1.3.4　《個人信息保護法》關于應急響應的要求

2021年8月20日，第十三屆全國人大常委會第三十次會議通過了《個人信息保護法》。《個人信息保護法》作為首部專門規定個人信息保護的法律，成為個人信息保護領域的“基本法”。《個人信息保護法》全文共八章七十四條，其中對于制定并組織個人信息安全事件應急預案進行了明確要求。

【法律條文】

第五十一條　個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個人信息實行分類管理；

（三）采取相應的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；

（五）制定并組織實施個人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

【合規指引】

如前所述，在《網絡安全法》《數據安全法》中已明確了制定應急預案為企事業單位必須履行的法律義務，在《個人信息保護法》中再次明確將制定并組織實施個人信息安全事件應急預案規定為個人信息處理者的義務。所不同的是，《個人信息保護法》中要求的是針對個人信息安全事件的專項預案。因此，涉及個人信息處理的企事業單位須落實合規要求，制定個人信息安全事件專項應急預案，并定期組織相關人員接受應急響應培訓和開展應急演練，使相關人員熟悉其崗位職責和應急策略、規程，提高相關人員的應急處置能力。