A. 个人信息处理者应当采取相应的加密
个人信息处理者应当采取相应的加密、去标识化等安全技术措施。
公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
符合下列情形之一的,个人信息处理者方可处理个人信息:
1、取得个人的同意;
2、为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
3、为履行法定职责或者法定义务所必需;
4、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
5、为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
6、依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
7、法律、行政法规规定的其他情形。
【法律法规】
《中华人民共和国个人信息保护法》
第十七条 个人信息处理者在处理个人信息前,应当以显着方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
B. 个人信息处理者在履行安全保障责任时需要采取哪些必要措施
《个人信息保护法》第九条规定:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。就实务而言,个人信息处理者所采取的“必要措施”可以分为技术措施与管理措施。从技术措施的角度来说,包括个人信息的去标识化存储、加密传输等。从管理措施的角度来说,企业宜在明确个人信息安全责任部门和个人信息安全负责人的基础上,设置必要的访问控制措施和个人信息安全管理制度,明确处理者内部各部门在个人信息处理上的职责划分,定期开展个人信息安全培训,制定必要的个人信息安全应急预案,从多个维度尽可能降低个人信息安全事件发生的可能性。