7.1 個人信息訪問控制措施

對個人信息控制者的要求包括：

a) 對被授權訪問個人信息的人員，應建立最小授權的訪問控制策略，使其只能訪問職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數據操作權限；

b) 對個人信息的重要操作設置內部審批流程，如進行批量修改、拷貝、下載等重要操作；

c) 對安全管理人員、數據操作人員、審計人員的角色進行分離設置；

d) 確因工作需要，需授權特定人員超權限處理個人信息的，應經個人信息保護責任人或個人信息保護工作機構進行審批，并記錄在冊；

注：個人信息保護責任人或個人信息保護工作機構的確定見本標準10.1。

e) 對個人敏感信息的訪問、修改等操作行為，宜在對角色權限控制的基礎上，按照業務流程的需求觸發操作授權。例如，當收到客戶投訴，投訴處理人員才可訪問該個人信息主體的相關信息。