中国个人信息安全和隐私保护报告(全文)

中国个人信息安全和隐私保护报告（全文）

热门下载（点击标题即可阅读）

?【下载】2015中国数据分析师行业峰会精彩PPT下载（共计21个文件）

《中国个人信息安全和隐私保护报告》近日发布。用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

中国个人信息安全和隐私保护报告

中国青年政治学院互联网法治研究中心

&封面智库联合发布

2016年11月

我国信息化建设的推进和互联网应用的普及，推动了社会大发展和新变革的同时，也为个人信息安全带来了新挑战。

侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失，严重影响社会安定，成为社会公害。

在执法部门投入大量社会资源进行的持续高压打击之下，一系列大规模侵犯个人信息犯罪案件告破，不法分子嚣张气焰得到遏制，但仍呈现出屡打不绝的态势。

要改变公民个人信息频遭泄露侵害的社会现实，需要全方位建立个人信息安全的社会保障体系：

对于公众，需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识；

法制建设方面，要改变现有个人信息保护法律法规过于分散的现实，建议尽快制定统一、系统的《个人信息保护法》，为公民维权、打击犯罪提供便捷途径；

从司法实践来看，应进一步强化打击的威慑力，重点打击以侵害个人信息生利的黑色产业链；

从信息相关产业和市场的角度，个人信息保护和合法使用，需要通过市场机制、社会共治的模式，充分发挥产业界技术优势和创新能力，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

个人信息治理应当注重事前防范胜于事后打击

林维/中国青年政治学院副校长

（互联网法治研究中心主任、最高人民法院刑一庭副庭长）

“徐玉玉案”引发了全社会对个人信息泄露现状的高度关注和热议，但是个人信息泄露和保

护问题由来已久，互联网的发展也使得个人信息的地下交易产业链更加隐蔽、难以追踪。

目前，针对个人信息泄露及其引发的电信诈骗等犯罪活动，已经引起了公安部等部门的高度重视，也投入了大量的金额和资源进行打击，近期开展的打击整治网络侵犯公民个人信息犯罪专项行动也获得了明显的成效。

但是，事后的打击和惩处依然未能根除个人信息泄露和侵害现象，民众对于自身个人信息泄露的感受依然普遍强烈，并对维权途径所知甚少、维权效果信心不足。

本次《中国个人信息安全和隐私保护报告》的撰写，是基于100余万份问卷调查反馈的

信息，用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。

而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

对此，立法、行政和司法机关的确应该当仁不让承担起治理乱象的重任。在梳理了立法、行政和司法实践现状之后，报告建议建构统一立法框架、加大司法打击力度、确立顺畅维权渠道。

法律制度上固然应当建立起一道坚实的保护壁垒，但是，鉴于个人信息泄露的复杂性和隐匿性，把希望主要寄托在通过法律进行事后打击和治理，恐怕并非治标之良策。

个人信息侵害行为发现和查处难度明显大于传统犯罪，导致事后惩处无法产生足够的威慑力。因此，应当把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。

报告的后半部分主要关注产业界数据处理的规范构建，正是这种事前防范思路的反映。在个人信息获取、存储、利用的合规化处理方面，产业界相对于政府部门，拥有更加专业化

的技术能力，也具有更强的规则体系建设的驱动力。报告创新性地提出建设“基础法律规范、行业通用标准、企业最佳实践”的治理构架，并结合征信机构等行业企业的实践，在

符合法律法规最基本要求的基础上，梳理并勾勒出丰富、细致、生动的产业实践，呼吁设立行业标准，确立企业最佳实践的模板，推动企业以自律的方式承担起保护个人信息的社会责任，在获取、存储、利用个人信息的各个环节，都设立并贯彻严格的自律规范，通过技术手段的提高和安全规则的完善，截断非法泄露、滥用个人信息的源头，从而建立起个人信息合规利用的良性生态，进而推动数据产业的健康、有序发展。

以举证责任倒置破解个人信息保护难题

傅蔚冈/上海金融与法律研究院执行院长

个人信息安全已经成为当下中国社会最为关注的公共议题之一，尤其是自今年震惊全国的“徐玉玉案”发生后。更让人惊讶的是公安部门在此事件之后发布的相关数据。

2016年7月20日，公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效

显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。内容显示，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。

最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，

截至7月，全国公安机关即累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，

缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个。

230余亿条的信息固然让人惊讶，但是也与公众的印象相差不远。被垃圾短信骚扰或者陌生电话推广，几乎已经成了我们生活的日常。

如何破解个人身份信息泄露的难题？《中国个人信息安全和隐私保护报告》系统梳理了当下中国个人信息安全问题，并且提出了非常有针对性的建议，并且从个人、市场与社会；立法、执法和司法等多层次探讨了今后该努力的方向。

毫无疑问，这些建议非常有针对性。如果能得到落实，那么个人信息安全将会大幅度得以改善。不过即便如此，短期内个人身份信息泄露的状况要大幅度改善，可能还是会有很大的难度。

难度来自于举证责任。众所周知，绝大多数的个人身份信息泄露并不属于刑事责任，因此公安部门无法派遣大量的人力和资源来查办此类案件——事实上也并不经济。

在民事纠纷中，要求让泄露个人信息的机构或这个人承担民事责任也是难于上青天，因为它们会陷于法律上的举证责任难题，因此到目前为止有关的诉讼大都以原告的败诉收场。

正是由于刑事上无法立案，民事上输于举证责任，因此才酿就了“徐玉玉”的悲剧——可以

想象，这必定不是最后因为个人身份信息泄露的受害者。

如何解决这个困境？一个可行的举措是改变民事诉讼中的举证责任，将目前的“谁主张谁

举证”改为“举证责任倒置”，即不是由原告提供证据来证明被告以不恰当的方式获得了个

人身份信息；而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼，被告需要承担提供其合法获得原告身份信息的证明。这样一来，就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。

正如《中国个人信息安全和隐私保护报告》所言：“由于个人信息获取、存储和利用的环

节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。”

扭转这个乱象的关键之举就是举证责任倒置。

因为现在个人身份信息的存储无处不在，个人没有能力来约束那些获得其身份信息的机构和个人，就必须通过举证责任倒置的方式，让那些有能力获得他人身份信息的主体妥善保管他人信息，也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。不仅非法获取个人身份信息要承担责任，使用非法获取的个人身份信息也要承担民事责任，这样一来，就可以在源头上切断非法个人信息。

近年来，侵犯公民个人信息及其所滋生的侵害事件不断发生，扰乱了社会秩序，给群众人身财产安全造成巨大威胁，严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后，个人信息安全已成为全社会的重大关切。

为充分了解及评估全社会对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月联合发起《你的隐私泄露

了吗？——个人信息保护情况调研》问卷调查，共回收问卷1,048,575份。

问卷回执样本分析显示，个人信息安全所遭受的威胁已经引起了公众普遍重视，但由于个人信息保护能力与常识、经验的缺乏，不法之徒对公民的个人信息侵害行为仍有机可乘，且因群众维权意识和动力不足，维权能力有限，个人信息保护仍处于危机时刻。

本报告将对个人信息保护现状进行综合介绍，对造成个人信息安全危机的原因和国家政策、法律法规层面的现行应对进行梳理，并通过对104万8575份调查问卷回执样本的详细分析，显示群众对个人信息安全的关切点和社会个体在应对信息泄露时的意识和行为模式，并指出其将造成的结果和需要关注的重点方向。

本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。由于个人信息是大数据产业的重要核心，通过市场机制、社会共治实现个人信息安全、提升群众安全

感也切实可行，本报告将以征信行业和代表性企业为例，详细说明行业和企业在个人信息保护中的先进模式和具体实践。

一、侵犯公民个人信息犯罪及隐私侵害行为已成社会公害

我国信息化建设和大数据等信息产业的不断推进和发展，带动了各项社会服务日趋高效、便捷，群众生活水平持续提升，幸福感和获得感不断增强。但与此同时，信息的广泛应用以及人们对个人信息安全防范意识的薄弱，也给犯罪分子实施犯罪提供了便利条件。

目前，我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。按照公安部发布的信息，侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等，甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。

