广西钦州公安网安部门
对一家未履行个人信息保护义务的机构依法处罚
有效预防了网络安全案事件的发生
一、典型案例
2024年6月26日
钦州网警在日常检查时发现
灵山县某机构对用户个人信息管理不规范
其通过租用APP
共收集6600多名会员信息数万条
其中不乏姓名、身份证号码、手机号码、家庭住址等个人敏感信息
经进一步检查
该机构未按要求制定内部管理制度和操作规程
未采取相应的加密和去标识化等安全技术措施
未合理确定个人信息处理的操作权限
未定期对从业人员进行安全教育和培训
未履行个人信息保护义务
存在公民个人信息泄露或非法提供、出售公民个人信息的风险
钦州公安机关依法予以行政处罚
法律链条
《中华人民共和国个人信息保护法》第五十一条规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
《中华人民共和国个人信息保护法》第六十六条第一款之规定:
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
二、个人信息都是从哪里泄露的呢?
个人信息一旦遭到泄露,可能会引发骚扰电话、诈骗短信、人肉搜索等信息安全事件,或被犯罪分子用来进行各类非法活动,对个人人身安全和财产安全产生隐患。
那么,个人信息都是从哪里泄露的呢?这几点值得大家关注!
1
不安全的网络连接
公共Wi-Fi网络通常缺乏加密保护,黑客可以轻松截取用户在网络上的数据传输,从而获取敏感信息。尤其是在进行网购、网上银行等操作时,使用不安全的网络连接风险更大,不法分子可以通过中间人攻击,截取用户的银行账户信息和密码。
2
移动应用程序的权限滥用
许多移动应用程序在安装时要求获取大量权限,如果用户随意授予这些权限,就会有高危应用程序收集并滥用用户个人信息的隐患,带来隐私和安全方面的威胁。即便是正规应用程序,也可能因为漏洞或恶意代码而导致信息泄露。
3
社交媒体的不当使用
用户在社交平台上分享的照片、位置、日常动态等,都会成为潜在的安全隐患,不法分子可以通过分析这些公开信息,获取用户的生活习惯、家庭状况等,从而进行精准的诈骗活动。
4
网络钓鱼和欺诈
网络钓鱼是个人信息泄露的主要途径之一。攻击者通常通过伪装成合法机构,如银行、政府部门或知名企业,发送看似正常的电子邮件或消息,诱导受害者点击链接或下载附件,从而获取其敏感信息。钓鱼网站和虚假页面也是常见的手段,用户一旦输入信息,便会被不法分子窃取。
三、如何做好个人信息保护呢?
个人
1
警惕公共Wi-Fi网络
日常应避免使用公共Wi-Fi进行敏感操作,如网购等。如果必须使用公共Wi-Fi,尽量不传输敏感信息,特别是涉及个人账户、密码及隐私方面的信息,以确保数据传输的安全性。
2
小心应用程序权限
在安装移动应用程序时,要仔细阅读权限请求,对于不必要的权限应拒绝授予,定期检查已安装应用的权限设置,撤销不必要的权限,减少信息泄露的风险。
3
谨慎分享个人信息
在社交媒体上分享个人信息时要保持谨慎,不要公开电话号码、家庭住址等敏感信息。定期检查隐私设置,确保只有信任的人可以看到你的个人资料和动态。
4
提高安全意识
学会识别网络钓鱼和欺诈行为,不随意点击陌生邮件中的链接或下载附件,尤其是那些要求提供敏感信息的邮件;访问网站时,要仔细核对网址,确保其合法性和安全性。
5
定期监测个人信息
定期查看银行账单、信用报告等,监测是否有异常交易或未经授权的活动。如果发现可疑情况,应及时与相关机构联系,采取必要措施。
个人信息处理者
1
明确个人信息保护责任制
建立个人信息保护组织架构,明确岗位职责,制定对应的全流程管理规范、制度、流程等,落实全生命周期的安全管控职责,确保个人信息处理过程的安全合规。
2
进行个人信息分类(分级)管理
建立个人信息管理机制,明确数据类型及策略,对个人信息实行分类(分级)管理,从而制定精细化的保护策略,高效、有目的性地保障个人信息安全并确保个人敏感信息处理履行告知义务。
3
开展个人信息风险评估
定期进行个人信息保护影响评估,采取风险评估手段识别发现个人信息安全风险,及时整改,规避个人信息泄露、篡改、丢失等安全隐患,提升个人信息保护建设水平。
4
落实安全技术措施
梳理个人信息全生命周期处理活动,制定相对应的安全要求,对各风险点进行提示,在风险点落实匿名化和去标识化;确保跨境个人信息处理处于合规状态;对个人信息主体各项权利确保落实到位。
5
建立个人信息安全事件应急响应机制
建立个人信息安全应急预案,明确个人信息事件的应急方针、政策,应急组织结构及相关应急职责。在安全事件发生后,能够及时采取应急措施,最大程度保护个人信息安全。
6
开展个人信息安全意识教育培训
定期开展个人信息安全意识教育培训,加强集体的信息安全保护意识,确保履行个人信息保护义务的部门及个人都能够牢筑安全的基石,促进个人信息的合理利用。