标准依据:ISO/IEC 29151:2017(PII个人可识别信息保护实践指南),侧重全生命周期个人信息技术管控,适配《个人信息保护法》、GDPR合规投标使用。
一、硬性办理前置条件
1. 主体资质
1. 独立法人营业执照,经营正常、无严重失信、无经营异常;
2. 业务实际收集、存储、使用、传输、共享个人身份信息(姓名、手机号、身份证、人脸、住址、健康、金融信息等);
3. 行业配套许可(按需):APP/互联网业务需ICP、网络安全备案;医疗、金融持对应行业资质;
4. 近12个月无重大数据泄露、无网信/市监重大行政处罚、无隐私投诉群体性事件。
2. 体系核心门槛(取证强制要求)
1. 建议配套ISO27001信息安全体系:29151基于信息安全框架延伸隐私控制,多数认证机构要求同步搭建27001基础体系,联合审核更易通过;
2. 体系文件发布后连续真实运行满3个月,完整留存数据处理全流程记录,不接受临时补台账;
3. 完成1次全覆盖内部审核(覆盖所有业务、数据系统、部门)+ 总经理主持管理评审1次,所有不符合项闭环整改;
4. 必须完成隐私影响评估PIA、个人信息风险评估,出具专项风险报告与处置方案;
5. 人员要求:数据负责人、运维、产品、客服完成隐私保护专项培训,留存签到、考核记录。
3. 体系文件必备(三级文件)
1. 一级手册:PII保护管理手册、隐私方针、数据保护目标、体系范围;
2. 二级程序文件(核心):
个人信息收集同意管理、数据脱敏/加密、访问权限管控、第三方数据共享、数据出境、数据泄露应急、用户行权(删除/更正/撤回授权)、供应商数据管控、隐私风险评估、内审管理评审;
3. 三级SOP+表单:隐私政策模板、用户授权记录、访问日志、数据备份记录、泄露演练报告、PIA评估报告、供应商数据安全协议、内审检查表、整改单。

更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
二、全套申报材料清单
1. 基础证照:营业执照、法人身份证、ICP/网安备案、行业经营许可;
2. 组织架构、数据处理流程图、存储服务器/数据库清单;
3. 全套体系文件(手册、程序、SOP、适用性声明SOA);
4. 3个月连续运行证据:
用户授权回执、数据访问日志、脱敏操作记录、第三方数据合作协议、隐私培训记录、机房/系统巡检、数据备份台账;
5. 专项合规材料:隐私影响评估PIA报告、数据风险评估与处置计划、数据泄露应急演练记录;
6. 内审全套资料(计划、检查表、内审报告、整改闭环)、管理评审全套资料;
7. 法律法规清单(个保法、网安法、GDPR等)、合规性评价记录。
三、完整6步办理流程
阶段1:选CNCA备案认证机构
1. 机构要求:国家认监委备案,具备信息安全/隐私体系审核资质;
2. 两种模式:
自主办理:企业自有信息安全团队,自行编写文件、风险评估,仅付认证审核费;
咨询全包(主流):咨询方完成现状诊断、文件编写、PIA评估、内审辅导、陪同现场审核,通过率更高;
3. 锁定认证范围(APP运营、客户数据运维、电商、医疗、金融等)。
阶段2:搭建隐私保护体系
1. 差距分析,对照ISO29151 26大控制域、181项控制措施补全流程;
2. 编写隐私全套文件,完成隐私影响评估PIA、数据风险分级;
3. 落地技术管控:数据脱敏、加密、权限最小化、操作日志留存、泄露应急预案;
4. 文件发布,全公司落地执行,启动3个月试运行。
阶段3:3个月试运行+内审+管理评审
1. 完整留存用户授权、数据处理、访问、共享、应急全流程台账;
2. 内审全覆盖核查数据全生命周期环节,问题全部整改闭环;
3. 总经理组织管理评审,复盘隐私风险、客诉、数据安全事件、法规更新,输出改进计划。
阶段4:提交认证申请、机构初审
提交全部资质、体系文件、内审管评、PIA报告;机构核验运行时长、数据业务真实性,下发受理通知。
阶段5:两阶段现场审核
1. 一阶段(文件审核,0.5~1天,远程/现场)
核查手册、PIA风险评估、隐私流程、内审管评是否符合标准,出具文件整改项,整改完成才可进入二阶段;
规则:一、二阶段间隔不少于5个自然日。
2. 二阶段(现场全面审核,1~3天)
现场核查内容:
业务:APP/系统隐私弹窗、用户授权、行权通道(注销/删数据);
技术:数据库加密、脱敏、操作日志、服务器权限、备份恢复;
管理:第三方供应商数据协议、员工隐私培训、泄露演练记录;
合规:个保法落地、跨境数据管控、隐私投诉闭环;
3. 末次会议开具一般/严重不符合项,企业7~30天提交整改证据,审核员验证闭环;严重不符合需二次现场复核,拉长周期。
阶段6:认证评审、发证、证后维护
1. 整改全部验证通过,机构技术委员会终审,颁发带CNCA标识ISO29151证书,认监委官网可查询;
2. 证书有效期3年:
第1、2年:每年1次监督审核(抽查数据流程、日志、PIA更新);逾期未审证书暂停;
到期前3个月启动再认证,重新完整审核换发新证。
四、高频审核踩坑点
1. 体系运行不足3个月,数据日志、授权记录事后补做;
2. 未做隐私影响评估PIA、无完整数据风险报告;
3. 用户无清晰授权,不支持注销、删除个人信息等行权需求;
4. 第三方合作方无数据保密协议,未定期审计供应商;
5. 无数据泄露应急预案、从未开展泄露演练;
6. 数据明文存储,无脱敏、加密、访问日志管控;
7. 缺失内审/管理评审,整改无闭环;
8. 未同步更新隐私政策,不符合《个人信息保护法》最新要求。
五、适用行业
互联网APP、电商、SaaS软件、IT外包、金融保险、医疗体检、教育培训、人力资源、政务服务商、跨境贸易、物业、零售(所有收集手机号、身份证、人脸、家庭信息企业)。




