證書;不通過(guò)的,認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。認證機構應當對(duì)認證各環節的時限作出明确規定,并确保相關工作按時限要求完成(chéng)。認證委托人應當對(duì)認證活動予以積極配合。認證證書有效期爲3年。在有效期内,通過(guò)認證機構的獲證後(hòu)監督,保持認證證書的有效性。證書到期需延續使用的,認證委托人應當在有效期屆滿前6個月内提出認證委托。認證機構應當采用獲證後(hòu)監督的方式,對(duì)符合認證要求的委托換發(fā)新證書。認證證書有效期内,若獲得認證的個人信息處理者名稱、注冊地址,或認證要求、認證範圍等發(fā)生變化時,認證委托人應當向(xiàng)認證機構提出變更委托。認證機構根據變更的内容,對(duì)變更委托資料進(jìn)行評價,确定是否可以批準變更。如需進(jìn)行技術驗證和/或現場審核,還(hái)應當在批準變更前進(jìn)行技術驗證和/或現場審核。當獲得認證的個人信息處理者不再符合認證要求時,認證機構應當及時對(duì)認證證書予以暫停直至撤銷。認證委托人在認證證書有效期内可申請認證證書暫停、注銷。認證機構應當采用适當方式對(duì)外公布認證證書頒發(fā)、變更、暫停、注銷和撤銷等相關信息。在認證證書有效期内,獲得認證的個人信息處理者應當按照有關規定在廣告等宣傳中正确使用認證證書和認證标志,不得對(duì)公衆産生誤導。認證機構應當依據本規則有關要求,細化認證實施程序,制定科學(xué)、合理、可操作的認證實施細則,并對(duì)外公布實施。認證機構應當對(duì)現場審核結論、認證結論負責。
技術驗證機構應當對(duì)技術驗證結論負責。
認證委托人應當對(duì)認證委托資料的真實性、合法性負責。
