央视新闻:两成网民遭遇个人信息泄露，如何整治数据安全“重灾区”？

VSole2022-03-30 06:59:52

2022年3月15日，中国信息通信研究院日前发布的《中国信息消费发展态势报告》显示，在消费群体方面，我国网民规模持续扩大突破十亿。《报告》同时也提示警惕数据安全、个人信息泄露等风险。个人信息保护法实施以来，甘肃、江苏等地公安机关就已破获多起侵犯公民个人信息犯罪的案件。

甘肃省灵台县公安局不久前刚刚打掉一个全链条网上购销公民个人信息的犯罪团伙。犯罪嫌疑人闫某某和胡某某利用经营店铺，骗取用户身份信息和手机号，非法注册各类网络账号，这些网络账号最终都落入“网上号商”的犯罪团伙手中。警方发现这两名嫌疑人背后还隐藏着一个犯罪团伙。今年2月到3月，专案组转战重庆、四川、云南，抓获7名侵犯公民个人信息犯罪团伙成员。该团伙从2019年起组建微信群非法买卖公民个人信息，他们利用通信业务代理商身份，以赠送礼品、话费等方式为诱饵，骗取用户个人信息后注册各类网络账号，以每个账号3元至20元价格出售，非法获利近十万元。

江苏警方近日也破获一个贩卖公民个人信息的犯罪团伙。该团伙主要贩卖股民和学生的信息，他们把个人信息称作“料子”。“股民料子”包括炒股者姓名、手机号、交易所等信息；“学生料子”则包含家长姓名、电话、孩子就读学校等。“料子”还分手拨料子和AI料子。手拨料子通过人工拨打，确认过真实性和可靠性。AI料子则是嫌疑人通过软件随机生成的电话号码，没有其他身份信息。经审查，从2018年至今，该团伙贩卖公民个人信息20余万条，获利20余万元。

中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示，截至2021年12月，有22.1%的网民遭遇个人信息泄露。公安机关提醒广大群众不要点击、使用来源不明的链接、网站、手机APP，更不能将短信验证码提供给他人，严防信息泄露。

部分手机APP后台监视用户

随着个人信息保护法的实施，加强个人信息保护，拒绝个人隐私在互联网上“裸奔”已经有法可依。但仍有不少用户觉得自己处在手机APP的监视下。很多网友都有过这种经历，在网上看了某个物品或输入一个关键词，很快就会收到手机APP推送的相关广告或信息。这是怎么回事呢？

在一家网络安全机构，技术人员用检测工具对两款手机浏览器收集用户信息行为进行了测试。技术人员复制了一个模拟的银行账号密码，尽管此时并没有使用浏览器，但检测工具却在浏览器调用的一段程序中发现了那个银行账号密码。

网络安全工程师吕石奎：这款APP读取了我们复制的银行卡号和密码。它拿走的这个过程，实际是明文拿走，并没有做相关的加密处理。

技术人员接着又在手机上选择了测试用的电话号码和短信，并把浏览器转入后台运行，这两次操作的内容同样被浏览器读取，包括在电商平台上浏览的商品信息也被两款被测试浏览器完整记录。其中一款浏览器在进程被关闭的状态下，仍然能够记录用户行为。

建立“双清单” 保护公民个人信息

为了让用户清晰掌握手机APP调用和索取个人信息的活动，工信部此前就提出要建立个人信息保护的“双清单” 。

专家指出，手机APP在正常使用过程中会出现调用个人信息和索取权限的活动，不同手机APP之间有时也需要共享位置、通讯录等敏感信息，这增加了个人信息保护的监管难度。为了让用户清晰掌握个人信息在手机APP及第三方间共享的情况，工信部提出建立个人信息保护“双清单”，要求相关企业建立已收集个人信息清单和与第三方共享个人信息清单。

中国信息通信研究院泰尔终端实验室信息安全部主任宁华：要求企业在“二级菜单”中简洁、清晰列出“第三方共享个人信息清单”，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

多措施整治违规收集使用个人信息等行为

为了治理APP违规收集使用个人信息和欺骗诱导用户提供个人信息等问题，工信部委托中国信息通信研究院联合互联网、手机终端、电信运营商等产业链各环节成立APP用户权益保护标准工作组，按照“知情同意”和“最小必要”原则组织制定了《APP收集使用个人信息最小必要评估规范》《APP用户权益保护测评规范》等标准，明确了检测要求和方法，为监管提供了更加明确的监管依据。

