第五十一條　　個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：

　　（一）制定內(nèi)部管理制度和操作規(guī)程；

　?。ǘ€人信息實行分類管理；

　?。ㄈ┎扇∠鄳?yīng)的加密、去標識化等安全技術(shù)措施；

　?。ㄋ模┖侠泶_定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓；

　　（五）制定并組織實施個人信息安全事件應(yīng)急預案；

　?。┓伞⑿姓ㄒ?guī)規(guī)定的其他措施。

　　【條文主旨】

　　本條是關(guān)于個人信息處理者采取安全保障措施義務(wù)的規(guī)定。

　　【條文理解】

　　一、處理者的安全保障義務(wù)

　　本條明確了個人信息處理者對個人信息處理活動的安全保障義務(wù)。該義務(wù)執(zhí)行的評估依據(jù)為個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等。義務(wù)執(zhí)行目的則是符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。

　　自《個人信息保護法》草案發(fā)布以來，個人信息處理者的安全保障義務(wù)的要求呈現(xiàn)比較成熟穩(wěn)定的立法狀態(tài)，即圍繞著制度建設(shè)、信息分類、技術(shù)措施、人員管理、應(yīng)急預案這五大角度以及最后兜底的其他措施，這六點個人信息處理者的義務(wù)已經(jīng)深入處理者的實踐，被業(yè)界接受認可，三次草案征求意見基本沒有變動。

　　安全保障義務(wù)以列舉形式體現(xiàn)，屬于法定義務(wù)，個人信息處理者應(yīng)該逐一遵守，否則應(yīng)視為第66條規(guī)定的“處理個人信息未履行本法規(guī)定的個人信息保護義務(wù)的”情形，承擔相應(yīng)的法律責任。同時，如造成未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失的，并造成個人信息權(quán)益損害的，根據(jù)第69條規(guī)定的過錯推定原則，安全保障義務(wù)的全面履行應(yīng)當視為企業(yè)證明自己沒有過錯的重要依據(jù)，因而安全保障義務(wù)在企業(yè)日常運營中具有重要的合規(guī)意義。

　　二、內(nèi)部管控制度建設(shè)

　　就內(nèi)部管理制度和操作規(guī)程而言，結(jié)合《個人信息保護法》第4條第2款，管理制度和操作規(guī)程至少應(yīng)覆蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等個人信息全生命周期流程。

　　《個人金融信息保護技術(shù)規(guī)范》（JR/T　0171—2020）提供了可供參考的寶貴經(jīng)驗，在該規(guī)范中，個人金融信息的內(nèi)部管控要求不僅區(qū)分了各生命周期中的管控基本原則，還分列了相應(yīng)的安全措施要求和管理要求，對于內(nèi)控制度的合規(guī)要點?！秱€人金融信息技術(shù)規(guī)范》也作出了詳細指導，包括建立個人金融信息保護管理規(guī)定、日常管理及操作流程管理要求，個人金融信息時效性管理制度、外包服務(wù)機構(gòu)與外部服務(wù)機構(gòu)管理制度和個人金融信息安全檢查及監(jiān)督機制等。

　　三、對個人信息分類管理

　　與《個人信息保護法（草案）》相比較，本條將“對個人信息實行分類分級管理”中的“分級”刪除?！胺旨墶笔菍€人信息縱向的分層，“分類”是對個人信息橫向的切分。

　　針對個人信息分級問題，《個人信息保護法》已給出法定的方案，即區(qū)分一般個人信息和敏感個人信息的處理（第二章第二節(jié)專門規(guī)定），此外，在《侵犯公民個人信息刑事案件解釋》中確立的極易導致個人信息處理者承擔刑事責任的四類信息，無疑應(yīng)當視為個人信息分級中最高級別的極敏感個人信息，因此，在《個人信息保護法》出臺之前，個人信息分級體系實際已經(jīng)具備基本雛形：（1）極敏感個人信息：行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息。（2）敏感個人信息：生物識別、宗教信仰、特定身份、醫(yī)療健康、（金融賬戶）、（行蹤軌跡）。（3）一般個人信息：除上述極敏感個人信息和敏感個人信息外的其他個人信息。

　　對個人信息分類而言，個人信息進行分類管理的實質(zhì)目的在于需要根據(jù)信息類別確立對個人信息處理者不同的管控義務(wù)，并確認不同的個人信息主體權(quán)益。如敏感個人信息的處理，即要求處理者應(yīng)當取得個人的單獨同意，并將由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門制定專門的個人信息保護規(guī)則、標準。目前已經(jīng)有部分標準嘗試對個人信息進行了分類，例如：

