非法购买公民信息、开发人脸认证规避技术……今年年初,广东省公安厅网安部门侦破全国首例破解“青少年防沉迷系统”的新型网络犯罪案件,抓获犯罪嫌疑人13名,查处非法网站500余个。
公安部部署“净网2021”专项行动以来,全国公安机关网安部门全链条打击非法采集、提供、倒卖个人信息违法犯罪,侦办案件5400余起,抓获犯罪嫌疑人6400余名;严打破坏计算机信息系统数据、非法获取计算机信息系统数据类犯罪,侦办相关案件230余起,抓获犯罪嫌疑人420余人。
数据安全事关公民个人权益、产业健康发展甚至国家安全。9月1日,《中华人民共和国数据安全法》正式施行,数据安全步入法治化轨道。“从将个人、企业和公共机构的数据安全纳入保障体系,到规范行业组织和科研机构等主体的数据安全保护义务,数据安全法确立了对数据领域的全方位监管、治理和保护。”中国人民大学法学院副教授丁晓东说。
个人信息——
全链条、全流程监管
办过一次健身卡,就会反复收到办卡促销、免费试课电话;在某购物平台买过一次产品,每到节日都会收到一波打折推送……大数据、云计算、物联网等技术高速发展,网络在为人们生活带来便利的同时,也带来个人信息被非法收集、用户数据被泄露等现实问题。
今年4月,有网民向宁夏中卫市警方举报:沙坡头区有人在网上售卖公民个人信息。警方在浙江慈溪、四川自贡、甘肃兰州及宁夏中卫沙坡头区先后抓获6名犯罪嫌疑人。犯罪嫌疑人王某某供认称,自2020年6月以来,他与同伙任某某通过黑客技术,非法侵入多家网贷平台,窃取系统内公民个人信息,随后将非法窃取数据批量出售。截至案发,该犯罪团伙共计出售公民个人信息100余万条。
数据安全法明确规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
“数据安全法对个人信息数据的收集、存储、使用、提供等进行全链条、全流程监管。”公安部第三研究所网络安全法律研究中心主任黄道丽说,数据安全法为公安机关全链条打击、惩治侵犯公民个人信息、倒卖个人数据等违法犯罪行为提供了重要法律保障,将更加有利于落实网络安全等级保护制度,全方位保护个人信息安全。
企业数据——
安全防护常态化
“大量数据在企业经营过程中汇聚流通,尤其是一些头部互联网企业掌握了所属行业的深度数据,在释放数据价值的同时也带来数据安全风险。”丁晓东介绍。
下载新的APP时,需要勾选“同意”的隐私政策,这既是在保护用户的个人信息,也是对APP开发者采集个人信息的约束与监督。
去年10月,贵州贵阳市公安局网安支队接上级通报,贵州某教育科技有限公司注册及使用的三款APP存在不同程度非法收集公民信息数据行为。经查,该公司APP无隐私政策及收集使用个人信息规则,在用户首次登录时以默认选择隐私政策等非明示方式征求用户同意;没有提供有效的更正、删除个人信息及注销用户账号功能。
今年9月,贵州开阳县公安局网安大队在对属地网站开展巡查中发现,某旅游公司于2016年委托网络公司为其建设网络站点,时任企业负责人为便于管理,直接将网站后台管理入口放置在web页面,且存在弱口令漏洞。公安机关责令企业负责人直接将网站关闭,并对现有超期域名进行注销。
在两起案件中,两家企业由于未履行对数据安全的监管和保护,不同程度上造成数据信息安全漏洞。
黄道丽表示,各类网站、APP无论规模大小,相关负责人和运营商都应当按照法律法规要求及时开展网络安全检查,履行网络安全保护义务。
“数据安全法明确企业在保护数据安全方面的责任,对企业的数据安全提出了严格要求。未来,企业的数据安全防护将逐步常态化。”丁晓东说。
公共机构数据——
充分发挥和保障其基础资源作用
今年1月,江苏南京市公安局网安部门侦办了一起医院内部信息系统被非法获取数据案件。经查,犯罪嫌疑人通过买通医院硬件设备维护人员,将黑客工具安装在医院内部系统中,非法窃取系统账号密码,获取多家医院患者就诊数据,并售卖给相关医疗从业人员。据查,犯罪嫌疑人累计非法获取患者就诊信息数据数百万条。
“医药代表对医疗统方数据有强烈需求,催生了医疗统方数据买卖的犯罪行为,同时暴露出医院在医疗数据监管保护方面存在的漏洞。”江苏省公安厅网安总队副总队长浦天高说,隐私数据经由公共机构泄露的现象近年来时有发生,由于监管力度和追责制度的不完善,公共机构在信息数据管理过程中存在一些漏洞,给不法之徒可乘之机。
清华大学公共管理学院与中国电子信息行业联合会联合发布的《中国政务数据治理发展报告(2021年)》统计,截至2020年上半年,我国已有130个省级、副省级和地市级政府上线了数据开放平台。数据开放平台逐渐成为地方数字政府建设和公共数据治理的标配。近年来,我国不断推进网络强国、数字中国、智慧社会建设,数据安全法的施行在规范数据活动的同时,将充分发挥和保障数据在公共机构中的基础资源作用,促进公共服务水平提升。
“数据安全法既约束了数据的非法采集和滥用,又保护了数据提供方和民众的信息使用,推动以数据开放、数据保护、数据流动等为基础的数据规则进一步完善,让数据真正成为数字经济、社会发展的血液。”丁晓东说。
“下一步,公安机关将推进关键信息基础设施安全保护和网络安全等级保护工作,加强数据安全保护监管,严厉打击危害数据安全的违法犯罪活动。”公安部网络安全保卫局局长王瑛玮表示。