两部门:决定实施个人信息保护认证

2022-11-18 22:25:27 来源: 网信中国
导语:

两部门:决定实施个人信息保护认证。认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。

关于实施个人信息保护认证的公告

为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。

特此公告。

附件:个人信息保护认证实施规则

国家市场监督管理总局 国家互联网信息办公室

2022年11月4日

(此件公开发布)

个人信息保护认证实施规则

1适用范围

本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

2认证依据

个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。

上述标准、规范原则上应当执行最新版本。

3认证模式

个人信息保护认证的认证模式为:

技术验证 + 现场审核 + 获证后监督

4认证实施程序

4.1认证委托

认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。

4.2技术验证

技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。

4.3现场审核

认证机构实施现场审核,并向认证委托人出具现场审核报告。

4.4认证结果评价和批准

认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。

4.5获证后监督

4.5.1监督的频次

认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。

4.5.2监督的内容

认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。

4.5.3获证后监督结果的评价

认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。

4.6认证时限

认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。

5认证证书和认证标志

5.1认证证书

5.1.1认证证书的保持

认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。

证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。

5.1.2认证证书的变更

认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。

5.1.3认证证书的注销、暂停和撤销

当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。

5.1.4认证证书的公布

认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。

5.2认证标志

不含跨境处理活动的个人信息保护认证标志如下:

包含跨境处理活动的个人信息保护认证标志如下:

“ABCD”代表认证机构识别信息。

5.3认证证书和认证标志的使用

在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。

6认证实施细则

认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。

7认证责任

认证机构应当对现场审核结论、认证结论负责。

技术验证机构应当对技术验证结论负责。

认证委托人应当对认证委托资料的真实性、合法性负责。

(责任编辑:张奕)
相关文章
注意!你的手机可能在泄密!一文教你防范化解智能终端窃密泄密风险

请注意,你的手机可能在泄密?!记者从国家安全部了解到,当前,智能终端已经深深融入生活、学习、工作的各个场景,在带来惊喜和便利的同时,也暴露出一系列风险隐患,如不注意防范,甚至可能危害国家安全。

666 人浏览过
电商圈炸了!淘宝拼多多京东等电商平台全面取消仅退款!

这几日,电商圈算是开锅了!据媒体报道,拼多多、淘宝、抖音、快手、京东等多个电商平台将全面取消 “仅退款”,消费者收到货后的退款不退货申请,将由商家自主处理。

954 人浏览过
数十款App违法违规收集使用个人信息 你中招了吗

近日,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,67款移动应用存在违法违规收集使用个人信息情况,现通报如下。

746 人浏览过
在校大学生滥用AI批量发骚扰短信 陷入了网络犯罪

当下,在互联网高度发展,大学生作为网络世界的活跃群体,本应是网络文明的传播者,然而,却有极个别同学因法律意识淡薄,好奇心越过了法律红线,把AI成为了犯罪的“外挂”,陷入了网络犯罪的深渊。

710 人浏览过