信息安全 (保护个人信息安全，营造人人安心的网络环境)

保护个人信息安全，营造人人安心的网络环境

9月9日至15日，2024年国家网络安全宣传周在全国范围统一举行，今年网安周的主题是“网络安全为人民，网络安全靠人民”。其中道出了一个朴素而深刻的道理：人民既是网络安全工作的出发点和落脚点，也是维护网络安全的重要参与主体之一，网络安全离不开我们每一个普通人的参与和行动。

个人信息安全是网络安全不可忽视的重要组成部分。截至今年6月，我国网民规模近11亿人，互联网普及率达78.0%。日常生活中，网络购物、线上支付、远程教学、刷脸识别等，早已深度嵌入人们的日常生活，成为刚需和常态。但万物互联在让我们享受数字化便利的同时，也带来了一些困扰和风险，譬如“大数据杀熟”、恶意软件骚扰、虚假信息满天飞、个人信息被随意采集和使用、网络诈骗横生等，直接关系到我们每个人的隐私、财产甚至生命安全。而这一切，都直指一个核心问题：个人信息保护泄露的普遍性、严重性和危害性。

中国消费者协会曾经的一项调查显示，遇到过个人信息泄露者占比高达85.2%，深受其扰的人们对加强个人信息保护的呼声日益强烈。2021年11月1日，我国首部个人信息保护方面的专门法律——《中华人民共和国个人信息保护法》开始正式实施，并与此前颁布的网络安全法、数据安全法等一并构建起我国信息安全法律保障体系。除此以外，个人信息保护法更独特的意义在于，它更强调“人”的权利价值、更具民生视角，赋予了公民个体对自己个人信息的“自我决定权”和充分的“知情权”，标志着我国个人信息保护立法体系进入新的阶段。

随着个人信息保护法的落地和相关实施细则及配套制度的实施，我国个人信息安全保护工作已取得长足进步，但仍然任重道远。现实中，在不同平台购物遭遇不同价格，进小区和公共场所被要求刷脸，点单强行索取不相干的个人信息，填写一次联系方式第二天收到十几通推销电话等现象仍时有发生。

营造一个安全、安心、舒心的网络环境，首先需要各个网络平台切实承担起守护职责，真正敬畏法律和消费者利益，依法依规使用用户个人信息，坚决摒弃滥用、盗用、骗取个人信息等违法、擦边行为。要做到这一点，平台企业首先要树立正确的价值观和发展观，摆正经济效益和社会责任的关系，绷紧个人信息保护这条红线，认识到在个人信息保护进入法治化轨道后，这已成为对所有互联网企业的基本要求。

同时，徒法不足以自行。相关部门还须继续加大执法力度，确保网络平台在涉个人信息的每一个动作都能感受到法律的“在线”“在场”，将个人信息安全法中对违法违规企业的各项监管措施落实到位，倒逼企业在个人信息保护方面始终在法治轨道上运行。

个人信息保护离不开每个人的积极参与。我们既要提高警惕性、学会必要的网络安全技能，也要在遭遇个人信息被不当使用、个人权益遭受侵害时，有更多点较真精神，敢于且善于拿起法律武器维权。个人的点滴努力，不仅是维护自身权益的有力保障，也是我们共建网络安全、共治网络空间的坚实基石。只有共建、共治，才能实现共享、共惠。

数据安全：贯穿始终的网络安全“大动脉”

在移动互联时代，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，而贯穿整体的数据成为核心，成为网络安全“大动脉”。在网络高度发达的今天，数据核心的重要性已经凸显，国家不断出台标准规范、各种新的概念理念，来驾驶这辆快速行进的数据列车稳定运行。

网络安全的快速发展，给经济和社会带来的基础的必要的条件，习近平总书记强调：“要加快新型基础设施建设，加强战略布局，加快建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施，打通经济社会发展的信息‘大动脉’。” 20多年网络安全的发展，数据安全保护的方面也不断叠加和更新，本次将从以下几个角度讲述数据安全。

讲网络安全或者信息安全，等级保护标准首当其冲，2006年执行以来的等级保护制度经久不衰，等级保护1.0（三级）里对数据安全的描述“应能够检测到系统管理数据、鉴别信息和重要业务数据在传输、存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通用通信协议的攻击破坏数据的完整性。应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性；应对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通用协议的攻击破坏数据的保密性。 等级保护2.0调整了部分内容，把数据安全的定义宽泛化，分化到不同的环节，更具科学性，并形成了独立的 移动安全模块 ，对移动安全有了进一步的描述。

