中华人民共和国个人信息保护法（2021年） 第五十一条

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

制定内部管理制度和操作规程；

对个人信息实行分类管理；

采取相应的加密、去标识化等安全技术措施；

合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

制定并组织实施个人信息安全事件应急预案；

法律、行政法规规定的其他措施。