?

?

第四十四條個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外。

?

本條明確了個(gè)人的知情權(quán)和決定權(quán)。

?

或是為了保障立法的彈性，本條并未如GDPR第十三、十四條一般，對(duì)知情權(quán)的內(nèi)容進(jìn)行詳盡的說明，一般來說"知情權(quán)"指向個(gè)人有權(quán)知曉其個(gè)人信息被處理的情況；就"決定權(quán)"的內(nèi)容而言，從本條文本本身來看，主要表現(xiàn)為"限制或拒絕他人的處理"，更多表現(xiàn)為一種被動(dòng)的防御。就兩者的關(guān)系上，知情權(quán)系行使決定權(quán)的前提。明確個(gè)人的知情權(quán)和決定權(quán)，有利于個(gè)人更好地實(shí)現(xiàn)對(duì)其個(gè)人信息的控制。

?

此外，本條留下了但書規(guī)定，即"法律、行政法規(guī)另有規(guī)定的除外"，比如基于犯罪偵查收集個(gè)人信息，出于保密等原因，可以拒絕個(gè)人行使其知情權(quán)和決定權(quán)。

?

第四十五條??個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息；有本法第十九條第一款規(guī)定情形的除外。

?

個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。

?

本條明確了個(gè)人的查閱、復(fù)制權(quán)。

?

個(gè)人的查閱、復(fù)制權(quán)首次見于《民法典》第一千零三十七條。查閱、復(fù)制個(gè)人信息便于個(gè)人有效行使更正、刪除個(gè)人信息的權(quán)利，有助于加強(qiáng)個(gè)人對(duì)個(gè)人信息的控制。區(qū)別于《民法典》規(guī)定的是，本條增加了查閱、復(fù)制權(quán)行使的例外，即"有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形"。在該等情形下，個(gè)人信息處理者有權(quán)拒絕個(gè)人查閱、復(fù)制個(gè)人信息的請(qǐng)求。在《民法典》及《個(gè)人信息保護(hù)法（草案）》均明確了個(gè)人享有查閱、復(fù)制權(quán)的情形下，如無法適用例外情形，個(gè)人信息處理者應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄?duì)個(gè)人查閱、復(fù)制其個(gè)人信息的請(qǐng)求及時(shí)予以回應(yīng)，確保其查閱、復(fù)制權(quán)的行使。

?

同時(shí)，有許多擁有大量用戶的平臺(tái)企業(yè)擔(dān)憂在《民法典》生效后，可能同時(shí)面臨大量用戶查閱、復(fù)制個(gè)人信息的請(qǐng)求?！秱€(gè)人信息保護(hù)法（草案）》并未回應(yīng)這一種實(shí)踐中的擔(dān)憂，作為個(gè)人信息處理者的企業(yè)應(yīng)如何應(yīng)對(duì)，可能還有待后續(xù)實(shí)踐的探索。

?

第四十六條個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。

?

個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。

?

本條明確了個(gè)人的更正、補(bǔ)充權(quán)。

?

《網(wǎng)絡(luò)安全法》第四十三條、《民法典》第一千零三十七條均規(guī)定了個(gè)人的更正權(quán)，《個(gè)人信息保護(hù)法（草案）》在對(duì)個(gè)人的更正權(quán)予以重申的同時(shí)，區(qū)分了個(gè)人信息不準(zhǔn)確或者不完整的情形，并針對(duì)個(gè)人信息不完整的情形規(guī)定了個(gè)人的補(bǔ)充權(quán)，旨在針對(duì)實(shí)踐中用戶無法更正、補(bǔ)充其個(gè)人信息的問題。

?

實(shí)踐中，涉及更正個(gè)人信用情況的糾紛較為常見，不少企業(yè)因不愿意配合更正錯(cuò)誤記載的個(gè)人信息而遭到起訴，面臨相應(yīng)的訴累和輿情壓力的情形。對(duì)于企業(yè)而言，建議在個(gè)人行使更正、補(bǔ)充權(quán)時(shí)進(jìn)行核查并在核查無誤的情況下及時(shí)予以配合。

?