近年来，侵犯公民个人信息犯罪持续高发，其中以“徐玉玉被诈骗案”为代表的由于侵犯公

民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失，严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上，公安部刑侦局有关负责人介绍，2015年我国电信诈骗发案59.9万起，造成经济损失约200亿元；仅2016年上半年，电信诈骗发案就达28.7万起，造成损失80余亿元[1]。

执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上，自2012年起，公安部就多

次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机即关累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个[2]。

但当前，侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中，公

安机关在一案中即抓获犯罪嫌疑人201名，铲除信息泄露源头42个，摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。

侵害个人信息犯罪行为的猖獗，引起了**和国家的高度重视。近日，公安部、**综治办、

国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》，要求国家机关或有关单位应当建立健全公民个人信息安全管理制度，对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统，要严格设定查询权限，严格控制知悉范围；要强化技术防护措施，严防信息泄露或被窃取[3]。

2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上，更是明确要求结合制定《个人信息保护条例》，加大信息源头保护力度，完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。

为进一步加强个人信息安全法律体系的建设，于11月1日提请全国****会进行二次审议的民法总则草案中，增加规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国****会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。

舆论认为，要遏制侵犯个人信息犯罪行为，务必须要国家法律体系的日趋缜密和执法力量的持续高压，同时，针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。

二、百万数据调查：公民个人信息安全意识强，但维权动力与能力有限

为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查。覆盖全国各省、区、市，共回收问卷104万8575份。

通过对调研问卷回执的样本数据分析，本报告认为，当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重；民众遭受个人信息侵害程度高；个人信息安全防范意识不强为侵害行为提供可乘之机，半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉，超六成参与调研者在更换手机和手机号时存在信息泄露隐患；个人信息侵害维权观念不强、常识不够、动力不足，仅有20%的参与调研者在发现个人信息遭受侵犯时，采取投诉、举报和报警等积极应对措施，六成参与调研者不知如何维权，近半数参与调研者认为维权困难。

（一）个人信息安全已成为社会普遍焦虑

在全部问卷回执中，针对“你觉得个人信息泄露问题严重吗”问题，有28%的参与调研者认为“没有感觉”，43%的参与调研者认为“严重”，认为“非常严重”的参与调研者占比达29%（见图1）。

图1：参与调查人群对个人信息泄露问题的整体感受

图2：不同年龄段人群对于个人信息泄露问题的整体感受

在参与调研者的性别和年龄比例中，对于上述问题的看法没有明显偏差（见图1、2），

这也可以说明，对于个人信息安全的焦虑并非特定群体的主观性偏差，具有社会普遍性。

（二）个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比

垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。参与调研者中，26%每天收到2个以上的垃圾短信，20%近一个月来每天收到2个以上骚扰电话（见图3）。

图3：参与调查人群对电信骚扰的反馈情况

图4：电信骚扰地区排行

在全国分布角度，来自西藏、宁夏、**、青海、甘肃等省区的参与调研者收到垃圾短信最少，来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多；在骚扰电话方面，最少的省区是黑龙江、**、西藏、吉林、宁夏，最多的省市是上海、北京、江苏、安徽、浙江（见图4）。总体上看，越是经济发达、社会网络化、信息化程度高的地区，电信骚扰密度越高。

（三）公民个人信息遭侵害程度触目惊心

本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。

问卷分析显示，在遭遇个人信息侵害时，多达81%的参与调研者经历过知道自己的姓名

或单位等个人信息的陌生来电，因网页搜索和浏览时泄露个人信息的参与调研者占53%，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因房屋租买、购车、考试和升学等信息泄露，和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的

不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露

的参与调研者比例达18%，最少的数据比例即“个人隐私信息被网站公布”、“购买机票后

收到航班异常的电话或短信诈骗信息”也达9%（见图5）。

图5：个人信息、隐私受侵害行为类型调查

（四）民众防范意识不强为侵害行为提供可乘之机

在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。问卷调研显示，由于对个人信息泄露渠道的不了解，虽然大多数人意识到个人信息泄露的严重程度，但相当高比例的人群并不知道如何防范个人信息侵害，在使用个人信息的载体时疏忽大意或不知如何采取防范行动。

图6：个人信息泄露隐患之线下渠道调查

调研中，55%的参与调研者从不将证件复印件标明用途；47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理（图6）。

图7：个人信息泄露隐患之移动端渠道调查

在通过手机使用Wi-Fi时，34%的参与调研者只希望确保手机在线，而不会对免费Wi-Fi

鉴别使用；在收到陌生号码发来的短信时，26%的参与调研者会点击短信中的可能产生侵害行为的网络链接（图7）。

图8：个人信息泄露隐患行为调查之手机硬件方向

图9：个人信息泄露隐患行为调查之手机号码方向

在更换手机时，更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后，再用无关内容将手机存储空间占满后再予处理，但仅有34%的参与调研者选择了这一选项，有17%的参与调研者选择将手机直接送人；在手机换号时，超过27%的参与调研者选择直

接使用新号码，而不对旧号码采取任何措施（见图9）。

（五）个人信息侵害维权观念不强，动力不足

调研显示，在明确自身遭遇个人信息泄露并面临侵害时，相当一部分人群抱有侥幸心态，大部分人选择了较为被动的处理方式，仅有少部分人采取了积极对抗行动。在解释未能维权的原因时，半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。

图10：个人信息及隐私被侵犯时的对应手段

在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、

投诉、报警等积极应对措施（图10）。

图11：个人信息及隐私被侵犯后未能维权原因

被问及被侵犯时没有维权的原因时，60%的参与调研者表示不知道怎么维权，56%的参与调研者是因资金等个人利益未受损而放弃维权，值得重视的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证

据而无奈放弃。最为消极的是“维权成功也没有好处”选项，也有14%的选择比例（图11）。

值得关注的是，当被问及是否“愿意提供个人信息以获得更便利的服务享受”时，更多的人选择了“愿意”（图12）。这也充分说明，信息共享带来的便利是客观存在的，多数人并不赞同为保护隐私而过分限制信息流动。

图12：更多人选择为获得便利服务而提供个人信息

问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌：尽管人们对于个人信息安全普遍焦虑，遭受信息泄露侵害程度较高，但由于对于个人信息保护的常识不足，为不法分子留存了极大的侵害漏洞，而公民对于个人信息维权观念的缺乏和动力的不足，又客观上降低了不法分子违法犯罪行为的成本，加剧了侵犯公民个人信息犯罪的可能性。

值得关注的是，国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度，但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式，而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。这一方面说明，针对个人信息安全的普法力度仍需加大，尤其是要使公民清晰掌握维权技能；另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益，使公民个体在维权中步履艰难。

三、法律监管与维权现状：亟需统一立法，加大司法惩处

（一）立法述评

1.个人信息保护尚无统一立法，现有规定内容分散

我国目前针对个人信息保护尚未形成统一的综合法律规范，而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中，形成了一个内容分散、体系庞杂的个人信息保护模式。

2. 网络安全法关于个人信息的规定

2016年11月7日全国****会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念，为个人信息保护的体系化制度建设提供了起点。

《网络安全法》针对网络运营商收集、使用个人信息，规定了应当遵循合法、正当、必要的原则，公开收集、使用规则；明示收集、使用信息的目的、方式和范围，并规定公民对自己的个人信息在被使用过程中，享有知情权、删除权、更正权。

另一方面，从促进产业发展的角度，该法明确了禁止向他人提供个人信息的例外情形，即如果是经过处理无法识别特定个人，并且不能复原的信息可以合理使用，这也是对国家鼓励和推动大数据产业发展政策的回应，这一规定将进一步推动数据产业的发展。

此外，《网络安全法》规定，在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储的原则，并首次在法律层面明确了违反个人信息保护规则的行政责任。这些规定都体现了社会的最新诉求和行业的前沿实践，对构建更加完整的我国个人信息保护制度具有非常重要的意义。

3. 针对个人电子信息保护的综合规定

全国****会于2012年12月28日通过的《关于加强网络信息保护的决定》，针对“个人电子信息”的保护作出了较为系统的规定，明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”，并对收集、使用、保存个人电子信息作出了系统性规范，还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护，也为其他领域的法律法规提供了可供参照的样板，被认为是目前最为重要的个人信息保护规范之一。

