個人信息保護認證實施規則

為貫徹落實《中華人民共和國個人信息保護法》有關規定，規範個人信息處理活動，促進個人信息合理利用，根據《中華人民共和國認證認可條例》，國家市場監督管理總局、國家網際網路信息辦公室決定實施個人信息保護認證，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。從事個人信息保護認證工作的認證機構應當經批准後開展有關認證活動，並按照《個人信息保護認證實施規則》實施認證。

本規則依據《中華人民共和國認證認可條例》制定，規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。

個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規範》的要求。

對於開展跨境處理活動的個人信息處理者，還應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規範》的要求。

上述標準、規範原則上應當執行最新版本。

個人信息保護認證的認證模式為：

技術驗證 + 現場審核 + 獲證後監督

認證機構應當明確認證委託資料要求，包括但不限於認證委託人基本材料、認證委託書、相關證明文檔等。

認證委託人應當按認證機構要求提交認證委託資料，認證機構在對認證委託資料審查後及時反饋是否受理。

認證機構應當根據認證委託資料確定認證方案，包括個人信息類型和數量、涉及的個人信息處理活動範圍、技術驗證機構信息等，並通知認證委託人。

技術驗證機構應當按照認證方案實施技術驗證，並向認證機構和認證委託人出具技術驗證報告。

認證機構實施現場審核，並向認證委託人出具現場審核報告。

認證機構根據認證委託資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發認證證書；對暫不符合認證要求的，可要求認證委託人限期整改，整改後仍不符合的，以書面形式通知認證委託人終止認證。

如發現認證委託人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。

4.5.1 監督的頻次

認證機構應當在認證有效期內，對獲得認證的個人信息處理者進行持續監督，併合理確定監督頻次。

4.5.2 監督的內容

認證機構應當採取適當的方式實施獲證後監督，確保獲得認證的個人信息處理者持續符合認證要求。

4.5.3 獲證後監督結果的評價

認證機構對獲證後監督結論和其他相關資料信息進行綜合評價，評價通過的，可繼續保持認證證書；不通過的，認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。

認證機構應當對認證各環節的時限作出明確規定，並確保相關工作按時限要求完成。認證委託人應當對認證活動予以積極配合。

5.1.1 認證證書的保持

認證證書有效期為3年。在有效期內，通過認證機構的獲證後監督，保持認證證書的有效性。

證書到期需延續使用的，認證委託人應當在有效期屆滿前6個月內提出認證委託。認證機構應當採用獲證後監督的方式，對符合認證要求的委託換髮新證書。

5.1.2 認證證書的變更

認證證書有效期內，若獲得認證的個人信息處理者名稱、註冊地址，或認證要求、認證範圍等發生變化時，認證委託人應當向認證機構提出變更委託。認證機構根據變更的內容，對變更委託資料進行評價，確定是否可以批准變更。如需進行技術驗證和/或現場審核，還應當在批准變更前進行技術驗證和/或現場審核。

5.1.3 認證證書的註銷、暫停和撤銷

當獲得認證的個人信息處理者不再符合認證要求時，認證機構應當及時對認證證書予以暫停直至撤銷。認證委託人在認證證書有效期內可申請認證證書暫停、註銷。

5.1.4 認證證書的公布

認證機構應當採用適當方式對外公布認證證書頒發、變更、暫停、註銷和撤銷等相關信息。

不含跨境處理活動的個人信息保護認證標誌如下：