记者从工信部了解到，首批主要互联网企业已经在去年年底基本完成个人信息保护“双清单”的设置。在某款手机APP上，用户点开菜单就可以查看这个APP已经收集的用户个人信息种类、使用目的、使用场景以及与第三方共享的个人信息和共享方式等。手机终端企业也按照工信部要求开发了APP权限最小化推荐等功能，主动对手机上的APP过度索取权限行为做出规范和限制。

电信运营商则通过区块链技术的防窜改特性来追踪防范个人信息泄露风险。

电信运营商信息安全中心负责人温暖：我们会将操作日志的数据特征上区块链，确保它不能被窜改，同时再定期进行校验。如果日志一旦被窜改就说明存在问题。我们就会以风险的方式核查具体的事件。

据了解，工信部通过制定标准、技术检验、专项整治、行业自律等措施，大力整治违规收集使用个人信息等侵害用户权益行为。去年累计检测208万款APP，通报1549款违规APP，对514款拒不整改的APP进行下架处理。

信息安全数据安全

撤稿纠错

本作品采用《CC 协议》，转载必须注明作者和本文链接

关于第38次全国计算机安全学术交流会征文的通知

2023-03-21 10:48:19

本次年会由公安部网络安全保卫局指导，中国计算机学会主办，计算机安全专业委员会承办。网络安全作为网络强国、数字中国的底座，将在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。为办好本次大会，充分发挥专委会在服务国家网络安全战略发展需要，促进学术成果交流，提升学术研究水平的作用，本次会议的主题为“夯实网络安全防线，构建中国式现代化网络强国”。

信查查8月网络安全宣传月：网安则国安，国安则民安

2022-08-01 10:04:14

信查查通过多年在网络安全行业的耕耘，成为了众多单位、电信、银行、电商、高等院校、医院、企业等单位的长期合作伙伴。从个人层面来看，网安问题会带来私人信息泄露，进而威胁生命、财产安全。从政企层面来看，关键数据资产的泄露可能招致国家网络信息系统被攻击的危险，尤其是针对关键性基础设施的网络攻击会导致重大国家安全事故。

天融信独家承办的2022年中国工业信息安全大会数据安全分论坛成功举行！

2023-01-11 10:13:11

构建安全数据底座，护航数字经济发展。数据已成为数字经济时代最为活跃的新型生产要素。

数据安全能力建设实施指南

2021-10-02 13:45:24

本指南依据《信息安全技术 数据安全能力成熟度模型》（简称DSMM）制定，以数据为核心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力等四个方面，提供数据安全能力建设的具体实施指南，为组织数据安全能力建设提供参考。

证券期货行业如何做好数据安全管理与保护

2022-12-06 07:21:59

指引制定背景随着近年来相关法律法规与行业标准相继出台，数据安全体系建设的监管要求日趋严格。基本原则在过程域划分原则上，指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节，进行了部分环节的合并与调整。同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分，建立了数据安全工作分工协作的机制。

数据安全需求全面升级下的市场机遇和挑战

2022-07-19 11:18:29

遇到的考验与挑战数据安全治理咨询现状数据安全治理指的是数据安全分类分级、个人数据风险评估等与数据安全相关的咨询服务。为解决客户的数据安全分类分级及数据风险评估，明朝万达提供了一整套的底层基础能力，支撑对客户的数据安全分类分级和数据风险评估的数据安全领域的咨询团队、专用工具集、方法论和经验沉淀、数据安全产品及研发团队和驻场人员。

工业互联网数据安全治理实践

2022-12-06 09:18:51

数据时代，数据自身安全以及数据保护的安全成为关注的重点，工业化互联网数据安全成为工业互联网发展的重要基础，随着《数据安全法》的正式颁布，数据在安全体系中占据了核心地位。其中，数据信息安全强调保护数据资产不受意外或未经授权的访问、更改或破坏，确保其可用性、完整性和机密性。流入控制系统的信息必须受到充分保护，同时还要保护物理过程的安全性和弹性。

电信领域数据安全标准体系现状与思考

2022-05-18 13:15:38

数据安全问题涉及公众利益、社会稳定与国家安全，亟需规范安全管理，加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。

数据安全治理现状研究与分析

2022-04-03 07:29:01

近年来，国内外数据泄露事件频发，大量企业的商业利益、声誉受损。数据安全法律法规相继颁布，监管力度不断升级，企业逐渐意识到数据安全治理的重要性与紧迫性。通过对2021年开展的企业数据安全治理能力评估现状进行整理，总结企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，提供能力提升思路，以供业界参考。

《数据安全法》指导下的数据安全发展

2021-11-29 14:50:44

作为我国数据安全领域的基础性法律、国家安全领域的重要法律，《数据安全法》的出台体现了当前数字经济发展对安全的关键需求，为我国数据安全的发展之路提供了指引。

VSole

网络安全专家