除了等级保护，我们最近比较关注的关键信息基础设施也成为时代的明星，关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。近年来，数字化、网络化、智能化深入发展，既对维护网络安全提出了更多挑战，也对加强关键信息基础设施建设提出了更高要求。同时配合等级保护的要求，定性为关键基础设施的系统一定为三级，数据安全是关键信息基础设施的重要一环，关键信息基础设施要求的提出，对于网络信息安全企业要提高政治站位、顺应时代趋势、把握发展规律、履行责任担当，不断提升以5G为代表的新一代信息基础设施的建设和服务能力，更好地为实体经济实现数字化、网络化、智能化转型升级贡献力量。

加强网络安全防护水平 ，提高网络安全防护意识。近年来，国家不断加大投入，从2017年陆续出台了《网络安全法》《数据安全法》《密码法》《个人信息保护法》等，结合之前的《刑法》以及《民法典》，数据安全以不同形式在人民心中逐渐树立形象，深化到不同的领域、行业及地区。面对不断变化的安全形势，需加快网络安全、数据安全的新航线新征程布局，推进数字产业化和产业数字化。在完成数字中国的征程中，数据是基础，数据安全是堡垒，加强堡垒，保护好基础，需要数据安全这条“大动脉”不断创新，发光发热。

强化自主可控，加快自身基础研发 。网络成为当下和未来的新战场，以当前的国际形势、国家现状及发展形势，如果没有自己的网络，没有自主可控的安全保障，那必定成为板上钉、俎上肉。没有网络主权，何谈数据安全，切实推动技术融合、业务融合、数据融合，不断提高基础研发水平。

突破技术壁垒，筑牢网络长城 。近年来，数据安全的话题不断发酵，各种网络安全的问题不断升级，各类不可预知的风险层出不穷，电信诈骗、个人隐私、云原生安全、AI黑产等不断融入生活，带来了新的便利和安全问题，我们要分析数据，技术优先，把安全风险较低到最小、最优化，照顾好“大动脉”的每个环节。网络安全是发展的动力和保障，发展是网络安全的基础和目的。数据是网络安全保护的核心，保护好数据，确保数据安全“大动脉”不动摇，我们需要不断推进，不断更新，奋进新时代，践行好网络安全为人民的理念，造福社会、造福人民。

为了坚定不移贯彻总体国家安全观，响应政策法律要求，进一步推动数据安全建设，保障企业数据安全，我司监管合规咨询部特推出 数据安全咨询服务 ，该服务包括数据安全治理体系设计、数据安全风险评估、数据出境安全评估、个人信息保护咨询服务、数据安全认证评估咨询、应用系统数据安全管控咨询服务、数据安全专项检查服务、数据分类分级咨询服务、数据安全应急响应服务、数据安全专业培训服务共计 10大服务类别 ，涉及 23项具体安全服务 ，涵盖数据安全管理、技术、人员、数据处理活动四个维度，以数据安全监管合规为底线，技术防护为核心，数据安全流转为目标，为企业客户提供专业的咨询服务。

网安标委发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》

日前，为指导大型互联网平台评估发现和防范影响或者可能影响社会稳定、公共利益的网络安全风险，提升平台安全水平，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南》。

《指南》从影响或者可能影响社会稳定和公共利益的角度，提出了对大型互联网平台开展网络安全评估的内容和方法，适用于对大型互联网平台开展网络安全评估活动。

《指南》提出，大型互联网平台开展网络安全]评估需要首先设立网络安全评估工作组。其中，工作组由平台主要负责人直接领导，工作组在其领导下制定管理制度和工作程序，工作组各项具体工作由平台主要负责人指定的牵头人组织推动，牵头人需是平台高级管理人员。

《指南》同时对评估工作组的工作内容做了明确划分，要求工作组根据各项业务发生网络安全问题时对社会稳定、公共利益的影响程度，识别核心业务范围，明确网络安全评估范围、组织开展年度网络安全评估、研究制定重要事项网络安全评估工作方案并组织开展相关评估工作。

最终，工作组需根据网络安全评估中发现的安全问题组织开展整改。针对大型互联网平台评估内容方面，《指南》要求工作组从核心业务连续性风险、灾难恢复能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护等七个方面展开。

如果工作组在评估过程中，未发现安全问题与安全风险时，需要记录评估情况，保留相关材料。一旦发现安全问题或安全风险时，需要记录评估情况，并及时组织分析研判，并根据研判结果对发现的问题和风险进行整改，记录整改情况或未整改原因，对突出问题、风险按照有关部门要求上报。

