央視新聞:兩成網民遭遇個人信息泄露，如何整治數據安全“重災區”？

VSole2022-03-30 06:59:52

2022年3月15日，中國信息通信研究院日前發布的《中國信息消費發展態勢報告》顯示，在消費群體方面，我國網民規模持續擴大突破十億。《報告》同時也提示警惕數據安全、個人信息泄露等風險。個人信息保護法實施以來，甘肅、江蘇等地公安機關就已破獲多起侵犯公民個人信息犯罪的案件。

甘肅省靈臺縣公安局不久前剛剛打掉一個全鏈條網上購銷公民個人信息的犯罪團伙。犯罪嫌疑人閆某某和胡某某利用經營店鋪，騙取用戶身份信息和手機號，非法注冊各類網絡賬號，這些網絡賬號最終都落入“網上號商”的犯罪團伙手中。警方發現這兩名嫌疑人背后還隱藏著一個犯罪團伙。今年2月到3月，專案組轉戰重慶、四川、云南，抓獲7名侵犯公民個人信息犯罪團伙成員。該團伙從2019年起組建微信群非法買賣公民個人信息，他們利用通信業務代理商身份，以贈送禮品、話費等方式為誘餌，騙取用戶個人信息后注冊各類網絡賬號，以每個賬號3元至20元價格出售，非法獲利近十萬元。

江蘇警方近日也破獲一個販賣公民個人信息的犯罪團伙。該團伙主要販賣股民和學生的信息，他們把個人信息稱作“料子”。“股民料子”包括炒股者姓名、手機號、交易所等信息；“學生料子”則包含家長姓名、電話、孩子就讀學校等。“料子”還分手撥料子和AI料子。手撥料子通過人工撥打，確認過真實性和可靠性。AI料子則是嫌疑人通過軟件隨機生成的電話號碼，沒有其他身份信息。經審查，從2018年至今，該團伙販賣公民個人信息20余萬條，獲利20余萬元。

中國互聯網絡信息中心《第49次中國互聯網絡發展狀況統計報告》顯示，截至2021年12月，有22.1%的網民遭遇個人信息泄露。公安機關提醒廣大群眾不要點擊、使用來源不明的鏈接、網站、手機APP，更不能將短信驗證碼提供給他人，嚴防信息泄露。

部分手機APP后臺監視用戶

隨著個人信息保護法的實施，加強個人信息保護，拒絕個人隱私在互聯網上“裸奔”已經有法可依。但仍有不少用戶覺得自己處在手機APP的監視下。很多網友都有過這種經歷，在網上看了某個物品或輸入一個關鍵詞，很快就會收到手機APP推送的相關廣告或信息。這是怎么回事呢？

在一家網絡安全機構，技術人員用檢測工具對兩款手機瀏覽器收集用戶信息行為進行了測試。技術人員復制了一個模擬的銀行賬號密碼，盡管此時并沒有使用瀏覽器，但檢測工具卻在瀏覽器調用的一段程序中發現了那個銀行賬號密碼。

網絡安全工程師呂石奎：這款APP讀取了我們復制的銀行卡號和密碼。它拿走的這個過程，實際是明文拿走，并沒有做相關的加密處理。

技術人員接著又在手機上選擇了測試用的電話號碼和短信，并把瀏覽器轉入后臺運行，這兩次操作的內容同樣被瀏覽器讀取，包括在電商平臺上瀏覽的商品信息也被兩款被測試瀏覽器完整記錄。其中一款瀏覽器在進程被關閉的狀態下，仍然能夠記錄用戶行為。

建立“雙清單” 保護公民個人信息

為了讓用戶清晰掌握手機APP調用和索取個人信息的活動，工信部此前就提出要建立個人信息保護的“雙清單” 。

專家指出，手機APP在正常使用過程中會出現調用個人信息和索取權限的活動，不同手機APP之間有時也需要共享位置、通訊錄等敏感信息，這增加了個人信息保護的監管難度。為了讓用戶清晰掌握個人信息在手機APP及第三方間共享的情況，工信部提出建立個人信息保護“雙清單”，要求相關企業建立已收集個人信息清單和與第三方共享個人信息清單。

中國信息通信研究院泰爾終端實驗室信息安全部主任寧華：要求企業在“二級菜單”中簡潔、清晰列出“第三方共享個人信息清單”，包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。

多措施整治違規收集使用個人信息等行為

為了治理APP違規收集使用個人信息和欺騙誘導用戶提供個人信息等問題，工信部委托中國信息通信研究院聯合互聯網、手機終端、電信運營商等產業鏈各環節成立APP用戶權益保護標準工作組，按照“知情同意”和“最小必要”原則組織制定了《APP收集使用個人信息最小必要評估規范》《APP用戶權益保護測評規范》等標準，明確了檢測要求和方法，為監管提供了更加明確的監管依據。

記者從工信部了解到，首批主要互聯網企業已經在去年年底基本完成個人信息保護“雙清單”的設置。在某款手機APP上，用戶點開菜單就可以查看這個APP已經收集的用戶個人信息種類、使用目的、使用場景以及與第三方共享的個人信息和共享方式等。手機終端企業也按照工信部要求開發了APP權限最小化推薦等功能，主動對手機上的APP過度索取權限行為做出規范和限制。

