个人信息保护认证实施规则.pdf

个人信息保护认证实施规则

国家市场监督管理总局国家互联网信息办公室关于实

施个人信息保护认证的公告

2022年第37号

为贯彻落实《中华人民共和国个人信息保护法》有关规

定，规范个人信息处理活动，促进个人信息合理利用，

根据《中华人民共和国认证认可条例》，国家市场监督

管理总局、国家互联网信息办公室决定实施个人信息保

护认证，鼓励个人信息处理者通过认证方式提升个人信

息保护能力。从事个人信息保护认证工作的认证机构应

当经批准后开展有关认证活动，并按照《个人信息保护

认证实施规则》（见附件）实施认证。

特此公告。

附件：个人信息保护认证实施规则

国家市场监督管理总局国家互联网信息办公室

2022年11月4日

（此件公开发布）

个人信息保护认证实施规则

1适用范围

本规则依据《中华人民共和国认证认可条例》制定，规

定了对个人信息处理者开展个人信息收集、存储、使

用、加工、传输、提供、公开、删除以及跨境等处理活

动进行认证的基本原则和要求。

2认证依据

个人信息处理者应当符合GB/T35273《信息安全技术

个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者，还应当符合

TC260-PG-20222A《个人信息跨境处理活动安全认证规

范》的要求。

上述标准、规范原则上应当执行最新版本。

3认证模式

个人信息保护认证的认证模式为：

技术验证+现场审核+获证后监督

4认证实施程序

4.1认证委托

认证机构应当明确认证委托资料要求，包括但不限于认

证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料，认

证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案，包括个

人信息类型和数量、涉及的个人信息处理活动范围、技

术验证机构信息等，并通知认证委托人。

4.2技术验证

技术验证机构应当按照认证方案实施技术验证，并向认

证机构和认证委托人出具技术验证报告。

4.3现场审核

认证机构实施现场审核，并向认证委托人出具现场审核

报告。

4.4认证结果评价和批准

认证机构根据认证委托资料、技术验证报告、现场审核

报告和其他相关资料信息进行综合评价，作出认证决

定。对符合认证要求的，颁发认证证书；对暂不符合认

证要求的，可要求认证委托人限期整改，整改后仍不符

合的，以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信

息、故意违反认证要求等严重影响认证实施的行为时，

认证不予通过。

4.5获证后监督

4.