安恒信息：2022個人信息與隱私保護報告（19頁）.pdf

《安恒信息：2022個人信息與隱私保護報告（19頁）.pdf》由會員分享，可在線閱讀，更多相關《安恒信息：2022個人信息與隱私保護報告（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、安恒信息官方微信個人信息與隱私保護白皮書2022中國信息協會信息安全專業委員會每日經濟新聞安恒信息目錄個人信息安全與隱私保護相關法規現狀01個人信息安全現狀概述個人信息與隱私的關系國外個人信息安全與隱私保護相關法規現狀國內個人信息安全與隱私保護相關法規現狀02020305個人隱私保護現狀個人信息與隱私保護現狀分析由安全事件導致的個人信息泄露典型事件分析應用軟件越權獲取數據典型事件分析數據濫用典型事件分析1219212211個人信息與隱私保護挑戰典型場景人工智能應用元宇宙隱私安全生物識別技術無人駕駛汽車可穿戴設備健康醫療領域電子商務及物流領域26262627272828綜合提升建議29個人層面企

2、業層面行業協會層面國家層面30323334250102個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書11個人信息安全現狀概述隨著信息化與經濟社會持續深度融合，網絡已成為生產生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年12月，我國互聯網用戶已達9.89億，互聯網網站超過443萬個、應用程序數量超過345萬個，個人信息的收集、使用更為廣泛。國務院“十四五”數字經濟發展規劃指出，數字經濟成為繼農業經濟、工業經濟之后的主要經濟形態，發展數字經濟是國家的重要戰略部署，2035年我國數字經濟將邁向繁榮成熟期，形成統一公平、競爭有序、成熟完備的數字經濟現代市場體

3、系，數字經濟發展基礎、產業體系發展水平將位居世界前列。云計算、5G、工業互聯網、車聯網、物聯網、大數據等新興技術快速推進數字化發展進程，加速挖掘個人信息數據價值，讓人們充分享受數字化所帶來的諸多便利。但隨著數據價值的發掘，個人信息的安全性也面臨著由個人信息數字化所帶來的風險。當重要數據被數字化后，能得到快速、有效利用的同時也面臨著更加容易被竊取、破壞的風險，傳統的物理防護措施面對數字化的發展大潮已無能為力，如何保護個人信息已然成為現代社會所面臨的挑戰。近年來我國個人信息保護力度不斷加大，打擊機構、企業、個人對個人信息的非法收集、獲取、使用、買賣等行為。但在現實生活中，還存在因商業利益隨意收集、

4、違法獲取、過度使用、非法買賣個人信息的情況，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題。在數字化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一，也是一個全球性的合法合規問題。2021年，公安部網安局堅決貫徹落實上級單位的指示要求，深入推進“凈網2021”專項行動，針對人民群眾急難愁盼的個人信息保護問題，全力組織開展偵查打擊工作。全國公安機關全年共破獲侵犯公民個人信息案件9800余起，抓獲犯罪嫌疑人1.7萬名。個人信息安全與隱私保護相關法規現狀22個人信息與隱私的關系個人信息是指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統，包括個人身

5、份、工作、家庭、財產、健康等各方面的信息。一般認為，個人信息的概念始于1968年聯合國“國際人權會議”中提出的“資料保護”。最早的個人信息保護立法是1970年德國黑森州制定的個人資料保護法；最早的國家級個人信息保護立法則是1973年瑞典國會頒布的資料法。對我國而言，依據最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋第一條規定，“刑法第二百五十三條之一規定的公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！?/p>

6、自2021年11月1日正式施行的中華人民共和國個人信息保護法（以下簡稱“個人信息保護法”）指出，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的概念0304個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書33國外個人信息安全與隱私保護相關法規現狀在歐洲，以德國為代表的大陸法系國家，將個人信息視作公民人格和人權的一部分，認為個人信息是自然人人格的載體，沿用一般人格權的保護思路引入“信息自決權”。以美國為代表的海洋法系國家，形成思想更多地基于生活中的公序良俗，將個人信息視作公民隱私和自由的一部分，沿著隱私保護的

7、思路提出“信息隱私權”概念。1973年，美國健康、教育和社會福利部首次提出了公平信息實踐，構成了全球個人信息保護的思想淵源與基本框架。此后，關于保護隱私和個人信息跨國流通指導原則中提出了個人信息保護八大原則。這些原則經過40余年的發展演變和提煉，最終演變為五大國際原則：公開性原則、限制性原則、數據質量原則、責任與安全原則、個人信息權利保護規則，由他們共同作為各國和國際組織制定個人信息保護政策的基礎。國際上個人信息保護的立法原則歐盟對于個人信息的隱私權保護可以說是世界上最為全面和嚴格的。1995年，歐盟通過經典的個人數據保護指令，該法律源于美國早期的FIPs原則，根本而言，歐盟強調的個人信息保護

8、，從民法上講就是基于信息自主、信息控制和信息自決。歐盟個人信息安全與隱私保護法規現狀美國是世界上最早提出并通過法規對隱私權予以保護的國家，美國在1974年通過隱私法案（PrivacyAct），1986年頒布電子通訊隱私法案，1988年又制訂了電腦匹配與隱私權法及網上兒童隱私權保護法。對于個人信息保護，美國的策略較為靈活主要采取行業自律模式，同時，美國也以分散立法的形式對該模式予以補充，如聯邦貿易委員會法適用于線下和線上的隱私和數據安全，兒童網上隱私保護法電子通訊隱私法案金融服務現代化法健康保險流通與責任法等行業立法也為特定行業的隱私保護或特定類型的敏感信息保護提供了法律依據。2018年5月25

9、日，關于個人數據保護的歐盟新一代制度規范一般數據保護條例（GDPR）正式施行。隨后，美國以及美國各州陸續實施了個人信息保護相關的法律法規，加州消費者隱私法案（CCPA）于2018年6月28日通過，并于2020年1月1日起正式施行。除了CCPA，各個州也頒布了其相應的隱私法案，例如2021年7月頒布的科羅拉多州隱私法案（CPA）以及弗吉尼亞消費者數據保護法案（VCDPA)。此外，在法律救濟方面，基于美國的行業自律模式，除美國聯邦及州級政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風險。2017年6月，美國最大保險公司AnthemInc.在發生8000萬客戶個人數據泄露事件后，就曾簽署過一份

10、1.15億美元的和解協議，同意向每位原告支付235美元的賠償，而遭受最大傷害的訴訟集體將獲得高達10000美元的賠償。美國個人信息安全與隱私保護法規現狀我們通常所說的竊取個人信息，有極大一部分都屬于侵害個人隱私行為。2021年施行的民法典指出，自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。法人、非法人組織享有名稱權、名譽權和榮譽權。隱私權在法律上的定義為，公民享有的私人生活安寧與私人信息依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。按照通常說法，即是指“私生活不受干涉的權利”，“私人信息未經允許不得公開的權利”。也就是說，每

11、一個人均有“不受旁人侵擾的權利”。隱私權的實質在于，個人可以自由地決定何時、何地以何種方式與外界溝通。從這個方向來講，隱私權表現為個人對自身的支配權?；诜蓪傩?，隱私權主要是一種精神性的人格權，隱私主要體現的是人格利益，侵害隱私權也主要導致的是精神損害。而個人信息權在性質上屬于一種集人格利益與財產利益于一體的綜合性權利，并不完全是精神性的人格權，其既包括了精神價值，也包括了財產價值。另外，隱私權是一種消極的、防御性的權利，在該權利遭受侵害之前，個人無法積極主動地行使權利，而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等。而個人信息權則并不完全如此。權利人除了被動防御第三人的侵害之外，還可

12、以對其進行積極利用。隱私權制度的重心在于防范個人秘密不被非法披露，并不在于保護這種秘密的控制與利用；對個人信息權的侵害主要體現為未經許可而收集和利用個人信息、侵害個人信息，主要表現為非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態。其中，大量侵害個人信息的行為都表現為非法篡改、加工個人信息的行為。個人信息與隱私的關系為應對云計算、大數據、移動互聯網及跨境數據處理等應用場景所帶來的新挑戰，2018年，新的數據保護法案通用數據保護指令（GDPR）生效。GDPR旨在加強歐盟區居民的數據保護，特別是對兒童信息使用和準許的保護，并且在數據安全方面提供更加堅實的框架，指導跨歐盟個人數據的

13、商業使用。此外，該指令還包括廣泛的與隱私相關的要求。GDPR自發布后即成為全球數據保護的最嚴標準，被視作大數據監管新時代的標志，對于國際間的數據流動引入了新的職責和限制。對個人敏感信息的界定，GDPR將涉及以下一種或一種以上類別的個人數據視為敏感數據：種族或民族出身、政治觀點、宗教/哲學信仰、工會成員身份、涉及健康、性生活或性取向的數據、基因數據、經處理可識別特定個人的生物識別數據。同時，GDPR對從個人信息的采集，到信息的使用和交流，一直到信息的銷毀，整個信息的全流程、全周期都有很明確的行為規范要求：事前，在個人信息的采集環節，需要實行“最少采集”原則，并且采集之后只能用于特定目的。相關機構

14、采集到個人信息后，要建立一套安全保護制度，采集信息的目的達到后，要在一定期限后予以銷毀。事中，歐盟實行了獨立的個人信息保護執法機制，專設有信息專員。事后，有相應的法律責任的追究和法律救濟渠道。除了進行罰款，很多國家對違反法律泄漏個人信息是可以處以刑事責任。作為個人信息的最大擁有者政府機構，也同樣和其他私有主體一樣受到法律監管。歐盟設立的獨立信息保護機構可對政府機關及企業的個人信息泄露采取法律制裁。此外，該法律對于進入歐洲市場的企業也同樣具有法律約束力，特別是向第三方進行個人信息轉移。2019年7月8日，英國信息監管局發表聲明稱英國航空公司因為違反一般數據保護條例被罰1.8339億英鎊。對于個人

15、信息數據的跨境傳輸，GDPR中有三種主要的保障機制：“充分性認定”程序、標準合同條款（SCC）以及“具有約束力的公司規則（BCRs）”?！俺浞中哉J定”程序即確保第三國的數據保護標準與歐盟標準相當，截至目前，全球已有13個國家通過歐盟“充分性認定”程序。0506個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書44國內個人信息安全與隱私保護相關法規現狀2021年被稱為中國的“數據安全元年”，中華人民共和國數據安全法（以下簡稱“數據安全法”）個人信息保護法等法律法規密集出臺，加之2017年實施的中華人民共和國網絡安全法（以下簡稱為“網絡安全法”），“三法并行”構成國內網絡空間

