文章目录 一、个人信息安全事件应急处置和报告二、安全事件告知
一、个人信息安全事件应急处置和报告
对个人信息控制者的要求包括:
1、应制定个人信息安全事件应急预案;
2、应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
3、发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
①记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
②评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
③按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
④个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,按照(二、安全事件告知)的要求实施安全事件的告知。
4、根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
二、安全事件告知对个人信息控制者的要求包括:
1、应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
2、告知内容应包括但不限于:
①安全事件的内容和影响;
②已采取或将要采取的处置措施;
③个人信息主体自主防范和降低风险的建议;
④针对个人信息主体提供的补救措施;
⑤个人信息保护负责人和个人信息保护工作机构的联系方式。
信息来源:GB/T 35273-2020