重點解讀

本條明確了個人信息處理者承擔(dān)保障個人信息安全責(zé)任的要求。

在《個人信息保護法》出臺之前，《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》均從各自的角度就如何保障個人信息/數(shù)據(jù)的安全作出了規(guī)定。《網(wǎng)絡(luò)安全法》第四十二條第二款規(guī)定：“網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。”《數(shù)據(jù)安全法》則在“第四章 數(shù)據(jù)安全保護義務(wù)”以整章規(guī)定了數(shù)據(jù)處理者所應(yīng)當承擔(dān)的各類義務(wù)。《個人信息保護法》中本條的規(guī)定，亦承襲了上述規(guī)定的精神。就個人信息處理者的個人信息處理的全生命周期而言，其都需要履行本條規(guī)定的個人信息安全保障義務(wù)。

實務(wù)要點

就實務(wù)而言，個人信息處理者所采取的“必要措施”可以分為技術(shù)措施與管理措施。從技術(shù)措施的角度來說，包括個人信息的去標識化存儲、加密傳輸?shù)取墓芾泶胧┑慕嵌葋碚f，企業(yè)宜在明確個人信息安全責(zé)任部門和個人信息安全負責(zé)人的基礎(chǔ)上，設(shè)置必要的訪問控制措施和個人信息安全管理制度，明確處理者內(nèi)部各部門在個人信息處理上的職責(zé)劃分，定期開展個人信息安全培訓(xùn)，制定必要的個人信息安全應(yīng)急預(yù)案，從多個維度盡可能降低個人信息安全事件發(fā)生的可能性。

案例解析

*案情介紹

某省某市轄區(qū)內(nèi)多家快遞企業(yè)的快遞單未對用戶個人信息采取隱匿化等有效保護措施，直接顯示客戶姓名、電話號碼等個人信息，存在泄露公民個人信息重大隱患。

該省該市人民檢察院對此立案調(diào)查并向該市郵政管理局（以下簡稱市郵政局）發(fā)出訴前檢察建議，建議其依法全面履行快遞市場安全監(jiān)督管理職責(zé)，督促快遞企業(yè)采取有效手段保護用戶信息安全。

收到檢察建議后，市郵政局印發(fā)《關(guān)于切實做好郵政行業(yè)用戶信息安全保護的通知》并進行專項整改。整改后，快遞企業(yè)有的在運單上加蓋了個人信息保護提示印章，有的在快遞網(wǎng)點和快遞車懸掛了信息安全提醒標語。部分企業(yè)的快遞單和快遞員通信終端用戶手機號已全部實現(xiàn)匿名化技術(shù)處理。其他快遞企業(yè)正在參照推進。各快遞企業(yè)銷毀紙質(zhì)運單105萬份，所有快遞企業(yè)今后不再留存紙質(zhì)運單。

*法律解析

本案系檢察機關(guān)通過“提出檢察建議，督促相關(guān)主體依法履行職責(zé)”的方式參與到個人信息保護中的典型案例。快遞運單存儲大量公民個人信息，但實踐中部分物流企業(yè)對運單中相關(guān)個人信息的安全并未充分重視，也未采取必要的安全保障措施，個人信息甚至在運單上明文展示。這可能導(dǎo)致運單上的個人信息被不法分子獲取、利用，危及公民人身、財產(chǎn)安全，侵害社會公共利益。

對于物流企業(yè)而言，其作為個人信息處理者，應(yīng)當采取必要的措施，確保其處理的個人信息安全，未對運單上展示的個人信息進行處理即是其未充分履行個人信息安全保障義務(wù)的重要體現(xiàn)。

關(guān)聯(lián)法條

《民法典》第一百一十一條；《網(wǎng)絡(luò)安全法》第四十二條；《數(shù)據(jù)安全法》“第四章 數(shù)據(jù)安全保護義務(wù)”。