16、治理和數據保護的法律底座。90年代末，我國開始了數據安全方面的建設，相關政策開始出現并實施，其后，“十三五”規劃指出：“牢牢把握信息技術變革趨勢，實施網絡強國戰略，加快建設數字中國，推動信息技術與經濟社會發展深度融合，加快推動信息經濟發展壯大?！?016年到2020年的“十三五”期間，數據安全政策出臺頻率明顯增加，數據安全整體政策環境趨于完善，數據安全領域的相關市場加速成型。2017年6月1日，網絡安全法施行，2021年，民法典數據安全法個人信息保護法相繼施行，標志著我國以數據安全保障數據開發利用和產業發展全面進入法治化軌道，重要數據及個人信息保護成為時代需求?！笆奈濉币巹澙^續推動數字中國建

17、設，2021年作為“十四五”的開局之年，出臺數據安全相關政策數量高達59項，為數據安全產業的發展夯定了更堅實的政策基礎。安全是發展的前提，發展是安全的保障，高頻率的數據安全政策出臺，制定了各參與方獲取、使用數據的界限，加強了數據的安全，保障國家數字化產業的健康發展。從地方維度看，廣東省在數據安全立法方面，出臺相關政策最多，其次是浙江省、貴州省、山東省、江蘇省、山西省等地區。隨著網絡安全法的發布及“十三五”規劃，地方性政策的發布時間主要集中在2019年、2020年和2021年。隨著數字化的發展，根據相關政策的通知，不難得出，在未來幾年內，各省份、直轄市等地區將會陸續出臺更多地方性數據安全相關政策

18、，以更好的進行數據的標準化及等級劃分，以保障地方在數據要素市場化以及數字化轉型過程中數據的安全性。數據安全法律法規與政策體系不斷完善010203040506070199920002002200320062007200920111111120122222201320143320157201612201711201816201924202040202159國內數據安全相關政策發布統計012345678北京市海南省湖北省湖南省吉林省江西省陜西省上海市四川省安徽省福建省河南省遼寧省山西省江蘇省山東省貴州省天津市浙江省廣東省各省市數據安全相關政策統計0708個人信息與隱私保護報告西 湖 論 劍 1 0

19、周 年 系 列 白 皮 書隨著數據安全法以及個人信息保護法的頒布及施行，首要思考的是，關于其中提到的數據、重要數據、個人信息、個人敏感信息等名詞應如何進行劃分，又應該如何在具體的企業組織活動中使數據安全管理行之有效。2021年12月17日，中央網信辦網絡數據管理局副局長方新平在“2021啄木鳥數據治理論壇”中稱：“數據安全法、個人信息保護法的施行，標志著我國數據安全和個人信息保護工作邁入了新階段?！蹦壳爸醒刖W信辦正在抓緊制定數據安全法、個人信息保護法配套法規規章。比如正在起草的網絡數據安全管理條例數據出境安全評估辦法個人信息出境標準合同規定人臉識別技術應用安全管理暫行規定，以及數據安全、個人信

20、息保護的合規審計制度和相關標準規范。2022年1月13日，全國信息安全標準化技術委員會發布信息安全技術重要數據識別指南（征求意見稿），其中對“重要數據”進行了較此前更為明確的范圍界定?！爸匾獢祿钡母拍钍状卧?016年11月發布的網絡安全法中提出，法律中對重要數據的某些跨境傳輸、特別安全保護義務提出了具體要求。2017年4月，國家互聯網信息辦公室在個人信息和重要數據出境安全評估辦法（征求意見稿）中明確了重要數據的范圍，即“指與國家安全、經濟發展，以及社會公共利益密切相關的數據”。此外，指南征求意見稿中明確說明“基于海量個人信息形成的統計數據、衍生數據”，例如基于海量用戶個人信息形成的市場趨勢判

21、斷、市場喜好判斷等，有可能屬于重要數據。數據安全法中對數據分類分級保護制度及重要數據目錄的建立作出明確規定：“國家建立數據分類分級保護制度，國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護?！敝袊臄祿Ｗo、網絡安全相關立法正處于逐步完善的進程當中，且相應的國家標準也正處于同步制定的階段。在未來不久，針對各行業的重要數據界定標準及數據分類分級標準不時將會推出，中國將逐步邁進到數據有效化，標準化，合法安全利用的大數據時代，形成統一公平、競爭有序、成熟完備的數字經濟現代市場體系。數據分類分級及重要數據界定不斷明確數據安全法第二條指出，在中華人民共和國境內開展數據處理活

22、動及其安全監管，適用本法；同時第三條對數據進行了界定：“本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等?！蹦敲?，對個人信息的數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等亦屬于數據處理的一部分。個人信息保護法于2021年8月20日通過，2021年11月1日起施行，這是我國第一部個人信息保護方面的專門法律，旨在保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，本法共分為八章六十四條，其中對個人信息、敏感個人信息等作出了明確定義：國內個人安全與隱私保護相關法律法規一旦泄露或者非法使用，容易導致自然人的

23、人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。個人信息的處理第八章附則（3條） 第一章 總則（12條）立法目的適用范圍名詞定義基本原則一般規定敏感個人信息的處理規則國家機關處理個人信息的特別規定第二章 個人信息處理規則（25條）前提條件告知要求關基要求主管批準限制清單對等反制第三章 個人信息跨境提供的規則（6條）職

24、責部門保護職責工作要求履職措施約談審計投訴舉報第六章 履行個人信息保護職責的部門（6條）安全保障責任到人境外機構義務合規審計、影響評估安全事件響應大型平臺義務第五章 個人信息處理者的義務（9條）第七章 法律責任（6條）知情、決定查閱、復制更正、補充主動刪除解釋說明處理機制代行使權第四章 個人在個人信息處理活動中的權利（7條）個人信息保護法結構0910個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書【第二十六條】在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目

25、的，不得用于其他目的；取得個人單獨同意的除外。規范采集公共場所人臉識別【第十五條】基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。個人有權撤回處理個人信息【第三十一條】個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。 個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。規范未成年人個人信息保護【第四十九條】自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、復制、更正

26、、刪除等權利；死者生前另有安排的除外。規定逝者個人信息處理【第十六條】個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。禁止企業組織在個人不同意提供個人信息時拒絕服務【第二十八條】只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息?！镜诙艞l】處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。限制敏感個人信息處理【第二十四條】個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個

27、人在交易價格等交易條件上實行不合理的差別待遇。禁止大數據“殺熟”【第二十四條】通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。個人可以拒絕強制推送個性化廣告【第六條】處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式?！镜谑畻l】任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。限制過度收集個人信息法條中主要對以下事件進行了限制：對于違反個人信息保護法所負的法律責任

28、，法條中作出了如下規定：記入信用檔案并予以公示處十萬元以上一百萬元以下罰款處一萬元以上十萬元以下罰款一般違法違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的由履行個人信息保 護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務拒不改正的，并處一百萬元以下罰款情節嚴重有前款規定的違法行為，情節嚴重的期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人沒收違法所得并處五千萬元以下或者上一年度營業額百分之五以下罰款 責令暫停相關業務或者停業整頓吊銷相關業務許可或者吊銷營業執照懲罰力度違法行為處置說明企業相關責任人

29、有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。給予處分國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。民事責任個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任；損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；難以確定的，根據實際情況確定賠償數。違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。刑事責任侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依

30、法向人民法院提起訴訟。1112個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書個人隱私保護現狀11個人信息與隱私保護現狀分析近年來，隨著互聯網特別是移動互聯網蓬勃發展，豐富多樣的應用形態已深入社會生產、人民生活的方方面面，在帶來諸多便利的同時，也暴露出一些違規收集使用個人信息、不合理索取用戶權限等侵害用戶權益的突出問題。據浙江省互聯網發展報告顯示，僅2017年，浙江有72.8%的網民經歷過個人信息泄露。有研究員在裁判文書網上獲取了8602份與侵犯個人信息相關的判決書，以分析近年來個人隱私保護現狀，其結果顯示有如下特征：違法侵犯公民個人信息問題嚴重分析顯示，在判決書中涉及

31、的個人信息中，姓名及聯系方式占比最多，緊隨其后的是身份證信息、居住地址和車輛信息。其中值得注意的是，在泄露的車輛信息中，20.79%的居住地址則主要從房地產公司和快遞公司泄露。此外，部分涉案數據針對特殊群體，如新生兒和股民。此類數據往往直接從相關從業者手中流出，買家購買數據的主要訴求通常是有針對性的推銷或是詐騙。個人數據泄露涉及面廣，多用于詐騙牟利活動公民姓名54.57%聯系電話49.99%銀行賬號6.33%行蹤軌跡8.09%地址20.32%企業信息2.91%通信記錄3.30%家庭成員0.32%公務員信息0.46%新生兒信息1.03%職業、工作單位2.33%通訊錄3.25%車輛信息20.80%

32、個人征信信息5.76%開房記錄4.48%業主信息12.59%身份證號碼18.40%戶籍信息9.89%股民數據1.86%人臉數據/照片2.46%學生信息3.59%快遞信息5.66%個人信息泄露類型1314個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書例如，2019年8月1日，江蘇省常熟市市場監督管理局在執法檢查中發現，江蘇省常熟市某美容館（月子中心）為拓展經營業務，向楊某購買在常熟市建卡和分娩的孕產婦個人信息，并通過微信聯系客戶拓展業務。經查，自2017年5月起，該美容館違法購買的消費者個人信息包括孕產婦姓名、孩子姓名、孩子性別、分娩日期、分娩醫院、分娩方式、聯系方式、

33、戶口住址、產后休養地址等，共計36741條。在研究所分析的8602份文書中，有6949份提到了被告在獲得數據后的用途。而在一份文書中，可能出現多個被告，因此數據可能會有多種用途。其中，大部分被告選擇直接販賣數據販賣牟利，占比79.77%。此外，34.36%被用于推廣，10.48%則和詐騙相關。由此可見，對公民個人來說，對個人信息的侵犯可能會招致詐騙、推銷等后果，嚴重者甚至會導致生命安全及財產安全受到危害。2020年6月24日，某銀行支行營業室在某幼兒師范學校千余名畢業生不知情的情況下，批量開立12536戶、類電子賬戶，涉及1457名學生，平均每人名下近10個賬戶。據了解，崇左師專在2013年至

