本条对个人信息保护负责人的设立条件采取了数量标准,规定达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,具体数量标准由国家网信部门规定。具体可参考目前《信息安全技术 个人信息安全规范》的规定,下列个人信息处理者应当指定个人信息保护负责人:主要业务涉及个人信息处理,且从业人员规模大于200人;处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;处理超过10万人的个人敏感信息。
关于个人信息保护负责人的职责,本条概括为:负责对个人信息处理活动以及采取的保护措施等进行监督。即个人信息保护负责人并不具体负责个人信息处理,而是在个人信息处理者内部对个人信息处理活动的合规性进行监督。参考目前《信息安全技术 个人信息安全规范》的规定,其职责主要包括:全面统筹实施组织内部的个人信息保护工作;组织制定个人信息保护工作规则和计划并督促落实;组织开展个人信息保护安全影响评估和安全审计;处理个人行使权利的请求和投诉;提出加强个人信息保护的对策建议;通报或报告个人信息保护事件和处置等情况;与有关部门保持沟通联系等。
本法对个人信息保护负责人的任职条件未作规定。通常来说,个人信息保护负责人应具有相应的工作经历和专业知识,熟悉个人信息保护相关法律法规。个人信息保护负责人应当具有独立性,个人信息处理者应为个人信息保护负责人依法独立履职提供必要的条件。(www.xing528.com)
需要说明的是,网络安全法第二十一条要求网络运营者应当按照网络安全等级保护制度的规定,确定网络安全负责人;数据安全法第二十七条第二款要求重要数据的处理者应当明确数据安全负责人。对于个人信息保护负责人与网络安全负责人、数据安全负责人的关系,个人信息保护法和上述法律未作限制。如果个人信息处理者将个人信息保护负责人与网络安全负责人、数据安全负责人分设,则个人信息保护负责人主要应对个人信息处理活动的合规性负责,确保个人信息处理活动遵循本法规定的合法正当必要、公开透明等原则和“告知—同意”等个人信息处理规则,承担组织开展个人信息保护影响评估和合规审计、响应个人行使权利的请求等工作;在保障个人信息安全方面,应与网络安全负责人、数据安全负责人分工配合,做好相关工作。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