工业与信息化部的部门规章《电信和互联网用户个人信息保护规定》，专门针对电信业务经营者、互联网信息服务提供者规定了较为全面而系统的个人信息收集和使用规范、安全保障措施以及相应的法律责任，也是一部重要的个人信息保护的专门规范。

4.经营者的个人信息保护责任

《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务，即“应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务，需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致，对于消费者个人信息的保护及于线上和线下，适用范围亦十分广泛。

除了《消费者权益保护法》对消费者个人信息提供一般的保护之外，特定行业的法律法规规章也对其经营者提出了保护个人信息的要求，比如，《旅游法》规定，旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密；《征信业管理条例》系统而全面地

规定了征信机构采集、整理、保存、加工个人信息的相应规范；《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务；《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求；在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域，都有相应的法规和规章来规定个人信息保护的内容。

5.行政机关及其工作人员的个人信息保护责任

除了作为经营者的商家有可能获得消费者的个人信息之外，个人在与政府机构打交道过程中也会涉及到大量个人信息。因此，有多个法律法规针对行政机关及其工作人员规定了其保护个人信息的责任。

《居民身份证法》规定，公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密；国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员，都规定了类似的责任。

6.民事、行政、刑事责任

根据目前的立法体系，公民对其个人信息的保护，虽然尚未在民法基础法律文件中明确其私权的地位，但是已经在事实上作为“个人信息权”得到保护了，任何人侵害个人信息的行为，都会产生民事责任，即被侵害方可以要求停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。（《消费者权益保护法》第50条）

此外，任何人侵害个人信息的行为，还会面临行政责任。比如，对网络服务提供者违反规定的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布。（《关于加强网络信息保护的决定》第11条）

侵害个人信息严重的，有可能触犯刑法，构成“侵犯个人信息罪”。根据刑法第253条规定，违反国家有关规定，窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。而违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。

7.立法现状总结与建议

尽管我国目前并没有统一的个人信息保护法，但是并不能认为个人信息保护方面的法律法规有所欠缺，恰恰相反，通过一般性规范和具体规定相结合，社会生活中包括线上和线下的绝大部分领域，都已经有了个人信息保护的法律规范，侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散，对于普通民众和商家来说，都难以形成直观的认知，尽快通过一部统一的个人信息保护法，对其进行系统化梳理和整合，无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

具体来说，通过制定个人信息保护法，在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准，并严格规范各类数据采集及使用主体在信息处理方面的细则，完善个人信息安全方面的保障要求与信息披露义务，以及针对个人信息权层面的相关权益保障要求，充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。

（二）司法惩处力度仍须加大

针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例。由于个人信息获取、存储和利用的环节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后，造成了重大的损失和巨大的社会影响，亟需加大惩处力度，增加犯罪成本，以切实起到威慑作用。

1.电信诈骗：个人信息泄露的恶果

2016年8月山东考生徐玉玉被电信诈骗导致不幸离世的新闻事件，使得社会对于电信诈

骗以及相关的个人信息泄露问题的关注达到顶峰。徐玉玉轻信电话内容并进行汇款的主要原因之一，就在于其申请助学金贷款的信息被流入骗子之手，使其有机会进行“精准营销”。

实际上，个人信息贩卖已成地下产业链，从源头的个人信息非法采集、黑客侵入，到非法出售、购买、转售，再到非法利用，个人信息获取、存储、利用的各个环节，都可能出现非法侵害的情况，直接或间接地成为电信诈骗等恶性犯罪的温床，都应当成为法律关注和惩处的对象。

2.侵犯个人信息罪案例：缺乏有效打击

在司法实践中，除了通过诈骗罪对电信诈骗人绳之以法之外，针对单纯的非法获取或出售个人信息行为追究刑事责任的案例也不在少数。常见的非法获取途径绝大部分是通过互联网获取、购买，内容包括电话号码、通话记录、交易订单、定位信息、身份证户籍资料、

家庭地址等。但是，针对非法出售个人信息的判决却并不多见，由于刑法第253条之一

规定非法出售或提供个人信息的主体限于“国家机关或者金融、电信、交通、教育、医疗

等单位的工作人员”，实践中此类人员被定罪并不多见。有法院将出售小区业主个人信息

房地产公司的工作人员也列为犯罪主体[5]。单纯的侵犯个人信息罪的定罪量刑也较为轻微，大多为一年以下有期徒刑或拘役并处罚金，通常适用缓期执行。

值得关注的是，针对个人信息贩卖整个产业链展开的执法行动，通常能够实现切实效果。例如今年五月公安部督办的“5·26侵犯公民个人信息案”，打击了完整的黑色产业链，由“号主”团伙、“中间商”团伙、“出单渠道”团伙、“非法软件制作团伙”四层架构组成，其中“号主”团伙源头来自银行内部人员。

与引起巨大社会危害性的个人信息违法泄露和利用现状相比，立法上看刑法针对侵犯个人信息罪的处罚较低，执法上看，从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于已形成产业链的个人信息地下产业，缺乏全面有效的打击和惩处措施。

3.个人维权困难

我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比，民事案件的原告通常以侵害“隐私权”作为诉由，但能成功胜诉并获得赔偿者寥寥无几。例如，在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中，法院认为，被告并非掌握原告个人信息的唯一主体，无法确认被告实施了泄露原告隐私信息的侵权行为，亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外，即使在原

告胜诉的案例中，由于无法证明经济损失或仅能证明极少的经济损失，原告可获得的赔偿金额很低。

个人维权还有一种途径是通过向行政机关举报，由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性，行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种，一方面无法对侵害人产生足够的遏制效果，另一方面，对于被侵害的个人信息持有者来说，也很难有动力去投入大量的精力和成本进行维权。

4.司法实践现状总结与建议

鉴于个人信息非法泄露与利用的普遍状况和严重危害性，目前司法实践中，无论是刑事处罚，还是民事追责，都存在着不成比例、无法匹配的现状。这与个人信息泄露本身的特殊性息息相关。从刑事打击上看，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

从民事案件来看，根据现有的举证责任难度，对于技术复杂、环节众多的个人信息侵害行为，个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害，个人也往往没有动力去展开成本颇高的个人维权行动。因此，对于个人而言，通过事后个案维权保护个人信息的机制，成本过高而收效极低，更为重要的是尽可能采取预防措施，实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

四、用户信息安全相关行业标准和企业自律模式——以征信行业为例

在大数据产业迅猛发展的浪潮中，个人信息作为数据信息的核心内容，面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题，也同样是全社会面临的问题。司法、行政部门的执法、监管，应当作为个人信息保护的最后一道屏障而存在，如若期望公权力全面彻底治理这一社会化的大问题，并不合理，亦不现实。个人信息保护和利用的问题，需要通过市场机制、社会共治的模式，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

市场上涉及个人信息处理的行业众多，其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察，可以观察到目前征信行业在个人信息保护方面的法规相对完善，明确规定了个人信息采集、处理、输出等方面的要求，并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿，具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值，本报告选取征信机构为模板来考察个人信息保护机制，对征信行业的多家机构进行了调研和访谈。其中，征信指的是“对企业、事业单位等组织的信用

信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。”征

信机构是“依法设立的，主要经营征信业务的机构”。

实现健康市场秩序的具体模式，其构架可以通过建设“基础法律规范、行业通用标准、企

业最佳实践”的架构来实现。接下来选取征信行业的实践为例，进行具体展开。

（一）建立个人信息分类保护

个人信息涉及到与识别个人身份相关各个方面的信息，采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”，即范围应当仅及于业务所需之必要信息。以征信行

业为例，《征信业管理条例》对于征信机构采集的个人信息，设有禁止性和限制性两类：第一类禁止采集的包括：个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息；第二类必须明确告知信息主体不良后果并取得其

书面同意的信息包括：个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。

作为基础法律规范的规定，征信机构都有必要严格执行，建立技术上和管理上可行的机制，不采集禁止性信息，对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准，约束征信机构的行为。实践中，芝麻信用、华道征信等机构都遵照法律规定，对禁止性信息和限制性信息分别建立内部制度规范，使法律规则得以落地。

