本站支持IPv6

菜单导航
产品介绍
解决方案
信息安全服务
下载专区
服务支持
旗下品牌
解决方案
金融篇
电子商务篇
移动篇
企业信息化篇
信息安全基础篇
电子政务篇
电子数据司法实践
旗下品牌
旗下品牌

盘点!2019年度个人信息保护十大事件

字号:

  2017年6月1日,《网络安全法》正式实施,对个人信息保护提出了总体要求。随后发布的《信息安全技术 个人信息安全技术规范》(GB/T 35273-2017),则第一次从国家标准层面为企业和机构落实个人信息保护提供了标准和依据。

  如果说2017年是个人信息保护的“开局之年”,那么即将结束的2019年可以说是个人信息保护的“攻坚之年”。《个人信息保护法》、《数据安全法》也纳入立法规划,国家加强了对个人信息保护的联合查处力度,尤其在金融、电信、互联网、大数据等与个人信息密切相关的行业,相关规范和技术标准陆续出台,对侵犯个人信息的打击和整治力度不断加大,个人信息保护正逐步成为国家法制建设、网络空间安全建设、网络生态文明建设的战略要地。

  作为一家综合的信息安全服务提供商,中国金融认证中心(CFCA)在个人信息保护、数据安全治理等领域深耕多年。值此岁末年初之际,特总结2019年国内个人信息保护领域影响较大的十大事件(按发生先后顺序),希望能为各行业开展个人信息保护工作提供有益参考。

  事件一:四部门联合开展APP违法违规收集使用个人信息专项治理

  2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。

  随着互联网的飞速发展,移动互联网应用程序(APP)得到了广泛的使用,但是,APP强制授权、过度索权、超范围收集个人信息等问题也日益严重。为切实治理个人信息使用存在的乱象,四部门决定全面开展APP违法违规收集个人信息的专项治理行动。

  此次专项治理重点开展了以下工作:一是组织相关专业机构,对用户数量大、与民众生活密切相关的APP隐私政策和个人信息收集使用情况进行评估。二是加强对违法违规收集使用个人信息行为的监管和处罚,包括责令有关APP运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。三是公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击涉及个人信息的违法犯罪行为。四是开展自愿性APP个人信息安全认证,鼓励搜索引擎、应用商店等进行明确标识,并优先推荐通过认证的APP。

  此次行动的意义重大,将全面整治应用程序市场的权限滥用乱象,更好的保护个人信息安全。

  事件二:某人脸识别公司被曝百万数据泄露

  2019年2月,国内某人脸识别公司发生了大规模的数据泄露,预估泄露人脸数据达250万,近700万条包含个人姓名、身份证号码、性别、家庭住址和照片等重要个人信息遭泄露。据悉,此公司利用深度学习和人工智能等技术在监控视频中分析,用于人脸识别和人物画像分析。由于生物特征的唯一性,如人脸、虹膜、指纹等特征信息一旦泄露,后果非常严重。

  2019年8月,中国人民银行科技司司长李伟发文称生物识别技术正迅速在各行各业推广应用,要冷静看待生物识别技术。李伟表示,技术是把双刃剑,用户体验不断提升的同时,技术防攻击性和安全性所面临的挑战也越发严峻。如何在风险可控的前提下稳妥应用新技术,如何保障数据安全、信息安全、金融安全,正日益成为关注焦点。

  中国人民银行作为监管部门之一,对于新技术在金融领域的应用高度敏感,已于2018年10月出台了《移动金融基于声纹识别的安全应用技术规范》,并正在加快制定人脸识别、活体检测、个人信息保护等相关标准。然而,生物识别技术的应用与监管已远超金融范畴,亟待加强顶层设计,完善相关法律法规,形成以《网络安全法》和正在制定出台过程中的《个人信息保护法》、《数据安全法》为“骨架”,以诸多细则条款和相关标准为“血肉”的多维度、立体式监管体系,防止系统性风险发生。

  事件三:《个人信息保护法》列入本届人大立法规划

  2019年3月4日,十三届全国人大二次会议将《个人信息保护法》列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。

  随着数字经济的快速发展,因个人信息不当收集、滥用、泄露导致的公民权益受到侵害的事件时有发生,通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。

  《个人信息保护法》将上承《网络安全法》中个人信息保护相关要求,下接《信息安全技术 个人信息安全技术规范》(GB/T 35273-2017)等技术标准,横向打通《中华人民共和国民法总则》、《刑法修正案(九)》、《全国人大常委会关于加强网络信息保护的决定》、《网络安全等级保护条例》等法律法规,制定一部超脱民法、刑法、行政法的,独立的个人信息保护法律,才能为个人信息保护提供全面针对性的法律支撑。

  事件四:市场监管总局中央网信办公告开展APP安全认证工作

  2019年3月15日,从国家市场管理总局发布的公告获悉,国家市场监管总局与中央网信办联合启动APP安全认证工作,旨在规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护。随后由中国网络安全审查技术与认证中心(CCRC)等单位编制的《移动互联网应用程序(APP)安全认证实施规则》出台,此标准是为落实中央网信办、工信部、公安部、市场监管总局《关于开展App违法违规收集使用个人信息专项治理的公告》相关认证要求而建立的。

