A. 個人信息處理者應當採取相應的加密
個人信息處理者應當採取相應的加密、去標識化等安全技術措施。
公民個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
符合下列情形之一的,個人信息處理者方可處理個人信息:
1、取得個人的同意;
2、為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
3、為履行法定職責或者法定義務所必需;
4、為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
5、為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
6、依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
7、法律、行政法規規定的其他情形。
【法律法規】
《中華人民共和國個人信息保護法》
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、准確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,並且便於查閱和保存。第十四條 基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
B. 個人信息處理者在履行安全保障責任時需要採取哪些必要措施
《個人信息保護法》第九條規定:個人信息處理者應當對其個人信息處理活動負責,並採取必要措施保障所處理的個人信息的安全。就實務而言,個人信息處理者所採取的「必要措施」可以分為技術措施與管理措施。從技術措施的角度來說,包括個人信息的去標識化存儲、加密傳輸等。從管理措施的角度來說,企業宜在明確個人信息安全責任部門和個人信息安全負責人的基礎上,設置必要的訪問控制措施和個人信息安全管理制度,明確處理者內部各部門在個人信息處理上的職責劃分,定期開展個人信息安全培訓,制定必要的個人信息安全應急預案,從多個維度盡可能降低個人信息安全事件發生的可能性。