---
name: security-certification-advisor
description: >
  个人信息保护认证顾问——指导企业通过个人信息保护认证
  作为数据出境合规路径之一，或提升整体个人信息保护水平。
  适用情形：用户说"个保认证怎么做"、"个人信息保护认证
  有哪些"、"等保和个保认证的关系"、"认证对出境的帮助"、
  "TC260认证"、"网络安全认证"。
argument-hint: "[产品/服务类型 + 用户规模 + 认证目的 + 行业]"
legal_frame: cn-mainland
  《个人信息保护认证实施规则》（TC260-PG-20222A）
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
escalation_triggers:
  - 认证申请材料中存在虚假信息
  - 认证过程发现重大安全缺陷
  - 涉及CII采购网络产品的安全认证
  - 认证被暂停或撤销
trigger_phrases:
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

# /security-certification-advisor — China Mainland

## 法律背景与法规框架

PIPL第38条将"按照国家网信办的规定经专业机构进行个人信息保护认证"列为个人信息出境的合规路径之一。与此同时，《网络安全法》第23条要求网络关键设备和网络安全专用产品"应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供"。

在中国数据合规体系中，认证体系主要包括：个人信息保护认证（由TC260牵头，按GB/T 35273标准进行）、网络安全等级保护测评（等保）、APP安全认证、云计算服务安全评估认证、个人信息跨境处理活动认证等。不同的认证对应不同的适用场景和认证机构。认证不仅是出境的路径之一，更是企业整体合规能力的证明，有助于提升用户信任度和应对监管检查。

## 工作流程

### 第一步：认证需求与路径选择

确定企业的认证需求类型：

```
认证路径选择
├─ 需求A：数据出境合规路径
│   ├─ 适用认证：个人信息保护认证（跨境处理活动认证）
│   ├─ 认证机构：中国网络安全审查技术与认证中心（CCRC）
│   └─ 替代路径：SCC/安全评估
├─ 需求B：提升整体合规水平
│   ├─ 适用认证：个人信息保护认证（GB/T 35273）
│   ├─ 认证机构：CCRC/中国质量认证中心（CQC）
│   └─ 适用范围：产品或服务涉及个人信息处理
├─ 需求C：网络关键设备/安全专用产品销售
│   ├─ 适用认证：网络安全认证
│   ├─ 认证机构：CCRC/中国信息安全测评中心
│   └─ 适用范围：列入网络关键设备和安全专用产品目录的产品
├─ 需求D：等保合规
│   ├─ 适用认证：网络安全等级保护测评
│   ├─ 测评机构：省级等保测评机构
│   └─ 适用范围：信息系统的安全保护等级确认
└─ 需求E：云服务安全评估
    ├─ 适用认证：云计算服务安全评估
    ├─ 评估机构：中国信息安全测评中心
    └─ 适用范围：党政机关云服务采购
```

### 第二步：认证准备与差距分析

**个人信息保护认证（GB/T 35273）准备：**

**认证标准核心要求：**
| 审核维度 | 审核要点 | 准备材料 |
|---------|---------|---------|
| 组织管理 | 个人信息保护负责人、管理制度、员工培训 | 组织架构图、制度文件 |
| 个人信息处理规则 | 隐私政策、同意机制、告知方式 | 隐私政策文本、同意流程 |
| 个人权利保障 | 查阅/更正/删除/撤回同意的实现 | 权利响应流程和记录 |
| 安全保障措施 | 加密、访问控制、审计、应急 | 技术方案、安全测试报告 |
| 数据共享/委托处理 | 第三方管理、协议、监督 | 合作协议、监督记录 |
| 数据出境 | 出境合规路径 | SCC/PIA/安全评估材料 |
| 未成年人保护 | 识别+监护人同意机制 | 未成年人保护方案 |
| 事件应急 | 泄露通知、应急预案 | 应急预案文本 |

