此外,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
七、法律责任
《个人信息保护法》第六十六条就违反本法规定处理个人信息或者处理个人信息未履行本法规定的个人信息保护义务时的法律责任进行了规定,即由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。同时,进一步补充了对情节严重行为的处罚,即由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
影响评估应包含的内容:
• 个人信息的处理目的、处理方式等是否合法、正当、必要;
• 对个人权益的影响及安全风险;
• 所采取的保护措施是否合法、有效并与风险程度相适应。
(四)安全事件通知义务
根据《个人信息保护法》第五十七条规定,如发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应立即采取补救措施,并通知履行个人信息保护职责的部门和个人。但是,个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
(五)平台特殊义务
根据《个人信息保护法》第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应建立健全个人信息保护合规制度体系,制定平台规则、明确产品或者服务提供者义务,停止向严重违法产品或者服务提供者提供平台服务,定期发布个人信息保护社会责任报告等。需要关注的是,相较于二审稿采用的“基础性互联网平台服务”的表述,终稿采用了“重要互联网平台服务”的概念,但该概念的具体含义有待有关部门进一步明确。
六、履行个人信息保护职责的部门
根据《个人信息保护法》第六十条规定,履行个人信息保护职责的部门为国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。上述部门的职责如下:
• 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
• 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
• 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
