“

为了保障个人信息权益，维护信息安全，《个人信息保护法》通过处理规则和专门义务的方式落实个人信息处理者的责任。《个人信息保护法》在三次审议的过程中经过多次修改，其中关于个人信息保护的措施也更加落地和细化，具备实操性和现实性。

本文对第五章做出阐述，本章主要规定了个人信息处理者的一些常规义务，要求个人信息处理者应从组织架构、管理制度、操作规程、分类分级、安全保障措施、合法操作权限、安全事件应急预案、安全教育培训等多方面综合考量建立以个人信息为核心的安全防护体系。

”

法条精讲：本条明确了个人信息处理者的安全保护义务。

结合《个人信息保护法》第4条和本条第（一）项，管理制度和操作规程至少应覆盖个人信息全部处理流程。

《个人信息保护法》第（二）项就个人信息分类管理而言，常见的方式是对用户个人信息按照内容、属性进行分类，需要注意的是个人信息包含一般个人信息和敏感个人信息，需要对其作出区分。

《个人信息保护法》第（三）项应根据个人信息分级分类的结果，采取不同的安全技术措施，对于敏感个人信息，建议采取更为严格的安全技术手段如提升加密等级等措施，以降低个人信息可能面临的风险。

《个人信息保护法》第（四）项的内部操作权限配置，应符合最小授权的访问控制策略。同时，明确要求个人信息处理者应定期对从业人员进行安全教育和培训。

从业人员应当包含企业全体员工，中高层高度重视、基层员工严格践行，对个人信息保护的相关法律法规规定、内部制度、操作流程等，特别是最新出台的规定和内部制度流程等方面的重要修订应在员工入职阶段就强化个人信息安全意识，后续还应定期开展个人信息安全教育和培训。

《个人信息保护法》第（五）项明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务，配合定期组织内部人员开展相关应急响应培训和应急演练。

法条精讲：本条明确了设置个人信息保护负责人的要求和履职信息公开及备案要求。

《个人信息保护法》下的个人信息保护负责人与GDPR的数据保护专员（DPO）存在一定的区别。就本条而言，以个人信息处理者处理个人信息的数量作为划分门槛，仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定的个人信息保护负责人的义务，并非所有的个人信息处理者都等同于数据保护专员。

个人信息保护负责人的职责在于对个人信息处理活动以及采取的保护措施等进行监督。而对于个人信息保护负责人的具体职责划分、条件以及责任承担等问题，有待实施细则进一步规范。

同时，个人信息处理者应当公开其姓名与联系方式等，并将相关信息报送相关监管部门，以便定责到人，便利监督投诉。

法条精讲：针对中国境外个人信息处理者活动的监管沟通路径，《个人信息保护法》要求设立境内专门机构或指定境内代表，并要求履行沟通渠道的报送义务。

该项规定补足了一直以来针对境外机构监管的缺口，与《个人信息保护法》的域外管辖扩展落地直接呼应，也是与欧盟GDPR等域外个人信息保护法的机制保持了一致性的对等原则。

法条精讲：本条明确了个人信息处理者的个人信息安全审计要求。

本条仅对个人信息处理者的安全审计要求进行了原则性规定，要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定，以降低信息泄露的风险。虽然定期合规审计在一定程度上增加了企业的运营成本，但是从长远来看，定期审计有助于企业减少诉累和法律风险。

对于合规审计的具体内容、审查期限等具体事项，参考《信息安全技术个人信息安全规范》第11.7条，应对个人信息保护政策、相关规程、安全措施的有效性进行审计，并及时对审计过程中发现的违规情况及时处理，并按照相关规定留存审计记录。

法条精讲：本条明确了个人信息处理者的事前影响评估义务。

《个人信息保护法》规定的事前影响评估义务，参考《信息安全技术个人信息安全规范》第3.9条对于个人信息安全影响评估的定义，即针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

本条规定了需要进行事前风险评估的个人信息处理活动的类别，为个人信息处理者开展个人信息事前风险评估指明了方向。

法条精讲：本条明确了个人信息保护影响评估的内容。

《个人信息保护法》第55条规定了个人信息保护影响评估的原则性规定及开展评估的信息类别，本条则在前条基础上，明确了个人信息保护影响评估的内容。

对比《信息安全技术个人信息安全规范》第11.4条的开展个人信息安全影响评估规定，二者有一定相似，都对个人信息安全影响评估的具体内容进行了规范，不过本条规定语言更为简洁，偏向于原则性规定。

同时，本条第二款进一步对于报告和处理情况的保存期限做出约定，要求处理者保存三年。

法条精讲：本条明确了发现个人信息泄露时个人信息处理者的补救和通知义务。

一旦个人信息处理者发现了该等信息泄露的情形，便应当立即采取补救措施，主要将泄露信息的情况包括泄露的原因、涉及的信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及联系方式通知履行个人信息保护职责的部门和个人。

同时，《个人信息保护法》亦规定了可以不通知个人的例外情形，即个人信息处理者采取措施能够有效避免信息泄露造成损害的，以及该种情形下的例外即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的，个人信息保护部门有权要求个人信息处理者通知个人。

法条精讲：本条明确了超大型互联网平台的个人信息保护义务。

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，本条在《二审稿》的基础上新增了互联网平台应当制定平台规则，并明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。

互联网平台场景下可能涉及多方义务主体，因此对于个人信息的收集也可能包括平台内经营者、第三方SDK提供者等，同时鉴于实践中用户通常感知其个人信息的收集、使用主体为平台方，提供个人信息也可能系基于对头部互联网平台本身的信任，因此对于几方的平台方进行监管约束，赋予更多的社会责任与义务。

法条精讲：本条规定了委托处理者的安全义务，其应履行的义务包括不限于《个人信息保护法》第五章的规定以保障个人信息安全，同时新增了受托处理者有义务协助个人信息处理者依法履行相关义务。

如果受托人未能按照委托要求处理个人信息或未能有效履行个人信息安全保护责任的，可参照《信息安全技术个人信息安全规范》第9.1条，个人信息处理者（委托人）具有监督义务，一旦发现应立即要求受托人停止相关行为并采取补救措施，必要时应解除委托关系。

相关文章链接：

《逐条精解：<个人信息保护法>1-12条》         

《逐条精解：<个人信息保护法>13-27条》

《逐条精解：<个人信息保护法>38-43条》

《逐条精解：<个人信息保护法>44条-50条》

- End -

# 新空小会 #

12月16日（星期四)晚7点，新空小会邀请到浙江律匠律师事务所副主任蔡维专，和我们分享“专业的三重境界：如何在技术上把案件做到极致”，直播不可回放，欢迎扫码预约。

↓↓↓

# 推荐阅读 #