2017年6月1日，《網絡安全法》正式實施，對個人信息保護提出了總體要求。隨后發布的《信息安全技術 個人信息安全技術規范》（GB/T 35273-2017），則第一次從國家標準層面為企業和機構落實個人信息保護提供了標準和依據。

如果說2017年是個人信息保護的“開局之年”，那么即將結束的2019年可以說是個人信息保護的“攻堅之年”?！秱€人信息保護法》、《數據安全法》也納入立法規劃，國家加強了對個人信息保護的聯合查處力度，尤其在金融、電信、互聯網、大數據等與個人信息密切相關的行業，相關規范和技術標準陸續出臺，對侵犯個人信息的打擊和整治力度不斷加大，個人信息保護正逐步成為國家法制建設、網絡空間安全建設、網絡生態文明建設的戰略要地。

作為一家綜合的信息安全服務提供商，中國金融認證中心（CFCA）在個人信息保護、數據安全治理等領域深耕多年。值此歲末年初之際，特總結2019年國內個人信息保護領域影響較大的十大事件（按發生先后順序），希望能為各行業開展個人信息保護工作提供有益參考。

事件一：四部門聯合開展APP違法違規收集使用個人信息專項治理

2019年1月25日，中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展APP違法違規收集使用個人信息專項治理的公告》。

隨著互聯網的飛速發展，移動互聯網應用程序（APP）得到了廣泛的使用，但是，APP強制授權、過度索權、超范圍收集個人信息等問題也日益嚴重。為切實治理個人信息使用存在的亂象，四部門決定全面開展APP違法違規收集個人信息的專項治理行動。

此次專項治理重點開展了以下工作：一是組織相關專業機構，對用戶數量大、與民眾生活密切相關的APP隱私政策和個人信息收集使用情況進行評估。二是加強對違法違規收集使用個人信息行為的監管和處罰，包括責令有關APP運營者限期整改；逾期不改的，公開曝光；情節嚴重的，依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。三是公安機關開展打擊整治網絡侵犯公民個人信息違法犯罪專項工作，依法嚴厲打擊涉及個人信息的違法犯罪行為。四是開展自愿性APP個人信息安全認證，鼓勵搜索引擎、應用商店等進行明確標識，并優先推薦通過認證的APP。

此次行動的意義重大，將全面整治應用程序市場的權限濫用亂象，更好的保護個人信息安全。

事件二：某人臉識別公司被曝百萬數據泄露

2019年2月，國內某人臉識別公司發生了大規模的數據泄露，預估泄露人臉數據達250萬，近700萬條包含個人姓名、身份證號碼、性別、家庭住址和照片等重要個人信息遭泄露。據悉，此公司利用深度學習和人工智能等技術在監控視頻中分析，用于人臉識別和人物畫像分析。由于生物特征的唯一性，如人臉、虹膜、指紋等特征信息一旦泄露，后果非常嚴重。

2019年8月，中國人民銀行科技司司長李偉發文稱生物識別技術正迅速在各行各業推廣應用，要冷靜看待生物識別技術。李偉表示，技術是把雙刃劍，用戶體驗不斷提升的同時，技術防攻擊性和安全性所面臨的挑戰也越發嚴峻。如何在風險可控的前提下穩妥應用新技術，如何保障數據安全、信息安全、金融安全，正日益成為關注焦點。

中國人民銀行作為監管部門之一，對于新技術在金融領域的應用高度敏感，已于2018年10月出臺了《移動金融基于聲紋識別的安全應用技術規范》，并正在加快制定人臉識別、活體檢測、個人信息保護等相關標準。然而，生物識別技術的應用與監管已遠超金融范疇，亟待加強頂層設計，完善相關法律法規，形成以《網絡安全法》和正在制定出臺過程中的《個人信息保護法》、《數據安全法》為“骨架”，以諸多細則條款和相關標準為“血肉”的多維度、立體式監管體系，防止系統性風險發生。

事件三：《個人信息保護法》列入本屆人大立法規劃

2019年3月4日，十三屆全國人大二次會議將《個人信息保護法》列入本屆立法規劃，相關部門正在抓緊研究和起草，爭取早日出臺。

隨著數字經濟的快速發展，因個人信息不當收集、濫用、泄露導致的公民權益受到侵害的事件時有發生，通過立法加強個人信息保護已成為保護公民隱私和生命財產安全、規范網絡健康有序發展的必然要求。

《個人信息保護法》將上承《網絡安全法》中個人信息保護相關要求，下接《信息安全技術 個人信息安全技術規范》（GB/T 35273-2017）等技術標準，橫向打通《中華人民共和國民法總則》、《刑法修正案（九）》、《全國人大常委會關于加強網絡信息保護的決定》、《網絡安全等級保護條例》等法律法規，制定一部超脫民法、刑法、行政法的，獨立的個人信息保護法律，才能為個人信息保護提供全面針對性的法律支撐。

事件四：市場監管總局中央網信辦公告開展APP安全認證工作

2019年3月15日，從國家市場管理總局發布的公告獲悉，國家市場監管總局與中央網信辦聯合啟動APP安全認證工作，旨在規范移動互聯網應用程序收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護。隨后由中國網絡安全審查技術與認證中心（CCRC）等單位編制的《移動互聯網應用程序（APP）安全認證實施規則》出臺，此標準是為落實中央網信辦、工信部、公安部、市場監管總局《關于開展App違法違規收集使用個人信息專項治理的公告》相關認證要求而建立的。