此外，在这两类敏感信息之外，征信机构针对用户其他个人信息，亦可基于其实践状况发展出其他自律规范，形成企业最佳实践。例如以手机app等软件为例，芝麻信用等企业

建立内部信息采集规范，只采集与评估用户信用状况有关的信息，而不采集用户的聊天、通话等个人隐私信息，不得追踪用户在社交媒体上的言论信息。

（二）全面落实用户授权机制

包括《征信业管理条例》在内的众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节，初始采集时的授权往往不能匹配后续各种利用环节，因此法规中的原则性规定，需要有细化的行业标准和企业自律规范来加以落实。

在征信数据利用过程中，可能涉及到信息采集者、提供者（其中包括采集者）、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时，但当后续使用需求与初始授权不匹配时，需要使用者启用相应的核实授权机制重新授权。例如，芝麻信用通过技术手段的持续开发，让用户直接与征信机构发生授权交互确认，保障授权的有效性。

征信机构在与上下游行业展开合作时，也可以通过建立相应的机制来确保授权的全面有效性。例如，芝麻信用对于上游的信息提供者进行资质审核，包括对其数据安全保护能力等方面进行评估，只选择接入符合特定条件的信息提供机构；华道征信在各项业务中对信息提供者进行合法性审查，与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务，如信息使用者必须对个人征信授权书中的重点内容进行了加黑、加粗处理，以起到显著性提示的作用。

对于下游的信息使用者，征信机构也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查，以评估是否与其合作，从而尽可能确保用户信息输出到合作商户后的用户信息安全。

企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度，设立了外部舆情监测机制，一旦发现合作商户

存在信息泄露或违法违规采集/输出用户信息的情况时，会及时评估事件对用户信息安全

造成的风险或潜在威胁，甚至决定中止或终止与合作商户的合作。华道征信的同业征信服务系统建立了后台监测系统，实时监测信息使用客户的查询行为，对于疑似存在异常查询行为的客户及时进行重点监控，要求该客户提交若干笔查询所对应的信息主体授权书，必要时会安排现场调查。

（三）严格规范内部管控流程

征信机构在存储和加工个人信息过程中，承担着建立严格内部制度保障信息安全的法定义务。《征信业管理条例》规定，征信机构应当建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全；应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。

法律的规定同样需要建立行业标准和企业内部管控制度，来落到实处。在实践中，芝麻信用、华道征信等机构建立了关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。

芝麻信用内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出，任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息，避免非必要的用户信息接触行为。此外，机构持续根据业务实际情况，不断对上述制度及技术实现进行优化完善，以保证制度及流程的可执行性，避免实际操作与信息安全保障要求相脱节的情况发生。

华道征信成立了内部信息安全委员会，制定了相关制度及规范，细化了安全检查与审计管理制度、信息系统人员安全管理规定、信息安全培训和考核管理规定、信息系统安全事件报告和处置管理制度、应急预案管理流程等一系列安全管理制度等一系列信息安全管理制度，明确了有关部门信息安全管理工作职能，并对系统管理员、网络管理员、安全管理员、数据管理员等关键岗位制定了明确的职责分工、业务权限、操作规程，对工作人员查询个人信息的情况进行登记，确保各项制度流程有效实施。

实践中，将个人信息进行匿名化处理，是保护个人信息特定主体的重要手段。在征信机构的实践中，出现了避免输出原始可识别身份信息的策略，例如，即使在用户授权的前提下向合作商户输出信息，芝麻信用通常情况下不会直接输出用户的原始或明细信息，或者传统信用报告，而是经过加工后的信用标签或变量信息。这样的信息输出策略，尽可能避免了输出用户明细或原始信息可能给用户造成的风险，以及合作商户端万一发生信息泄露情况下，尽量降低可能对用户信息安全造成的影响，是值得称道和推广的业内重要实践。

（四）完善泄露危机应急预案

尽管法律法规并没有对危机应对作出具体规定，但是出于企业社会责任的需要，征信机构在数据泄露应急处理方面亦有可为之处。实践中，芝麻信用等机构建立了信息泄露应急处置预案，并不定期进行应急演练，从而保证在极端情况下发生信息泄露时，可能顺序定位到信息泄露的原因及问题所在，并在最短时间内进行处置与控制信息安全风险，以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练，征信机构可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善，从而提高自身信息泄露风险防御能力及水平。华道征信通过网站综合监控管理平台实时监控外部攻击和风险，定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估，对于发现的漏洞和风险问题在第一时间进行修补和解决，有效降低受到外部攻击所导致的各种风险。

从征信机构的行业实践来看，在“基础法律规范、行业通用标准、企业最佳实践”的架构下，尽管基础法律规范仅仅作出原则性和目标性的规定，但是在环节繁多、技术复杂的征信行业中，要想真正将法律规范落到实处，还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为，建构良好的个人信息处理规范，并建立快速、准确的信息披露和评价机制，使得违规者无处遁形，避免劣币驱逐良币现象，建设个人信息保护领域优胜劣汰的良性竞争环境。

互联网的发展带来社会变革的同时，也为个人信息保护带来了巨大的挑战。本报告整理并总结了一百余万份调查问卷反馈数据，并针对现有的立法体系、司法现状进行了梳理和总结，探讨了个人信息保护存在的主要难点和障碍。最后，本报告把关注的焦点投向以征信行业为代表的产业实践，通过评估和总结具有代表性的企业自律规范，提出通过“基础法

律规范、行业通用标准、企业最佳实践”的治理架构，来实现线上和线下的全方位、各环

节共治，针对个人信息保护问题实现既治标又治本的理想目标。

（一）个人信息泄露严重、侵害程度触目惊心

根据一百余万份调查问卷的反馈数据，目前个人信息侵害体现出明显的范围广、危害大的特征，大部分受访人群都认为存在个人信息泄露的情况，而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳，使得个人信息侵害成为一个普遍性的严重社会问题，近年来的泄漏事件，危害范围之广，程度之深，令人触目惊心，而且存在愈演愈烈的发展趋势。

（二）自我保护意识缺乏、维权能力动力不足

与个人信息泄露和侵害范围和危害程度恰成反比的，是普通民众的自我保护认知、维权意识和维权能力都严重偏低，对于自身个人信息的泄露途径、方式等缺乏基本知识，在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵

害时，对维权行为意识淡薄，动力不足，能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此，一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传，帮助其提高自我保护意识和能力，从源头上对个人信息泄露进行防范；另一方面，对个人信息侵害问题的治理，很难主要依靠受侵害者通过个人维权的途径得到妥善解决，而应当进行更加行之有效的制度和规则建设。

（三）采取统一立法模式、系统确立原则规则

通过对于我国目前立法现状和司法实践的考察，目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看，针对个人信息保护存在诸多法律规定，但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为，应尽快通过一部统一的个人信息保护法规，对相应法律进行系统化梳理和整合，这无论是从立法资源的节省、立法技术的提高、规则体系的优化，还是向民众普及个人信息法律保护的常识和意识来看，都存在必要性和合理性。

（四）加大司法惩处力度、重点打击黑色产业

针对个人信息侵害的司法打击尽管已经投入大量资源，但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑，尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻，而单纯针对局部环节的个人信息侵害行为进行处罚，仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开，但尚存不足，对于打着“大数据”之名而行非法数据利用之

实的个人信息黑色产业链，缺乏全面有效的打击和惩处措施。从民事诉讼来看，由于个人信息侵害在技术上存在高度复杂性，而且环节众多，被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生，以及准确的侵害主体，因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。

本报告建议，在刑事打击领域，一方面立法应当加重量刑，增加威慑力；另一方面，执法行为应当向打击整个产业链倾斜，从针对某些具体个人的个别获取行为，转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击，才能起到治标治本的效果。

（五）实现线上线下共治、促进合规产业发展

个人信息侵害与保护，作为一个影响宽泛的社会问题，法律上的治理和打击应当作为最后一道屏障，如果希望司法和行政机关来解决全部问题，并不现实。对于个人信息侵害的治理，更加根本的方法应当是采取防御性为主的模式，通过线上和线下各环节的规范来堵住个人信息泄露的源头，防患于未然。尽管互联网成为个人信息非法传播的主要途径之一，但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看，相当比例的个人信息采集源头是存在于现实生活中，比如刑法条文中规制的金融、电信、交通、教育、医疗等单位，以及线下物流快递等等渠道。因此，个人信息侵害问题

的治理，并非单纯互联网问题，而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言，应当首当其冲承担保护个人信息的社会责任，在规范自身个人信息使用行为的同时，也要尽可能向个人提供预防性、保护性技术措施，在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。

