个人信息保护认证实施!如何认证?有效期多久?两部门明确

2022-11-18 18:27:58 中新经纬 

中新经纬11月18日电 据“网信中国”微信号18日消息,国家市场监管总局、国家网信办发布关于实施个人信息保护认证的公告,决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。

两部门要求,从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(下称《规则》)实施认证。

明确认证模式

根据《规则》,个人信息保护认证的认证模式为:技术验证 + 现场审核 + 获证后监督

认证实施程序方面,《规则》明确,认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。

技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。认证机构实施现场审核,并向认证委托人出具现场审核报告

认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证

对于获证后监督,《规则》要求,认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。

证书有效期3年

《规则》明确,认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。

对于认证证书的变更,根据《规则》,认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。

当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。

《规则》还要求,认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。

在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。(中新经纬APP)

编辑:董文博

(责任编辑:周文凯 )
看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门阅读

    和讯特稿

      推荐阅读