2022年第37號(hào)
關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告
為貫徹落實(shí)《中華人民共和國(guó)個(gè)人信息保護(hù)法》有關(guān)規(guī)定,規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用,根據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室決定實(shí)施個(gè)人信息保護(hù)認(rèn)證,鼓勵(lì)個(gè)人信息處理者通過(guò)認(rèn)證方式提升個(gè)人信息保護(hù)能力。從事個(gè)人信息保護(hù)認(rèn)證工作的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)經(jīng)批準(zhǔn)后開(kāi)展有關(guān)認(rèn)證活動(dòng),并按照《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(見(jiàn)附件)實(shí)施認(rèn)證。
特此公告。
附件:個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則
國(guó)家市場(chǎng)監(jiān)督管理總局
國(guó)家互聯(lián)網(wǎng)信息辦公室
2022年11月4日
(此件公開(kāi)發(fā)布)
附件:個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則
個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則
1 適用范圍
本規(guī)則依據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定,規(guī)定了對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除以及跨境等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。
2 認(rèn)證依據(jù)
個(gè)人信息處理者應(yīng)當(dāng)符合GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求。
對(duì)于開(kāi)展跨境處理活動(dòng)的個(gè)人信息處理者,還應(yīng)當(dāng)符合TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》的要求。
上述標(biāo)準(zhǔn)、規(guī)范原則上應(yīng)當(dāng)執(zhí)行最新版本。
3 認(rèn)證模式
個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為:
技術(shù)驗(yàn)證 + 現(xiàn)場(chǎng)審核 + 獲證后監(jiān)督
4 認(rèn)證實(shí)施程序
4.1 認(rèn)證委托
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求,包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書(shū)、相關(guān)證明文檔等。
認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料,認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托資料審查后及時(shí)反饋是否受理。
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案,包括個(gè)人信息類(lèi)型和數(shù)量、涉及的個(gè)人信息處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等,并通知認(rèn)證委托人。
4.2 技術(shù)驗(yàn)證
技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證,并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告。
4.3 現(xiàn)場(chǎng)審核
認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核,并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。
4.4 認(rèn)證結(jié)果評(píng)價(jià)和批準(zhǔn)
認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià),作出認(rèn)證決定。對(duì)符合認(rèn)證要求的,頒發(fā)認(rèn)證證書(shū);對(duì)暫不符合認(rèn)證要求的,可要求認(rèn)證委托人限期整改,整改后仍不符合的,以書(shū)面形式通知認(rèn)證委托人終止認(rèn)證。
如發(fā)現(xiàn)認(rèn)證委托人、個(gè)人信息處理者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實(shí)施的行為時(shí),認(rèn)證不予通過(guò)。
4.5 獲證后監(jiān)督
4.5.1 監(jiān)督的頻次
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi),對(duì)獲得認(rèn)證的個(gè)人信息處理者進(jìn)行持續(xù)監(jiān)督,并合理確定監(jiān)督頻次。
4.5.2 監(jiān)督的內(nèi)容
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄?shí)施獲證后監(jiān)督,確保獲得認(rèn)證的個(gè)人信息處理者持續(xù)符合認(rèn)證要求。
4.5.3 獲證后監(jiān)督結(jié)果的評(píng)價(jià)
認(rèn)證機(jī)構(gòu)對(duì)獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià),評(píng)價(jià)通過(guò)的,可繼續(xù)保持認(rèn)證證書(shū);不通過(guò)的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷(xiāo)認(rèn)證證書(shū)的處理。
4.6 認(rèn)證時(shí)限
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)認(rèn)證各環(huán)節(jié)的時(shí)限作出明確規(guī)定,并確保相關(guān)工作按時(shí)限要求完成。認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證活動(dòng)予以積極配合。
5 認(rèn)證證書(shū)和認(rèn)證標(biāo)志
5.1 認(rèn)證證書(shū)
5.1.1 認(rèn)證證書(shū)的保持
認(rèn)證證書(shū)有效期為3年。在有效期內(nèi),通過(guò)認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督,保持認(rèn)證證書(shū)的有效性。
證書(shū)到期需延續(xù)使用的,認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式,對(duì)符合認(rèn)證要求的委托換發(fā)新證書(shū)。
5.1.2 認(rèn)證證書(shū)的變更
認(rèn)證證書(shū)有效期內(nèi),若獲得認(rèn)證的個(gè)人信息處理者名稱(chēng)、注冊(cè)地址,或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時(shí),認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機(jī)構(gòu)提出變更委托。認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容,對(duì)變更委托資料進(jìn)行評(píng)價(jià),確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核,還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核。
5.1.3 認(rèn)證證書(shū)的注銷(xiāo)、暫停和撤銷(xiāo)
當(dāng)獲得認(rèn)證的個(gè)人信息處理者不再符合認(rèn)證要求時(shí),認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書(shū)予以暫停直至撤銷(xiāo)。認(rèn)證委托人在認(rèn)證證書(shū)有效期內(nèi)可申請(qǐng)認(rèn)證證書(shū)暫停、注銷(xiāo)。
5.1.4 認(rèn)證證書(shū)的公布
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對(duì)外公布認(rèn)證證書(shū)頒發(fā)、變更、暫停、注銷(xiāo)和撤銷(xiāo)等相關(guān)信息。
5.2 認(rèn)證標(biāo)志
不含跨境處理活動(dòng)的個(gè)人信息保護(hù)認(rèn)證標(biāo)志如下:
包含跨境處理活動(dòng)的個(gè)人信息保護(hù)認(rèn)證標(biāo)志如下:
“ABCD”代表認(rèn)證機(jī)構(gòu)識(shí)別信息。
5.3 認(rèn)證證書(shū)和認(rèn)證標(biāo)志的使用
在認(rèn)證證書(shū)有效期內(nèi),獲得認(rèn)證的個(gè)人信息處理者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書(shū)和認(rèn)證標(biāo)志,不得對(duì)公眾產(chǎn)生誤導(dǎo)。
6 認(rèn)證實(shí)施細(xì)則
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求,細(xì)化認(rèn)證實(shí)施程序,制定科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則,并對(duì)外公布實(shí)施。
7 認(rèn)證責(zé)任
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)現(xiàn)場(chǎng)審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。
技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)技術(shù)驗(yàn)證結(jié)論負(fù)責(zé)。
認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證委托資料的真實(shí)性、合法性負(fù)責(zé)。