　　《信息安全技術(shù)個人信息安全規(guī)范》（GB/T　35273—2020）：將個人信息類別區(qū)分為個人基本資料、個人身份信息、個人生物識別信息、網(wǎng)絡(luò)身份標識信息、個人健康生理信息、個人教育工作信息、個人財產(chǎn)信息、個人通信信息、聯(lián)系人信息、個人上網(wǎng)記錄、個人常用設(shè)備信息、個人位置信息、其他信息。

　　《個人金融信息保護技術(shù)規(guī)范》（JR/T　0171—2020）：將個人金融信息區(qū)分為C3類別信息（主要為用戶鑒別信息）、C2類別信息（主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息）、C1類別信息（主要為機構(gòu)內(nèi)部的信息資產(chǎn)）。

　　《信息安全技術(shù)移動智能終端個人信息保護技術(shù)要求》（GB/T?34978—2017）：將個人信息分類為通信信息、日志信息、賬戶信息、金融支付信息、傳感采集信息、設(shè)備信息、文件信息。

　　需要看到的是，在目前個人信息的分類分級實踐中，分類和分級并沒有作絕對意義的區(qū)分，例如上述《信息安全技術(shù)個人信息安全規(guī)范》的分類同時也考慮了對一般個人信息和敏感個人信息的分級示例，再如《個人金融信息保護技術(shù)規(guī)范》中首創(chuàng)的對個人金融信息的C1、C2、C3分類方法，同時也對個人信息的級別進行了總結(jié)歸納以便納入不同管理規(guī)則。

　　四、采取相應(yīng)的加密、去標識化等安全技術(shù)措施

　?。ㄒ唬┘用?/span>

　　根據(jù)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T　39786—2021）的規(guī)定，加密是指對數(shù)據(jù)進行密碼變換以產(chǎn)生密文的過程?！?span id="qsh1b7padf" class="candidate-entity-word" data-gid="8849488992933859122">網(wǎng)絡(luò)安全法》對加密的規(guī)定體現(xiàn)在第21條，網(wǎng)絡(luò)運營者應(yīng)當“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”，以符合履行網(wǎng)絡(luò)安全保護義務(wù)的要求?！秱€人信息保護法》延續(xù)了《網(wǎng)絡(luò)安全法》的要求，規(guī)定個人信息處理者應(yīng)當“采取相應(yīng)的加密、去標識化等安全技術(shù)措施”等必要措施，以“確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失”。

　　部分學者認為，相比《網(wǎng)絡(luò)安全法》的靜態(tài)存儲要求，《個人信息保護法》的要求需要對存儲的靜態(tài)數(shù)據(jù)、傳輸中的動態(tài)數(shù)據(jù)，以及隨時處于流動的無論其狀態(tài)的各種數(shù)據(jù)采取符合法律要求、行業(yè)實踐和保護慣例的技術(shù)措施。

　?。ǘ┤俗R化

　　《個人信息保護法》對去標識化作出了明確定義：“去標識化，是指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。”根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》的定義，去標識化是指建立在個體基礎(chǔ)之上，保留個體顆粒度，采用假名、加密、哈希函數(shù)等替代對個人信息的標識。可見，去標識化后的信息可以借助額外信息識別特定自然人，本質(zhì)上仍為一種個人信息。

　　因此，若消除或控制去標識化信息與特定自然人之間的關(guān)聯(lián)性，則去標識化后的信息將脫離個人信息的定義范疇。《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個人信息安全規(guī)范》等定義和描述均對這種思路進行了確認。例如，《網(wǎng)絡(luò)安全法》第42條規(guī)定“網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。”

　　由于《個人信息保護法》對于個人信息處理者對外提供個人信息設(shè)定了需要獲得用戶單獨同意的前提，對個人信息流動現(xiàn)狀提出了重大挑戰(zhàn)。去標識化作為一種潛在的有助于個人信息流動的手段受到密切關(guān)注。2021年4月公布的《個人信息去標識化效果分級評估規(guī)范》（征求意見稿）中，對于去標識化技術(shù)進行了詳細探討，并將標識符（微數(shù)據(jù)中的一個或多個屬性，可以實現(xiàn)對個人信息主體的唯一識別）區(qū)分為“直接標識符”（微數(shù)據(jù)中的屬性，在特定環(huán)境下可以單獨識別個人信息主體）和“準標識符”（微數(shù)據(jù)中的屬性，結(jié)合其他屬性可唯一識別個人信息主體）。重新標識個人信息主體的風險越低，則意味著去標識化效果越好，應(yīng)用于相應(yīng)的個人信息流動場景中的風險越小。