筑牢数据安全防线 加强跨境数据流动治理

在数字产业化和产业数字化持续深化的背景下，数据与传统生产要素的深度融合，成为数字时代推动高质量发展的强劲动力。

党的十八大以来，党中央、国务院对数据治理工作给予高度重视，相继出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《数据出境安全评估办法》以及《促进和规范数据跨境流动规定》等一系列法律和规定，为跨境数据流动提供了明确的法律遵循和规则指引。

明晰数据权属，完善交易规则。目前，世界各国都存在数据要素权属关系不明确、数据交易规则不完备、数据要素利用不足等问题，制约了跨境数据流动的效率。跨境数据流动涉及的数据类型繁多，且各类数据在性质、用途和风险上有着显著差异，亟待依据数据类别制定更为精准、精细的规则体系。

完善治理体系，提升监管效能。跨境数据流动治理作为一项系统工程，与数据产业发展、数据安全保障、电子政务等领域的工作紧密相关。因此，必须构建高效协同的跨境数据流动治理体系，不断提升跨境数据监管效能。

深化国际合作，促进全球协同治理。随着跨境数据流动的日益频繁以及各国相互联系、相互依存程度的空前加深，数据治理逐渐成为具有全球性的复杂议题，并且易与其他全球性问题相互交织。

弱口令，高风险，速修改！

生活在数字化时代，网络已成为日常工作学习生活中不可或缺的重要部分，我们在不同的网站注册账号、设置密码，搭建虚拟世界中的私人空间。但如果密码过于简单，如连续数字、电话号码、姓名生日等组合形成的“弱口令”，不仅极易被猜中或破解，还有可能遭到境外黑客攻击，成为网络安全防护中最薄弱的突破口。弱口令的风险不止是造成个人隐私的泄露，更有甚者，会给一些重点涉密部门带来泄密风险。

现身境外论坛的内部数据

国家安全机关工作发现，在某境外论坛上出现我国某企业的内部数据，数据内容包含该企业多个合作客户姓名、身份证号、家庭住址以及手机号码等个人隐私信息，如落入不法分子手中将造成严重安全隐患。经核查，该数据之所以被窃取，是因为企业网络管理员在开展运维测试后，未及时删除测试账号，而该账号恰好具备管理员权限且口令极易猜解，为“admin+连续数字”，成为该企业信息安全维护的一大漏洞，一些客户的数据由此泄露。

频频异地登录的电子邮箱

某单位在其官方网站公布对外电子邮箱账号用于联络收信，为方便查阅历史邮件，该单位工作人员将所有邮件及附件长期存储于邮箱云空间，未定期进行清理。近期频繁出现异地登录告警，该单位随即向当地国家安全机关反映异常情况。

国家安全机关核查发现，该邮箱为单位公用邮箱，为方便工作人员使用，登录密码为单位对外办公的固话号码且长期未修改，导致邮箱密码被境外黑客猜解，进而邮件数据被窃取。

自动切换视角的监控摄像

某跨境物流公司位于我沿海港口，园区内装有大量摄像头用于监控物流运转情况。该公司员工小李发现，在午休及夜间，摄像头时常自动旋转，寻找并聚焦至停靠、出港的有关船只。小李立即向公司领导汇报，公司同时将此情况向当地国家安全机关报告。

国家安全机关上门查验发现，该公司监控系统的管理员账号密码为出厂默认的弱口令密码，数月前境外黑客开展密码“撞库”攻击，成功登录监控系统，获取了监控系统操控摄像头权限。境外黑客通过高清摄像头监控目标海域情况，给我国家安全带来风险隐患。

国家安全机关提示

数字化时代，有关单位和个人应提高信息安全意识，履行网络安全义务，增强网络防护，避免使用弱口令，防止数据被窃取、泄露，影响国家安全。

使用复杂密码： 设置密码长度至少为8位，宜同时包含大小写字母、数字、特殊字符，提高密码的复杂度，不使用设备或账户初始密码及常见的弱口令密码。

定期更改密码： 设置复杂密码后，并非一劳永逸，随着时间的推移，密码仍存在被破译的可能性。重要网络信息系统应定期（至少3个月内）进行密码更改，同时要避免数套密码轮换修改。

避免密码串用： 在不同平台及系统避免使用相同的密码，防止一个密码泄露后其他系统被“撞库”攻击连带攻破，导致泄密面进一步扩大。

定期检查账户状态： 计算机系统及网络账户通常具备安全审计功能，可查询历史异常记录，定期检查日志，及时发现账户异常行为，防止因密码泄露导致内部数据、信息被持续窃取。

加强技术防范措施： 反间谍安全防范重点单位应当按照反间谍技术防范的要求和标准，采取相应的技术措施和其他必要措施，加强对要害部门部位、网络设施、信息系统的反间谍技术防范。

（文章来源：国家安全部）