首页> 图书频道> 政法> 法学

【安全原则】

2026年02月27日
版权
第九条 【 安全原则】

个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

【条文主旨】

本条是关于个人信息处理中的责任和“安全”原则的规定。

【条文理解】

本条明确了个人信息处理者的个人信息安全保障义务,且将个人信息安全责任落实到处理主体有助于损害赔偿及追责,体现了“谁处理,谁负责”的原则。

要求个人信息处理者应当主动采取必要措施以保障个人信息安全,是个人信息保护的必然要求。早在2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中就明确了网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施确保信息安全,避免个人信息泄露、毁损、丢失;2016年颁布的网络安全法也作了同样要求;2020年颁布的民法典第一百一十一条也明确了“……任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全……”,第一千零三十八条第二款更为具体地明确了“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失……”

本条作为原则性条款,进一步阐明了个人信息处理者对个人信息处理活动的责任承担,贯穿于个人信息保护法分则的多项具体规范,本法第五十一条进一步列举了个人信息处理者应当采取的具体安全保障措施,第六十五条明确了个人信息处理者未采取必要安全保护措施所要承担的责任。

一、个人信息安全的含义

《信息安全技术 个人信息安全规范》对个人信息安全作了原则性阐述,包括权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与等几个方面。

本法所称的“个人信息安全”是广义概念,既包括个人信息本身的安全,也包括人为地披露、公开后的安全。这就意味着在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等环节都须确保安全,个人信息处理者具有确保所收集的个人信息为其所控制、不为外人访问和获取、采取信息泄露事件防范措施等安全保障义务[22],以保证个人信息的保密性、完整性、可用性,避免可能发生的个人信息安全事件。

二、个人信息安全义务是个人信息处理者义不容辞的责任

网络给公众生活带来翻天覆地的变化,但同时,超范围收集、非法获取、擅自使用甚至滥用个人信息的现象也随之突出,引起了广大人民群众的强烈关注。

近年来,个人信息安全事件越来越引发社会关注,具体的个人信息安全问题包括个人数据泄露、个人数据遭窃取、非法买卖个人数据等,从外国某公司涉及上亿用户的数据泄露事件,到某支付平台前技术人员涉嫌将多达20G的用户信息非法贩卖他人,某订票网站被指泄露用户包括姓名、身份证号、手机号、用户名、密码等在内的敏感信息,都说明了当下互联网仍存在重大的个人信息安全隐患。

因此,个人信息处理者采取必要措施保障所处理的个人信息的安全、对其个人信息处理活动负责,是个人信息处理者义不容辞的责任。只有保障个人信息安全,才能切实维护广大人民群众的切身利益,为人民群众撑起一把数字世界的“保护伞”。

三、必要的安全保障措施

本条强调了个人信息处理者是个人信息保护的第一责任人。在此基础上,本法分则进一步明确了个人信息处理者的合规管理和保障个人信息安全等义务。

本条所指的保障个人信息安全的“必要措施”,具体规定于本法第五章“个人信息处理者的义务”中,包括物理措施、技术措施和管理措施。其中,物理措施包括对存储介质、传送等物理安全的保障措施,技术措施包括设置安全漏洞识别程序、设置病毒入侵防范程序等,管理措施包括建立系统安全管理制度、进行风险评估和风险预警、提前拟定应急对策等。值得注意的是,必要措施应当与个人信息遭受损害的风险程度之间符合比例原则的要求[23],即个人信息安全保障措施具有必要性,且在符合处理目的、大概率有效避免安全事件发生的情况下,所采取的必要措施的程度与遭受损害的风险程度相称,可通过对个人信息处理所涉及的数据最小化等方面进行考虑。

另外,由于个人信息是网络信息、数据的下位概念,个人信息的安全保障义务在网络安全法、数据安全法等法律法规中已经明确规定,因此除了个人信息保护法的具体措施之外,还要结合网络安全法、数据安全法对“必要的安全保障措施”作体系性理解。[24]例如,网络安全法第二十一条所规定的网络安全等级保护制度,第三十四条所规定的关键信息基础设施运营者的安全保障义务,数据安全法第二十八条所规定的数据安全标准体系等,其中与个人信息相关的具体规定的措施,都属于必要的安全保障措施。

【适用指南】

个人信息安全合规是个人信息处理者关注的问题,在实践中,个人信息安全合规可以从安全保护能力、安全事件应对、数据最小化三个维度进行理解。

首先,安全保护能力即建立与信息安全保护等级所对应的管理规范,满足相关技术标准要求,采取措施解决被识别的安全缺陷、漏洞、网络侵入、病毒等风险和脆弱性,营造健康的个人信息存储和处理环境。

其次,安全事件应对是兼具事前和事后的必要措施,事前必要措施如制定完整、详细的应急预案,定期组织应急预案相关的培训或演练等;事后必要措施如采取措施控制事态、消除隐患,应通知履行个人信息保护职责的部门并在必要时通知个人。

最后,数据最小化即将个人信息处理所涉及的数据最小化,从而降低对个人信息安全性的风险和影响。其中,数据最小化又包含了最小化技术和最小化访问控制两个要求。例如,在处理前对个人信息采取匿名化、去识别化处理,减少处理过程中可能出现的安全风险。又如,当个人信息处理者针对个人信息的收集、处理和使用等行为的特定目的实现或者消除后,应当在征得数据主体同意或者授权的基础和前提下,永久性地删除相应的个人信息,从源头斩断个人信息存储和使用的安全问题。

本条具体适用可参考本法第六十五条。

【相关规定】

《中华人民共和国民法典》第一百一十一条、第一千零三十八条;《中华人民共和国网络安全法》;《中华人民共和国数据安全法》;《中华人民共和国个人信息保护法》第五十一条、第六十五条。