  《移动互联网应用程序(App)安全认证实施规则》规定,若互联网应用程序存在下列情况之一的,不得申请认证:一、违反相关法律法规;二、一年内发生过重大信息安全事件;三、所持同类证书在撤销认证影响期内;四、规定的其他情况。

  事件五:三部门联合发布《互联网个人信息安全保护指南》

  2019年4月,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所等单位共同研究制定的《互联网个人信息安全保护指南》正式发布,旨在全面贯彻落实《网络安全法》,有效指导个人信息持有者健全公民个人信息安全,明确了适用范围,包含通过互联网提供服务的企业,以及使用专网或非联网环境控制和处理个人信息的组织或个人。因此,无论传统互联网企业,还是金融、教育、物流等行业都需要参考该指南落实个人信息保护。

  事件六:百款常用APP申请收集使用个人信息权限情况公布

  2019年5月,网信办公布了《百款常用APP申请收集使用个人信息权限情况》报告,涉及大量常用APP的权限索要情况。报告调查了包括存储、个人位置、短信、麦克风、相机等多达20余种权限的索要情况,同时,对于部分APP存在的“用户不同意开启,则APP无法安装或运行的权限数”也做了记录,基本能让用户全面了解这百款常用APP是否存在权限滥用的风险。

  事件七:工信部开展提升网络数据安全保护能力专项行动

  近年来,随着大数据科技的飞速发展和广泛应用,带来的数据泄露、滥用、过度采集等问题日益凸显。2019年7月,工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,开展为期一年的行业提升网络数据安全保护能力专项行动,全面提升行业网络数据安全和个人信息隐私安全保护能力,加快推动构建行业网络数据安全综合保障体系,为建设网络强国、助力数字经济发展提供有力保障和重要支撑。

  方案提出,2019年10月底前,完成全部基础电信企业、50家重点互联网企业以及200款主流APP数据安全检查;2020年7月底前,进一步完善网络数据安全制度标准体系,形成行业网络数据保护目录,制定15项以上行业网络数据安全标准规范,贯标试点企业不少于20家等要求。

  方案的贯彻落实可以加快完善网络数据安全制度的规范和体系,强化网络数据安全管理,加强网络数据安全技术手段建设,从而推动行业网络数据安全综合保障体系。

  事件八:国家网信办发布《儿童个人信息网络保护规定》

  2019年8月,国家互联网信息办公室发布了《儿童个人信息网络保护规定》,明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,网络运营者收集、使用、转移、披露儿童个人信息的,应征得儿童监护人的同意。督促网络运营者做好儿童个人信息安全保护的相关工作和全社会信息制度的建设,为儿童健康成长营造安全的网络环境。

  事件九:大数据风控行业迎来最严整治

  2019年9月,大数据风控行业迎来史上最严查处,杭州、深圳等多地公安出动警力,带走多家大数据风控平台高管协助调查。受此消息冲击,在杭州某大数据公司的高管被带走当晚,上海某大数据风控平台随即向商户下发通知,表示将暂停对外提供用户授权的运营商爬虫服务。

  根据《网络安全法》,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。此次查处有效整治了大数据行业乱象,为促进行业健康有序发展开了一个好头。

  事件十:《个人金融信息保护试行办法》征求意见

  2019年10月,《个人金融信息(数据)保护试行办法》(初稿)出炉,央行已下发到各家银行征求意见。该办法规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息”。《办法》颁布实施后,银行将对提供数据服务的第三方机构进行审核,对于不能保证数据来源合法的供应商要停止合作。日前,已有银行停止了与部分第三方数据提供商的合作。

  随着《个人金融信息(数据)保护试行办法》即将颁布实施,以及金融行业配套技术标准《个人金融信息保护技术规范》进入公示阶段,在这些法规和标准的支撑下,金融监管机构对个人信息的整顿将逐步加强与收紧,走向深水区。

  近年来,全球网络攻击和个人信息泄露事件频发,引发社会广泛关注。《网络安全法》《信息安全技术 个人信息安全规范》陆续施行,网信办、公安局、中国人民银行、银保监会等监管部门也依据相关法律规范开展约谈、执法检查和行政处罚。

  个人信息保护事关组织业务安全、服务可信度、竞争力和企业声誉,各组织应深入分析个人信息保护与流转、安全与使用的关系,以“客户价值”为指引,以“安全风险”为导向,以“数据价值”为中心,以“安全即服务”为技术路线,加强身份认证、即时加密、动态脱敏、标记化、机器学习、数据感知、动态防御等技术与相关业务深度融合,打造数据安全防护体系,满足新形势下的监管要求。

  针对数据安全/个人信息/隐私保护需求,CFCA与行业合作伙伴推出了相关数据安全服务,包括数据分类分级识别、敏感数据识别的现状梳理;数据安全风险评估、数据安全能力成熟度评估、数据安全合规评估/咨询;数据安全治理体系咨询、数据安全/个人信息/隐私相关国内外认证等服务,并提供业务流向可视化梳理、数据流转全息画像解决方案。

  作者:隆峰

责任编辑:韩希宇