民法总则草案四审稿个人信息保护升级：合法取得的也要保安全

3月8日下午，提请十二届全国人大第五次会议四审的民法总则草案，加大了保护个人信息的力度，在草案三审稿基础上，增加规定，明确任何组织和个人应当确保依法取得的个人信息安全。

2016年8月，山东“徐玉玉事件”发生后，电信诈骗背后的个人信息泄露问题引发社会广泛关注。同年10月，民法总则草案提请全国人大常委会二审，增加一条规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”草案三审稿保留了这一规定。

草案四审稿在三审稿基础上，作了补充规定：“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”

实际上，2013年9月1日起施行的《电信和互联网用户个人信息保护规定》第六条即规定：“电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。”

中国青年政治学院法学院副教授王雷认为，草案四审稿的这一补充规定，从民事基本法层面吸纳了电信和互联网用户个人信息保护规定，并扩展了其适用范围。

他在接受澎湃新闻采访说，现实中存在这样一种情况，大量个人信息在采集时可能是合法的，但被采集后，信息收集人却因某些原因，安全保障措施不到位，导致个人信息泄露、毁损、篡改或者丢失等。

他以医院产科为例解释说，产科在为孕妇建档或者接生前后采集孕产妇或者新生儿个人信息，这本身是合法的，但如果不采取安全保障措施，就很有可能造成所采集个人信息泄露，很多母婴产品或者服务的经营者会反复向孕产妇或其家人推销相应产品或者服务，这会给受害人带来很大的侵扰。

王雷认为，与信息收集人的安全保障义务相适应，个人信息权人授权其独家收集的信息一旦被泄露，应该由信息收集人举证证明自己已经对所收集的个人信息采取合理的安全保障措施，否则就需要对相关个人信息被泄露承担法律责任。