上QQ阅读APP看书,第一时间看更新
1.3.4 《个人信息保护法》关于应急响应的要求
2021年8月20日,第十三届全国人大常委会第三十次会议通过了《个人信息保护法》。《个人信息保护法》作为首部专门规定个人信息保护的法律,成为个人信息保护领域的“基本法”。《个人信息保护法》全文共八章七十四条,其中对于制定并组织个人信息安全事件应急预案进行了明确要求。
【法律条文】
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【合规指引】
如前所述,在《网络安全法》《数据安全法》中已明确了制定应急预案为企事业单位必须履行的法律义务,在《个人信息保护法》中再次明确将制定并组织实施个人信息安全事件应急预案规定为个人信息处理者的义务。所不同的是,《个人信息保护法》中要求的是针对个人信息安全事件的专项预案。因此,涉及个人信息处理的企事业单位须落实合规要求,制定个人信息安全事件专项应急预案,并定期组织相关人员接受应急响应培训和开展应急演练,使相关人员熟悉其岗位职责和应急策略、规程,提高相关人员的应急处置能力。