要点|《个人信息保护法》要点解读( 三 )_实名|用户名|信息|网络|app|浏览

原则上，个人信息处理者应将个人信息存储在境内，确需向境外提供个人信息的，应当符合法定条件。对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的，还需通过网信部门组织的安全评估。
个人信息处理者，尤其是特定的个人信息处理者应当对信息出境事项进行梳理，并采取以下措施：
1、修改隐私文件或其他方式，将出境情况充分告知个人，并征得其单独同意，除非可以依赖其他合法性基础。
2、与境外接收方签署标准合同（由国家网信部门制定），或者通过个人信息保护认证，并采取包括但不限于合同约束、技术限制、定期复核、合规审计等必要措施，确保接收方妥善保护个人信息。
（四）个人信息处理者应尽安全保障义务
个人信息处理者对于信息处理负有确保处理活动合法合规、防范未经授权的访问和保障个人信息安全的义务，否则可能会承担一定的过错责任。
具体来说，个人信息处理者应根据处理目的、方式、种类及对个人权益的影响、安全风险等，采取如下安保措施：
1、制定内部管理制度和操作规程。
2、对个人信息实行分类管理。
3、采取加密、去标识化等安全技术措施。
4、合理确定个人信息处理的操作权限，并定期进行安全教育和培训。
5、制定并组织实施个人信息安全事件应急预案。
6、个人信息处理活动对个人权益有重大影响的，应事前进行个人信息保护影响评估。
（五）大型个人信息处理者负有额外义务
由于大型个人信息处理者（提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者）与小型个人信息处理者在技术水平、风险等级上存在较大差异，《个人信息保护法》强化了对大型个人信息处理者的监管，提出了额外要求。
对于大型个人信息处理者，除了需要履行一般个人信息处理者的义务，还应履行下列义务：
1、建立健全个人信息保护合规制度体系，成立独立机构对个人信息保护情况进行监督；
2、制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；
3、对严重违法违规处理个人信息的平台内产品或服务提供者停止提供服务；
4、定期发布个人信息保护社会责任报告。
（六）共同个人信息处理者间承担连带责任
实务中，数据处理过程中可能涉及到多方主体，共同处理者（共同决定个人信息的处理目的和处理方式的个人信息处理者）侵害个人信息权益造成损害的，互相之间承担连带责任，且该连带责任不因双方约定而排除。
为保护一方个人信息处理者的权益，在共同处理个人信息前应注意以下几点：
1、充分评估合作方的个人信息保护水平，以及共同处理信息的合法性、正当性、必要性，采取必要措施保障信息安全。
2、通过协议明确约定共同处理个人信息的目的、方式、范围，各自的权利和义务，并制定个人信息应急预案。
3、引入专业个人信息保护认证机构，监督合作方合法合规处理个人信息。
本文由“苏宁金融研究院”原创，作者为苏宁金融研究院特约研究员惕若