第四十七條有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)或者根據(jù)個(gè)人的請(qǐng)求，刪除個(gè)人信息：

?

（一）約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn)；

（二）個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)；

（三）個(gè)人撤回同意；

（四）個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；

（五）法律、行政法規(guī)規(guī)定的其他情形。

?

法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止處理個(gè)人信息。

?

本條明確了個(gè)人的刪除權(quán)。

?

《網(wǎng)絡(luò)安全法》第四十三條、《民法典》第一千零三十七條均規(guī)定了在個(gè)人信息處理者違法或違約處理個(gè)人信息的情形下個(gè)人的刪除權(quán)，《個(gè)人信息保護(hù)法（草案）》第四十七條對(duì)于刪除權(quán)適用的情形予以了擴(kuò)張，增加了本條第一款第（一）（二）（三）（五）項(xiàng)作為個(gè)人有權(quán)行使刪除權(quán)的情形。

?

若約定的保存期限已屆滿，則個(gè)人信息處理者繼續(xù)保存?zhèn)€人信息可能違反同個(gè)人之間的約定；而在處理目的已實(shí)現(xiàn)、個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)以及個(gè)人撤回同意的情形下，個(gè)人信息處理者不再收集、使用用戶個(gè)人信息，其繼續(xù)保存用戶個(gè)人信息可能缺乏相應(yīng)的合法性基礎(chǔ)。

?

值得討論的是，不同于《個(gè)人信息安全規(guī)范》第6.1b)條和第6.4c)條，《個(gè)人信息保護(hù)法（草案）》并未在本條規(guī)定的情形下，為個(gè)人信息處理者留下匿名化處理個(gè)人信息的口子?；诖?，若本條款正式落地，可能對(duì)當(dāng)前企業(yè)的個(gè)人信息利用方式產(chǎn)生一定的影響。

?

第四十八條個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。

?

本條明確了個(gè)人有權(quán)要求個(gè)人信息處理者釋明其個(gè)人信息處理規(guī)則。

?

《個(gè)人信息保護(hù)法（草案）》第十八條要求個(gè)人信息處理者制定并公開個(gè)人信息處理規(guī)則。個(gè)人信息處理規(guī)則同個(gè)人的個(gè)人信息相關(guān)權(quán)利密切相關(guān)，但實(shí)踐中，如果缺少相應(yīng)的知識(shí)積累或者存在少量專業(yè)術(shù)語，普通個(gè)人理解個(gè)人信息處理規(guī)則可能存在一定困難，故本條規(guī)定個(gè)人有權(quán)要求個(gè)人信息處理者向其解釋說明，有助于保障個(gè)人的知情權(quán)，方便個(gè)人更好地理解個(gè)人信息處理規(guī)則。

?

第四十九條個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說明理由。

?

本條明確了建立個(gè)人行權(quán)申請(qǐng)受理和處理機(jī)制的要求。

?

《網(wǎng)絡(luò)安全法》第四十九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。網(wǎng)絡(luò)運(yùn)營者對(duì)網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查，應(yīng)當(dāng)予以配合?！秱€(gè)人信息安全規(guī)范》第8.8條規(guī)定，"個(gè)人信息控制者應(yīng)建立投訴管理機(jī)制和投訴跟蹤流程，并在合理的時(shí)間內(nèi)對(duì)投訴進(jìn)行響應(yīng)"?！秱€(gè)人信息保護(hù)法（草案）》亦要求個(gè)人信息處理者應(yīng)建立申請(qǐng)受理和處理機(jī)制，以保障個(gè)人行使其相關(guān)權(quán)利，并要求個(gè)人信息處理者就拒絕個(gè)人行權(quán)請(qǐng)求的情形下，應(yīng)說明理由。

?

