第一千零三十八条

第一千零三十八条

信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

【条文主旨】

本条是关于信息处理者承担义务的规定。

【条文理解】

本条相比于《民法典》人格权编一、二、三审稿，将第2款中的“防止信息泄露、毁损、丢失”改为“防止信息泄露、篡改、丢失”，表述更加严谨。现将本条规定解读如下：

一、信息处理者不得泄露、篡改个人信息的义务

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第3条规定：“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。”《网络安全法》第42条第1款规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”本条即是在上述规定基础上对信息处理者的信息保护义务作的规定。本条第1款前半句中的“泄露、篡改”等行为，广义上也属于对个人信息进行处理或者使用的形式。但从法律规定来看，上述行为由于没有经过个人同意，因此没有合法性基础。

本条第1款后半句明确了禁止未经权利人同意而非法提供个人信息的行为。“提供”既包括向不特定主体的公开，也包括向特定人提供数据。在大数据时代，信息或者数据是重要的生产与竞争资源。数据是信息在互联网世界得以存在的载体。也就是说，数据是信息的内容，信息是数据的内容。数据的技术处理、转让，以及第三方接入都是“向他人提供个人信息”的主要情形。对于这三类情形，一方面个人信息的提供需要征得原信息收集、控制者的同意，以获得相应的使用授权。另一方面，受托人、受让人或者第三方还应当充分告知个人信息主体，征得其同意，以保护个人信息所负有的人格利益，满足个人对相应个人信息的自主决定。

二、匿名化处理的义务

信息控制者在收集个人信息后，应当对个人信息进行匿名化处理。信息控制者之所以必须将个人信息进行匿名化处理，理由在于：（1）个人信息用于定向营销、数据库营销和商务智能分析的场景，信息业者关注的是消费者的群体特征，因此去除单个人的明确身份识别要素，并不影响信息业者对消费者群体特征的分析。（2）对个人信息进行匿名化处理，可以避免个人信息泄漏时信息主体被识别的可能性，降低个人信息使用、传输和共享时对信息主体造成损害的风险。本条第1款最后规定“经过加工无法识别特定个人且不能复原的信息除外”，是由于这类信息已经丧失个人信息所要求的直接或者间接可识别性的特征，故而不再属于个人信息，其流动不再受到权利人同意的限制。这其中最核心的内容就是匿名化处理的要求。

关于个人信息匿名化处理的具体标准，从域外法上看，欧盟相关法律认为一项有效的匿名化措施应当防止任何人从数据集中或从数据集中两项数据（或是两个独立数据集）中识别出单个个人或推断出任何信息。根据我国《网络安全法》第42条第1款的规定以及本条第1款的规定，匿名化处理应该达到经过加工无法识别特定个人且不能复原的程度。

三、信息处理者采取保护个人信息安全措施的义务

本条第2款规定信息处理者应当保障信息安全的义务。该条款延续了《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条和《网络安全法》第42条第2款的规定，要求信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、毁损、丢失。对确保信息安全义务的违反行为，与上述违反知情同意原则的行为有所不同，前者侧重于信息处理者有意在未经信息主体同意的情况下实施的信息收集与处理行为。本款则是第三人利用计算机病毒或者其他手段攻击信息控制者的计算机信息系统，由于信息处理者采取的确保网络信息安全的技术手段不符合相关标准，而造成的信息泄露、毁损或者丢失的现象。对于信息处理者所应当履行的确保信息安全的义务究竟应当达到何种程度，目前一些部门规章、规范性文件和国家标准对个人信息安全的技术标准进行了较为详细的规定，例如《信息安全技术个人信息安全规范》第10条和第11条对个人信息控制者如何处置个人信息安全事件，以及个人信息控制者组织内部的个人信息安全管理要求提供了详细的规定。如果信息处理者没有履行这些规章、规范性文件以及国家标准所要求的技术标准，造成了个人信息泄露、毁损、丢失的情形，也属于侵害个人信息的行为。

关于信息处理者履行采取技术措施和其他必要措施，确保其收集、存储的个人信息安全的义务的认定问题，必须要考虑个人信息的类型，尤其应分清是敏感信息还是非敏感信息的问题，比如14岁以下未成年人的个人信息、个人生理健康信息，如罹患某种疾病、个人生物识别信息，如指纹、人脸、个人行踪信息、个人违法犯罪记录等。对于个人敏感信息，信息处理者应当尽到更高的注意义务。此外，信息处理者采取的预防个人信息泄露、丢失的技术可能性及是否采取了相应的合理措施的情况、信息处理者自身情况也可以作为认定其履行相应义务的重要因素。

本款规定的数据泄露是指数据指向的主体不愿意让外界知道的信息被外界知晓，实质上是违背个人意愿的不正当的数据传播。在发生信息泄露后，信息处理者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。结合《网络安全法》第42条第2款的规定，网络运营者，在发生或可能发生个人信息泄露情况时，要按照有关规定及时告知信息主体并向有关主管部门报告。我们认为，此网络运营者应属于信息处理者的范畴。网络运营者包括网络的所有者、管理者和网络服务提供者，而网络服务提供者包括网络接入服务提供者和网络内容服务提供者两类。本款和《网络安全法》第42条第2款规定的信息处理者向主管部门报告后，为该主管部门做好信息数据保护，比如启动网络安全应急预案等，尽量减轻或者挽回损害奠定基础。此外，依据上述规定，在“发生或可能发生个人信息泄露、毁损、丢失的情况时”，一方面，要及时采取相应的补救措施来尽可能止损。另一方面，这些情况不限于信息泄露，都要履行相应的告知及报告义务。至于告知义务和报告义务的具体形式、内容及要求等，我国目前还没有具体的标准，这需要由相应的法律、行政法规或者部门规章等来予以规定。至于未履行相应通知、报告义务的后果，依据《网络安全法》第64条，违反泄露通知之规定，由有关主管部门责令改正，同时可以根据情节单处或者并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。而对于情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