对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链，应当不遗余力予以打击，但

是与此同时，对于获得了合法经营资格、严格守法自律的数据处理企业，应当进行充分的肯定和鼓励，并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”，应当建立完善的市场信息和信誉机制，为合法合规、严于

自律的企业和机构确立正面声誉，解决信息不对称问题，将其与黑色产业链明确区隔开来，从而避免劣币驱逐良币的恶性竞争，促进数据产业的健康、良性、有序发展。

（六）确立行业通用标准、倡导最佳企业实践

个人信息侵害治理面临着技术上、操作上、制度上的众多难题，需要通过社会共同治理方能治标治本。在理想的社会共治体系中，起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广，产生的危害具有持续性等特点，除建立相应的内外部管理规范外，相应企业还应当不断强化技术安全防护能力，以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时，也建议具体的行业监管部门结合企业实践，尽快出台相应行业部门规章，细化规范信息采集、处理、及披露的具体标准，推动行业标准的形成，并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好，严格自律，建设完整而细致的内部和外部管理规范，才能真正破除个人信息侵害乱象，净化个人信息保护空间。

点击蓝色标题即可阅读全文

CCTV大数据名人讲堂PPT&视频：【万亿元产业】【安全】【城市】【农业】【航运】【数据资产变现】

DTiii：【1203家大数据产业地图PPT及下载】【1203家详单 1~411，412~819，

820~1203 】

院士：李国杰【（PPT）（全文）】【数据开放】，邬贺铨，倪光南【大数据时代（上）（下）】，怀进鹏；

大数据100分：【金融】【制造】【餐饮】【电信】【电商】【更多行业大数据应用请

点击底部导航栏BD100分】；

征信：【ZestFinance】【BCG】【芝麻信用】；

工业4.0：【罗兰·贝格】【安筱鹏】

人工智能：【阿里&BCG】【埃森哲】【经济社会】【美国AI国家战略】【伯努利】【李开复】【TOP100】【2016中国AI报告】【美国AI国家规划】【深度学**】【人智合一】

区块链：【TED视频】【麦肯锡】【毕马威】

算法：【10大经典算法】【推荐算法】

可视化：【2014年最佳】【十大标志性作品】【43款工具】

PPT：【大数据产业地图】【数据之巅】【互联网的未来】【软件正吃掉整个世界】【互

联网思维】【互联网+】【一带一路】；

VC：【倒闭教训】【2014投资报告】【2015创投趋势】；

原创：【陈新河：万亿元大数据产业新生态】【软件定义世界，数据驱动未来】【数据交易】【互联网+观点】。

最受读者欢迎的文章：【TOP100】

专题版本：201601015V2.0在微信公众号的丛林中，如何一眼找到软件定义世界（SDX）？

底部新增导航菜单（点击顶部“软件定义世界（SDX）”，点击“进入公众号”，底部菜单栏

即出现），下载200多个精彩PPT，持续更新中！

上下滑动查看更多精选专题

微信公众号：软件定义世界（SDX）

微信ID：SDx-SoftwareDefinedx

?软件定义世界, 数据驱动未来；

?大数据思想的策源地、产业变革的指南针、创业者和VC的桥梁、政府和企业家的智库、从业者的加油站；

?个人微信号：sdxtime，

邮箱：s***@https://www.sodocs.net/doc/d617151377.html,；

=>> 长按右侧二维码关注。

底部新增导航菜单，下载200多个精彩PPT，持续更新中！

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

大数据时代下的网络安全与隐私保护

大数据时代下的网络安全与隐私保护 发表时间：2019-01-07T16:24:44.540Z 来源：《基层建设》2018年第34期作者：梁潇 [导读] 摘要：现如今大数据蓬勃发展，它的出现给人们的生活带来了便捷。 国网陕西省电力公司陕西西安 710048 摘要：现如今大数据蓬勃发展，它的出现给人们的生活带来了便捷。我们在享受大数据带来的便利的同时，伴随着的还有一系列的网络安全和隐私泄露的问题。本文分析了大数据时代下网略安全与个人隐私问题，并给出了一些大数据时代网络安全与隐私保护的策略。 关键词：大数据时代；网略安全；隐私保护 1.大数据的特征 大数据的来源方式多种多样，一般它可分为三类。第一类是人为来源，人类在对互联网使用的过程中，会产生大量的数据，包括视频、图案、文字等；第二类来源于机器，各种类型的计算机在使用的过程中也会产生大量的数据，并且以多媒体、数据库等形式存在；第三类的是源于设备，包括各种类型的设备在运行的过程中采集到的数据，比如摄像头的数字信息和其他渠道产生的各方面信息等。 2.大数据面临的网略安全与隐私保护问题 尽管大数据的出现为我们带来了很大的便利，但是在使用的过程中依然会有问题出现。在大数据的使用过程中，工作人员往往为了方便而忽略了对安全问题的考虑。大数据的工作类型不同，所以保护的方式也不一样，个人认为，大数据在使用中的过程中产生的问题，具体有以下几点。 2.1大数据下的隐私保护问题 如果在大数据的使用过程中，没有对数据进行一定的保护，那么就会有可能造成工作人员隐私泄露的问题。在数据使用中，人们面临的安全问题不仅仅是隐私问题，对于数据的研究、分析，以及对人们状态和行为的检测也是目前面临的一大安全问题。这些问题都会造成工作人员的隐私泄露，从而为以后大数据的使用造成不良影响。此外，除了隐私安全，工作人员状态以及行为也都会有可能对数据安全造成不良影响，因此，在数据使用结束以后，一定要认真做好数据安全的保护，以免造成负面影响。 2.2大数据面临的网络安全问题 在大数据里，人们普遍认为数据是安全的，所以人们就过度的相信大数据给他们带来的便捷性。但是，实际情况证明，如果对数据本身不能进行有效地识别，那么也会被数据的外表所蒙蔽。如果一旦被数据外表所蒙蔽，不法分子就会对数据进行伪造，导致大数据的分析出现错误，错误的数据必然会给工作带来影响。例如：网站中的虚假评论，就会导致顾客去购买虚假产品，再加上当今社会是互联网普及的时代，所以虚假信息造成的后果是非常严重的。一旦虚假信息泛滥，那么对于数据安全技术而言会造成非常大的影响。 3.大数据时代的信息安全与隐私保护策略 大数据在使用结束后，如果不能做好保护措施，就会造成不良影响。因此，在对大数据的保护当中，隐私保护是首要任务。在对隐私保护的过程中，可以采用最普遍、使用最广泛的方法来对大数据采集进行严密的保护工作。个人建议可以按照以下几种方式来进行保护：一方面，是更好地对数据采集进行保护；一方面是对隐私保护方式提出几点个人建议。 3.1数据溯源技术 数据溯源技术原本属于数据库领域的一项应用技术，但是现在大数据也开始使用该技术来保护用户的安全和隐私。数据溯源技术的基本方法是标记法，即记录下数据的原始来源和计算方法的过程。通过标记出数据的来源，方便对分析结论的溯源和检验，能够帮助分析者以最快的速度判断出信息的真实性。另一方面，也可以借助于数据溯源技术对文件进行恢复。 3.2身份认证技术 身份认证技术具体是指通过收集用户和其应用设备的行为数据，并进行分析其行为的特征，以这些数据来分析验证用户和设备，最终查明身份信息。目前，身份认证技术的发展重点在于减少恶意入侵攻击的发生率，减少经济损失。一方面帮助用户保护个人信息，另一方面也形成了一个系统性的认证体系。 3.3匿名保护技术 在对大数据的隐私保护中，匿名保护是一种比较安全的方式，这种匿名保护的手段目前还在完善中。当前，数据匿名的保护方式比较复杂，大数据攻击者不仅仅是从单方面来进行数据采集，还能够从多个方面来获取数据信息。因为匿名保护模型是根据所有属性结合来设定的，因此，对其还没有明确的定义，这也会导致在匿名处理中，出现匿名处理不到位的可能性。因此，应该对匿名数据保护技术进行完善，这样就可以使用多样化的匿名方式，从而将其包含的数据进行均匀化，加大对数据匿名保护的效果，也可以预防数据攻击者对数据进行连环性的攻击，有效保证数据匿名保护的特性。因此，将匿名保护技术进行完善，是当前对大数据进行保护的重要手段。 3.4网络匿名保护技术 大数据的重要来源有一部分就是来自互联网，因此，对大数据做好匿名保护是非常重要的一项工作。但是在网络的平台上，通常都是包含图片、文字、视频等，如果只是一味地采用传统的数据机构来对数据进行匿名保护，很可能无法满足社交网络对匿名保护的需求。为了保证网络数据的安全，在实施的具体过程中，对图片结构应该采取分割点的方式进行聚焦。比如说，基于节点分割的聚焦方案、对基因算法的实现方案，这都是可以进行匿名保护的重点方案。在社交网络进行数据匿名的保护中，关系型预测的使用方式具有较多的优点，其可以准确无误地从社交网络中连接增长密度，使积聚系数增加从而进行有效的匿名保护。因此，对社交网络的匿名保护，也是需要重点加强的主要工作内容。 3.5数据印发保护技术 数据印发保护技术就是将数据内部所包含的信息，利用嵌入的方式嵌入到印发保护技术中，从而确保数据可以安全地使用，也可以有效地解决数据内部存在的无序性。在这一方法具体实施的过程中，可以利用将数据进行结合的方式嵌入到另一个属性当中，这种方式可以避免数据攻击者对数据保护技术的破坏。另外，还可以采用数据指纹的方式来对数据进行保护。最后，独立分析技术还可以进一步保证数据的安全性。所以，为了保证数据安全，这些措施都是必要的工作流程，为后期数据的挖掘起到了辅助作用。 3.6把安全与隐私保护全面纳入法制轨道 从国家和社会的角度而言，他们应该努力加快完善我国的网络立法制度。在解决问题的过程中，法治是解决问题的制胜法宝。并且在