　　在個人信息流動需求激增和個人信息權(quán)益風險保障措施加固的沖突下，去標識化可能會成為企業(yè)實現(xiàn)其個人信息流動的可選重要合規(guī)方式，也已經(jīng)存在有效評估個人信息流動風險的具體方法論，因此投入必要的技術(shù)力量完成個人信息去標識化的相關(guān)技術(shù)落地，是個人信息處理者平衡其合規(guī)義務(wù)和效益追求的重要支點。

　　五、加強人員管理和教育培訓

　　個人信息處理者人員管理義務(wù)主要集中在合理確定個人信息處理的操作權(quán)限及定期對從業(yè)人員進行安全教育和培訓。這兩項管理義務(wù)均對個人信息處理者的動態(tài)風險管控水平提出較高要求?！缎畔踩夹g(shù)個人信息安全規(guī)范》第7.1條“個人信息訪問控制措施”和第11.6條“人員管理與培訓”中對此進行了細化規(guī)定。

　?。ㄒ唬┎僮鳈?quán)限控制

　　《信息安全技術(shù)個人信息安全規(guī)范》第7.1條有關(guān)“個人信息訪問控制措施”的要求已經(jīng)非常具體，可以作為落地細則出臺之前的合規(guī)方式參考。根據(jù)該條款，在操作權(quán)限控制方面，個人信息處理者應(yīng)當：“a）對被授權(quán)訪問個人信息的人員，應(yīng)建立最小授權(quán)的訪問控制策略，使其只能訪問職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數(shù)據(jù)操作權(quán)限；b）對個人信息的重要操作設(shè)置內(nèi)部審批流程，如進行批量修改、拷貝、下載等重要操作；c）對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色進行分離設(shè)置；d）確因工作需要，需授權(quán)特定人員超權(quán)限處理個人信息的，應(yīng)經(jīng)個人信息保護責任人或個人信息保護工作機構(gòu)進行審批，并記錄在冊；e）對個人敏感信息的訪問、修改等操作行為，宜在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。例如，當收到客戶投訴，投訴處理人員才可訪問該個人信息主體的相關(guān)信息”。

　?。ǘ┤藛T管理

　　《信息安全技術(shù)個人信息安全規(guī)范》第11.6條有關(guān)“人員管理與培訓”也作出了詳盡要求，包括個人信息處理者應(yīng)當：“a）應(yīng)與從事個人信息處理崗位上的相關(guān)人員簽署保密協(xié)議，對大量接觸個人敏感信息的人員進行背景審查，以了解其犯罪記錄、誠信狀況等；b）應(yīng)明確內(nèi)部涉及個人信息處理不同崗位的安全職責，建立發(fā)生安全事件的處罰機制；c）應(yīng)要求個人信息處理崗位上的相關(guān)人員在調(diào)離崗位或終止勞動合同時，繼續(xù)履行保密義務(wù)；d）應(yīng)明確可能訪問個人信息的外部服務(wù)人員應(yīng)遵守的個人信息安全要求，與其簽署保密協(xié)議，并進行監(jiān)督；e）應(yīng)建立相應(yīng)的內(nèi)部制度和政策對員工提出個人信息保護的指引和要求；f）應(yīng)定期（至少每年一次）或在個人信息保護政策發(fā)生重大變化時，對個人信息處理崗位上的相關(guān)人員開展個人信息安全專業(yè)化培訓和考核，確保相關(guān)人員熟練掌握個人信息保護政策和相關(guān)規(guī)程”。

　　除通用規(guī)定外，《個人金融信息保護技術(shù)規(guī)范》對于操作權(quán)限和人員管理也提出了其本身的特殊要求。例如，在操作權(quán)限方面，要求個人信息處理者應(yīng)將傳輸、處理、存儲個人金融信息的系統(tǒng)默認用戶權(quán)限設(shè)置為“拒絕所有訪問”；個人金融信息不應(yīng)在遠程訪問設(shè)備上留存等。在人員管理方面，《個人金融信息保護技術(shù)規(guī)范》要求系統(tǒng)開發(fā)人員、測試人員和運維人員之間不互相兼崗，對培訓和意識教育活動需要保存相關(guān)記錄。