34、2018年間與農行崇左江州支行開展代收學雜費、代發放獎助學金等方面合作。合作期間，學校把學生的身份證、姓名信息交給銀行，由銀行錄入系統用于開展業務。2022年1月20日中國人民銀行南寧中心支行官網消息，某銀行支行未落實個人銀行賬戶實名制管理規定；違規使用個人金融信息；未嚴格落實銀行賬戶風險監測要求；未按規定完整保存客戶身份資料，故處以警告并共處人民幣1142.50萬元罰款。2018年1月25日，浙江紹興某高校在校生梁某因無力償還網絡借貸公司借款，自覺愧對父母，服用大量秋水仙堿自殺。該案屬于大數據公司買賣個人信息與“套路貸”犯罪相互結合的新型案件。經核查，上海顯佳網絡科技有限公司名為大數據信息分

35、析公司，實際是通過研發借來花、掌上花等實際不能貸款的APP軟件，騙取受害者注冊APP時的個人信息：受害者在注冊后，他們會用“審核不通過”等理由拒絕放貸。獲得信息后，公司會通過第三方公司形成風控報告，將公民個人信息販賣給壹周金等網絡貸款公司，貸款公司有了這些大數據信息，就可以精準地找到這些需要借貸的人。這些公司名為小額貸，實則變相的高利貸公司，大量公民個人信息泄露后，這些公司唯利是圖，聘用社會閑散人員成立催收部，一旦用戶欠款，便暴力催收，易滋生犯罪，產生嚴重后果。2017年，公安部網絡技術研發中心主任許劍卓曾表示，行業內部人員已經成為侵犯公民個人信息犯罪的重要主體。他指出，從治理犯罪來說，打擊源

36、頭是最重要的工作。而在2018-2020的“凈網行動”中，公安機關抓獲侵犯公民信息的行業“內鬼”3000余名，在“凈網2021”專項行動中則抓獲行業“內鬼”500余名。談及數據泄露，人們往往會將其與黑客行為劃上等號，然而在實際社會活動中，有時候數據泄露的技術成本并不高，真正成為信息泄露主力的反而是行業內部人員，也就是俗稱的“內鬼”。據公安部網絡安全局副局長鐘忠稱，“內鬼”監守自盜、內外勾結是公民個人信息泄露的一個重要原因。在研究所獲取的八千余份文書中，近四分之一的“內鬼”來自公安機關內部。一般而言，公安內部人員能接觸到的敏感個人信息更多，諸如家庭住址、車輛、行蹤軌跡、開房記錄、犯罪記錄等等。數

37、據顯示，大部分“內鬼”從屬于基層派出所和交警大隊，這其中又以輔警和協警居多雖然這些“編外人員”權限較低，但他們仍可以通過盜用正式干警的數字證書，或以用他們的賬號密碼登錄公安內網等方式獲取數據。此外，也有文書表明，有些干警是自己把數字證書權限交予“內鬼”的。販賣個人信息來源多樣，多來源于內部人員個人信息泄露途徑內部員工泄露買賣數據數據交換黑客入侵內網竊取爬蟲獲取竊取、騙取3.08%7.39%5.68%9.84%9.96%9.86%9.61%10.69%4.12%7.68%20.64%9.96%9.86%9.61%10.69%4.12%3.08%7.39%5.68%9.84%7.68%20.64%

38、輔警電信公司客服中介協警其他服務交警房地產電商保險公司信息咨詢公司銀行保險事業單位公安機關公司公司為推廣業務職務之便其他街道社區0.33%銀行1.48%交通管理局0.33%數據泄露來源1516個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書少量APP在未提供實際功能的情況下，仍然聲明了相關敏感權限，存在熱更新后調用和SDK（軟件開發工具包）調用權限的風險。敏感權限聲明超出必要范圍一些APP超出當前功能需要索取權限，例如某應用的電話攔截功能索要了短信、存儲、通訊錄等7項敏感權限，整改后只保留了功能實現所必需的3項敏感權限。權限索取超出必要范圍一些APP在使用低敏感性數據即

39、可實現功能的情況下，仍然收集高敏感性數據。例如，普通的天氣查詢功能只需要城市或地區級的粗略位置信息，不應索要精準位置等敏感個人信息。收集數據的敏感性超出必要范圍一些APP在僅需部分數據內容即可實現功能的情況下，卻實際收集了全部內容。例如，查找好友功能只需匿名化后的手機號碼即可實現功能，不應超范圍收集通訊錄聯系人的姓名、郵箱、地址等內容。收集數據的具體內容超出必要范圍APP收集個人信息的方式包括單次讀取、本地存儲、上傳云端等，對個人的影響程度依次遞增，應在滿足功能需求前提下選擇影響程度最低的收集方式。例如，只需單次讀取或本地存儲即可實現功能，不應默認使用上傳云端。收集方式超出必要范圍有的APP收

40、集每項個人信息的頻率明顯超出當前功能的必要范圍，例如，某運動健身類應用在用戶觀看視頻等無關功能時，每分鐘獲取位置信息近百次，明顯超出必要范圍。收集頻率超出必要范圍很多APP除了在功能必需的合理場景收集信息，還在啟動、自啟動、后臺運行、使用不相關功能等其他場景收集信息，違反了必要原則。例如，某應用除了在共享位置時收集位置信息，還在掃碼支付等不相關功能收集位置信息，可用于用戶消費行為畫像分析，近期已自行整改。收集場景超出必要范圍監測發現，2萬中小應用樣本在同意隱私政策前將用戶安卓ID等信息上傳至云端服務器，4.4萬中小應用樣本沒有向用戶提供明確的隱私政策拒絕選項。征得用戶同意前收集個人信息13萬存

41、量中小應用樣本在用戶明確拒絕授權后，仍然在使用過程中頻繁索取權限，或者用戶下次進入應用再次索取權限；且人工抽驗顯示，在近三個月新上架應用中仍普遍存在頻繁索權的問題。用戶拒絕后頻繁征求用戶同意、干擾用戶正常使用例如，以簽到、福利等為理由誘導用戶提供姓名、手機號、住址，以“絕不收集隱私信息”等欺騙性提示誘導用戶安裝使用APP等。誘導用戶同意收集個人信息此外，涉及“內鬼”的信息往往與其所在行業有著強關聯。房地產工作人員主要販賣的是業主、小區信息，銀行從業人員則“主營”股民、貸款和賬戶信息。而不同專業領域又涉及到不同的利益鏈條，導向了不同的犯罪類型。例如，從電信公司工作人員手中流出去的數據常被用于電信

42、詐騙和推廣，從各個渠道中流出的貸款相關數據則和網絡放貸業務有關聯?？梢哉f，侵犯個人信息，是電信詐騙、敲詐勒索、盜刷信用卡、非法討債、惡意注冊賬號等一系列違法犯罪的源頭性犯罪，堪稱“百罪之源”。除“內鬼”外，通過購買、交換等方式獲取公民個人信息的案件也不在少數，這說明公民個人信息的買賣市場仍然不容小覷，一條數據可能經手多人，被“多次利用”。其中，不少案例中的被告假借“信息咨詢公司”之名從事個人信息買賣犯罪。另外，已查獲的案件中，還有黑客利用技術手段竊取進行犯罪活動，黑客會利用網站、APP的技術漏洞，采取植入木馬、病毒感染、撞庫等技術手法，非法獲取公民個人信息。隨著個人信息保護相關立法的不斷完善，

43、執法力度逐漸加強，2016年-2019年，全國懲處了多起侵犯個人信息相關事件，僅2019年，約懲處1865條。隨后在2020年-2021年，事件數量逐年下降。信息安全技術個人信息安全規范在第5.5款“個人信息保護政策”中明確，個人信息保護政策應公開發布且易于訪問，例如，在網站主頁、移動互聯網應用程序安裝頁、交互界面或設計等顯著位置設置鏈接。如今，越來越多的APP開始使用彈窗這種“增強式告知”的方式向用戶展示隱私政策的核心內容，并提醒用戶閱讀隱私政策。仍存在APP存在“默認勾選”同意或采取“注冊即同意（隱私政策）”的方式，如高德地圖、遇見Meet等。今年國家網信辦已通報地圖導航、輸入法、安全管理

44、、短視頻等多類頭部應用，針對“七類”超范圍收集行為進行了重點整治，包括超范圍收集用戶通訊錄、精確地理位置、短信、通話記錄等在內的一大批與人民群眾切身利益相關的違法違規問題得到治理。個人信息保護法進一步細化了“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”等要求。根據國家網信辦等四部委發布的APP違法違規收集使用個人信息行為認定方法，目前常見違反知情同意要求的問題集中表現為以下四類：近年來，隨著國家大數據發展戰略加快實施，大數據技術創新與應用日趨活躍，產生和集聚了類型豐富多樣、應用價值不斷提升的海量網絡數據，成為數字經濟發展的關鍵生產要素。與此同時，數據過度采集濫

45、用、非法交易及用戶數據泄露等數據安全問題日益凸顯，做好網絡數據安全管理尤為迫切。來自國家互聯網應急中心（CNCERT）的APP違法違規收集使用個人信息監測分析報告中指出，目前APP超范圍收集個人信息的問題目前主要包括七種情形：違法侵犯公民個人信息問題嚴重1718個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書有27萬個應用樣本聲明會利用個人信息進行定向推送，但人工抽驗發現，除了新聞資訊、網絡直播、短視頻等部分類別外，大多未提供關閉定向推送的選項。此外，部分APP盡管提供了關閉選項，但還存在為關閉選項強制設定了幾個月的有效期，到期后自動恢復定向推送，關閉選項極其隱蔽，普通