《移動互聯網應用程序（App）安全認證實施規則》規定，若互聯網應用程序存在下列情況之一的，不得申請認證：一、違反相關法律法規；二、一年內發生過重大信息安全事件；三、所持同類證書在撤銷認證影響期內；四、規定的其他情況。

事件五：三部門聯合發布《互聯網個人信息安全保護指南》

2019年4月，公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所等單位共同研究制定的《互聯網個人信息安全保護指南》正式發布，旨在全面貫徹落實《網絡安全法》，有效指導個人信息持有者健全公民個人信息安全，明確了適用范圍，包含通過互聯網提供服務的企業，以及使用專網或非聯網環境控制和處理個人信息的組織或個人。因此，無論傳統互聯網企業，還是金融、教育、物流等行業都需要參考該指南落實個人信息保護。

事件六：百款常用APP申請收集使用個人信息權限情況公布

2019年5月，網信辦公布了《百款常用APP申請收集使用個人信息權限情況》報告，涉及大量常用APP的權限索要情況。報告調查了包括存儲、個人位置、短信、麥克風、相機等多達20余種權限的索要情況，同時，對于部分APP存在的“用戶不同意開啟，則APP無法安裝或運行的權限數”也做了記錄，基本能讓用戶全面了解這百款常用APP是否存在權限濫用的風險。

事件七：工信部開展提升網絡數據安全保護能力專項行動

近年來，隨著大數據科技的飛速發展和廣泛應用，帶來的數據泄露、濫用、過度采集等問題日益凸顯。2019年7月，工信部印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》，開展為期一年的行業提升網絡數據安全保護能力專項行動，全面提升行業網絡數據安全和個人信息隱私安全保護能力，加快推動構建行業網絡數據安全綜合保障體系，為建設網絡強國、助力數字經濟發展提供有力保障和重要支撐。

方案提出，2019年10月底前，完成全部基礎電信企業、50家重點互聯網企業以及200款主流APP數據安全檢查；2020年7月底前，進一步完善網絡數據安全制度標準體系，形成行業網絡數據保護目錄，制定15項以上行業網絡數據安全標準規范，貫標試點企業不少于20家等要求。

方案的貫徹落實可以加快完善網絡數據安全制度的規范和體系，強化網絡數據安全管理，加強網絡數據安全技術手段建設，從而推動行業網絡數據安全綜合保障體系。

事件八：國家網信辦發布《兒童個人信息網絡保護規定》

2019年8月，國家互聯網信息辦公室發布了《兒童個人信息網絡保護規定》，明確任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息，網絡運營者收集、使用、轉移、披露兒童個人信息的，應征得兒童監護人的同意。督促網絡運營者做好兒童個人信息安全保護的相關工作和全社會信息制度的建設，為兒童健康成長營造安全的網絡環境。

事件九：大數據風控行業迎來最嚴整治

2019年9月，大數據風控行業迎來史上最嚴查處，杭州、深圳等多地公安出動警力，帶走多家大數據風控平臺高管協助調查。受此消息沖擊，在杭州某大數據公司的高管被帶走當晚，上海某大數據風控平臺隨即向商戶下發通知，表示將暫停對外提供用戶授權的運營商爬蟲服務。

根據《網絡安全法》，網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。此次查處有效整治了大數據行業亂象，為促進行業健康有序發展開了一個好頭。

事件十：《個人金融信息保護試行辦法》征求意見

2019年10月，《個人金融信息（數據）保護試行辦法》（初稿）出爐，央行已下發到各家銀行征求意見。該辦法規定：“（金融機構）不得從非法從事個人征信業務活動的第三方獲取個人金融信息”?！掇k法》頒布實施后，銀行將對提供數據服務的第三方機構進行審核，對于不能保證數據來源合法的供應商要停止合作。日前，已有銀行停止了與部分第三方數據提供商的合作。

隨著《個人金融信息（數據）保護試行辦法》即將頒布實施，以及金融行業配套技術標準《個人金融信息保護技術規范》進入公示階段，在這些法規和標準的支撐下，金融監管機構對個人信息的整頓將逐步加強與收緊，走向深水區。

近年來，全球網絡攻擊和個人信息泄露事件頻發，引發社會廣泛關注?！毒W絡安全法》《信息安全技術 個人信息安全規范》陸續施行，網信辦、公安局、中國人民銀行、銀保監會等監管部門也依據相關法律規范開展約談、執法檢查和行政處罰。

個人信息保護事關組織業務安全、服務可信度、競爭力和企業聲譽，各組織應深入分析個人信息保護與流轉、安全與使用的關系，以“客戶價值”為指引，以“安全風險”為導向，以“數據價值”為中心，以“安全即服務”為技術路線，加強身份認證、即時加密、動態脫敏、標記化、機器學習、數據感知、動態防御等技術與相關業務深度融合，打造數據安全防護體系，滿足新形勢下的監管要求。

針對數據安全/個人信息/隱私保護需求，CFCA與行業合作伙伴推出了相關數據安全服務，包括數據分類分級識別、敏感數據識別的現狀梳理；數據安全風險評估、數據安全能力成熟度評估、數據安全合規評估/咨詢；數據安全治理體系咨詢、數據安全/個人信息/隱私相關國內外認證等服務，并提供業務流向可視化梳理、數據流轉全息畫像解決方案。

責任編輯：韓希宇