一些国际组织的规定以及许多国家和地区的个人信息保护立法均将合规和信息安全保障义务,作为个人信息处理者的基本义务,强调个人信息处理者应基于风险全过程管理的思路,采取必要的技术措施和组织措施。(1)经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定:个人信息应受到合理的安全保护,以防止丢失或未经授权的访问、损毁、使用、修改或泄露等风险。信息控制者有责任遵守个人信息收集、使用的基本原则并采取相应的措施。(2)亚洲太平洋经济合作组织(APEC)《隐私框架》规定,个人信息控制者应采取适当的安全措施防止发生诸如丢失或未经授权的访问、损毁、使用、修改或泄露、滥用等风险;所采取的安全措施应与损害发生的概率和严重程度、信息的敏感程度和保存环境相适应,并对保护措施进行定期审查和评估。(3)欧盟《通用数据保护条例》规定,数据处理者应当采取适当的技术措施和组织措施,确保数据安全,防止未经授权的访问,非法处理,或者数据的丢失、毁损和破坏。(4)国际标准化组织(ISO)和国际电工委员会(IEC)制定的《ISO29100隐私框架》提出,信息控制者应使个人可识别信息处于其控制下,在运营、系统设计和策略三个层面采取适当措施确保信息的完整性、保密性和可用性,在全生命周期中防止未经授权的访问、损毁、使用、修改、披露、丢失等风险。(5)俄罗斯《联邦个人数据法》规定,处理者有义务采取必要的管理和技术措施,包括使用密码(加密)手段,保护个人信息免受非法或意外的接近、销毁、修改、中止处理、复制、传播及其他非法行为;遵守联邦政府对个人信息处理的安全要求,以及生物识别信息载体和信息系统以外的个人信息的保管技术要求。(6)日本《个人信息保护法》规定,应采取必要的和适当的措施防止个人信息的泄露、丢失或损毁,对其雇员实施必要和适当的监督。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。(www.xing528.com)
[释义]本条是关于个人信息保护负责人的规定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