值得討論的是，本條似乎更多系規(guī)定個(gè)人信息處理者之義務(wù)而非個(gè)人之權(quán)利，可能規(guī)定在《個(gè)人信息保護(hù)法（草案）》第五章"個(gè)人信息處理者的義務(wù)"中更為合適。

?

?

第五十條?個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等,采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除：

?

(一)制定內(nèi)部管理制度和操作規(guī)程;

(二)對(duì)個(gè)人信息實(shí)行分級(jí)分類管理;

(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;

(四)合理確定個(gè)人信息處理的操作權(quán)限,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);

(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;

(六)法律、行政法規(guī)規(guī)定的其他措施。

?

本條明確了個(gè)人信息處理者的安全保護(hù)義務(wù)。

?

就內(nèi)部管理制度和操作規(guī)程而言，結(jié)合《個(gè)人信息保護(hù)法（草案）》第四條，管理制度和操作規(guī)程至少應(yīng)覆蓋個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等個(gè)人信息全生命周期流程。

?

就個(gè)人信息分級(jí)分類管理而言，參照《電信和互聯(lián)網(wǎng)服務(wù) 用戶個(gè)人信息保護(hù)分級(jí)指南》（YD∕T 2782-2014）、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020）和《個(gè)人信息安全規(guī)范》的規(guī)定，實(shí)踐中常見的方式是對(duì)用戶個(gè)人信息按照內(nèi)容進(jìn)行分類，再依照個(gè)人信息的敏感程度，即相關(guān)個(gè)人信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后產(chǎn)生的影響和危害，對(duì)個(gè)人信息進(jìn)行分級(jí)。

?

就應(yīng)采取的安全措施而言，建議企業(yè)根據(jù)個(gè)人信息分級(jí)分類的結(jié)果，采取不同的安全技術(shù)措施，對(duì)于敏感程度較高的個(gè)人信息，建議采取更為嚴(yán)格的安全技術(shù)措施，以降低個(gè)人信息可能面臨的風(fēng)險(xiǎn)。

?

就內(nèi)部操作權(quán)限配置而言，參照《個(gè)人信息安全規(guī)范》第7.1a）條，合理的內(nèi)部操作權(quán)限配置應(yīng)符合最小授權(quán)的訪問控制策略，使被授權(quán)訪問個(gè)人信息的人員只能訪問職責(zé)所需的最小必要的個(gè)人信息，且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限。

?

就從業(yè)人員管理而言，《個(gè)人信息保護(hù)法（草案）》明確要求個(gè)人信息處理者應(yīng)定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)，從教育和培訓(xùn)時(shí)間點(diǎn)看，宜進(jìn)行新員工入職培訓(xùn)時(shí)，將個(gè)人信息安全作為教育和培訓(xùn)內(nèi)容之一，在入職階段就強(qiáng)化個(gè)人信息安全意識(shí)，后續(xù)定期開展個(gè)人信息安全教育和培訓(xùn)；從培訓(xùn)內(nèi)容看，個(gè)人信息保護(hù)的相關(guān)法律法規(guī)規(guī)定、內(nèi)部制度、操作流程等，特別是最新出臺(tái)的規(guī)定和內(nèi)部制度流程等的重要修訂，應(yīng)該納入培訓(xùn)的內(nèi)容；從培訓(xùn)對(duì)象看，這里的員工不應(yīng)限于基層員工，而應(yīng)是包含高層員工在內(nèi)的全體員工，領(lǐng)導(dǎo)層高度重視、基層員工嚴(yán)格踐行，方能更好地開展個(gè)人信息安全工作。

?

就制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案而言，《個(gè)人信息保護(hù)法（草案）》明確將"制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案"上升為個(gè)人信息處理者的義務(wù)。除制定并組織實(shí)施應(yīng)急預(yù)案外，建議個(gè)人信息處理者參照《個(gè)人信息安全規(guī)范》第10條的要求，定期組織內(nèi)部人員開展相關(guān)應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，促使相關(guān)人員更好地掌握在應(yīng)急處置時(shí)其崗位職責(zé)和應(yīng)急處置策略、規(guī)程。

?

