◆ 条文要旨

本条是对个人信息处理中的责任原则与安全原则的规定。

◆ 理解与适用

一、责任原则

（一）责任原则的意义

个人信息处理活动应当遵循责任原则（Accountability principle），即个人信息处理活动应当采取问责制，处理者是个人信息处理活动的首要责任主体，应当对其个人信息处理活动负责。一方面，个人信息处理者决定了个人信息和个人信息处理活动，其对处理活动具有控制力，基于控制力理论，处理者当然要为处理活动负责。另一方面，依据报偿原则，利益之所在，风险之所归。“如果一项法律允许一个人——或者是为了经济上的需要，或者是为了他自己的利益——使用物件、雇用职员或者开办企业等具有潜在危险的情形，他不仅应当享有由此带来的利益，而且也应当承担由此危险对他人造成任何损害的赔偿责任：获得利益者承担损失。”[133]个人信息处理者为了自己的利益而从事处理活动，自然人也应当为此负责。从比较法上来看，欧盟《一般数据保护条例》首次明确了数据控制者的可问责性，即责任原则，该条例第5条第2款规定：“控制者应该负责，并能够证明符合第1款。”该款将确保处理活动符合《一般数据保护条例》要求的责任以及相应的证明责任施加给控制者。《一般数据保护条例》所确立的责任原则包含两个要素：一是数据控制者要为确保处理活动的合规性（即符合《一般数据保护条例》的规定）而负责（responsibility）；二是数据控制者具有向监管机构证明此种合规性的能力（abiliity）。[134]《一般数据保护条例》中的责任原则是具有可执行性的，对于违反规定的控制者，依据该条例第83条的规定，可以处以1000万欧元的罚款，如果控制者是企业，最高罚款应为上一财务年度全球总营业额的2%，以金额较高者为准。

（二）责任原则的要求

我国《个人信息保护法》借鉴了欧盟《一般数据保护条例》的规定，在第9条也确立了责任原则，该条前半句明确规定：“个人信息处理者应当对其个人信息处理活动负责。”我国《个人信息保护法》依据责任原则对个人信息处理者提出了如下要求：

1.个人信息处理者应当考虑到处理的目的、处理的方式和处理的范围，以及处理活动给自然人的权益带来不同程度的风险，采取适当的措施确保个人信息处理活动的合法性。《个人信息保护法》第51条规定，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

2.个人信息处理者应当依法指定个人信息保护负责人对个人信息处理活动以及相应的保护措施等进行监督。依据《个人信息保护法》第52条第1款，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

3.个人信息处理者应当定期进行合规审计。《个人信息保护法》第54条规定，个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。

4.个人信息处理者要为其违法处理个人信息的行为承担相应的法律责任。对于违反法律规定处理个人信息的行政处罚，《个人信息保护法》第66条规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处100万元以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。处理个人信息侵害个人信息权益造成损害的，依据《个人信息保护法》第69条，除非个人信息处理者能够证明自己没有过错，否则要承担损害赔偿等侵权责任。

二、安全原则

（一）我国法的规定

个人信息处理中的安全原则，也被称为保密原则，即个人信息处理者应当采取必要措施保障所处理的个人信息的安全，防止出现个人信息的泄露、篡改、丢失。之所以要保护个人信息，就是因为个人信息是能够识别特定自然人的信息，该信息一旦被非法处理（如发生泄露、篡改或丢失）会对特定自然人的人格尊严以及人身财产权益造成损害，个人信息处理中必须确保信息的安全，防止出现个人信息未经授权或非法处理以及意外丢失、破坏或损坏。欧盟《一般数据保护条例》第5条第1款（f）项要求，个人数据应当“以确保个人数据适度安全的方式处理，包括使用适当的技术性或组织性措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施”。

《个人信息保护法》颁布前，我国一些法律就明确规定了个人信息处理者负有保障信息安全的义务。2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”此后，《网络安全法》第42条第2款规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”《民法典》第1038条第2款规定：“信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”

（二）安全原则的要求

《个人信息保护法》第9条要求个人信息处理者采取必要措施保障所处理的个人信息的安全。该法第51条则明确列举了个人信息处理者为保护个人信息安全，防止泄露、篡改、丢失而需要采取的具体措施：（1）制定内部管理制度和操作规程；（2）对个人信息实行分类管理；（3）采取相应的加密、去标识化等安全技术措施；（4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（5）制定并组织实施个人信息安全事件应急预案；（6）法律、行政法规规定的其他措施。此外，《个人信息保护法》第57条还规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

◆ 相关规定

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条；《网络安全法》第42条；《民法典》第1038条