南都訊 記者蔣琳 11月18日,國家市場監督管理總局、國家網際網路資訊辦公室釋出公告,決定實施個人資訊保護認證并釋出《個人資訊保護認證明施規則》(下稱《規則》),鼓勵個人資訊處理者通過認證方式提升個人資訊保護能力。
南都記者梳理發現,除了此次的個人資訊保護認證,兩部門已經聯合開展了兩個資料安全相關的認證工作——2019年3月,兩部門曾發文宣布聯合開展國内第一個由國家推行的App安全認證制度;今年6月9日,兩部門又釋出《關于開展資料安全管理認證工作的公告》。
據了解,《規則》 規定了對個人資訊處理者開展個人資訊收集、存儲、使用、加工、傳輸、提供、公開、删除以及跨境等處理活動進行認證的基本原則和要求,認證模式為技術驗證+現場稽核+獲證後監督。
不過,對于認證機構應以什麼頻次對獲得認證的個人信處理者進行持續監督、采取何種方式實施獲證後監督以及認證各環節的時限,《規則》未做出進一步規定。
根據《規則》,認證證書有效期為3年。如需延續使用,認證委托人應當在有效期屆滿前6個月内提出認證委托。認證機構應當采用獲證後監督的方式,對符合認證要求的委托換發新證書。
值得注意的是,不含跨境處理活動的個人資訊保護認證标志和包含跨境處理活動的個人資訊保護認證标志會有細微不同——相比前者,後者增加“CB”兩個字母。
《個人資訊保護認證明施規則》全文
1 适用範圍
本規則依據《中華人民共和國認證認可條例》制定,規定了對個人資訊處理者開展個人資訊收集、存儲、使用、加工、傳輸、提供、公開、删除以及跨境等處理活動進行認證的基本原則和要求。
2 認證依據
個人資訊處理者應當符合GB/T 35273《資訊安全技術 個人資訊安全規範》的要求。
對于開展跨境處理活動的個人資訊處理者,還應當符合TC260-PG-20222A《個人資訊跨境處理活動安全認證規範》的要求。上述标準、規範原則上應當執行最新版本。
3 認證模式
個人資訊保護認證的認證模式為:技術驗證 + 現場稽核 + 獲證後監督
4 認證明施程式
4.1 認證委托
認證機構應當明确認證委托資料要求,包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。
認證委托人應當按認證機構要求送出認證委托資料,認證機構在對認證委托資料審查後及時回報是否受理。
認證機構應當根據認證委托資料确定認證方案,包括個人資訊類型和數量、涉及的個人資訊處理活動範圍、技術驗證機構資訊等,并通知認證委托人。
4.2 技術驗證
技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和認證委托人出具技術驗證報告。
4.3 現場稽核
認證機構實施現場稽核,并向認證委托人出具現場稽核報告。
4.4 認證結果評價和準許
認證機構根據認證委托資料、技術驗證報告、現場稽核報告和其他相關資料資訊進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書;對暫不符合認證要求的,可要求認證委托人限期整改,整改後仍不符合的,以書面形式通知認證委托人終止認證。
如發現認證委托人、個人資訊處理者存在欺騙、隐瞞資訊、故意違反認證要求等嚴重影響認證明施的行為時,認證不予通過。
4.5 獲證後監督
4.5.1 監督的頻次
認證機構應當在認證有效期内,對獲得認證的個人資訊處理者進行持續監督,并合理确定監督頻次。
4.5.2 監督的内容
認證機構應當采取适當的方式實施獲證後監督,確定獲得認證的個人資訊處理者持續符合認證要求。
4.5.3 獲證後監督結果的評價
認證機構對獲證後監督結論和其他相關資料資訊進行綜合評價,評價通過的,可繼續保持認證證書;不通過的,認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。
4.6 認證時限
認證機構應當對認證各環節的時限作出明确規定,并確定相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。
5 認證證書和認證标志
5.1 認證證書
5.1.1 認證證書的保持
認證證書有效期為3年。在有效期内,通過認證機構的獲證後監督,保持認證證書的有效性。
證書到期需延續使用的,認證委托人應當在有效期屆滿前6個月内提出認證委托。認證機構應當采用獲證後監督的方式,對符合認證要求的委托換發新證書。
5.1.2 認證證書的變更
認證證書有效期内,若獲得認證的個人資訊處理者名稱、注冊位址,或認證要求、認證範圍等發生變化時,認證委托人應當向認證機構提出變更委托。認證機構根據變更的内容,對變更委托資料進行評價,确定是否可以準許變更。如需進行技術驗證和/或現場稽核,還應當在準許變更前進行技術驗證和/或現場稽核。
5.1.3 認證證書的登出、暫停和撤銷
當獲得認證的個人資訊處理者不再符合認證要求時,認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期内可申請認證證書暫停、登出。
5.1.4 認證證書的公布
認證機構應當采用适當方式對外公布認證證書頒發、變更、暫停、登出和撤銷等相關資訊。
5.2 認證标志
不含跨境處理活動的個人資訊保護認證标志如下:
包含跨境處理活動的個人資訊保護認證标志如下:
“ABCD”代表認證機構識别資訊。
5.3 認證證書和認證标志的使用
在認證證書有效期内,獲得認證的個人資訊處理者應當按照有關規定在廣告等宣傳中正确使用認證證書和認證标志,不得對公衆産生誤導。
6 認證明施細則
認證機構應當依據本規則有關要求,細化認證明施程式,制定科學、合理、可操作的認證明施細則,并對外公布實施。
7 認證責任
認證機構應當對現場稽核結論、認證結論負責。技術驗證機構應當對技術驗證結論負責。認證委托人應當對認證委托資料的真實性、合法性負責。