重点解读

本条明确了个人信息处理者承担保障个人信息安全责任的要求。

在《个人信息保护法》出台之前，《网络安全法》与《数据安全法》均从各自的角度就如何保障个人信息/数据的安全作出了规定。《网络安全法》第四十二条第二款规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”《数据安全法》则在“第四章 数据安全保护义务”以整章规定了数据处理者所应当承担的各类义务。《个人信息保护法》中本条的规定，亦承袭了上述规定的精神。就个人信息处理者的个人信息处理的全生命周期而言，其都需要履行本条规定的个人信息安全保障义务。

实务要点

就实务而言，个人信息处理者所采取的“必要措施”可以分为技术措施与管理措施。从技术措施的角度来说，包括个人信息的去标识化存储、加密传输等。从管理措施的角度来说，企业宜在明确个人信息安全责任部门和个人信息安全负责人的基础上，设置必要的访问控制措施和个人信息安全管理制度，明确处理者内部各部门在个人信息处理上的职责划分，定期开展个人信息安全培训，制定必要的个人信息安全应急预案，从多个维度尽可能降低个人信息安全事件发生的可能性。

案例解析

*案情介绍

某省某市辖区内多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施，直接显示客户姓名、电话号码等个人信息，存在泄露公民个人信息重大隐患。

该省该市人民检察院对此立案调查并向该市邮政管理局（以下简称市邮政局）发出诉前检察建议，建议其依法全面履行快递市场安全监督管理职责，督促快递企业采取有效手段保护用户信息安全。

收到检察建议后，市邮政局印发《关于切实做好邮政行业用户信息安全保护的通知》并进行专项整改。整改后，快递企业有的在运单上加盖了个人信息保护提示印章，有的在快递网点和快递车悬挂了信息安全提醒标语。部分企业的快递单和快递员通信终端用户手机号已全部实现匿名化技术处理。其他快递企业正在参照推进。各快递企业销毁纸质运单105万份，所有快递企业今后不再留存纸质运单。

*法律解析

本案系检察机关通过“提出检察建议，督促相关主体依法履行职责”的方式参与到个人信息保护中的典型案例。快递运单存储大量公民个人信息，但实践中部分物流企业对运单中相关个人信息的安全并未充分重视，也未采取必要的安全保障措施，个人信息甚至在运单上明文展示。这可能导致运单上的个人信息被不法分子获取、利用，危及公民人身、财产安全，侵害社会公共利益。

对于物流企业而言，其作为个人信息处理者，应当采取必要的措施，确保其处理的个人信息安全，未对运单上展示的个人信息进行处理即是其未充分履行个人信息安全保障义务的重要体现。

关联法条

《民法典》第一百一十一条；《网络安全法》第四十二条；《数据安全法》“第四章 数据安全保护义务”。