46、用戶難以發現，關閉定向推送后并不生效等問題。個人信息進行定向推送但無法關閉“十四五”信息通信行業發展規劃報告指出，截至目前，工信部已組織檢測21批次共244萬款APP，累計通報2049款違規APP，下架540款拒不整改的APP，對違規行為持續保持高壓震懾。同時，工信部不斷強化應用商店關鍵責任鏈管理，督促應用商店加強自查清理，應用商店已主動下架40余萬款違規APP。同時，2021年工信部針對用戶反映強烈的APP超范圍、高頻次索取權限，非服務場所必須收集用戶個人信息，欺騙誤導用戶下載等違規行為進行了檢查，共發現38款APP存在問題。欺騙誤導強迫用戶應用分發平臺上的APP信息明示不到位強制用戶使用定

47、向推送功能欺騙誤導強迫用戶超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息APP強制、頻繁、過度索取權限超范圍收集個人信息違規收集個人信息超范圍收集個人信息違規使用個人信息強制用戶使用定向推送功能欺騙誤導強迫用戶超范圍收集個人信息欺騙誤導強迫用戶應用分發平臺上的APP信息明示不到位超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息APP強制、頻繁、過度索取權限APP強制、頻繁、過度索取權限欺騙誤導強迫用戶APP強制、頻繁、過度索取權限深圳市騰訊計算機系統有限公司騰訊音樂娛樂科技（深圳）有限公司看東方（上海）傳媒有限公司有鯉科技（廈門）有限公司襄陽品

48、山信息科技有限公司北京友和卓誼信息技術有限公司上海亞朵商業管理（集團）股份有限公司深圳市騰訊計算機系統有限公司行吟信息科技（上海）有限公司探探文化發展（北京）有限公司小船出海教育科技（北京）有限公司寶寶樹（北京）信息技術有限公司廣州盛成媽媽網絡科技股份有限公司北京百索科技有限公司武漢佐趣科技有限公司北京助夢工場科技有限公司01020708101509030405061112131416騰訊新聞全民K歌極速版看看新聞我的日程表影視大全豆豆免費小說亞朵QQ音樂小紅書探探作業幫寶寶樹孕育媽媽網孕育動動嗨呀星球微商水印Pro所涉問題應用版本應用來源應用開發者應用名稱序號應用寶應用寶應用寶應用寶360手

49、機助手vivo應用商店360手機助手應用寶應用寶應用寶應用寶vivo應用商店vivo應用商店vivo應用商店vivo應用商店vivo應用商店6.6.517.7.28.2786.1.71.2.44.2.55.6.03.13.010.18.5.97.13.04.8.8.213.25.28.60.011.10.38.7.1.12.3.65.2.88APP強制、頻繁、過度索取權限APP強制、頻繁、過度索取權限欺騙誤導強迫用戶違規收集個人信息超范圍收集個人信息違規使用個人信息APP強制、頻繁、過度索取權限超范圍收集個人信息欺騙誤導強迫用戶超范圍收集個人信息APP強制、頻繁、過度索取權限APP強制、頻繁、

50、過度索取權限APP強制、頻繁、過度索取權限欺騙誤導強迫用戶應用分發平臺上的APP信息明示不到位超范圍收集個人信息APP強制、頻繁、過度索取權限超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息違規收集個人信息APP強制、頻繁、過度索取權限超范圍收集個人信息超范圍收集個人信息超范圍收集個人信息強制用戶使用定向推送功能APP強制、頻繁、過度索取權限應用分發平臺上的APP信息明示不到位違規收集個人信息超范圍收集個人信息違規使用個人信息強制用戶使用定向推送功能違規收集個人信息違規使用個人信息強制用戶使用定向推送功能APP強制、頻繁、過度索取權限超范圍收集個人信息APP強制、頻繁、過度索取權限APP

51、強制、頻繁、過度索取權限廣州視睿電子科技有限公司17班級優化大師所涉問題應用版本應用來源應用開發者應用名稱序號vivo應用商店3.0.33.1北京搜狐新媒體信息技術有限公司18搜狐資訊小米應用商店5.3.12上海萬物新生環?？萍技瘓F有限公司19愛回收小米應用商店5.8.0百合佳緣網絡集團股份有限公司20百合婚戀小米應用商店11.3.0北京躍然紙上科技有限公司北京世紀優聘科技發展有限公司北京芯盾集團有限公司愛語游網絡科技（上海）有限公司21222324VUEVlog斗米安心輸入法拍拍語音小米應用商店小米應用商店小米應用商店小米應用商店3.21.26.9.161.1.0.91.14.0優視科技（中

52、國）有限公司25UC瀏覽器極速版豌豆莢13.5.2.1114北京五八信息技術有限公司廣州依時貨拉拉科技有限公司深圳分公司北京豆網科技有限公司北京小唱科技有限公司北京世紀飛育軟件有限責任公司262728293058同城貨拉拉豆瓣唱吧樂教樂學豌豆莢豌豆莢豌豆莢豌豆莢豌豆莢10.22.46.5.827.16.010.8.21.0.245珠海必要科技有限公司31必要豌豆莢5.63.0中國平安人壽保險股份有限公司上海生騰數據科技有限公司3233平安金管家啟信寶華為應用市場華為應用市場7.09.218.1.1.0成都優貍多多科技有限公司34趣淘生活華為應用市場1.5.7杭州砍一砍網絡科技有限公司35有趣生

53、活華為應用市場1.3.3上海尚旅網絡科技有限公司36周末酒店OPPO軟件商店7.3.10深圳市移卡科技有限公司37刷寶OPPO軟件商店 3.4.5（001）湖南大寫信息科技有限公司38氧氣語音OPPO軟件商店9.16.3數據來源：工信部官網APP超范圍索取權限、過度收集用戶個人信息等問題通報數據來源：工信部官網APP超范圍索取權限、過度收集用戶個人信息等問題通報1920個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書22由安全事件導致的個人信息泄露典型事件分析2021年3月，大眾汽車集團美國公司發現，負責為其提供銷售與營銷服務的第三方供應商遭遇數據泄露事件。由于該供應商

54、的某套在線系統存在配置錯誤，導致其被黑客攻擊，致使超過330萬客戶的個人信息意外流出，其中大部分為奧迪車主。大眾汽車發現數據泄露問題后便及時通知供應商，但供應商未能及時解決，直到2個月后事件才得到徹底解決。此事件影響一部分特定大眾客戶，導致其敏感信息公開。大眾汽車表示，個人信息泄露的范圍包括奧迪車主及潛在買家相關的聯系方式與車輛信息，包括以下部分或全部聯系信息：姓名、個人或企業收件地址、電子郵件地址或電話號碼。部分客戶泄露的數據還包括實際購買、租賃或查詢的車輛信息，包括車輛識別號（VIN）、品牌、型號、年份、顏色及內飾選配包。泄露的用戶中，約9萬名奧迪車主或潛在買家受到的影響最大，泄露信息包括

55、購買、貸款或租賃資格等敏感內容。并且，超過95%都涉及駕照號碼，甚至有極少數記錄包含出生日期、社?；虮ｋU號碼、賬戶或貸款號碼以及稅號等。大眾汽車表示，這批外泄的數據來自2014年至2019年期間的美國及加拿大客戶。在信息泄露后不久，一批據稱從暴露AzureBLOB容器中竊取的奧迪與大眾客戶數據在外國一高人氣黑客論壇上公開出售。在售數據包含超過500萬條記錄，其中386萬2231條為導購記錄、179萬2278條來自銷售數據庫。導購數據庫中包含潛在客戶的聯系信息與電話號碼，而銷售數據庫中的數據則更為豐富，具體涵蓋車輛識別號、商業編號、駕駛人信息以及車輛信息。黑客們為全體記錄開出了4000到5000

56、美元的價碼，并表示目前在售的數據庫中不包含任何客戶的社保號碼。同時，該黑客組織宣稱，他們已經以1000美元的價格將數據庫出售給某VPN服務商，這家服務商在GooglePlay商店中有多款應用在售。大眾遭黑客攻擊，超300萬奧迪車主個人信息被竊取國際芯片制造巨頭英偉達證實，公司在2022年2月23日遭遇了一次網絡攻擊，入侵者成功訪問到專有信息與員工登錄數據。2022年2月25日，一個名為Lapsus$的數據勒索團伙宣稱襲擊了英偉達內部網絡，并在網上公開關于攻擊事件的具體情況。被入侵電子郵件警報網站HaveIBeenPwned表示，此次黑客攻擊的范圍包括驚人的71000名英偉達員工的電子郵件和密碼

57、哈希值，這些信息可以使黑客能夠破解密碼。黑客宣稱他們已經掌握1TB大小的英偉達專有數據，包含40系顯卡及后續產品計劃、禁止挖礦限制、DLSS源代碼，并公開了員工內網賬號的密碼哈希。Lapsus$聲稱，英偉達曾通過嘗試加密被盜數據反過來入侵黑客組織，但是Lapsus$已在虛擬機環境中制作了副本，這意味著反擊措施沒有成功。攻擊者使用虛擬機通過員工使用的VPN連接到英偉達內部網絡，而英偉達要求用戶必須在MDM（MobileDevice-Management）上進行登記才能連接VPN。攻擊者認為英偉達通過反向追查發現了攻擊者使用的虛擬機并進行了加密處理，并且切斷了攻擊者對英偉達內部網絡的訪問。Laps

58、us$黑客組織提出了一個不同尋常的大眾主義要求：他們希望英偉達永遠開源其GPU驅動程序并刪除其所有來自Nvidia30系列GPU的以太坊加密貨幣挖礦nerf，而沒有直接勒索現金。該組織呼吁英偉達刪除其有爭議的禁止挖礦（LHR）功能。Lapsus$在Telegram上表示。如果他們刪除LHR，我們就會刪除獲取的內容，我們都知道LHR會影響采礦和游戲。但他們顯然也想要現金。這些黑客公開表示，他們將以100萬美元的價格出售加密nerf的bypass，隨后，Lapsus$增加了另一個需求：它希望英偉達開源其用于macOS、Windows和Linux設備的圖形芯片驅動程序。該組織要求英偉達在3月4日之前

59、遵守，英偉達目前沒有作出回應。英偉達公司1TB內部敏感數據失竊后遭勒索爬蟲是一種按照一定的規則，自動地抓取網絡中信息的程序或者腳本。爬蟲本身只是一種程序，比如，當你在搜索引擎中進行搜索時，實際上搜索的內容本身便是搜索引擎定時從各大網站中爬取的數據。爬蟲也可被用于惡意活動中，比如人們所常見到的惡意搶票軟件，就是以高頻率在購票網站中爬取余票。像人們在登錄過程中常見的輸入驗證碼的機制，實際上就是在阻攔一些爬蟲程序，然而，即便有了驗證碼等登錄方式的阻攔，爬蟲程序依然猖獗。對于購票軟件，如12306，公開數據顯示，其最高峰時一天內頁面瀏覽量達813.4億次，1小時最高點擊量59.3億次，平均每秒164.

