个人信息保护认证（PIP）

在《中华人民共和国个人信息保护法》全面施行的背景下，数据合规已成为企业生存与发展的生命线。为贯彻落实法律要求，国家互联网信息办公室与国家市场监督管理总局联合推出了 “个人信息保护认证” 。本认证是企业系统性证明其个人信息处理活动合法合规、安全可控的权威官方路径，是企业在数字经济浪潮中稳健前行的必备资质。

一、认证概览：权威性与独特性

个人信息保护认证是根据《个人信息保护法》第三十八条设立的国家级认证制度，由国家认监委批准的权威机构执行。其核心独特性在于 “一套体系，双重覆盖” ：

 境内合规认证：全面评估企业在境内的个人信息处理活动。

 跨境传输专项认证：针对个人信息出境场景，提供符合国际认可的合规解决方案，是满足《个人信息保护法》跨境传输三大合规路径（安全评估、标准合同、认证）之一的关键选择。

（一） 适用对象：谁需要关注PIP认证？

本认证适用于所有开展个人信息处理活动的组织（即“个人信息处理者”），尤其对以下企业至关重要：

 业务涉及个人信息跨境传输的跨国公司（如集团内数据共享、云端存储）。

 数据密集型行业企业：金融、保险、医疗健康、汽车制造、互联网平台、电商、航空旅旅等。

 寻求上市或融资的企业：认证可作为数据合规能力的强力证明，满足监管与投资方尽调要求。

 希望系统性提升数据治理水平、构建市场信任品牌的所有组织。

 注：依据《个人信息出境认证办法》

 第五条 个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：

 （一）非关键信息基础设施运营者；

 （二）自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息。

 前款所称向境外提供的个人信息，不包括重要数据。

二、认证核心要求：融合境内与跨境的全面评估

认证审核基于一套严谨的、融合了通用要求与专项要求的框架：

1. 通用基础要求（所有企业必达）：

符合 GB／T 35273《信息安全技术 个人信息安全规范》 。这是中国个人信息保护的基石标准，涵盖收集、存储、使用、共享、删除等全生命周期的保护义务，以及告知同意、主体权利响应等核心原则。

2. 跨境专项要求（涉及出境时加审）：

符合 《个人信息跨境处理活动安全认证规范》（ GB／T 46068）。

重点评估：法律约束力协议的签署、双方共同成立的境内责任机构、完善的个人信息保护影响评估（PIA）机制、保障境内外个人行使权利的渠道等。

三、认证流程详解

认证采用 “技术验证 ＋ 现场审核 ＋ 获证后监督” 模式。

一、认证程序：如何获得认证？

认证遵循严谨规范的流程，采用 “技术验证 ＋ 现场审核 ＋ 获证后监督” 的复合模式。

1. 认证委托：申请方向赛西认证提交申请材料。赛西认证审查后，双方协商确定认证范围（是否含跨境）、个人信息类型与规模，制定认证方案。

2. 技术验证：赛西认证委托独立的技术验证机构，验证组织技术措施（如加密、访问控制）的有效性，并出具技术验证报告。

3. 现场审核：赛西认证派出审核组，在组织办公与运营现场，通过访谈、查阅记录、观察流程等方式，全面、深入地评估组织管理制度（如政策、流程、培训）是否真正落地执行，出具现场审核报告。

4. 认证决定：赛西认证综合所有信息进行独立、公正的评价。符合要求的，颁发个人信息保护认证证书/个人信息出境认证证书；存在不符合项的，将给予限期整改机会。

5. 获证后监督：在3年证书有效期内，赛西认证将通过现场访问、文档审查等方式进行定期监督，确保持证组织持续符合要求。