【审判实践中应注意的问题】

一、要注意与《民法典》侵权责任编相关规定的衔接适用问题

对侵害个人信息的民事权益保护问题，侵权责任编关于网络侵权的规定可以与本条乃至本章的规定有机衔接。《民法典》侵权责任编中的第1194条至第1197条关于网络侵权责任的规定以及《信息网络规定》网络侵害个人信息的规定，可以与本条规定形成有机互补，共同构成保护个人信息的法律规范。比如该解释第12条在排除特定情形的情况下，明确规定了：“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”第14条第2款规定：“擅自篡改、删除、屏蔽特定网络信息或者以断开链接的方式阻止他人获取网络信息，发布该信息的网络用户或者网络服务提供者请求侵权人承担侵权责任的，人民法院应予支持。接受他人委托实施该行为的，委托人与受托人承担连带责任。”

此外，审判实务中存在的一个难题是，由于网络的匿名性问题，如何确定侵权人的个人身份，常常成为原告维护自身权利的障碍，但这又会导致网络服务提供者陷入两难境地。一方面，网络服务提供者负有对网络用户个人信息的保密义务；另一方面，在不少情形下，认为自己被侵权的主体又只能经网络服务提供者获得发布涉嫌侵权的网络用户的个人信息，进而确定被告并对其提起诉讼。所以，如果原告有权直接要求网络服务提供者向其提供网络用户的个人信息，则很容易发生借维权之名获取他人个人信息的现象，网络服务提供者也会违反相应的保密义务。但是，在不少情形下，如果网络服务提供者不提供相关个人信息，则被告就无法确定，原告维权就更加困难。《信息网络规定》对此问题的处理思路是：已经对网络服务提供者提起诉讼的原告，可请求人民法院依据案件情况，责令网络服务提供者提供涉嫌侵权的网络用户的有关个人信息。所谓根据案件情况，一是要看网络服务提供者是否以涉嫌侵权信息系网络用户发布作为抗辩事由；二是要看原告的此项请求是否合理，与案件审理的相关性；三是要看原告此项请求的可实现性，在技术上的可能性等。当然，如果人民法院责令网络服务提供者提供相关信息，网络服务者无正当理由拒不提供的，人民法院可以对其采取相关处罚措施。这种处理方式，从整体上看，是对原告要求网络服务提供者提供涉嫌侵权的网络用户个人信息的请求作出的一种司法上的审查。这既符合人民法院依职权调查取证的规则，也防止了个别人滥用权利，同时有利于网络服务提供者履行法定保密义务。比如在闫某与甲公司、乙公司侵犯名誉权、隐私权纠纷案中，某博客博主发表涉及原告个人隐私的文章，原告先后向两家公司发出律师函要求采取必要措施，甲公司在诉讼中未提交证据证明其采取了删除等必要措施，乙公司则提供证据证明采取了断开链接、删除等措施。原告起诉要求两公司提供博主的个人信息。法院裁判认为，原告要求甲公司提供博主的IP地址和全部注册信息，包括但不限于姓名、地址、联系方式等资料，由于两个博客的内容涉及了原告的人格权益，原告有权知晓该网络用户的个人信息以便主张权利，甲公司应当在网络技术力所能及的范围内，向原告披露上述两位博主的网络用户信息，以维护其保护自身合法权益的信息知情权，应予支持。通过诉讼的方式，由人民法院对原告请求网络服务提供者提供网络用户个人信息的要求进行审查后并作出判断，能够较好地实现两者的平衡。

二、要注意信息处理者篡改个人信息导致个人信息发生错误时所承担的侵权责任，与《民法典》第1036条权利人请求信息处理者更正错误的个人信息之间的关系

由于个人信息收集的常态化，即使是经过自然人允许的信息收集行为，也难免在收集、记载、转录等各个环节发生错误，错误有可能是由信息处理者的过错所导致，也有可能是权利人提供时发生错误，还有可能是由他人冒用权利人个人信息所导致。在后两种情况下有可能出现信息处理者已经尽到审核义务但仍未发现错误的情形。权利人依据本法第1036条请求信息处理者更改信息后，可能要求信息处理者赔偿由于错误信息导致的相关损失。对于此类案件，人民法院要依法运用举证责任规则，在合理分配双方举证责任的基础上，准确查明个人信息错误是由何种原因导致，进而确定信息处理者是否存在过错，从而判决其是否承担侵权责任。

另外，在发生个人信息的委托处理、转让等情况时，信息处理者不仅负有征得权利人同意的义务，同时还应当对受托人、受让人以及第三方进行个人信息安全影响评估，确保受托人、受让人以及第三方达到数据能力要求，同时应当对受托人、受让人、第三方行使一定的监督。若个人信息控制者得知或者发现受托人、受让人、第三方未按照约定要求处理个人信息，或未能有效履行个人信息安全保护责任时，应立即要求受托者停止相关行为，且采取或要求受托人、受让人和第三方采取相应技术措施（如更改口令、断开链接）或者其他必要措施，以消除或者控制个人信息面临的安全风险，必要时还应当要求受托人及时删除从个人信息处理者处获得的个人信息。若个人信息出现泄露、篡改等情形，人民法院在考虑信息处理者是否存在过错时，应当一并就其采取必要措施义务的情况予以考量。