60、8萬次。魔蝎科技成立于2016年，是國內領先的大數據智能風控服務供應商，為2000多家銀行、消費金融、保險、互聯網金融等客戶提供精準營銷評分模型、反欺詐、多維度用戶畫像、授信評分、貸后預警、催收智能運籌等全面風險管理服務。經查，魔蝎科技主要為網絡貸款公司、銀行提供用戶個人信息及多維度信用數據，并從中收取服務費。魔蝎科技將開發的前端插件嵌入網貸平臺APP中，網貸平臺用戶使用網貸平臺的APP借款時，首先需要在魔蝎科技提供的前端插件上輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、征信中心等網站的賬號、密碼。魔蝎公司非法爬取個人信息兩千萬余條經過用戶授權后，魔蝎科技的爬蟲程序即代替用戶進入其個人

61、賬戶，利用各類爬蟲技術，爬取上述企、事業單位網站中貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據，并按與用戶的約定將數據提供至網貸平臺用于判斷用戶的資信情況，并從網貸平臺獲取每筆0.1元至0.3元不等的費用。在此過程中，魔蝎科技存在欺騙用戶的情況，并對用戶信息進行永久保存。根據魔蝎公司在和個人貸款用戶簽訂的數據采集服務協議，魔蝎科技明確告知貸款用戶“不會保存用戶賬號密碼，僅在用戶每次單獨授權的情況下采集信息”，但在實際使用過程中未經用戶許可，仍采用技術手段長期保存用戶隱私信息并存于租用的阿里云服務器中。截至2019年9月案發時，法院等部門對魔蝎公司租用的阿里云服務器進行勘驗檢查，發現以明

62、文形式非法保存的個人貸款用戶各類賬號和密碼條數多達2000萬余條。西湖法院認為，魔蝎科技以其他方法非法獲取公民個人信息，情節特別嚴重，其行為已構成侵犯公民個人信息罪，判處罰金人民幣三千萬元；被告人周某某犯侵犯公民個人信息罪，判處有期徒刑三年，緩刑四年，并處罰金人民幣50萬元；被告人袁某犯侵犯公民個人信息罪，判處有期徒刑三年，緩刑三年，并處罰金人民幣30萬元。2122個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書33應用軟件越權獲取數據典型事件分析中國消費者協會發布的APP個人信息泄露情況調查報告顯示，85.2%的受訪者曾遭遇過個人信息泄露。其中，經營者未經授權收集個人

63、信息和故意泄露信息是造成消費者個人信息泄露的主要途徑。2020年5月，“獵豹清理大師”APP因其隱私協議中對于索取用戶通訊錄、通話記錄等權限的行為沒有進行詳細說明被國家工信部通報，北京市公安局朝陽分局已依法責令該公司改正違法行為。獵豹清理大師是由金山網絡開發的智能手機應用。它可以清理智能手機上的應用緩存、殘余程序文件、歷史痕跡以及應用程序安裝包。該APP已在全球下載量超過十億。然而，該APP在沒有向用戶說明的情況下，未經授權索取用戶通訊錄、通話記錄等權限。工信部通報后，獵豹清理大師聲明：“獵豹清理大師從來沒有、也絕對不會上傳任何用戶本地通訊錄和通話記錄信息”。獵豹清理大師在V6.13.5之前的

64、版本中曾經加入游戲王者榮耀的加速功能，該功能會在開啟時會主動征詢用戶授權，請求用戶授權通訊錄權限和通話記錄權限，以實現游戲免打擾和幫助用戶回復游戲短信等功能。在2018年，獵豹清理大師已對該游戲加速功能進行了下線，但應用保留了部分代碼，導致被檢測出仍會調用上述兩項權限，但并未上傳任何信息。在接到公安部門的檢測報告后，獵豹清理大師已在第一時間對產品進行了更新，移除了相關冗余代碼。如果說對獵豹清理大師這款APP來說，未經授權調用權限僅是由于工作失誤，但在缺乏監管的情況下，對很多中小型APP而言，此類現象卻是層出不窮。100款APP個人信息收集與隱私政策測評報告指出，其中被調查的APP普遍存在涉嫌過

65、度收集個人信息的情況，其中有59款APP涉嫌過度收集“位置信息”，28款APP涉嫌過度收集“通訊錄信息”，23款APP涉嫌過度收集“身份信息”，22款APP涉嫌過度收集“手機號碼”等。對于APP違規搜集個人信息的問題，光明日報與武漢大學法學院、網絡治理研究院組成聯合調研組，對1036人進行問卷調查及深度訪談。調查顯示，各年齡段都有60以上的用戶遭遇垃圾短信與騷擾電話等威脅，部分APP過度索取數據調用權限，竊取地理定位、通訊錄等本不應獲取的信息，并私自提供給第三方，中下游再對此加工處理，致使個人信息流向不良商家。在調查中，有25款APP的隱私協議包含很多與正當業務明顯不相關的收集項。如地圖導航類

66、APP必須授權的信息中出現通訊錄權限，受訪者表示：“地圖需要定位是很合理的，但是它不止一次向我索要通訊錄的內容”。在使用APP時，用戶往往首先需要選擇同意“使用協議”及“隱私協議”，然而目前存在這樣的一個現象：用戶不愿意閱讀冗長的協議，而一旦選擇拒絕，又面臨著無法使用APP的局面。在這樣的情況下，這種單一選擇“同意”的情況成為毫無選擇的形式之舉。調查發現，否定選項不明顯、點擊“不同意”則強制退出等原因極大打擊了用戶認真閱讀隱私協議的積極性。即使閱讀后對協議內容有所質疑，也無法在“不同意”的基礎上繼續使用，這種毫無疑義的所謂“選擇”成為人們放棄閱讀隱私協議的主要推手。超過一半的用戶表示，使用的A

67、PP一旦同意隱私協議，便不允許撤銷部分或者全部授權。調查的150款APP隱私協議文本僅有52.7%允許用戶撤回同意，且只允許通過注銷賬戶來實現撤回，但注銷賬戶非常困難，甚至沒有明確標注注銷方式。調查中存在這樣一種情況：何先生在注冊某購物APP賬號時使用了身份證號和手機號，因擔心信息泄露所以申請注銷賬號并解除身份證綁定，但是APP客服要求其提供手持身份證照片進行審核，何先生覺得無法接受提供此類敏感信息，最終無法注銷賬號。獵豹清理大師APP違規索取通訊錄權限44數據濫用典型事件分析“殺熟”，簡單理解就是，同樣的商品或服務，新用戶和老用戶看見的價格不同，往往老用戶會價格偏高。大數據“殺熟”指的便是通

68、過大數據手段，例如用戶畫像，精準將用戶定位，利用線上消費用戶“天然隔離”的特點，使消費者無法及時有效識別價格的不同。網絡購物、在線訂票、外賣和網約車等互聯網消費領域是大數據殺熟的“重災區”。當平臺通過大數據手段獲取了你的購買習慣，例如購物喜好，是否有比價習慣，常購買的價格區間等，就會逐步完善你的用戶畫像，標記你為價格不敏感的“粘性客戶”，并按照你的購買習慣推薦商品，甚至修改商品的價格。假若你是新用戶，平臺為了用戶留存，往往還會給予你一些價格上的優惠，再給出一段“養熟期”。究其原因，大數據“殺熟”一方面是利益驅動使然。另一方面則源于平臺在技術、信息等方面，對消費者擁有壓倒性優勢，用戶只能被迫接受

69、信息，往往面臨著舉證不易、維權困難的困境。此外，大數據“殺熟”的關鍵原因，即是在于平臺對用戶數據的保護和利用不當。近幾年來，存在這樣的一個現象：當登錄某個應用軟件時，用戶必須選擇同意用戶協議以及其獲取權限的要求，否則便無法正常登錄。用戶為了使用軟件，讓渡了自己的部分數據權利。例如，讓平臺獲取自己的消費習慣、消費能力、商品偏好、價格敏感等信息。然而，這并不意味著平臺可以隨意使用這些用戶數據，或者利用信息不對稱進行牟利。大數據“殺熟”嚴重侵害消費者權益，如果任由發展，不利于電商行業的持續健康發展。個人信息保護法第十六條規定，個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品

70、或者服務；處理個人信息屬于提供產品或者服務所必需的除外。根據北京市消費者協會2019年3月發布的“大數據殺熟”問題調查結果，88.32%被調查者認為“大數據殺熟”現象普遍或很普遍，56.92%被調查者表示有過被“大數據殺熟”的經歷。有媒體報道，周女士準備帶家人去海南度假，為節約路費，從一個月前就在攜程開始關注機票價格，多次搜索后，機票價格卻比最初價格貴了1000元，而朋友去預定相同的航班的價格卻比自己低幾百元。這就是一個典型的“大數據殺熟”的案例。攜程APP“大數據殺熟”維權案移動互聯網應用程序信息服務管理規定第七條指出，移動互聯網應用程序提供者應當嚴格落實信息安全管理責任，依法保障用戶在安裝

71、或使用過程中的知情權和選擇權，未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序?！笆奈濉毙畔⑼ㄐ判袠I發展規劃報告指出，截至目前，工信部已組織檢測21批次共244萬APP，累計通報2049款違規APP，下架540款拒不整改的APP，對違規行為持續保持高壓震懾。同時，工信部不斷強化應用商店關鍵責任鏈管理，督促應用商店加強自查清理，應用商店已主動下架40余萬款違規APP。隨著相關政策的不斷完善，個人信息保護法的實施，以及相關部門的大力監管督查，此類APP“亂象”有了更加明確的法律依據，目前已逐步得到治理。個人

