非法購買公民資訊、開發人臉認證規避科技……今年年初,廣東省公安廳網安部門偵破全國首例破解“青少年防沉迷系統”的新型網絡犯罪案件,抓獲犯罪嫌疑人13名,查處非法網站500餘個
公安部部署“淨網2021”專項行動以來,全國公安機關網安部門全鏈條打擊非法採集、提供、倒賣個人資訊違法犯罪,偵辦案件5400餘起,抓獲犯罪嫌疑人6400餘名; 嚴打破壞電腦資訊系統數據、非法獲取電腦資訊系統數據類犯罪,偵辦相關案件230餘起,抓獲犯罪嫌疑人420餘人。
資料安全事關公民個人權益、產業健康發展甚至國家安全。 9月1日,《中華人民共和國數據安全法》正式施行,資料安全步入法治化軌道。 “從將個人、企業和公共機构的資料安全納入保障體系,到規範行業組織和科研機構等主體的數據安全保護義務,數據安全法確立了對數據領域的全方位監管、治理和保護。” 中國人民大學法學院副教授丁曉東說。
個人資訊——全鏈條、全流程監管
辦過一次健身卡,就會反復收到辦卡促銷、免費試課電話; 在某購物平臺買過一次產品,每到節日都會收到一波讓利推送……大數據、云計算、物聯網等科技高速發展,網絡在為人們生活帶來便利的同時,也帶來個人資訊被非法收集、用戶數據被洩露等現實問題。
今年4月,有線民向寧夏中衛市警方舉報:沙坡頭區有人在網上售賣公民個人資訊。 警方在浙江慈溪、四川自貢、甘肅蘭州及寧夏中衛沙坡頭區先後抓獲6名犯罪嫌疑人。 犯罪嫌疑人王某某供認稱,自2020年6月以來,他與同夥任某某通過駭客技術,非法侵入多家網貸平臺,竊取系統內公民個人資訊,隨後將非法竊取數據批量出售。 截至案發,該幫派共計出售公民個人資訊100餘萬條。
數據安全法明確規定,任何組織、個人收集數據,應當採取合法、正當的管道,不得竊取或者以其他非法管道獲取數據。
“數據安全法對個人資訊數據的收集、存儲、使用、提供等進行全鏈條、全流程監管。” 公安部第三研究所網路安全法律研究中心主任黃道麗說,數據安全法為公安機關全鏈條打擊、懲治侵犯公民個人資訊、倒賣個人數據等違法犯罪行為提供了重要法律保障,將更加有利於落實網絡安全等級保護制度,全方位保護個人資訊安全。
企業數據——安全防護常態化
“大量數據在企業經營過程中匯聚流通,尤其是一些頭部互聯網企業掌握了所屬行業的深度數據,在釋放數據價值的同時也帶來資料安全風險。” 丁曉東介紹。
下載新的APP時,需要勾選“同意”的隱私政策,這既是在保護用戶的個人資訊,也是對APP開發者採集個人資訊的約束與監督。
去年10月,貴州貴陽市警察局網安支隊接上級通報,貴州某教育科技有限公司注册及使用的三款APP存在不同程度非法收集公民資訊數據行為。 經查,該公司APP無隱私政策及收集使用個人資訊規則,在用戶首次登入時以默認選擇隱私政策等非明示管道徵求用戶同意; 沒有提供有效的更正、删除個人資訊及註銷用戶帳號功能。
今年9月,貴州開陽縣警察局網安大隊在對屬地網站開展巡查中發現,某旅遊公司於2016年委託網路公司為其建設網絡網站,時任企業負責人為便於管理,直接將網站後臺管理入口放置在web頁面,且存在弱口令漏洞。 公安機關責令企業負責人直接將網站關閉,並對現有超期功能變數名稱進行註銷。
在兩起案件中,兩家企業由於未履行對資料安全的監管和保護,不同程度上造成數據資訊安全漏洞。
黃道麗表示,各類網站、APP無論規模大小,相關負責人和運營商都應當按照法律法規要求及時開展網路安全檢查,履行網路安全保護義務。
“數據安全法明確企業在保護資料安全方面的責任,對企業的資料安全提出了嚴格要求。未來,企業的數據安全防護將逐步常態化。” 丁曉東說。
公共機构數據——充分發揮和保障其基礎資源作用
今年1月,江蘇南京市警察局網安部門偵辦了一起醫院內部資訊系統被非法獲取數據案件。 經查,犯罪嫌疑人通過買通醫院硬體設備維護人員,將駭客工具安裝在醫院內部系統中,非法竊取系統帳號密碼,獲取多家醫院患者就診數據,並售賣給相關醫療從業人員。 據查,犯罪嫌疑人累計非法獲取患者就診資訊數據數百萬條。
“醫藥代表對醫療統方數據有强烈需求,催生了醫療統方數據買賣的犯罪行為,同時暴露出醫院在醫療數據監管保護方面存在的漏洞。” 江蘇省公安廳網安總隊副總隊長浦天高說,隱私數據經由公共機构洩露的現象近年來時有發生,由於監管力度和追責制度的不完善,公共機构在資訊資料管理過程中存在一些漏洞,給不法之徒可乘之機。
清華大學公共管理學院與中國電子資訊行業聯合會聯合發佈的《中國政務數據治理發展報告(2021年)》統計,截至2020年上半年,我國已有130個省級、副省級和地市級政府上線了數據開放平臺。 數據開放平臺逐漸成為地方數位政府建設和公共數據治理的標配。 近年來,我國不斷推進網絡強國、數位中國、智慧社會建設,數據安全法的施行在規範數據活動的同時,將充分發揮和保障數據在公共機构中的基礎資源作用,促進公共服務水准提升。
“資料安全法既約束了數據的非法採集和濫用,又保護了數據提供方和群眾的資訊使用,推動以數據開放、數據保護、數據流動等為基礎的數據規則進一步完善,讓數據真正成為數字經濟、社會發展的血液。” 丁曉東說。
“下一步,公安機關將推進關鍵資訊基礎設施安全保護和網路安全等級保護工作,加强數據安全保護監管,嚴厲打擊危害資料安全的違法犯罪活動。” 公安部網路安全保衛局局長王瑛瑋表示。