廣西欽州公安網安部門對一家未履行個人信息保護義務的機構依法處罰有效預防了網絡安全案事件的發生

　　一、典型案例

　　2024年6月26日

　　欽州網警在日常檢查時發現靈山縣某機構對用戶個人信息管理不規范其通過租用APP共收集6600多名會員信息數萬條其中不乏姓名、身份證號碼、手機號碼、家庭住址等個人敏感信息

　　經進一步檢查，該機構未按要求制定內部管理制度和操作規程，未采取相應的加密和去標識化等安全技術措施，未合理確定個人信息處理的操作權限，未定期對從業人員進行安全教育和培訓，未履行個人信息保護義務。存在公民個人信息泄露或非法提供、出售公民個人信息的風險，欽州公安機關依法予以行政處罰。

　　《中華人民共和國個人信息保護法》第五十一條規定：個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)采取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓;(五)制定并組織實施個人信息安全事件應急預案;(六)法律、行政法規規定的其他措施。

　　《中華人民共和國個人信息保護法》第六十六條第一款之規定：違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務;拒不改正的，并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　二、個人信息都是從哪里泄露的呢?

　　個人信息一旦遭到泄露，可能會引發騷擾電話、詐騙短信、人肉搜索等信息安全事件，或被犯罪分子用來進行各類非法活動，對個人人身安全和財產安全產生隱患。

　　那么，個人信息都是從哪里泄露的呢?這幾點值得大家關注!

　　不安全的網絡連接

　　公共Wi-Fi網絡通常缺乏加密保護，黑客可以輕松截取用戶在網絡上的數據傳輸，從而獲取敏感信息。尤其是在進行網購、網上銀行等操作時，使用不安全的網絡連接風險更大，不法分子可以通過中間人攻擊，截取用戶的銀行賬戶信息和密碼。

　　移動應用程序的權限濫用

　　許多移動應用程序在安裝時要求獲取大量權限，如果用戶隨意授予這些權限，就會有高危應用程序收集并濫用用戶個人信息的隱患，帶來隱私和安全方面的威脅。即便是正規應用程序，也可能因為漏洞或惡意代碼而導致信息泄露。

　　社交媒體的不當使用

　　用戶在社交平臺上分享的照片、位置、日常動態等，都會成為潛在的安全隱患，不法分子可以通過分析這些公開信息，獲取用戶的生活習慣、家庭狀況等，從而進行精準的詐騙活動。

　　網絡釣魚和欺詐

　　網絡釣魚是個人信息泄露的主要途徑之一。攻擊者通常通過偽裝成合法機構，如銀行、政府部門或知名企業，發送看似正常的電子郵件或消息，誘導受害者點擊鏈接或下載附件，從而獲取其敏感信息。釣魚網站和虛假頁面也是常見的手段，用戶一旦輸入信息，便會被不法分子竊取。

　　三、如何做好個人信息保護呢?

　　個人

　　警惕公共Wi-Fi網絡。日常應避免使用公共Wi-Fi進行敏感操作，如網購等。如果必須使用公共Wi-Fi，盡量不傳輸敏感信息，特別是涉及個人賬戶、密碼及隱私方面的信息，以確保數據傳輸的安全性。

　　小心應用程序權限。在安裝移動應用程序時，要仔細閱讀權限請求，對于不必要的權限應拒絕授予，定期檢查已安裝應用的權限設置，撤銷不必要的權限，減少信息泄露的風險。

　　謹慎分享個人信息。在社交媒體上分享個人信息時要保持謹慎，不要公開電話號碼、家庭住址等敏感信息。定期檢查隱私設置，確保只有信任的人可以看到你的個人資料和動態。

　　提高安全意識。學會識別網絡釣魚和欺詐行為，不隨意點擊陌生郵件中的鏈接或下載附件，尤其是那些要求提供敏感信息的郵件;訪問網站時，要仔細核對網址，確保其合法性和安全性。

　　定期監測個人信息。定期查看銀行賬單、信用報告等，監測是否有異常交易或未經授權的活動。如果發現可疑情況，應及時與相關機構聯系，采取必要措施。

　　個人信息處理者

　　明確個人信息保護責任制。建立個人信息保護組織架構，明確崗位職責，制定對應的全流程管理規范、制度、流程等，落實全生命周期的安全管控職責，確保個人信息處理過程的安全合規。

　　進行個人信息分類(分級)管理。建立個人信息管理機制，明確數據類型及策略，對個人信息實行分類(分級)管理，從而制定精細化的保護策略，高效、有目的性地保障個人信息安全并確保個人敏感信息處理履行告知義務。

　　開展個人信息風險評估。定期進行個人信息保護影響評估，采取風險評估手段識別發現個人信息安全風險，及時整改，規避個人信息泄露、篡改、丟失等安全隱患，提升個人信息保護建設水平。

　　落實安全技術措施。梳理個人信息全生命周期處理活動，制定相對應的安全要求，對各風險點進行提示，在風險點落實匿名化和去標識化;確保跨境個人信息處理處于合規狀態;對個人信息主體各項權利確保落實到位。

　　建立個人信息安全事件應急響應機制。建立個人信息安全應急預案，明確個人信息事件的應急方針、政策，應急組織結構及相關應急職責。在安全事件發生后，能夠及時采取應急措施，最大程度保護個人信息安全。

　　開展個人信息安全意識教育培訓。定期開展個人信息安全意識教育培訓，加強集體的信息安全保護意識，確保履行個人信息保護義務的部門及個人都能夠牢筑安全的基石，促進個人信息的合理利用。

　　來源：長沙網警