随着信息化与经济社会持续深度融合，个人信息的收集、使用更为广泛。现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰他人生活安宁、危害人民群众生命健康和财产安全等问题十分突出。近年来，我国加强了个人信息保护立法，《民法典》第一百一十一条规定了自然人的个人信息受法律保护，同时在“人格权编”专章对个人信息保护进行规定。《个人信息保护法》《邮政法》以及有关法律法规作出了更加具体的规定。邮政企业在向用户提供服务过程中也涉及大量的个人信息，必须强化用户个人信息的合规管理，切实维护用户享有的个人信息受法律保护的权利，纵深推进数字邮政高质量发展。 

　　个人信息处理应遵循的规则。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。对邮政服务而言，主要是寄件人与收件人的姓名、地址、身份证件号码、电话号码以及详情单码号、物品明细。个人信息的“处理”包括收集、存储、使用、加工、传输、提供、公开、删除等活动。依照《民法典》《个人信息保护法》的规定，邮政企业处理个人信息应遵循以下规则：一是处理个人信息应遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。二是处理个人信息应具有明确、合理的目的，并应与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应限于实现处理目的的最小范围，不得过度收集个人信息。三是处理个人信息应遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。四是处理个人信息一般应取得本人同意。除为订立、履行个人作为一方当事人的合同等法定情形外，一般而言，取得用户同意，是处理邮政服务个人信息的前提条件。基于用户同意处理其个人信息的，该同意应在用户充分知情前提下自愿、明确作出。如果法律、行政法规明确处理个人信息应当取得个人单独同意或者书面同意的，应当依照其规定。五是处理个人敏感信息须遵循特定规定。由于个人敏感信息（如人脸信息）一旦泄露或者非法使用，容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害，因此只有在具有特定的目的和充分必要性，并已经采取了严格保护措施的情形下，方可以处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，应从其规定。 

　　信息处理者应承担的个人信息保护义务。根据《民法典》《个人信息保护法》等有关规定，邮政企业作为信息处理者应承担以下义务：一是不得泄露、篡改或者非法提供个人信息。《民法典》规定，信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。《邮政法》第三十五条第二款也明确规定，除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。二是采取技术措施和其他必要措施的义务。《民法典》规定，信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。《个人信息保护法》《网络安全法》《快递暂行条例》也提出了相应的要求。三是及时采取补救措施和报告的义务。《民法典》明确，发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。 

　　违反个人信息合规义务的法律责任。《个人信息保护法》第六十六条第一款规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，处100万元以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。”该条第二款还明确，上述行为情节严重的，最高可处以5000万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照；对直接负责的主管人员和其他直接责任人员最高可处100万元以下罚款并实施行业禁入。此外，《邮政法》《快递暂行条例》也为履行个人信息合规义务的单位规定了相应的行政责任。违法处理个人信息造成损害的，应当依照《民法典》的规定承担损害赔偿侵权责任；如侵害众多个人的权益的，人民检察院、法律规定的消费者组织和国家网信部门确定的组织可以提起公益诉讼。出售或者非法提供公民个人信息构成犯罪的，依照《刑法》第二百五十三条之一的规定追究刑事责任。（作者系中国快递协会法律事务专业委员会专家委员、石家庄邮电职业技术学院/中国邮政集团有限公司培训中心兼职教授）