72、信息的防護，最終還是需要公民個人具有良好的隱私保護意識，APP存在的侵權問題最終還是要落于個人進行發現和檢舉。2324個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書個人信息保護法第九條規定，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。作為收集、使用個人簡歷的招聘網站，需要對收集到的個人信息負行政責任，保護其個人信息安全。人力資源和社會保障部數據顯示，截至2019年末，全國共有3.96萬家人力資源服務機構，人力資源市場網站1.5萬個，2019年發布網絡招聘信息4.04億條。網絡招聘在為求職者提供快捷便利服務的同時，也出現了部分求

73、職者投遞簡歷后屢遭陌生來電和短信騷擾，甚至陷入非法傳銷、情色招聘陷阱等現象。其中很重要的一個原因，就是隨著互聯網的高速發展，倒賣公民個人信息往往能獲得較大非法利益，一些不法分子為此鋌而走險。招聘網站缺少限制，肆意售賣求職者簡歷2021年7月7日，紹興市柯橋區法院審理了胡女士訴上海攜程商務有限公司侵權糾紛一案，該案是紹興首例消費者在質疑遭遇“大數據殺熟”后成功維權的案例。法院經審查表明，該案原告胡女士此前多次通過攜程APP預訂機票、酒店，在攜程平臺上消費了10余萬元，成為該平臺的鉆石貴賓客戶。去年，胡女士像往常一樣通過攜程APP訂購了舟山某高端酒店的一間豪華湖景大床房，支付價款2889元。但胡女

74、士在退房時，發現酒店的掛牌房價加上稅金總價僅1377.63元?！安粌H沒有享受到星級客戶應當享受的優惠，反而多支付了一倍的房價?！焙侩S后與攜程反映情況。攜程以其系平臺方，并非涉案訂單的合同相對方等為由，僅退還了部分差價。胡女士以上海攜程商務有限公司采集其個人非必要信息，進行“大數據殺熟”等為由訴至法院，要求退一賠三并要求攜程APP為其增加不同意“服務協議”和“隱私政策”時仍可繼續使用的選項，以避免被告采集其個人信息，掌握原告數據?？聵騾^法院審理后認為，攜程APP作為中介平臺對標的實際價值有如實報告義務，其未如實報告。攜程向原告承諾鉆石貴賓享有優惠價，卻無價格監管措施，向原告展現了一個溢價10

75、0%的失實價格，未踐行承諾。并且，攜程在處理原告投訴時告知原告無法退全部差價的理由，經調查也與事實不符，存在欺騙行為。故認定被告存在虛假宣傳、價格欺詐和欺騙行為，支持原告退一賠三。根據報文，新下載攜程APP后，用戶必須點擊同意攜程“服務協議”“隱私政策”方能使用，如不同意，將直接退出攜程APP，是以拒絕提供服務形成對用戶的強制。而且，攜程APP的“服務協議”“隱私政策”均要求用戶特別授權攜程及其關聯公司、業務合作伙伴共享用戶的注冊信息、交易、支付數據，并允許攜程及其關聯公司、業務合作伙伴對用戶信息進行數據分析，且對分析結果進一步商業利用。攜程APP的“隱私政策”還要求用戶授權攜程自動收集用戶的

76、個人信息，包括日志信息、設備信息、軟件信息、位置信息，要求用戶許可其使用用戶信息進行營銷活動、形成個性化推薦，同時要求用戶同意攜程將用戶的訂單數據進行分析，從而形成用戶畫像，以便攜程能夠了解用戶偏好。上述信息超越了形成訂單必需的要素信息，屬于非必要信息的采集和使用，其中用戶信息分享給被告可隨意界定的關聯公司、業務合作伙伴進行進一步商業利用更是既無必要性，又無限加重用戶個人信息使用風險。2021年3月15日晚，央視“3.15”晚會點名曝光了智聯招聘、獵聘網求職者簡歷被售賣問題。據中央廣播電視總臺報道，只要在智聯招聘上注冊企業賬號，就可以很容易大量下載這些簡歷，但想要得到求職者姓名、電話、郵箱地址

77、等關鍵信息，還會根據求職者的學歷、工作經驗、薪資水平等條件，支付40元、60元、100元三個等級不同的金額。智聯招聘還表示，只要肯花錢，企業用戶就可以毫無限制地下載求職者的個人簡歷，求職者并不知道自己的簡歷被誰下載，拿去做了什么。同樣的事情還發生在獵聘網和前程無憂兩個網絡招聘平臺。此外，在各類貼吧、論壇、QQ群里發現，出售招聘平臺簡歷的信息也比比皆是。在一個名叫“58智聯粉”的QQ群里，只需支付7元，便可買到一份智聯招聘平臺上的求職者簡歷，求職者的個人信息一應俱全。企業賬戶只要交錢辦理會員，就可以不受數量限制下載求職者的完整簡歷，而在注冊企業賬戶時，即使是偽造的資質申請也可以順利通過。憑借上述

78、手段下載、購買簡歷后，不法分子能夠獲知公民的詳細個人信息，從而實施精準詐騙。近年來，用戶隱私信息被泄露倒賣，在互聯網行業已不是少數個案，僅被警方公布的案例就不時見諸媒體，如某地警方破獲的相關案件中，一名嫌疑人在硬盤中存儲了700多萬份求職者簡歷；2019年，智聯招聘員工參與倒賣用戶簡歷獲刑，涉案簡歷多達16萬份。2016年10月至2018年6月，被告人黃某通過猜配密碼的方式非法獲取智聯招聘企業客戶賬號，盜竊求職者簡歷并出售給被告人解某，獲取違法所得人民幣33萬余元。被告人解某將從被告人黃某處非法購買的求職者簡歷加價轉賣給被告人鄭某，獲取違法所得人民幣27萬余元。后鄭某通過在淘寶網等網絡平臺開設

79、的店鋪非法對外出售。此外，2018年3月至6月間，被告人鄭某分別與智聯招聘職員王某、盧某合謀，通過在智聯招聘網站上開立虛假的企業賬號等方式，非法獲取求職者簡歷并用于出售。其中，盧某涉非法獲取求職者簡歷并出售給鄭某達12萬余條，王某涉非法獲取求職者簡歷并出售給被告人鄭某4萬余條，獲取違法所得人民幣33329元。案卷顯示，最終所有非法獲取的信息都落入了鄭某手中。鄭某供述，他以3-5元/份的價格購入求職者簡歷，然后以5-8元的價格在淘寶售出，支付寶收款。簡歷內容包括詳細的公民個人信息，如求職者名字、出生年月、年齡、性別、工種、職業、職務、學歷、受教育經歷、崗位經驗、手機號碼、電子郵箱、求職意向等。大

80、概賣了幾十萬份，流水300萬元左右，盈利約150萬元。這起智聯招聘員工參與倒賣公民個人信息案于2019年8月30日在北京朝陽法院一審公開宣判。該案涉及公民個人信息達16萬余份。鄭某及智聯招聘員工等5人分別因侵犯公民個人信息罪被判處有期徒刑4年至4年九個月不等的刑罰，并處罰金5萬至30萬元。2021年3月17日，北京市人力資源和社會保障局針對央視315晚會點名曝光的數據安全問題約談了智聯招聘、獵聘網兩家涉事企業，要求智聯招聘和獵聘網立即徹查徹改，嚴格落實網絡招聘服務管理規定等法律法規，阻斷不法分子倒賣求職者簡歷信息“利益鏈”，切實保護求職者合法權益。市人力資源社會保障局表示，下一步將采取有力措施

81、，進一步加強網絡招聘行業監管。包括開展專項檢查，嚴厲查處網絡招聘服務中的各類違法違規行為，加大曝光和處置力度；完善制度體系，出臺實施人力資源市場政府規章，進一步細化完善求職者個人信息保護有關要求；加強行業自律，督促網絡招聘企業嚴格履行求職者信息保護主體責任，營造更安全的求職招聘環境。2526個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書個人信息與隱私保護挑戰典型場景人工智能具有巨大的社會價值，但也會提出一系列的法律挑戰。其中，人工智能引發的隱私保護問題尤為顯著，已經成為當前最具挑戰性的話題。在人工智能時代，我們每個人都生活在數據與算法之中，人工智能的核心技術是數據與算

82、法，這意味著人工智能越智能，就越需要海量的個人信息作為支撐，同時也意味著處理個人信息的能力也就越強，由此引發嚴重的隱私安全危機。人工智能具有超強的“畫像識別”能力。借助物聯網、大數據等技術，人工智能的數據整合和分析能力得到極大地增強，能夠輕易地描繪出用戶的完整“畫像”。人工智能時代的隱私保護困境主要集中體現為如何處理好個人信息利用與隱私保護之間的關系?！按题Ь场毙蜗蟮孛枋隽藗€人信息使用與隱私保護之間的辯證關系。人工智能應用元宇宙（Metaverse）是利用科技手段進行鏈接與創造的，與現實世界映射和交互的虛擬世界，具備新型社會體系的數字生活空間。自2021年以來，元宇宙熱度在全球范圍內持續上升

83、，國內元宇宙市場火爆。據摩根士丹利近期發布的簡報預測，中國“元宇宙”市場的潛在總規模將高達52萬億元人民幣（約8萬億美元）。元宇宙不僅是下一代互聯網，更是下一代數字經濟。從社會、經濟、文化三大角度出發，元宇宙會為社會信用體系、價值交換、生產關系等種種既定規則帶來改變，同時將衍生出多類場景，解決當前移動互聯網時代存在的諸多問題。然而，元宇宙的火熱引發了隱私安全危機，元宇宙將現實生活與虛擬和增強世界緊密聯系在一起。在元宇宙中，用戶看到的增強世界將在每個人之間共享。這意味著可以輕松共享數據，可以與任何連接的用戶交互，并且用戶可以立即獲取其他用戶的信息。因此，元宇宙意味著在每個人的工作和生活場景中將會

84、有更多更智能的環境感知和信息收集終端。元宇宙收集的個人數據的數量和豐富程度將是前所未有的，包括個人生理反應、運動，甚至可能是腦電波數據。這些數據是否會聘請專門的安全公司來負責其數據安全性？如果用戶的個人數據在元宇宙中被盜或濫用，誰來負責，會對現實世界的用戶產生什么影響等。在元宇宙的建設當中，需要嚴格考慮此類個人信息的隱私問題以及設置良好的機制來防止個人隱私信息的外泄。元宇宙隱私安全生物識別技術是一類基于個體獨特的生理或行為特征對個體身份進行自動辨識或認證的技術。主要包括指紋識別、人臉識別和虹膜識別等技術。相比傳統的密碼形式的識別方式，生物識別具有更加準確、方便快捷和不易遺忘等優點。目前人們對身

