个人信息保护认证适用于在中华人民共和国境内开展个人信息处理活动的各类组织,即《中华人民共和国个人信息保护法》所定义的“个人信息处理者”。其适用范围全面覆盖个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节。
认证体系涵盖以下两类场景:
个人信息保护认证(PIP认证):适用于所有类型的个人信息处理活动。
个人信息出境认证:属于PIP认证框架下的专项要求。任何涉及向境外提供个人信息(即开展个人信息跨境处理活动)的组织,均须满足此项附加认证要求。
认证技术依据
认证审核严格遵循国家法律法规、国家标准及相关技术规范:
通用要求:所有申请组织均须符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求。
跨境专项要求:涉及个人信息出境的组织,还须符合 GB/T 46068—2025《数据安全技术 个人信息跨境处理活动安全认证要求》的专门规定,包括对出境目的、双方责任、安全措施、个人信息主体权利保障等方面的具体要求。
发证机构
早期主要由原CCRC开展此项认证工作。随着制度完善,目前已有三家机构通过国家备案,具备发证资质。
2025年12月30日,国家互联网信息办公室发布公告,明确以下3家机构通过个人信息出境认证备案审核:
中国网络安全审查认证和市场监管大数据中心:原中国网络安全审查技术与认证中心(CCRC),承担网络安全审查技术支撑职能。
中央网信办(国家网信办)数据与技术保障中心
北京赛西认证有限责任公司:隶属于中国电子技术标准化研究院
证书介绍
认证证书有效期3年。
认证标志:获证组织可按认证范围正确使用相应认证标志(分为“不含跨境”与“包含跨境”两类)。
证书维护:组织须按规定办理证书延续、变更等手续;如不再符合要求,证书可能被暂停或撤销。
到期需延续使用的,应在有效期届满前6个月提出申请。
认证过程包含五个关键阶段,确保程序严谨、公正:
认证委托:组织向具备资质的认证机构提交申请,机构审查后确定认证方案;
技术验证:由独立技术机构对组织的安全技术措施进行测试与评估;
现场审核:审核员赴现场通过访谈、查阅、观察等方式验证管理体系运行有效性;
认证决定:认证机构综合评价,符合要求的颁发认证证书;
获证后监督:在证书有效期内通过随机监督审核等方式确保持续符合认证要求。
龙域认证致力于提供高效、快捷的服务,助您轻松应对业务挑战。若您对“IT专业资质”或个人信息保护认证感兴趣,或有任何疑问,欢迎随时联系龙域认证团队。我们将为您详细介绍服务内容并解答疑问。
热门跟贴