50.信息处理者在处理个人信息过程中，应当如何履行安全保护义务？

《民法典》第1038条专门对信息处理者的安全保护义务作了规定。该条从三个方面对信息处理者应当履行的安全保护义务作了规定：

一是信息处理者不得泄露、篡改、毁损其收集、存储的个人信息；未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。这是对信息处理者自身不得泄露、篡改、毁损、非法提供个人信息的要求。信息处理者自己主动泄露、篡改、毁损或者非法提供个人信息的行为是极为严重的违反安全保护义务的行为，也是一种故意侵犯个人信息权益的行为，不但要承担民事责任，造成严重后果的，还有可能承担刑事责任。《民法典》第1035条明确规定，除法律、行政法规另有规定外，处理自然人个人信息的，应当征得该自然人或者其监护人同意。根据这一规定的逻辑，信息处理者未经信息主体的同意就向他人提供个人信息，就属于泄露个人信息的具体情形。根据该条第2款的规定，本章中的“处理”包括向他人提供个人信息的行为，因此，信息处理者向他人提供个人信息必须经信息主体同意，否则将承担侵权责任。当然，第1038条同时也规定，个人信息经过加工无法识别特定个人且不能复原的，信息处理者可以不经信息主体同意向他人提供。经过加工无法识别特定个人且不能复原的信息就是经过匿名化处理的信息。随着大数据时代、人工智能时代的到来，海量的个人信息数据成为具有重大价值的资产，若对这些信息资产利用得当，必将产生巨大的社会效果，必将有力地推动经济的发展。而通过匿名化技术消除个人信息的信息主体身份特征后加以利用，成为利用这些信息数据的重要手段。个人信息通过匿名化技术处理后，信息主体很难再被识别出来，对其人格尊严也就不会产生损害，此时的匿名化信息已失去了个人信息最本质的特征，已不再属于个人信息，因此也就不需要适用个人信息保护的相关规则，信息处理者自然也就可以不经信息主体同意就向他人提供这些匿名化的信息。由于民法典属于民事基本法，对于判断“无法识别特定个人且不能复原的信息”的具体规则和要求，民法典并未作规定，这可以由将来的个人信息保护等特别法或者专门的行政法规、部门规章作出规定。

二是信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、毁损、丢失。信息收集者、控制者除了自己不得主动泄露、篡改、毁损、非法提供其收集、存储的个人信息外，还要积极采取措施确保其收集、存储的个人信息安全。这要求信息处理者要为个人信息的储存提供必要的安全环境。虽然民法典并没有将这些具体措施作具体化的规定，但原则上要求信息处理者在合理限度内采取必要措施保证信息安全。这些措施主要是技术手段，例如设置多重密码，设置防火墙以防止病毒入侵等。在确定具体采取哪些必要措施时，可以结合安全措施的成本和个人信息的性质内容来决定和判断。

三是发生或者可能发生个人信息泄露、毁损、丢失的情况的，应当及时采取补救措施，依照规定告知信息主体并向有关主管部门报告。如果信息处理者没有采取措施或者采取的措施不力，导致发生或者可能发生个人信息泄露、毁损、丢失的情况的，其既有及时采取补救措施的义务，同时还有依照规定告知信息者并向有关主管部门报告的义务，以防止个人信息进一步被泄露、毁损、丢失，避免损害的进一步扩大。判断是否构成本款规定的“及时”，要结合个人信息被处理和传播的速度，是否能使损害最小化。本款规定的补救措施，可以是民法典侵权责任编关于防止网络侵权的删除、断开连接、屏蔽措施，还包括其他可以减少损害的所有合理措施。第1038条所规定的“告知”和“报告”义务，必须是将相关的危险情况以可以理解的方式，清晰、明确、全面地告知当事人。