《中华人民共和国个人信息保护法》第五十一条、第五十七条明确规定了个人信息处理者在日常安全保障、突发安全事件应对方面的义务,以确保个人信息处理活动合法合规,并防止未经授权的访问以及信息泄露、篡改、丢失。
个人信息处理者,无论规模大小,都应严格落实个人信息安全保护主体责任,切实摒弃侥幸心理,认真履行法定义务:
一是完善制度体系,落实主体责任
制定科学完善的内部管理制度与操作规程,对个人信息实行分类管理,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,确保责任到人,杜绝管理真空与人为疏忽。
二是强化技术防护,筑牢安全防线
避免系统直接暴露于互联网环境,对收集、存储的公民个人信息采取相应的加密、去标识化等安全技术措施,部署多重身份认证与访问控制策略,确保个人信息在传输、存储和系统运维等环节的全生命周期安全。
三是常态自查自纠,及时整改隐患
制定个人信息安全事件应急预案,定期开展个人信息安全风险隐患自查,对监管部门发现并推送的风险提示要高度重视、及时整改,杜绝"应付式整改"。一旦发现数据泄露或遭受网络攻击情况,立即采取补救、处置措施,并向属地公安机关网安部门报告,防止风险扩大和危害蔓延。