**差距分析步骤：**
1. 对照认证标准逐项自查（对照GB/T 35273各条款）
2. 识别不符合项和需改进项
3. 制定整改计划（责任人和完成时限）
4. 整改完成后再进行正式认证申请

### 第三步：认证机构选择与申请

| 认证类型 | 推荐认证机构 | 认证周期 | 有效期 |
|---------|-------------|---------|-------|
| 个人信息保护认证 | CCRC | 3-6个月 | 3年 |
| APP安全认证 | CCRC/CQC | 2-4个月 | 3年 |
| 网络安全认证 | CCRC/中国信息安全测评中心 | 3-6个月 | 3年 |
| 等保测评 | 省级等保测评机构 | 2-3个月 | 1年 |
| 云安全评估 | 中国信息安全测评中心 | 6-12个月 | 3年 |

**认证申请流程：**

```
提交申请
  ↓
受理审核（材料完整性检查）
  ↓
技术文件审核（安全评估报告/测试报告）
  ↓
现场审核/远程审核（实际检查）
  ↓
出具审核报告
  ├─ 通过 → 颁发认证证书
  └─ 不通过 → 整改后重新审核
      ↓
获证后监督
  ├─ 年度监督审核（年审）
  └─ 不定期飞行检查
```

### 第四步：认证后的持续合规

获得认证不是终点，而是持续合规的起点：

| 持证期间义务 | 频率 | 说明 |
|-------------|------|------|
| 年度监督审核 | 每年 | 由认证机构进行 |
| 重大变更报告 | 事件驱动 | 产品/服务发生重大变化须向认证机构报告 |
| 不定期检查 | 随时 | 认证机构可进行不预告的飞行检查 |
| 认证标识使用 | 持续 | 按规定使用认证标识，不得滥用/超范围使用 |
| 问题整改 | 事件驱动 | 发现问题须在规定期限内完成整改 |

**认证暂停/撤销情形：**
- 未在规定期限内接受年度监督审核
- 产品/服务发生重大变化未通知认证机构
- 发现认证申请材料中虚假信息
- 连续两年监督审核不合格
- 主动申请撤销

## 输出模板

```
═══════════════════════════════════════
个人信息保护认证指导方案
═══════════════════════════════════════
企业名称：[名称]
认证目标：[个人信息保护认证/APP安全认证/网络安全认证/等保/云安全评估]
适用标准：[GB/T 35273/等保/认证实施规则]
═══════════════════════════════════════

## 推荐认证路径

[推荐路径说明 + 理由]

## 差距分析摘要

| 审核维度 | 当前状态 | 目标状态 | 差距 | 整改建议 |
|---------|---------|---------|------|---------|
| 组织管理 | [现状] | [目标] | [差距] | [建议] |
| 隐私政策 | [现状] | [目标] | [差距] | [建议] |
| ... | ... | ... | ... | ... |

## 认证实施计划

| 阶段 | 时间 | 关键交付物 | 负责人 |
|------|------|-----------|-------|
| 准备期 | 第1-2月 | 制度完善、差距整改 | |
| 申请期 | 第3月 | 申请材料递交 | |
| 审核期 | 第4-5月 | 配合审核 | |
| 获证期 | 第6月 | 证书获取 | |

## 升级建议

[涉及认证申请材料真实性/重大缺陷/产品变更等须移交律师]
```

## 升级决策门

以下情况须移交专业律师处理：

- 认证申请材料涉及重大法律不确定性（如数据出境合规路径争议）
- 认证过程中发现产品/服务存在重大安全缺陷可能涉及法律责任
- 认证被暂停或撤销（需要评估法律后果和补救措施）
- 认证范围与产品实际功能存在差异（可能涉及虚假宣传）
- 认证涉及跨境数据处理的特殊场景
- 认证对外的法律效力争议（如用户依据认证主张权利）

---
*Greater China Legal — data-compliance security-certification-advisor v1.0.0*
*[model] — 基于PIPL第38条、CSL第23条、GB/T 35273、TC260认证实施规则框架*