市场监督总局、国家网信办发布《个人信息保护认证实施规则》
2022-11-19 09:2:25 Author: FreeBuf(查看原文) 阅读量:11 收藏

2022年11月18日,国家市场监督管理总局、国家互联网信息办公室发布《个人信息保护认证实施规则》(以下简称《规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。

《规则》共计7条,依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

《规则》指出,个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。上述标准、规范原则上应当执行最新版本。

个人信息保护认证的认证模式为:技术验证 + 现场审核 + 获证后监督。

在认证实施程序方面,《规则》指出认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。

技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。认证机构实施现场审核,并向认证委托人出具现场审核报告。

认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。

在认证证书方面,认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。

当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。

认证标志方面,不含跨境处理活动的个人信息保护认证标志如下:

包含跨境处理活动的个人信息保护认证标志如下:

“ABCD”代表认证机构识别信息。

点击阅读原文查看《个人信息保护认证实施规则》全文

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651204596&idx=1&sn=c21530f981409892c7083f5191b39104&chksm=bd1db97f8a6a306917a3ee44c7d7ad9a78f1b42b44f1991c1909e28762f8bbb4637dc71015b7#rd
如有侵权请联系:admin#unsafe.sh