85、份認證的要求越來越嚴格，傳統的識別方式已經不能滿足人們對于更高安全等級的需要，新興的智能生物識別技術正是在這種社會背景下迅速發展起來。早在2008年，我國研制的人臉識別技術成功用于北京奧運會；2013年，蘋果公司推出指紋手機；2015年，生物識別技術開始入駐我國社?？I域；2015年3月，全國首家人臉識別醫保支付系統在武漢市中心醫院上線；2016年底，北京西站啟用人臉識別系統，旅客可刷臉進站；2017年，澳大利亞當地移民及邊境保護局計劃于機場設立電子掃描站，利用生物識別技術辨認入境游客的面孔、眼睛虹膜及指紋?？梢哉f，隨著計算機技術的不斷發展、成本的持續降低以及性能的穩步提高，生物識別技術變得更

86、加具有實用性，應用范圍也更加廣泛。然而，在生物識別技術取得廣泛社會應用給人們帶來巨大收益的同時，也帶來了對隱私保護問題的擔憂。生物識別技術2728個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書無人駕駛汽車是一種智能汽車，主要依靠車內的以計算機系統為主的智能駕駛來實現無人駕駛。無人駕駛汽車集自動控制、體系結構、人工智能、視覺計算等眾多技術集于一體，作為人工智能的典型應用，無人駕駛的價值功能顯著而廣泛，包括但不限于如下方面：一是減少交通事故發生；二是緩解交通擁堵；三是增加特定人群的行動自由。無人駕駛技術猶如一枚具有正反兩面的硬幣，亦是一把雙刃劍，在為人類服務的同時，也附帶

87、了一系列安全風險。無人駕駛汽車在廣泛應用中可能會收集的個人隱私信息主要包括：姓名、肖像、聲音、住址、通信信息；二是乘客在車內的個人活動，包括但不限于親密行為、言談舉止、聊天記錄，有時還會涉及工作事務，可能會被錄音、錄像；三是自然人不愿意公開的出行軌跡；四是乘客的財產類信息，如交易記錄、支付賬號等；五是駕駛員或其他乘客的健康類數據。一旦這些隱私數據被智能系統記錄且經過加工利用，生產者或互聯網企業從中獲取利益，就會構成對個人隱私的侵犯。因此這里面臨兩個問題。一是汽車制造商獲取上述個人信息的正當性和必要性，以及如何采集、傳輸、存儲、使用、分享以及銷毀汽車用戶的個人信息，并對可能的隱私侵權風險提供何種

88、安全保障措施；二是如何保障無人駕駛汽車控制系統和車聯網通訊系統的安全性，防止系統被入侵或個人隱私信息泄漏。無人駕駛汽車智能可穿戴設備主要分為消費級智能可穿戴設備和醫用級智能可穿戴設備，其中，消費級智能可穿戴設備主要針對普通健身愛好者，通過對運動量、心率、呼吸睡眠、熱量消耗、體脂測量等健康指征進行監測實現自我健康管理；醫用級智能可穿戴設備主要服務對象為各類疾病患者人群：一是監測功能，是指對特定疾病患者人群進行體溫、血壓、血糖、供氧、心電等體征數據進行實時監測，確?；颊吒黜椊】抵笜嗽谡７秶祪?，實現患者健康風險防范；二是治療功能，是指對一些慢性病患者人群進行指導管理、干預治療等。但是可穿戴設備通

89、常使用無線傳輸進行敏感信息的傳輸，在敏感數據傳輸中易被非法獲取，進而獲取用戶敏感信息。同時可穿戴設備更注重功能開發而本體安全相對較為薄弱，對于攻擊行為表現得比較滯后，美國前副總統Dick Cheney就因擔心恐怖分子會入侵他體內植入的醫用心臟除顫器實施致命電擊，而關閉了除顫器的無線管理功能?？纱┐髟O備據統計局、中商產業研究院數據顯示，中國電子商務交易額從2016年的26.1萬億元增長至2020年的37.21萬億元，年復合增長率9.27%，2021年年底將達到40萬億元。據國家郵政局發布數據，2021年全年，我國快遞業務量達1083億件，同比增長29.9%，人均77件。在電子商務持續高速增長的背

90、后隱藏著一群盯上個人信息的不法分子。一是部分經營者過度索取消費者的個人信息，比如手機APP下載安裝過度索權、必須掃碼注冊等；二是經營者未經同意濫用消費者個人信息，比如將消費者購買產品的情況用作宣傳、營銷短信轟炸、大數據殺熟等；三是倒賣個人信息，如商家將消費者信息進行傳播售賣，電信詐騙人員利用這些信息進行精準詐騙或者洗錢再進行轉賣，信息泄露鏈條長，危害大；四是違法犯罪分子盜取消費者網購消費信息，冒充客服對消費者進行詐騙。電子商務及物流領域醫療行業的信息技術應用水平飛速發展得到顯著提升，互聯網醫療、醫療數據應用等新業務不斷涌現，由于醫療數據安全關于患者生命安全、個人隱私保護、社會公益，乃至國家安全

91、，醫療數據在全生命周期各個階段都面臨著極大的安全挑戰。其一，互聯互通大趨勢導致數據暴露面增加：醫院在互聯互通、高等級電子病歷、互聯網醫院的建設過程中，不可避免地促使數據在不同系統、不同院區甚至不同醫院間流轉，也會面對來自互聯網甚至物聯網的數據訪問請求。數據通道數量的增加導致數據安全出現問題的概率也在成倍增加。其二，數據復雜度增加導致治理困難：醫院信息系統產生的數據日益復雜，從最早的電子病歷與HIS數據，到現在PACS、LIS、甚至物聯網都在時刻產生著龐大數據。各種數據格式不一、內容龐雜，缺乏安全分級分類標準，無法定義安全保護等級，導致治理困難，從而使安全策略難以細粒度實施。其三，數據防護思路手

92、段落后無法應對挑戰：傳統基于數據庫審計與訪問控制的數據安全體系無法應對目前的數據使用場景，例如醫院數據向外部交換時的安全防護、擬人化木馬數據竊取、賬號失竊后的數據訪問等；其四，外部攻擊挑戰：醫療過程中產生的診療、健康數據在臨床輔助診療和健康管理方面具有極高的價值，是企業和國際競爭中引人注目的新的技術焦點；同時，診療期間涉及的支付數據、個人隱私數據等信息，也對很多黑灰產業者具有極高的吸引力。此外，勒索攻擊者普遍認為，醫療數據作為涉及人身安全和個人最隱私的信息，倘若因勒索病毒感染導致數據丟失、業務系統中斷，就會將患者的生命置于風險之中，且會面臨上級部門的問責，因此從業者往往會不惜代價馬上支付贖金解

93、鎖數據，而不是苦等數據從備份中恢復出來。這些都是導致醫療數據極易引發外界攻擊的主要原因。在2020年12月14日，國家市場監督管理總局與國家標準化管理委員會正式發布了國標信息安全技術健康醫療數據安全指南（GB/T39725-2020），自2021年7月1日起實施。該安全指南明確定義了健康醫療數據，并制定了健康醫療數據分類體系、使用披露原則、安全措施要點、安全管理指南、安全技術指南及典型場景。進一步指明了健康醫療機構在保護個人信息以及個人健康隱私信息的安全防護路徑。健康醫療領域生物識別信息與其他個人信息不同，其一旦泄露或被盜，將很難或不能重新設置。如一個指紋信息被盜，可以換別的手指，但這樣的更換

94、最多也就9次。而一旦面部特征被盜，除非換臉或使用傳統的識別方式，沒有其他很好地補救辦法。因此，生物識別信息的永久性帶來的影響將會是深遠的、不可逆的。生物識別信息跟密碼、口令之類的個人信息不同，指紋和面部特征都在人體的表面，很容易被竊?。簝H僅在物體的表面按壓，就可以留下個人的指紋信息；僅僅通過面部的高清照片，就可以獲得個人的面部特征。加之目前互聯網技術的開放發展、高清圖像處理技術的提升以及3D打印等技術的不斷進步，個體很難知道什么人在哪些情況下可以獲取他們的生物識別信息以及使用這些信息的目的是什么，因而個體也幾乎意識不到他們的隱私可能正在被侵犯。2930個人信息與隱私保護報告西 湖 論 劍 1

95、0 周 年 系 列 白 皮 書綜合提升建議11個人層面保護個人信息安全，不能僅僅依靠建立和完善法律法規、加強行業自律以及完善企業內部的規章制度，更需要提高個人信息的保護意識和在日常生活中注重隱私保護，從根源上保護自己的信息安全。一是知曉隱私泄露危害個人信息和隱私信息的泄露，被不法分子利用后會給自己帶來非常多的危害。垃圾短信、騷擾電話源源不斷，已經是非常普遍的事情了，甚至被冒名辦理信用卡惡意透支消費，造成巨大的財產損失，或者用來進行電信詐騙、洗錢，還會面臨刑事法律風險。疫情防控期間多次個人信息的泄露事件還會使個人名譽受損?？傊?，個人信息和隱私的泄露不僅會給生活帶來騷擾，還會影響財產安全、名譽受損

96、、人身安全。大量的個人信息泄露被匯聚還可能危害社會甚至國家的安全。二是強化隱私保護意識要養成良好的上網習慣，對于來源不明的網站不要瀏覽、使用；在使用移動應用時謹慎授予應用權限；在網絡上提交賬號信息時，不填寫過多的個人信息，例如真實姓名、電話號碼、住址等，如確需填寫，可做一定的技術處理，或者設置一定的訪問權限；需要刪除的個人敏感文件應該進行粉碎處理，防止他人利用刪除恢復軟件進行恢復；不在公共電腦上登錄郵箱、即時通訊軟件等，避免因留下登錄信息而存在被盜號的風險；不將個人照片、電話本等隱私信息上傳到網盤、云盤等公共存儲空間，避免由于這些公共存儲空間本身的安全性和隱私性不強而造成泄露；存儲在U盤等移動

