两部门决定实施个人信息保护认证

　　【合规资讯】

　　2022年11月18日，国家市场监督管理总局、国家互联网信息办公室发布公告，决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动，并按照《个人信息保护认证实施规则》实施认证。

　　《个人信息保护认证实施规则》规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求，认证依据为GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》，认证模式为技术验证+现场审核+获证后监督，认证实施程序包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督、认证时限等。（资讯来源：国家互联网信息办公室）

　　【合规提示】

　　建议个人信息处理者通过获得个人信息保护认证的方式提升个人信息保护能力，按认证机构要求提交真实、合法的认证委托资料，配合现场检查，不得实施欺骗、隐瞒信息、故意违反认证要求等严重影响认证的行为，若个人信息处理者暂不符合认证要求，应当积极配合认证机构进行整改。获得认证证书后，建议企业定期评估自身个人信息处理行为与《信息安全技术 个人信息安全规范》《个人信息跨境处理活动安全认证规范》合规要求间的差距，确保个人信息处理活动持续符合认证要求。在个人信息全生命周期的处理活动中落实授权同意、加密、匿名化、销毁、删除等保护措施，涉及委托处理、向第三方提供、跨境传输等处理活动时，建议企业与第三方签订书面协议，明确约定与个人信息保护相关的权利义务和责任后果，要求并监督个人信息接收方履行个人信息保护义务。

[ 期号：20221121-20221127]