　　六、制定并組織實施安全事件應(yīng)急預案

　　《網(wǎng)絡(luò)安全法》第25條和第34條均要求網(wǎng)絡(luò)運營者和關(guān)鍵信息基礎(chǔ)設(shè)施運營者制定應(yīng)急預案，并要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者對制定的預案進行定期演練?！秱€人信息保護法》將個人信息處理者的應(yīng)急制度要求拔高于普通的網(wǎng)絡(luò)運營者但低于關(guān)鍵信息基礎(chǔ)設(shè)施運營者，根據(jù)《個人信息保護法》的要求，個人信息處理者應(yīng)當“制定并組織實施個人信息安全事件應(yīng)急預案”，這意味著個人信息處理者在制定應(yīng)急預案之外，還應(yīng)不定期組織實施該應(yīng)急預案。個人信息處理者應(yīng)注意在日常運營中保留對應(yīng)急預案組織實施的證據(jù)，以作為履行個人信息處理者的合規(guī)憑證。

　　七、域外相關(guān)制度

　　GDPR和《加州消費者隱私法案》（CCPA）、《加州隱私權(quán)法案》（CPRA）具有相似性，即強調(diào)根據(jù)個人信息處理的風險，采取與之相適應(yīng)的安全保障措施。在列舉的具體措施方面，我國《個人信息保護法》相較于GDPR更為細致全面，明確了個人信息處理者對個人信息應(yīng)當實行分級管理、對從業(yè)人員定期展開安全培訓。

　?。ㄒ唬?span id="qsh1b7padf" class="candidate-entity-word" data-gid="1513769905798652007">歐盟GDPR第32條

　　根據(jù)該條規(guī)定：（1）采取安全措施的考慮因素包括：最新水平、實施成本、處理的性質(zhì)、處理的范圍、處理的語境與目的，以及處理給自然人權(quán)利與自由帶來的傷害可能性與嚴重性；在評估合適的安全級別的時候，應(yīng)當特別考慮處理所帶來的風險，特別是在個人數(shù)據(jù)傳輸、儲存或處理過程中的意外或非法銷毀、丟失、篡改、未經(jīng)授權(quán)的披露或訪問。（2）具體的安全措施包括：個人數(shù)據(jù)的匿名化和加密；保持處理系統(tǒng)與服務(wù)的保密性、公正性、有效性以及重新恢復的能力；在遭受物理性或技術(shù)性事件的情形中，有能力恢復對個人數(shù)據(jù)的獲取與訪問；具有為保證處理安全而常規(guī)性地測試、評估與評價技術(shù)性與組織性手段有效性的流程。

　?。ǘ都又菹M者隱私法案》和《加州隱私權(quán)法案》第1798.100條

　　根據(jù)《加州消費者隱私法案》和《加州隱私權(quán)法案》第1798.100條規(guī)定，采取安全措施考慮的因素包括：收集消費者個人信息的處理者應(yīng)根據(jù)按照個人信息的性質(zhì)實施合理的安全程序和做法。[1]但是，上述法律文件沒有規(guī)定具體的安全措施。

　?。ㄈ┯鴶?shù)據(jù)保護機構(gòu)Information?Commissioner#apos;s?Office（ICO）的安全措施核對清單[2]

　　英國數(shù)據(jù)保護機構(gòu)Information?Commissioner#apos;s?Office（ICO）的安全措施核對清單規(guī)定：（1）我們對我們的處理過程所帶來的風險進行分析，并以此來評估我們需要實施的適當?shù)陌踩剑唬?）在決定采取何種措施時，我們會考慮到最新的技術(shù)水平和實施成本；（3）我們有一個信息安全政策（或同等的政策），并采取措施確保該政策得到執(zhí)行；（3）必要時，我們會制定額外的政策，并確?？刂拼胧┑轿灰詧?zhí)行這些政策；（4）我們確保定期審查我們的信息安全政策和措施，并在必要時對其進行改進；（5）我們已經(jīng)通過考慮我們想要實現(xiàn)的安全結(jié)果來評估我們需要做什么；（6）我們已經(jīng)制定了基本的技術(shù)控制措施，例如像Cyber?Essentials這樣的既定框架所規(guī)定的措施；（7）我們知道，根據(jù)我們的情況和我們處理的個人數(shù)據(jù)的類型，我們可能還需要采取其他技術(shù)措施；（8）我們在適當?shù)那闆r下使用加密和/或假名化；（9）我們理解對我們處理的個人數(shù)據(jù)的保密性、完整性和可用性的要求；（10）我們確保在發(fā)生任何事件時能夠恢復對個人數(shù)據(jù)的訪問，例如建立一個適當?shù)膫浞莩绦?；?1）我們對我們的措施進行定期測試和審查，以確保它們保持有效，并根據(jù)測試結(jié)果對需要改進的地方采取行動；（12）在適當?shù)那闆r下，我們實施遵守經(jīng)批準的行為準則或認證機制的措施；（13）我們確保我們使用的任何數(shù)據(jù)處理器也實施適當?shù)募夹g(shù)和組織措施。