3月8日下午，提請十二屆全國人大第五次會議四審的民法總則草案，加大了保護個人信息的力度，在草案三審稿基礎上，增加規定，明確任何組織和個人應當確保依法取得的個人信息安全。

2016年8月，山東“徐玉玉事件”發生后，電信詐騙背后的個人信息泄露問題引發社會廣泛關注。同年10月，民法總則草案提請全國人大常委會二審，增加一條規定：“自然人的個人信息受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或者出售個人信息。”草案三審稿保留了這一規定。

草案四審稿在三審稿基礎上，作了補充規定：“自然人的個人信息受法律保護。任何組織和個人應當確保依法取得的個人信息安全，不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息。”

實際上，2013年9月1日起施行的《電信和互聯網用戶個人信息保護規定》第六條即規定：“電信業務經營者、互聯網信息服務提供者對其在提供服務過程中收集、使用的用戶個人信息的安全負責。”

中國青年政治學院法學院副教授王雷認為，草案四審稿的這一補充規定，從民事基本法層面吸納了電信和互聯網用戶個人信息保護規定，并擴展了其適用范圍。

他在接受澎湃新聞采訪說，現實中存在這樣一種情況，大量個人信息在采集時可能是合法的，但被采集后，信息收集人卻因某些原因，安全保障措施不到位，導致個人信息泄露、毀損、篡改或者丟失等。

他以醫院產科為例解釋說，產科在為孕婦建檔或者接生前后采集孕產婦或者新生兒個人信息，這本身是合法的，但如果不采取安全保障措施，就很有可能造成所采集個人信息泄露，很多母嬰產品或者服務的經營者會反復向孕產婦或其家人推銷相應產品或者服務，這會給受害人帶來很大的侵擾。

王雷認為，與信息收集人的安全保障義務相適應，個人信息權人授權其獨家收集的信息一旦被泄露，應該由信息收集人舉證證明自己已經對所收集的個人信息采取合理的安全保障措施，否則就需要對相關個人信息被泄露承擔法律責任。