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 （二级） 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 （1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； （2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏 （1）应将主要设备放置在物理受限的范围内； （2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； （4）应对介质分类标识，存储在介质库或档案室中； （5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击 （1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 （1）水管安装，不得穿过屋顶和活动地板下； （2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管； （3）应采取措施防止雨水通过屋顶和墙壁渗透； （4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 （1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备； （3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护 （1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； （2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分 （1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； （2）应设计和绘制与当前运行情况相符的网络拓扑结构图； （3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； （4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径； （5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； （6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制 （1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 （2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户； （3）应限制具有拨号访问权限的用户数量。 2.3 安全审计 （1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录； （2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

(完整版)浅谈大数据时代的客户数据安全与隐私保护

浅谈大数据时代的客户数据安全与隐私保护如何运用好“大数据”这把双刃剑 数据如同一把双刃剑，在带来便利的同时也带来了很多安全隐患。数据对于互联网服务提供者而言具备了更多的商业价值，但数据的分析与应用将愈加复杂，也更难以管理，个人隐私无处遁形。回顾2014年，全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞，导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日，小米论坛用户数据库泄露，涉及约800万使用小米手机、MIUI系统等小米产品的用户，泄露的数据中带有大量用户资料，可被用来访问“小米云服务”并获取更多的私密信息，甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日乌云漏洞平台公开了一个导致“智联招聘网”86万用户简历信息泄露的漏洞。黑客可通过该漏洞获取包含用户姓名、婚姻状况、出生日期、出生日期、户籍地址、身份证号、手机号等各种详细的信息。 2014年12月25日，12306网站用户数据信息发生大规模泄露。 2014年8月苹果“iCloud服务”被黑客攻破，造成数百家喻户晓的名人私密照片被盗。 …… 这些信息安全事件让人们开始感受到“数据”原来与我们的生活接触如此紧密，数据泄露可以对个人的生活质量造成极大的威胁。大数据时代，如何构建信

息安全体系，保护用户隐私，是企业未来发展过程中必须面对的问题。安全技术水平的提高、法律法规的完善、以及企业和个人用户正视数据的运用的意识缺一不可。 数据安全技术是保护数据安全的主要措施 在大数据的存储，传输环节对数据进行各种加密技术的处理，是解决信息泄露的主要措施。对关键数据进行加密后，即使数据被泄漏，数据的盗取者也无法从中获得任何有价值的信息。尽管对于大数据的加密动作可能会牺牲一部分系统性能，但是与不加密所面临的风险相比，运算性能的损失是值得的。这实际上是企业管理和风险管理间的协调，重要的是企业要有将信息安全放在第一位的理念。 目前数据加密保护技术主要包括：数据发布匿名保护、社交网络匿名保护、数据水印等几种。此外，除了对数据进行加密处理以外，也有许多可以运用在数据的使用过程，以及发生数据泄露之后的相关保护技术。这些技术可以有效地降低数据安全事故带来的损失。 1、数据发布匿名保护技术 数据发布匿名保护技术是对大数据中结构化数据实现隐私保护的核心关键与基本技术手段。能够很好地解决静态、一次发布的数据隐私保护问题。 2、社交网络匿名保护技术 社交网络匿名保护技术包括两部分：一是用户标识与属性的匿名，在数据发布时隐藏用户的标志与属性信息;二是用户间关系的匿名，在数据发布时隐藏用户之间的关系。 3、数据水印技术

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

大数据时代的客户数据安全与隐私保护

大数据时代的客户数据安全与隐私保护

大数据时代的客户数据安全与隐私保护 “大数据”一词来自于未来学家托夫勒于1980年所著的《第三次浪潮》。而最早开始对大数据进行应用探索的是全球知名咨询公司麦肯锡，2011年6月，麦肯锡公司发布了一份关于“大数据”的报告，该报告称：随着互联网的高速发展，全球信息化不断推进，数据将渗透到当今每一行业和业务职能领域，成为重要的生产因素。人们对于海量数据的挖掘和运用，预示着新一波生产率增长和消费盈余浪潮的到来。的确如麦肯锡所说，国际数据公司(IDC)的研究结果表明，2008年全球的数据量为0.49ZB，2009年的数据量为0.8ZB，2010年增长为1.2ZB,2011年数量更是高达1.82ZB，相当于全球每人产生200GB以上的数据。而整个人类文明所获得的全部数据中，有90%是过去几年内产生的。到2020年，全世界所产生的数据规模将达到今天的44倍。 数据如同一把双刃剑，在带来便利的同时也带来了很多安全隐患 数据对于互联网服务提供者而言具备了更多的商业价值，但数据的分析与应用将愈加复杂，也更难以管理。如同一把双刃剑，数据在带来许多便利的同时也带来了很多安全隐患，个人隐私无处遁形。回顾2014年，全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞，导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日，小米论坛用户数据库泄露，涉及约800万使用小米手机、MIUI系统等小米产品的用户，泄露的数据中带有大量用户资料，可被用来访问“小米云服务”并获取更多的私密信息，甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日

关于大学生网络隐私安全意识及行为的调查报告

序号： 编码： 江西财经大学课外科技作品大赛作品 申报书 作品名称：关于“大学生网络隐私安全意识与行为” 的调查报告 学校全称：江西财经大学 申报者姓名 （集体名称）： Free-Sky 类别： □自然科学类学术论文 □哲学社会科学类社会调查报告和学术论文 □科技发明制作A类 □科技发明制作B类

团队介绍： 我们调查小组取名“Free-Sky”，象征着我们向往自由的天空，free是我们的个性，sky是我们的舞台，热情是我们的源动力，执着是我们坚定不变的信念。在追求事实真相的路上，我们感触无数，我们收获无数，我们······ F——Friends，我们永远是好朋友 R——Ready，我们时刻准备着 E——Everyone，我们每一个人都是主角 E——Enthusiastic，我们的热情是一种执着 S——Surprise，我们时刻制造着惊喜 K——Keep，我们坚持不懈，永不止步 Y——Young，我们年轻，我们相信我们能 团队理念：每一秒都为我们共同的梦想全力以赴 We are crazy for our goal 团队精神：激情—passion执着—patience 团结—teamwork自由—free 团队口号：没有最好的个人，只有完美的团队 Not the best individuals, but the perfect team