此外，本條第一款第六項(xiàng)留下了彈性空間，即"法律、行政法規(guī)規(guī)定的其他措施"，意味著如果法律、行政法規(guī)對(duì)個(gè)人信息保護(hù)者提出其他保護(hù)措施要求的，應(yīng)依照其規(guī)定。

?

第五十一條處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

?

個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等，并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

?

本條明確了設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人的條件和履職信息公開要求。

?

《個(gè)人信息保護(hù)法（草案）》下的個(gè)人信息保護(hù)負(fù)責(zé)人同GDPR的數(shù)據(jù)保護(hù)專員（DPO）存在一定的區(qū)別。就本條而言，《個(gè)人信息保護(hù)法（草案）》以個(gè)人信息處理者處理個(gè)人信息的數(shù)量作為劃分門檻，僅有處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者才負(fù)有指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)。

?

就職責(zé)來看，個(gè)人信息保護(hù)負(fù)責(zé)人的職責(zé)在于對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。同時(shí)，個(gè)人信息處理者應(yīng)當(dāng)公開其姓名與聯(lián)系方式等，并將相關(guān)信息報(bào)送相關(guān)監(jiān)管部門。

?

僅從本條來看，《個(gè)人信息保護(hù)法（草案）》僅對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)置提出了框架性的要求，而對(duì)于個(gè)人信息保護(hù)負(fù)責(zé)人的具體職責(zé)劃分、任職要求、條件以及責(zé)任承擔(dān)等問題，或有待網(wǎng)信部門后續(xù)制定詳細(xì)的實(shí)施細(xì)則以進(jìn)一步規(guī)范。從參考角度，《個(gè)人信息安全規(guī)范》第11.1條可以為個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)置提供詳細(xì)參考。

?

第五十二條本法第三條第二款規(guī)定的中華人民共和國境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

?

本條明確要求在我國境外處理境內(nèi)自然人個(gè)人信息的境外個(gè)人信息處理者應(yīng)設(shè)立專門機(jī)構(gòu)或指定代表負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)并報(bào)送相關(guān)監(jiān)管部門。

?

由境外機(jī)構(gòu)于境內(nèi)設(shè)立的專門機(jī)構(gòu)或指定代表承擔(dān)個(gè)人信息保護(hù)責(zé)任的規(guī)定曾見于《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》第二十條，目的在于通過對(duì)境外個(gè)人信息處理者于境內(nèi)設(shè)立的專門機(jī)構(gòu)或指定代表的管轄而間接實(shí)現(xiàn)對(duì)境外個(gè)人信息處理者的管轄?？赡苡写枰M(jìn)一步明確的是，此處的專門機(jī)構(gòu)所指向的對(duì)象范圍，即境外個(gè)人信息處理者的境內(nèi)主體、子公司、關(guān)聯(lián)公司等機(jī)構(gòu)是否均可以作為此處的專門機(jī)構(gòu)。

?

第五十三條個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其個(gè)人信息處理活動(dòng)、采取的保護(hù)措施等是否符合法律、行政法規(guī)的規(guī)定進(jìn)行審計(jì)。履行個(gè)人信息保護(hù)職責(zé)的部門有權(quán)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行審計(jì)。

?

本條明確了個(gè)人信息處理者的個(gè)人信息安全審計(jì)要求。

?

相較于《個(gè)人信息安全規(guī)范》第11.7條規(guī)定的較為詳盡的安全審計(jì)要求，《個(gè)人信息保護(hù)法（草案）》第五十三條僅對(duì)個(gè)人信息處理者的安全審計(jì)要求進(jìn)行了原則性規(guī)定，要求個(gè)人信息處理者確保在日常運(yùn)營和業(yè)務(wù)開展過程中的個(gè)人信息處理行為符合法律法規(guī)規(guī)定。

?