電信運營商則通過區塊鏈技術的防竄改特性來追蹤防范個人信息泄露風險。

電信運營商信息安全中心負責人溫暖：我們會將操作日志的數據特征上區塊鏈，確保它不能被竄改，同時再定期進行校驗。如果日志一旦被竄改就說明存在問題。我們就會以風險的方式核查具體的事件。

據了解，工信部通過制定標準、技術檢驗、專項整治、行業自律等措施，大力整治違規收集使用個人信息等侵害用戶權益行為。去年累計檢測208萬款APP，通報1549款違規APP，對514款拒不整改的APP進行下架處理。

信息安全數據安全

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

關于第38次全國計算機安全學術交流會征文的通知

2023-03-21 10:48:19

本次年會由公安部網絡安全保衛局指導，中國計算機學會主辦，計算機安全專業委員會承辦。網絡安全作為網絡強國、數字中國的底座，將在未來的發展中承擔托底的重擔，是我國現代化產業體系中不可或缺的部分。為辦好本次大會，充分發揮專委會在服務國家網絡安全戰略發展需要，促進學術成果交流，提升學術研究水平的作用，本次會議的主題為“夯實網絡安全防線，構建中國式現代化網絡強國”。

信查查8月網絡安全宣傳月：網安則國安，國安則民安

2022-08-01 10:04:14

信查查通過多年在網絡安全行業的耕耘，成為了眾多單位、電信、銀行、電商、高等院校、醫院、企業等單位的長期合作伙伴。從個人層面來看，網安問題會帶來私人信息泄露，進而威脅生命、財產安全。從政企層面來看，關鍵數據資產的泄露可能招致國家網絡信息系統被攻擊的危險，尤其是針對關鍵性基礎設施的網絡攻擊會導致重大國家安全事故。

天融信獨家承辦的2022年中國工業信息安全大會數據安全分論壇成功舉行！

2023-01-11 10:13:11

構建安全數據底座，護航數字經濟發展。數據已成為數字經濟時代最為活躍的新型生產要素。

數據安全能力建設實施指南

2021-10-02 13:45:24

本指南依據《信息安全技術 數據安全能力成熟度模型》（簡稱DSMM）制定，以數據為核心，重點圍繞數據生命周期，從組織建設、制度流程、技術工具和人員能力等四個方面，提供數據安全能力建設的具體實施指南，為組織數據安全能力建設提供參考。

證券期貨行業如何做好數據安全管理與保護

2022-12-06 07:21:59

指引制定背景隨著近年來相關法律法規與行業標準相繼出臺，數據安全體系建設的監管要求日趨嚴格。基本原則在過程域劃分原則上，指引中的數據存儲階段涵蓋了數據刪除和數據銷毀兩個環節，進行了部分環節的合并與調整。同時指引還針對數據安全管理部門、合規風控部門、業務管理部門、信息技術部門和內部審計部門明確了各部門的數據安全管理職責的責任劃分，建立了數據安全工作分工協作的機制。

數據安全需求全面升級下的市場機遇和挑戰

2022-07-19 11:18:29

遇到的考驗與挑戰數據安全治理咨詢現狀數據安全治理指的是數據安全分類分級、個人數據風險評估等與數據安全相關的咨詢服務。為解決客戶的數據安全分類分級及數據風險評估，明朝萬達提供了一整套的底層基礎能力，支撐對客戶的數據安全分類分級和數據風險評估的數據安全領域的咨詢團隊、專用工具集、方法論和經驗沉淀、數據安全產品及研發團隊和駐場人員。

工業互聯網數據安全治理實踐

2022-12-06 09:18:51

數據時代，數據自身安全以及數據保護的安全成為關注的重點，工業化互聯網數據安全成為工業互聯網發展的重要基礎，隨著《數據安全法》的正式頒布，數據在安全體系中占據了核心地位。其中，數據信息安全強調保護數據資產不受意外或未經授權的訪問、更改或破壞，確保其可用性、完整性和機密性。流入控制系統的信息必須受到充分保護，同時還要保護物理過程的安全性和彈性。

電信領域數據安全標準體系現狀與思考

2022-05-18 13:15:38

數據安全問題涉及公眾利益、社會穩定與國家安全，亟需規范安全管理，加強安全防護。而數據安全標準是開展數據安全管理、規范行業數據安全要求、指導企業提升數據安全能力的重要抓手。

數據安全治理現狀研究與分析

2022-04-03 07:29:01

近年來，國內外數據泄露事件頻發，大量企業的商業利益、聲譽受損。數據安全法律法規相繼頒布，監管力度不斷升級，企業逐漸意識到數據安全治理的重要性與緊迫性。通過對2021年開展的企業數據安全治理能力評估現狀進行整理，總結企業數據安全治理工作在組織建設、人才培養、技術工具等方面的現狀與趨勢，提供能力提升思路，以供業界參考。

《數據安全法》指導下的數據安全發展

2021-11-29 14:50:44

作為我國數據安全領域的基礎性法律、國家安全領域的重要法律，《數據安全法》的出臺體現了當前數字經濟發展對安全的關鍵需求，為我國數據安全的發展之路提供了指引。

VSole

網絡安全專家