首页> 图书频道> 政法> 法学

【个人信息处理者安全保护义务】

2026年02月27日
版权
第五十一条 【 个人信息处理者 安全保护义务】

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

【条文主旨】

本条是关于个人信息处理者安全保护义务的规定。

【条文理解】

本条规定了个人信息处理者安全保护义务。该条对于个人信息处理者需要采取的预防个人信息安全风险的各项措施进行了“列举+兜底式”的规定,是个人信息处理者合规管理和保障个人信息安全等各项义务中的重要内容,[1]被放置在第五章“个人信息处理者的义务”中的第一条。

在个人信息保护法草案的修改过程中,该条款主要有两处变化。一是在个人信息保护法草案二次审议稿中,该条对于个人信息处理者的义务要求表述为“采取必要措施”,而在最终的个人信息保护法中,这一表述被调整为“采取下列措施”,这意味着明确了该条中的各项措施为个人信息处理者必须采取的法定义务。二是在个人信息保护法草案二次审议稿中,个人信息处理者需要防止“个人信息泄露或者被窃取、篡改、删除”。而在最终公布的个人信息保护法中,为了更好地与民法典衔接,[2]这一表述与第五十七条一道被修改为防止“个人信息泄露、篡改、丢失”。

【适用指南】

对于该条款的适用,可以从个人信息处理者应当采取的各项措施入手具体分析。

第一,制定内部管理制度和操作规程。一方面,内部管理制度和操作规程的制定需要符合个人信息保护法第五条、第六条、第七条和第十条的处理原则和要求,并结合工作实际,覆盖个人信息的收集、储存、使用、加工、传输、提供、公开、删除等必要流程。另一方面,制定内部管理制度和操作规程也要对个人信息保护法中重要的制度设计予以落实。例如,如果符合设立个人信息保护负责人的条件,内部管理制度应当对个人信息保护负责人或机构的组织架构,人员配备、行为规范、管理责任进行规范。

第二,对个人信息实行分类管理。分类管理和处理个人信息,是保障个人信息安全的重要制度路径。个人信息保护法第二章“个人信息处理规则”区分了个人信息和敏感个人信息,并且列举了敏感个人信息的种类。个人信息处理者可以结合个人信息处理业务特点和实践需要,制定相应的分类管理规定。例如,对于常态化收集个人身份信息的个人信息处理者,可能需要针对不满十四周岁未成年人的个人信息进行分类管理。个人信息保护法第三十一条第二款也规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”

第三,采取相应的加密、去标识化等安全技术措施。该项是对个人信息处理者应当采取的保护个人信息安全的技术措施进行规定,包括但不限于加密、去标识化等措施。按照个人信息保护法第七十三条的定义,去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。加密则是通过加密算法和密钥将明文数据转变为密文数据。[3]个人信息处理者可以根据所处理的个人信息的种类、数量等因素,采取加密、去标识化、匿名化等技术手段,切实保障个人信息安全。近年来,国家网信部门、工信部等机构针对各领域制定了大量个人信息保护规范性文件,其中部分条款对个人信息处理者明确规定了其他应当采取的技术防范措施,如果这些条款不与个人信息保护法相抵触,个人信息处理者也应当予以适用。例如,工信部制定的《电信和互联网用户个人信息保护规定》第十三条对电信业务经营者、互联网信息服务提供者明确规定了应当采取的保护个人信息安全的各项措施。从储存的角度而言,个人信息处理者需要妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施。从防止入侵和病毒破坏的角度而言,个人信息处理者要对储存用户个人信息的信息系统实施接入审查。

第四,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。该项是对个人信息处理从业人员的管理义务的具体规定。内部管理制度和操作规程的一项重要内容即确定个人信息处理的操作权限,以及越权查阅、复制、窃取个人信息的相关责任。从教育培训的角度而言,个人信息处理者需要围绕个人信息保护法律法规、内部管理制度和操作流程、个人信息安全国家标准等重点内容进行安全教育和培训,旨在提高从业人员的个人信息安全意识。从业人员的范围不仅包括直接具有个人信息处理权限的一线人员,负有管理、监督职责的领导人员也属于个人信息处理的从业人员,也需要纳入个人信息安全教育培训的范围,明确自身在个人信息处理事项上的权力、义务和责任。

第五,制定并组织实施个人信息安全事件应急预案。个人信息安全事件应急预案是公安部网络安全局等部门出台的《互联网个人信息安全保护指南》以及国家标准《信息安全技术 个人信息安全规范》中个人信息处理者管理机制部分的重要内容。个人信息保护法在制定之初,就将其上升为一项个人信息处理者的法定义务予以规定,最终的个人信息保护法也对这一项进行了保留。一方面,个人信息安全事件应急预案应当紧贴工作实际,并与《国家网络安全事件应急预案》的相关制度有效衔接。例如,预案要明确规定,发生个人信息安全事件后,及时响应并上报的内容包括个人信息主体的类型、数量、内容、性质等总体情况,以及事件可能造成的影响,已经采取或即将采取的相应措施,事件应急处置负责人及其联系方式等内容。另一方面,要防患于未然,组织预案的应急演练,根据国家标准《信息安全技术 个人信息安全规范》的要求,至少每年一次定期组织内部相关人员进行应急响应培训并进行应急演练,熟悉应急处置过程中的各岗位职责。

第六,法律、行政法规规定的其他措施。该项是“兜底式”规定,个人信息处理者除需要采取个人信息保护法规定的相关措施履行个人信息安全保护义务外,还需要因应形势变化和需要,在不同的业务领域,履行其他法律、行政法规规定的各项个人信息安全保护义务。

【相关规定】

《中华人民共和国个人信息保护法》第七十三条;《中华人民共和国网络安全法》第五十三条;《中华人民共和国数据安全法》第二十一条。