团队成员介绍：

目录 第一部分调查方案 (5) 一：调查背景 (5) 二：调查目的 (6) 三：调查范围 (7) 四：调查目标 (7) 五：调查方法 (7) 六：调查内容 (8) 七：调查不足之处 (8) 第二部分数据整合情况 (9) 第一篇：调查基本数据 (9) 第一章：统计数据的来源、整理与分析概况 (9) 第二章：受访者基本信息构成 (11) 第二篇：调查分析报告 (15) 第一章：意识篇 (15) 第二章：行为篇 (33) 第三章：政策预期篇 (43) 第四章：总结与建议 (47) 第三部分附件 (52) 附录一调查问卷 (53) 附录二参考文献 (55)

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

关于大数据安全与隐私保护的研究

透视 Hot-Point Perspective D I G I T C W 热点 166DIGITCW 2019.03 如今，我国已正式进入大数据时代，人们的生活和工作方式 逐渐改变，在搜集与整理大数据的过程中，需要解决很多问题。比如如何保护用户隐私、怎样提高大数据的可信度以及控制大数据的访问等等。相关人员必须要正视这些问题，研究出科学合理的解决对策，提高大数据的安全性，确保各项工作有序进行。 1 大数据安全和隐私保护的必要性 现阶段，大数据安全隐私保护技术依然存在诸多漏洞和不足，有待进一步优化，关于法律方面的责任划分也没有落实到位，在使用大数据时泄露个人隐私的情况屡见不鲜。虽然很多应用平台使用的是匿名形式，但现实中此种安全隐私保护方法并不能获得理想效果。比如淘宝后台的工作人员是可以利用大数据通过订单信息和聊天记录来推断客户的兴趣爱好、年龄等个人信息的。对于人们在浏览器中留下的搜索记录而言，看似并无危害，但伴随大数据的日渐增加，同样能导致个人信息的泄露。程度轻的话会让人们频频接到骚扰信息，严重的话将会威胁到其人身安全或者财产安全。 所谓的数据泄露，通常是源于内部人员被利益所诱惑有意而为的。鉴于此，必须要对大数据安全和隐私保护予以高度关注，这对保证人们正常生活和工作有着至关重要的作用。如今，伴随大数据时代的来临，数据安全已上升到一个全新的高度，不论是个人或是企业，都要了解怎样保护个人信息安全，以数据上传与传播为突破口，研究出行之有效的手段方法[1]。 2 大数据所要解决的安全问题 2.1 保护用户隐私 在处理大数据的过程中，会对用户隐私方面造成一定威胁，其隐私保护通常是指匿名保护、关系保护以及位置保护等等。然而在大数据应用过程中，用户可采用数据剖析的形式，判断其状态与行为，从而对其隐私带来较大隐患。并且企业一般会选用匿名处理的问题，这样能把某些标识符隐藏，但此种保护并不会有效发挥作用，在分析数据时还能定位个人位置。在搜集与整理大数据时，缺少规范的监管机制，用户能轻易泄露自己隐私，但其有权利清楚这些信息是怎样被其他人知道的，选用正确的手段实施自我保护。 2.2 提高大数据的可信度 人们眼中的数据，是能为其供应真实状况的，可以充分反映事实。但若在大量的数据里，无法对信息进行筛选，则会被不良信息所引导。如今大数据所面对的问题就存在伪造信息的状况，用户在分析完数据后得到的是错误结果。其常常要面对海量信息，搜集诸多不实信息，误导用户主观判断。在信息传播过程中，会出现误差，同样会造成数据失真，并且数据不同版本区别较大，在传播时事件会伴随时间有所改变，从而降低信息的有效性。2.3 控制好大数据的访问 一方面，预设角色时难度较大，现阶段大数据使用范围越来越大，在各种部门与组织中均会使用到大数据，数据访问身份有 较大差别。因此，在访问控制的过程中，人们的权限无法被了解，无法对用户角色实施二次区分[2]。 另一方面，无法分析角色的具体权限，因为管理者所掌握的基础知识较少，因此不能精准的分析数据领域。 3 大数据安全和隐私保护的有效对策 正如上文所说，应用完大数据后，若未使用合理的保护措施，将会带来不良影响。所以，在保护大数据的过程中，隐私保护是重中之重。在保护隐私时，要使用科学合理的、有效的方法来保护大数据的搜集和整理工作。可从以下几方面入手：3.1 关于匿名保护技术 针对大数据的隐私保护而言，应用此技术能获得理想的效果，此种匿名保护方法现阶段还在不断优化中。现阶段，数据匿名的保护手段较为繁杂，大数据进攻人员不单单是从某一方面来完成数据搜集的，还能从不同方面来获得数据信息。 由于匿名保护模型是综合各个属性来设置的。所以，对其还未有清晰的界定，这便造成在匿名处置过程中，增加处理不到位的几率。所以，要不断优化这一保护技术，这样才能应用各种各样的匿名形式，进而平均分配其所蕴含的数据，提高数据匿名保护的效果和质量，同时还能避免数据进攻人员对其实施反复性的攻击，优化保护效果。所以，加大此技术的优化力度，是现阶段保护大数据的主要手段。3.2 关于网络匿名保护技术 大数据的由来基本都源自于网络，所以，加强匿名保护是十分重要的一个环节。但在网络平台中，一般都是带有视频、图片与文字的，若使用过去的数据机构来匿名保护数据，将不能满足社交互联网对匿名保护的根本需求。为确保网络数据具有安全性，在实践过程中，可采用分割点的方法来聚焦图片构造。例如，以节点分割为主的聚焦方案，针对基因算法的执行方案，都可实行匿名保护基本方案。在匿名保护社交互联网数据时，可采用关系型预测方法，因为其能精准有效的从社交互联网中衔接增长密度，提高聚集系数进而实施高效的匿名保护。所以，使用网络匿名保护技术，同样是工作中的重中之重。3.3 关于数据印发保护技术 对于此技术而言，具体是指把数据中所囊括的信息，以嵌入形式融入到印发保护技术之中，进而保证数据能更加安全的运用，而且能合理的处理数据中出现的无序性。在应用此方法时，可通过融合数据的形式将其置于另一种性质之中，此种方法能有效预防数据进攻人员损坏数据保护技术。此外，还可采用数据指纹的方法来保护数据。与此同时，为确保数据安全独立分析技术在其中也能发挥了举足轻重的作用。因此，为提高数据安全性，必须要认真对待每一个工作流程，为后期数据开发奠定良好基础。3.4 合理化建议3.4.1 加强研发 大数据的安全和隐私保护技术与用户信息能（下转第241页） 关于大数据安全与隐私保护的研究 郑袁平，贺?嘉，陈珍文，李?雁 （中国移动通信集团湖南有限公司，长沙 410000） 摘要：伴随互联网时代的飞速发展，网民数量持续增加，数据所渗透的领域也越来越多，在金融、医疗等行业中广泛使用。因此，必须要关注大数据的开发，加大其保护力度，避免人们隐私被泄露。本文首先介绍了大数据安全与隐私保护的必要性展开分析，然后分析了大数据所要解决的安全问题，最后提出合理化建议。 关键词：大数据安全；隐私保护；安全问题doi ：10.3969/J.ISSN.1672-7274.2019.03.137 中图分类号：TP309 文献标示码：A 文章编码：1672-7274（2019）03-0166-02

大数据时代的客户数据安全与隐私保护

大数据时代的客户数据安全与隐私保护 “大数据”一词来自于未来学家托夫勒于1980年所著的《第三次浪潮》。而最早开始对大数据进行应用探索的是全球知名咨询公司麦肯锡，2011年6月，麦肯锡公司发布了一份关于“大数据”的报告，该报告称：随着互联网的高速发展，全球信息化不断推进，数据将渗透到当今每一行业和业务职能领域，成为重要的生产因素。人们对于海量数据的挖掘和运用，预示着新一波生产率增长和消费盈余浪潮的到来。的确如麦肯锡所说，国际数据公司(IDC)的研究结果表明，2008年全球的数据量为0.49ZB，2009年的数据量为0.8ZB，2010年增长为 1.2ZB,2011年数量更是高达1.82ZB，相当于全球每人产生200GB以上的数据。而整个人类文明所获得的全部数据中，有90%是过去几年内产生的。到2020年，全世界所产生的数据规模将达到今天的44倍。 数据如同一把双刃剑，在带来便利的同时也带来了很多安全隐患 数据对于互联网服务提供者而言具备了更多的商业价值，但数据的分析与应用将愈加复杂，也更难以管理。如同一把双刃剑，数据在带来许多便利的同时也带来了很多安全隐患，个人隐私无处遁形。回顾2014年，全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞，导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日，小米论坛用户数据库泄露，涉及约800万使用小米手机、MIUI系统等小米产品的用户，泄露的数据中带有大量用户资料，可被用来访问“小米云服务”并获取更多的私密信息，甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日 乌云漏洞平台公开了一个导致“智联招聘网”86万用户简历信息泄露的漏

