11.1 明確責任部門與人員

對個人信息控制者的要求包括：

a) 應明確其法定代表人或主要負責人對個人信息安全負全面領導責任，包括為個人信息安全工作提供人力、財力、物力保障等；

b) 應任命個人信息保護負責人和個人信息保護工作機構，個人信息保護負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任，參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作；

c) 滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作：

1) 主要業務涉及個人信息處理，且從業人員規模大于200人；

2) 處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；

3) 處理超過10萬人的個人敏感信息的。

d) 個人信息保護負責人和個人信息保護工作機構的職責應包括但不限于：

1) 全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任；

2) 組織制定個人信息保護工作計劃并督促落實；

3) 制定、簽發、實施、定期更新個人信息保護政策和相關規程；

4) 建立、維護和更新組織所持有的個人信息清單（包括個人信息的類型、數量、來源、接收方等）和授權訪問策略；

5) 開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；

6) 組織開展個人信息安全培訓；

7) 在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；

8) 公布投訴、舉報方式等信息并及時受理投訴舉報；

9) 進行安全審計；

10) 與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況。

e) 應為個人信息保護負責人和個人信息保護工作機構提供必要的資源，保障其獨立履行職責。