个人信息保护认证是证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。

适用范围

本规则依据《中华人民共和国认证认可条例》制定，规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

申请材料

1.申请方法律证明文件，包括营业执照/法人证书复印件、每个场所的法律地位证明文件，如房租合同或产权证明；

2.自评价表及相关证据材料

3.业务流程及描述；

3.1申请认证的业务流程及描述：

3.2如涉及跨境提供，跨境业务流程及描述：

4.组织机构图或职能表述；

4.1涉及认证对象的组织机构图或职能表述文件：

4.2如涉及跨境提供，跨境业务涉及的组织机构图或职能表述文件：

5.申请方数据目录；

请参考附录 C1 提供；

如涉及跨境提供，请参照 C2 提供；

6.其他补充资料

认证模式

个人信息保护认证的认证模式为：

技术验证 + 现场审核 + 获证后监督

实施程序

1.认证委托

认证机构应当明确认证委托资料要求，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。

认证委托人应当按认证机构要求提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理。

认证机构应当根据认证委托资料确定认证方案，包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等，并通知认证委托人。

2.技术验证

技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。

3.现场审核

认证机构实施现场审核，并向认证委托人出具现场审核报告。

4.认证结果评价和批准

认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求认证委托人限期整改，整改后仍不符合的，以书面形式通知认证委托人终止认证。

如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。 

5.获证后监督 

5.1监督的频次

认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。

5.2监督的内容认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。

5.3获证后监督结果的评价认证机构对获证后监督结论和其他相关资料信息进行综合评价，评价通过的，可继续保持认证证书；不通过的，认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 

6.认证时限

认证机构应当对认证各环节的时限作出明确规定，并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。

认证周期

一般认证周期为3-6个月。

1.认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。

证书到期需延续使用的，认证委托人应当在有效期届满前 6个月内提出认证委托。认证机构应当采用获证后监督的方式，对符合认证要求的委托换发新证书。

2.认证时间主要取决于审核时间及整改时间，上述办理周期供参考。