11.6 人員管理與培訓

對個人信息控制者的要求包括：

a) 應與從事個人信息處理崗位上的相關人員簽署保密協議，對大量接觸個人敏感信息的人員進行背景審查，以了解其犯罪記錄、誠信狀況等；

b) 應明確內部涉及個人信息處理不同崗位的安全職責，建立發生安全事件的處罰機制；

c) 應要求個人信息處理崗位上的相關人員在調離崗位或終止勞動合同時，繼續履行保密義務；

d) 應明確可能訪問個人信息的外部服務人員應遵守的個人信息安全要求，與其簽署保密協議，并進行監督；

e) 應建立相應的內部制度和政策對員工提出個人信息保護的指引和要求；

f) 應定期（至少每年一次）或在個人信息保護政策發生重大變化時，對個人信息處理崗位上的相關人員開展個人信息安全專業化培訓和考核，確保相關人員熟練掌握個人信息保護政策和相關規程。