97、存儲設備上的重要或隱私文件要進行加密處理和防拷貝處理，防止丟失；不在公共場所隨意連接Wi-Fi，防止被網絡釣魚。三是提升法律維權觀念在明確自身遭遇個人信息泄露并面臨侵害時，相當一部分人群抱有僥幸心態，大部分人選擇了較為被動的處理方式，僅有少部分人采取了積極對抗行動。這種僥幸心理不但使自身權益難以保障，也助長了不法分子的囂張氣焰。法律并不是一紙空文，更不是高高在上的，我們敬畏它的同時更應去尊法學法守法用法。國家法治社會的建設需要我們每一個人參與，自身利益更要我們義不容辭地去捍衛。我們應該學會增強自身法律觀念，以此來維護自身權益，助己也助他。建立隱私保護意識3132個人信息與隱私保護報告西 湖 論

98、 劍 1 0 周 年 系 列 白 皮 書22企業層面“能力越大，責任越大”。作為用戶個人信息最直接的收集者、利用者和保護者，企業應該充分理解面臨隱私合規監管環境、參考標準，聯合制定企業的隱私保護合規制度。同時企業需要對自身的隱私保護成熟度和隱私數據現狀進行識別。由于“個人信息的分布難以捉摸”，隱私數據現狀識別工作會決定未來整體隱私保護工作落地的質量和有效性。對于個人用戶，維護隱私保護的關鍵是“提高認識，注重細節”。在日常生活中，實體生活和網絡活動中都存在泄露隱私信息，再通過網絡和通信技術造成危害的可能。在日常生活中，我們建議：非必要情況下，不要隨意登記自己的真實姓名、聯系方式和身份證號碼、銀行

99、卡號碼等信息；妥善保管自己的重要證件和銀行卡片，盡量使用電子證照，丟失時盡快補辦；留存自己的身份證、銀行卡和重要財產證明時，用馬賽克隱去部分隱私或表明“XXX事項”專用水??；不隨意參加小調查、街頭問卷、抽獎或免費贈送、非正規辦卡等活動，不隨意填寫個人信息。不要輕信各種線下的營銷、推廣互動，向他人隨意透露自己的隱私信息；收集整理好含個人信息的票據，如快遞單、車票、刷卡憑證等，集中銷毀；識別非法金融活動、傳銷行為，避免參與；在遭到侵犯隱私的電話騷擾或其他犯罪侵害時，及時報警。在上網用網時，我們建議：安裝全民反詐APP，根據提示，避免上當；在公開網站平臺填寫信息時，避免用真名或拼寫，非必要時不要在線

100、填表，聯系方式用截圖方式，盡量用郵箱代替手機號碼；安裝軟件時一定要仔細閱讀涉及個人隱私內容（如通訊錄、短信等）的權限獲取申請；在不必要的情況下記得關閉軟件定位，以免泄露個人位置信息；不要在社交媒體隨意公開自己及家人隱私信息；及時注銷、解除綁定長時間不使用的賬戶；避免瀏覽不知名的網站、不隨意下載來歷不明的應用軟件，不掃描陌生二維碼；不要瀏覽涉黃、涉毒、涉毒等非法網站，更不要在其引導下放開任何系統權限或下載軟件；及時關閉手機WiFi功能，在公共場所不要隨便使用免費WiFi；個人信息一旦被泄露，可向互聯網管理部門和相關機構進行投訴舉報。個人日常生活隱私保護維護建議一是企業應該識別明確在不同的業務模塊

101、、產品服務過程和數據活動中的角色，例如數據提供者、數據所有者、數據處理者、數據活動合作伙伴等。明確各方隱私保護義務和責任，為后續隱私保護管控制定特定化方案。二是企業應對掌握的個人信息進行梳理，需要盡可能全面，注意識別個人信息的類型與敏感程度、個人信息全生命周期的情況以及已有的安全保護措施，并且需要特別考慮涉及的與第三方數據交互和共享場景下的相互保護義務和邊界。三是企業應對個人信息的處理活動進行梳理，識別個人信息動態風險，需要了解業務場景、產品服務、系統模塊中個人信息處理的目的是什么，處理的主體是誰，個人信息流轉的路徑是什么，面臨的風險是什么。四是規劃設計長效維護的梳理機制，確保隱私保護工作的持

102、續有效性。五是企業要積極響應參與國家以及行業協會隱私保護法律法規標準的制定，在遵守隱私合規義務的同時向上反饋新業態、新模式、新技術等場景下隱私合規面臨的困境和風險。企業在進行隱私保護相關工作時應該特別注意以下幾點：一是零信任訪問架構隨著云、大、物、移等技術的快速發展和廣泛應用，萬物互聯時代網絡邊界已經變得越來越模糊，傳統以網絡邊界為核心的縱深防御體系的適用性以及面對新型攻擊手段都表現得不盡如人意。已經無法適應5G、云計算、物聯網等發展需求。零信任訪問架構的核心是將傳統以網絡為基礎的信任，變為以身份為信任的機制，關注針對數據、應用的動態訪問授權和細粒度控制，建立先認證再連接的訪問機制，能夠快速提

103、升信息系統的安全性，加強保障企業內部數據資源的訪問控制，有效降低數據泄露與非法訪問風險。因此零信任訪問框架的應用對于數據資產保護，尤其是在新型互聯網業態下的數據保護具有天然的優勢，是保護企業數據資產、個人信息的堅固盾牌。二是差分隱私技術種差分隱私保護模型（Differential Privacy），主要用在數據發布和分析階段帶來的個人隱私泄露問題的解決方案。差分隱私保護具有嚴格、可量化的隱私保護機制，其保護強度不依賴以攻擊者掌握知識多少，是在數據分析過程中隨機添加噪聲進而干擾攻擊者達到保護隱私的目的。即使在數據庫中刪除或增加一個記錄也不影響數據分析結果，攻擊者獲得除了一個特定的目標信息之外的所

104、有內容也不能鎖定和判斷出這個記錄內容。因此，很大程度上避免數據在發布、使用階段隱私泄露的發生。差分隱私保護近年來是使用最多效果最好的技術，非常適用于交互環境下大數據分析、挖掘、信息發布等諸多領域。企業在進行隱私保護防護體系建設時可選擇采用以下技術：3334個人信息與隱私保護報告西 湖 論 劍 1 0 周 年 系 列 白 皮 書雖然當前已經發布數據安全法個人信息保護法等法律法規，從宏觀層面上對數據權屬、安全責任等進行了約束，但還需要加速出臺可操作性更強的法律細則。當前公民個人信息安全意識強，但維權動力與能力有限，因此在法律條例中主要關注以下幾方面個人權利和義務，首先，明確告知義務，企業或組織在收

105、集個人信息時要明確告知信息提供者知情權、控制權。其次，明確使用方式和目的，信息收集者、使用者應該對收集到的個人數據使用目的、存儲地點、適用范圍以及期限進行詳細規定，按政策要求個人信息提供者有權刪除、修改，不允許過度收集。再次，注重隱私權，即不得隨意拍攝、錄制、泄露、跟蹤他人的私人活動，不征求本人的同意而擅自公開、獲取、買賣私人信息，如個人隱私受到侵害而采取相應的法律措施予以制止。建立健全法律法規針對個人信息的非法獲取與利用的司法判決為數不少，但與個人信息泄露的普遍狀況相比，依然很少并不成比例。由于個人信息獲取、存儲和利用的環節眾多，線下和線上傳播具有隱蔽性和復雜性，追本溯源成本很高，發現、查處

106、難度大，處罰、賠償力度小，同時獲利空間巨大，執法現狀為灰色產業鏈提供了巨大的投機空間。特別是個人信息泄露與電信詐騙等犯罪活動結合之后，造成了重大的損失和巨大的社會影響，亟需加大懲處力度，增加犯罪成本，以切實起到威懾作用。對于造成精神損害的要追究責任和經濟賠償，對于造成受害人財產損失的除了承擔民事責任外，情節嚴重的、危害較大的行為應納入到刑事犯罪的范疇處理。加強政府監管，建立一整套安全評估體系，在法律框架下實施安全評價制度，引領企業、個人加強對隱私信息收集與管理。加大對泄露個人的問責機制和處罰力度，應用先進管理方法和法律法規來約束企業或組織的不法行為。加強監管處罰力度國家層面上可以在媒體中推廣個

107、人隱私的保護方式，要加強信息安全意識的宣傳，發放個人信息安全方面的文獻并深入貫徹執行，定期舉辦科普講座，利用一些網絡平臺發布公民信息安全知識。政府應將個人信息保護納入國家戰略資源的保護和規范范疇。開展深度普法教育44國家層面33行業協會層面各行業協會（組織）積極頒布隱私保護指南以及行業標準，如行業數據分類分級指南等，指導企業的隱私保護實踐。雖然指南和標準對企業不具有法律約束力，但是給行業發展確立了一個標桿和方向。為了獲得更大的競爭優勢，行業內的龍頭企業會積極根據指南修改公司政策，起示范帶頭作用，逐漸帶動行業內其他企業的參與，最終形成行業標準。隱私保護技術還有同態加密、多方安全計算、區塊鏈、聯邦

108、學習等等，安全技術的應用還要結合業務場景進行靈活選擇。三是數據加密技術數據加密技術是傳統的個人信息保護的方法，在大數據環境下它仍然是計算機系統中保護個人隱私主流技術，數據加密的主要功能是防止入侵者篡改、盜取數據。數據加密算法包含對稱加密算法和非對稱加密算法，所謂對稱加密算法是指加密和解密是使用同一個密鑰。這種加密算法只適合少量數據加密，不需要太大開銷，隨著數據量增長，數據分布式存儲，很難保證密鑰的安全性，并且成本開銷較大；非對稱加密算法是指加密和解密使用不同的密鑰，主要應用在身份驗證、數字簽名等環節上，非對稱加密算法使用與分布式網絡環境中，雖然密鑰管理容易，但算法較為復雜。四是匿名化技術匿名化方法是在數據發布之前將個人隱私數據掩藏起來，也是目前使用最多的個人隱私保護技術，應用最早的是K-Anonymity方法來保護個人數據隱私。匿名化方法可以根據不同類型攻擊對個人數據進行保護，但缺點是當攻擊者掌握碎片信息比較多時，通過結合發布的信息關聯分析，就可能推斷出某個人的屬性信息，所以匿名化技術應該在方法上就進一步改進，適應不同格式或標識屬性信息發布安全需求。