第165页

    2.其他情形
    除了经过加工无法识别特定个人且不能复原的信息可以不经被收集者同意而提供给他人外，还存在一些可以在没有得到被收集者同意的情况下而将信息提供给他人的情况。例如，日本《个人信息保护法》第23条第1款规定：“除下列情形外，个人信息处理业者不得未事先取得本人的同意，而将其个人数据提供给第三人：（一）以法令为依据的情形；（二）为保护人的生命、身体或财产而有必要，却又难以取得本人同意的情形；（三）为提高公众卫生或者推进儿童的健康成长而有特殊必要，却又难以取得本人同意的情形；（四）有为国家机关或地方公共团体或者受其委托的主体执行法令规定的事务而提供协助的必要，却又有可能因取得本人的同意而对该事务的执行造成障碍的情形。”
    在我国，依据《民法典》第1035条第1款第1项和第1036条第2、3项之规定，符合以下情形之一的，也可以不经被收集人同意而将个人信息提供给他人：其一，法律、行政法规有明确规定的情形；其二，提供的信息是自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息将侵害其重大利益的除外；其三，为维护公共利益或者该自然人合法权益而合理实施的将个人信息提供给他人的行为。
    
    
    三、保证个人信息安全的义务
    
    （一）保证个人信息安全的义务的内容
    个人信息被收集后要加以储存、保管，除了禁止信息处理者泄露、篡改或非法提供个人信息外，最重要的是对处理者提出具体的要求，强制其采取相应的措施，保护个人信息的安全。我国实践中之所以出现大量的电信诈骗案件，很重要的原因就是处理者没有采取相应的措施来确保个人信息的安全，从而导致了个人信息被泄露、篡改或丢失。故此，《民法典》第1038条第2款规定：“信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，依照规定告知自然人并向有关主管部门报告。”《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”《网络安全法》第42条第2款也规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”由此可见，信息处理者负有的保证个人信息安全的义务内容包括以下两项。
    1.采取技术措施确保个人信息安全
    所谓技术措施，是指通过对个人信息进行加密、匿名，采取更安全可靠的数据系统、存储措施，采取防止黑客等第三方非法入侵信息系统等技术上的手段措施，从而实现保证个人信息安全，防止个人信息泄露、窃取、篡改、毁损、灭失。例如，欧盟《一般数据保护条例》第32条第1、2款规定：“1.考虑行业现状、实施成本、处理性质、范围、目的，以及处理活动可能的风险和处理可能给自然人权利自由造成影响的程度，控制者、处理者应当实施适当的技术性和组织性措施，以确保与风险相适应的安全等级，视情况而定包括：（a）个人数据的匿名和加密；（b）确保处理系统和服务的保密性、完整性、可用性以及系统可恢复性的能力；（c）在发生物理或者技术故障的情况下，个人信息的恢复可用性及可访问性；（d）对技术性及组织性措施的有效性定期进行测试、访问、评估，以确保处理过程的安全性。2.安全账户等级评估应当特别考虑处理过程中的风险，特别是在个人数据的传输、存储以及其他方式的处理过程中意外或非法销毁、灭失、变更、未经授权披露或者访问。”
    对于非数据化形式存在的个人信息（如存在于纸面上的个人信息）以及虽然被数据化但存储于未连接互联网的计算机中的个人信息而言，安全措施无非就是防火、防盗、防潮等，容易实施。复杂的是以数据形式存储于网络信息系统中的个人信息，为此我国《网络安全法》《计算机信息系统安全保护条例》《电信条例》等法律法规作出了详细的规定。
    首先，针对网络运营者采取技术措施保障数据信息安全的义务，《网络安全法》第21条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。”所谓网络安全等级保护，是指根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭受破坏、丧失功能或者数据被篡改、泄露、丢失、毁损后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等，对网络安全保护实行分级保护的制度。具体而言，分为五个网络安全保护等级：第一级，一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络；第二级，一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成严重损害，或者对社会秩序或公共利益造成危害，但不危害国家安全的一般网络；第三级，一旦受到破坏会对相关公民、法人和非法人组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络；第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络；第五级，一旦受到破坏会对国家安全造成特别严重危害的极其重要网络。因此，网络服务提供者应当根据自己所提供的网络的评级与定级结果，采取不同的网络安全保护措施。
    其次，对于关键信息基础设施的运行安全的特别规定。所谓关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、