信息安全技术-信息系统安全等级保护实施指南

信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、 刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147 号令）、《国家信息化领导小 组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关 信息安全等级保护的标准开展工作。 在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。 在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准， GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息 系统的最基本安全要求，是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足基本安全要求的基础 上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。 除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南 1范围 本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。

大数据安全以及隐私保护方法分析

大数据安全以及隐私保护方法分析 摘要：网络的迅速发展，带来了大数据时代。大数据对人们的日常生活、生产 经济方式等都有着潜移默化的影响，是现今社会各界的关注热点。目前而言大数 据的收集、综合应用技术还不够成熟，使用大数据的同时还面临着一系列的安全 问题：信息真实性没有保障，用户隐私泄露。文章根据大数据的基本概述，结合 当前发展大数据所面对的安全挑战，对大数据安全与隐私保护关键技术进行探讨。关键词：大数据；安全隐私；保护方法 在目前的生活当中，大数据时代的到来让更多在享受方便的同时也面临着居多的问题。人们在社会当中最敏感的话题就是隐私问题，在近几年中隐私问题也引起了大家的广泛关注，互联网的快速发展让我们的隐私掌握在了很多商家的手中，包括自己的很多习惯日常等。在 生活中很多实际实例表明，在大数据中我们的很多信息被收集之后，对于个人的隐私也不断 的被暴露出来。而在实际的生活当中，因为大数据的广泛使用，我们面临的不仅仅只是数据 的泄露，很多还面临着安全的风险因素，所以大数据时代我们的隐私一直在寻求着隐私保护 以及安全需求。但是如果要想实现大数据的安全以及我们的隐私保护需求，面临的问题将会 比较的困难，因为相对于其它问题而言，这种问题在处理方式上更为棘手。因为这种问题的 处理涉及到计算机的知识等其他知识。在云计算中，我们有良好的运行环境，虽然商家对于 存储的数据以及运行的环境进行了控制，但是对于用户而言，在使用的过程中依然会有自己 的办法对自己的数据进行保护。比如说可以通过一些技术手段比如密码学等手段从而实现对 于数据的安全存储以及计算的安全性，或者从另外一个层面上来说，实现网络的安全运行环 境可以通过可以信任的计算方式来得以实现。在我们的大数据时代，对于一些商家来说，其 实数据的产生者从另外一个角度来看又能对数据实现存储、管理以及对他进行使用。所以说，商家在对用户信息进行使用时如果单纯的想要通过技术手段来对此现象进行控制，从而达到 对隐私保护的目的，是一件十分不容易的事情。 一、大数据所面临的安全考验 1.1 用户隐私保护 在最近几年中不断的发生着用户的隐私被泄露的事件，这样的事件发生在一定程度上 对于用户的生活造成着一定的困扰。在对隐私进行分类时根据内容可以将这些隐私分为主要 的三个大类，可以细分为：隐私保护中的未知保护；匿名保护标识符以及匿名保护连接关系等。但是在实际的操作过程中，用户隐私事件除开之外，还是存在很多因素对部分企业造成 了很大的困扰，因为在大数中对于用户的各种生活状态以及其他各种行为都能起到一个预测，从而在一定程度上达到对用户的掌握包括生活习惯以及兴趣爱好等，从而按照这些内容来给 用户推荐适合的广告。在目前的多家企业中，仅仅只是用匿名处理的方式来对用户的隐私进 行处理，在处理过程中常常抱有的想法就是保护用户的隐私只要用户表示不包含在公开的用 户信息中，其实并不是这样的。就在当前的现状来说，在对用户的信息进行管理上他们的处 事原则主要就是依靠企业的自律性，从而在处理问题上相对来说缺少一定的标准参考。用户 对于自己的数据信息其实是有权利知晓的，并且也必须要知道自己的个人信息被用到了哪些 方面。 1.2 大数据的可信度 在大数中，实际上很多数据从本身上来说都带有一定的迷惑性质，或者直观的表述上 来看其具有虚假性质，如果在使用过程中不能够很好的进行判断那么就会遭到数据的欺骗【1】。这种现象的出现主要是有两种原因，第一种原因是对于数据本身来说就是虚假的， 或者换一个说法有些人会因为各种目的的达成而对数据进行编造有些也是存在空穴来风的现象；第二种原因就是数据存在失真的现象，由于现场的工作人员操作失误，在对数据收集的 过程当中使得数据出现了些许偏差，从而影响了最终的数据分析结果，有些原因还可能是因 为是在传播过程中，因为各种原因造成数据发生一定的变化从而不能够反映出真实的情况。 比如说，在一个餐厅中先前有过一个订餐电话但是由于很多的原因进行了更换，但是这时就 会发生一种情况，先前的电话号码已经在数据库中被收录，所以有用户在页面进行搜索时就

网络安全言论自由与隐私保护

网络安全、言论自由与隐私保护 北京大学知识产权学院張平杨雪晶 社会的进步使人们越来越需要在纷繁复杂的环境中保留自己内心世界的安宁（peace of mind），隐私权也越来越在人们心里占据了重要的位置。然而随着计算机技术的飞速发展，计算机对人们的隐私权所造成的巨大冲击，也为人们越来越关注。 一、网络隐私侵害危机 ●匿名再投递服务（E-mail remailer service）在网络上由来已久。这种服务的过程是：网络用户向服务商发出电子邮件，服务器受到邮件后自动删除邮件上的姓名和地址，代之以随意编造的代码再转发出去。这样用户就可以完全在匿名状态下发送信息了。1996年美国的一位市政委员的住宅电话被人当成色情电话广受骚扰，经过艰难的查找，得知有人将他家的电话号码放在了一个新闻组中带有色情性质的照片上，这张照片几经多家网络服务商传送最初是通过芬兰的一个叫做约翰.海尔辛基(Johan Helsingius)经营的网站发出的。海尔辛基及其热衷于电子邮件再投递服务。也正是他，在1995年美国洛杉基科学教派（Church of Scientology）因过去的教徒在网络上公开了有关教会的教义等提起的一系列的法律诉讼中，扮演了匿名传送信息服务的角色。在芬兰警察的协助下，海尔辛基不得不关闭了他的计算机。 海尔辛基是一个业余服务商，他用白天工作赚的钱补贴这种匿名传送

服务，他所以这样做，因为他是一个十足的言论自由的信徒，而他坚信匿名有利于人们自由发言。 ●1998年，在美国加州居住的兰迪.芭芭拉小姐接连不断地接到不同男性 的骚扰电话，甚至还有人找上门来滋衅生事。兰迪在惊恐之后，开始查找原因，终于一个陌生男人告诉她，他是在网络上看到兰迪作的色情广告才按照上面提供的电话打来的。兰迪没有电脑，也没有上过互联网，是谁冒用她的名字干的？ 兰迪求助于警察，然而警察也没有什么特别的防范措施。兰迪开始自己行动，她与父亲学习电脑操作，很快熟悉了互联网，找到发出电子邮件的网址。当他们将自己收集的证据交给当地的调查部门，警察开具了搜查证，要求网络服务商提供该网址的用户姓名，终于查到了"凶手"，原是兰迪曾经的结识的男友加里冒用兰迪的名字借免费电子邮件到处作广告，然后再向有反馈信息的人发送电子邮件以达到骚扰兰迪的目的。加里最终因侵犯公民隐私罪被判3个月监禁。 二、保护隐私的"矛"与"盾" 为了不使类似于兰迪.芭芭拉的悲剧重演，"英特尔"公司研制了"奔腾III"处理器，在其内部设置了芯片系列号，计算机用户只要开机联网，"奔腾III"芯片就会把序列号自动发往网络商家、管理部门或安全部门，并随时跟踪用户的网上活动。这种技术就向给计算机用户上了户口一样，安全部门通过芯片系列号可以迅速确定用户的方位和身份。