此外，從確保有效履職出發(fā)，本條規(guī)定了個(gè)人信息保護(hù)有權(quán)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行審計(jì)，有助于推動(dòng)審計(jì)工作的有效開展和提高審計(jì)工作的專業(yè)性。直白來說，有助于個(gè)人信息保護(hù)部門向公司申請(qǐng)委托專業(yè)機(jī)構(gòu)進(jìn)行審計(jì)的預(yù)算。這里的"專業(yè)機(jī)構(gòu)"，從我們理解的角度，包括信息安全測(cè)評(píng)機(jī)構(gòu)、律師事務(wù)所、會(huì)計(jì)師事務(wù)所等。

?

第五十四條個(gè)人信息處理者應(yīng)當(dāng)對(duì)下列個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估，并對(duì)處理情況進(jìn)行記錄：

?

（一）處理敏感個(gè)人信息；

（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；

（三）委托處理個(gè)人信息、向第三方提供個(gè)人信息、公開個(gè)人信息；

（四）向境外提供個(gè)人信息；

（五）其他對(duì)個(gè)人有重大影響的個(gè)人信息處理活動(dòng)。

?

風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)當(dāng)包括：

?

（一）個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；

（二）對(duì)個(gè)人的影響及風(fēng)險(xiǎn)程度；

（三）所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

?

風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年

?

本條明確了個(gè)人信息處理者的事前風(fēng)險(xiǎn)評(píng)估義務(wù)。

?

《個(gè)人信息保護(hù)法（草案）》規(guī)定的事前風(fēng)險(xiǎn)評(píng)估義務(wù)同《個(gè)人信息安全規(guī)范》第11.4條規(guī)定的個(gè)人信息安全影響評(píng)估較為相似，相較于《個(gè)人信息安全規(guī)范》，本條明確規(guī)定了需要進(jìn)行事前風(fēng)險(xiǎn)評(píng)估的個(gè)人信息處理活動(dòng)類別，并提出了風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年的具體要求，為個(gè)人信息處理者開展個(gè)人信息事前風(fēng)險(xiǎn)評(píng)估指明了方向。

?

第五十五條個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：

?

（一）個(gè)人信息泄露的原因；

（二）泄露的個(gè)人信息種類和可能造成的危害；

（三）已采取的補(bǔ)救措施；

（四）個(gè)人可以采取的減輕危害的措施；

（五）個(gè)人信息處理者的聯(lián)系方式。

?

個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的，個(gè)人信息處理者可以不通知個(gè)人；但是，履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為個(gè)人信息泄露可能對(duì)個(gè)人造成損害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人。

?

本條明確了發(fā)現(xiàn)個(gè)人信息泄露時(shí)個(gè)人信息處理者的補(bǔ)救和通知義務(wù)。

?

就補(bǔ)救義務(wù)的觸發(fā)時(shí)點(diǎn)而言，只要個(gè)人信息處理者發(fā)現(xiàn)了該等信息泄露的情形，便應(yīng)當(dāng)立即采取補(bǔ)救措施；就義務(wù)的內(nèi)容而言，主要表現(xiàn)為通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人；就通知的內(nèi)容而看，本條列舉了泄露的原因、涉及的信息種類和可能造成的危害、已采取的補(bǔ)救措施、個(gè)人可以采取的減輕危害的措施以及聯(lián)系方式。同時(shí)，《個(gè)人信息保護(hù)法（草案）》亦規(guī)定了可以不通知個(gè)人的例外情形，即個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的，以及例外情形的例外，即履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為個(gè)人信息泄露可能對(duì)個(gè)人造成損害的，個(gè)人信息保護(hù)部門有權(quán)要求個(gè)人信息處理者通知個(gè)人。

?

需要探討的一個(gè)問題是，本條似乎無法規(guī)制個(gè)人信息處理者應(yīng)當(dāng)發(fā)現(xiàn)而沒有發(fā)現(xiàn)個(gè)人信息泄露的情況，將"應(yīng)當(dāng)發(fā)現(xiàn)"納入本條的規(guī)制范圍，似乎能夠更好地約束個(gè)人信息處理者。

?

?

?