关于开展个人信息保护认证及个人信息出境认证工作的通知

2026/1/14 14:21:29

各相关单位：

随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及《个人信息出境认证办法》等法律法规的相继出台与实施，我国已构建起全面、系统的个人信息保护法律体系。为切实推动相关法律法规落地，指导各类组织合规开展个人信息处理活动，特别是规范日益频繁的个人信息跨境流动，国家市场监督管理总局与国家互联网信息办公室联合发布《个人信息保护认证实施规则》。

开展个人信息保护认证（以下简称“PIP认证”），已成为组织依法履行保护义务、构建系统化个人信息保护能力、防控合规风险、提升市场信誉的重要途径。本认证旨在通过权威、规范的第三方评价与持续监督机制，将法律法规中的原则性要求，转化为组织内部可管理、可操作、可验证的管理体系与技术措施，为数字经济时代的依法经营、权益保障与数据安全有序流通奠定坚实基础。

一、认证对象与适用范围

本认证适用于在中华人民共和国境内开展个人信息处理活动的各类组织，即《中华人民共和国个人信息保护法》所定义的“个人信息处理者”。其适用范围全面覆盖个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节。

本认证体系涵盖以下两类场景：

个人信息保护认证（PIP认证）：适用于所有类型的个人信息处理活动。

个人信息出境认证：属于PIP认证框架下的专项要求。任何涉及向境外提供个人信息（即开展个人信息跨境处理活动）的组织，均须满足此项附加认证要求。

二、认证依据

认证审核严格遵循国家法律法规、国家标准及相关技术规范：

认证技术依据：

通用要求：所有申请组织均须符合 GB／T 35273《信息安全技术个人信息安全规范》的要求。

跨境专项要求：涉及个人信息出境的组织，还须符合 GB／T 46068—2025《数据安全技术个人信息跨境处理活动安全认证要求》的专门规定，包括对出境目的、双方责任、安全措施、个人信息主体权利保障等方面的具体要求。

三、认证模式与核心内容

（一）认证模式

采用“技术验证＋现场审核＋获证后监督”的模式，确保评估全面、客观，并实现持续符合性保障。

（二）认证审核核心内容

1. 围绕组织个人信息保护治理体系的建立与运行，重点审核以下方面：

2. 处理活动的合法合规性、目的明确性，以及公开告知、最小必要等原则的落实情况；

3. 个人信息全生命周期各环节（收集、存储、使用、加工、传输、提供、公开、删除等）的安全管理措施与技术保障能力；

4. 保障个人信息主体行使知情、决定、查阅、复制、更正、删除等权利的机制与渠道；

5. 如涉及跨境提供，还需审核个人信息保护影响评估开展情况、境外接收方保护能力、双方协议的法律约束力、跨境争议解决机制等专项内容。

四、认证实施程序

认证过程包含五个关键阶段，确保程序严谨、公正：

1. 认证委托：组织向具备资质的认证机构提交申请，机构审查后确定认证方案；

2. 技术验证：由独立技术机构对组织的安全技术措施进行测试与评估；

3. 现场审核：审核员赴现场通过访谈、查阅、观察等方式验证管理体系运行有效性；

4. 认证决定：认证机构综合评价，符合要求的颁发认证证书；

5. 获证后监督：在证书有效期内通过随机监督审核等方式确保持续符合认证要求。

五、认证成果与证书管理

认证证书：通过认证的组织将获颁“个人信息保护认证证书”，有效期3年。

认证标志：获证组织可按认证范围正确使用相应认证标志（分为“不含跨境”与“包含跨境”两类）。

证书维护：组织须按规定办理证书延续、变更等手续；如不再符合要求，证书可能被暂停或撤销。

六、认证价值与行动建议

通过个人信息保护认证，可为组织带来以下关键价值：

履行法定义务的“证明书”：系统化落实监管要求，证明已采取法律法规规定的“必要措施”；

建立信任的“通行证”：在跨境合作、云服务采购、融资上市等场景中，向各方展示可靠的数据保护能力；

提升治理水平的“助推器”：通过认证准备与持续改进，全面提升数据安全与风险管理能力。

建议涉及个人信息出境业务的网络平台、跨国企业、金融机构、汽车制造、医疗健康等领域组织，高度重视此项认证工作，主动依据相关标准开展自查与体系建设，尽快启动认证流程，为业务可持续、高质量发展筑牢合规基础。