作者： 联盟秘书处

文章来源自：证券时报网，由“重庆信息安全产业技术创新联盟”整理发布。



2019年2月11日，针对去年10月的抽查与约谈情况，上海市互联网信息办公室对1号店等23个上海本地最常用移动互联网应用程序（App）用户权限的整改情况做了复测与公示。结果显示，截至1月中旬，相关App共整改158个不合理权限和98个“合理但存在风险”的权限。

2017年6月1日，《中华人民共和国网络安全法》正式实施；2017年末，《个人信息安全规范》国家标准正式发布。业界称2018年为中国“数据合规元年”。2019年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时，不得收集与所提供服务无关的个人信息，不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。

接受证券时报记者采访的专家认为，此次四部门专项治理行动，可以称作是针对我国网络安全问题“涉及范围最广、措施最严厉”的一次专项行动，效果值得期待。在这一过程中，还需进一步确定一个国家机关来专门负责“自然人信息保护”工作，同时也需要对《行政处罚法》《网络安全法》等再做相应具体修改，有专家还建议单独制定一部《自然人信息保护法》。

2018年全国两会期间，三六零安全科技股份有限公司董事长周鸿祎表示，用户隐私保护可遵循三个原则，即数据所有权的归属、用户应有的知情权和选择权、互联网公司对用户数据的保护。周鸿祎认为，在大数据时代，一定要平衡好互联网的使用与个人信息的安全。

“数据合规”

仍需努力

2018年12月在深圳举行的“腾讯隐私保护白皮书发布会”上，南都大数据研究院个人信息保护研究中心副主任蒋琳表示，在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下，国内App的隐私政策透明度整体比2017年有所提升，但依然有逾七成App的隐私政策不合格。

2017年6月1日，《网络安全法》正式实施，业界称2018年为中国“数据合规元年”。但从相关统计来看，任务之艰巨不言而喻，“按下葫芦浮起瓢”等现象仍较突出。

上海市网信办相关抽查发现，样本中约30%的App权限与所提供的服务没有对应关系，属于不合理范围。只有严格限制App向用户索取不合理权限，才能从源头上减少个人信息被泄露、被滥用的可能。抽查所指“风险”，是指App权限被恶意利用后可能产生的风险，有别于技术风险。

对于App索取用户权限的现象，有关部门早已有明文禁止。2016年8月起生效的《移动互联网应用程序信息服务管理规定》指出，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。

腾讯社会研究中心和DCCI互联网数据研究中心2018年8月发布《网络隐私安全及网络欺诈行为研究分析报告》，统计了1144款手机App获取用户隐私权限的情况，结果显示，获取“打开摄像头”权限的App比例达89.9%，获取“使用话筒录音”权限的App比例达86.2%，这两个权限均涉及用户最核心的隐私信息。

蒋琳对证券时报记者表示，对App过度获取手机权限的现象，用户可以在App的下载页面仔细看一下权限列表，使用App的时候也要重点关注隐私政策中“个人信息收集和使用”相关条款，做到心里有数。对于敏感权限弹窗，不使用的功能就拒绝，需要时再开启。

电子商务领域专家、北京金诚同达（上海）律师事务所合伙人王良认为，数据不单单是一种资产，它还涉及国家利益、商业秘密和个人隐私，并兼具财产权和人格权的双重属性。一旦遇到个人信息被侵害，有很多维权途径可供选择，例如：12377中央网信办举报中心，12321网络不良与垃圾信息举报受理中心，全国12315互联网平台等。当然，如遇被诈骗等网络犯罪的情形，应及时向公安部门报案。

网络安全立法

“三步走”

中伦律师事务所《2018年网络安全年度法律观察》指出，全国人大常委会2017年“一法一决定”执法检查报告认为，《网络安全法》执法中“九龙治水”局面仍然存在。依照法律规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。事实上，几个行政执法主体间存在着权责不清、交叉执法等问题。不过根据已有案例统计，虽然三个主要执法部门存在执法重叠问题，但仍各有侧重。

记者注意到，在十三届全国人大常委会2018年9月公布的立法规划中，将《个人信息保护法》和《数据安全法》列入第一类项目，即全国人大认为这两部法律的立法条件比较成熟，在本届任期内拟提请审议。

知识产权领域专家、中伦律师事务所合伙人陈际红律师表示，域外立法对中国企业的影响不容忽视。中国一直是经济全球化的践行者和受益者，中国企业与域外的关联因素已经非常广泛。考虑到全球各国的数据立法此起彼伏，且很多具有域外管辖的长臂效果，中国企业在走出去的过程中，不得不密切关注域外数据立法对企业的影响。陈际红介绍，这主要包括《欧盟数据保护通用条例》、美国《澄清境外数据的合法使用法案》及2018年8月特朗普总统签署生效的《外国投资风险审查现代化法案》等。

“考虑到我国的《网络安全法》属于框架性立法，很多法律要求并不十分明确，此类标准和指引对于企业合规和执法管理的指引性和参照性作用十分明显。”陈际红表示。

同济大学法学院院长助理刘春彦对证券时报记者说，作为民事基本法，2017年10月1日开始施行的《民法总则》并没有规定自然人的信息权，而按照民法的理论，个人信息只作为一种法益保护，还没有上升为民事权利。在《网络安全法》基础上，第二步可对《行政处罚法》甚至对《网络安全法》作进一步的修改调整，明确与侵害自然人信息有关行为的处罚。

中伦法律观察报告判断，预计2019年中国的数据跨境监管方案终将出台；关键信息基础设施安全保护配套法规将颁布生效，运营者网络安全保护义务落实的执法检查会进一步加强；网络安全等级保护2.0制度体系将落地实施，公安部门会进一步加强该工作的管理和实施检查。

陈际红认为，作为第三步，在一般性法律完善之后，各个行业主管部门将开展行业内的网络安全和数据保护实施细则的立法和执法工作，尤其是金融、医疗健康、电子商务等数据敏感行业。届时，数据合规将成为企业普遍接受的概念。

王良表示，我们的立法需要在个人信息和隐私保护与商业价值之间进行取舍和平衡。首先应明确对个人信息和隐私保护的基础不能动摇；其次应在个人信息的收集、处理和利用中，逐步确立起收集限制、目的特定化等国际通行的做法与准则；最后还应根据我国目前社会与经济发展水平，决定个人信息保护的水平和力度，不偏废保护隐私与产业发展的任一方。

文章来源自：经济参考网，由“重庆信息安全产业技术创新联盟”整理发布。

2月20日，由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办的2018年中国网络安全大事发布会在公安部一所举行。本次会议发布了结合专家组评选和线上投票遴选出的2018年中国网络安全大事。

1. “净网2018”专项行动打击整治网络违法犯罪

2月7日，公安部部署全国公安机关从即日起至12月底，深入开展打击整治网络违法犯罪“净网2018”专项行动。专项行动要求强化清理整治，全面规范网络安全秩序，督促指导重点网站、网络服务商、信息服务商和联网单位严格落实信息安全管理责任，严格落实网络实名制等管理制度，依法查处一批“黑产”“黑市”，整治一批违法违规企业，清除一批违规有害应用服务，解决一批危害网络安全、滋生违法犯罪的基础性问题。

2. 勒索软件持续入侵大型系统，造成严重后果

3月，湖北某医院内网遭到勒索病毒攻击，导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作;8月，台湾积体电路制造三大厂区出现电脑大规模勒索病毒事件，造成大量经济损失;9月，GlobeImposter勒索病毒入侵山东省10市不动产登记系统，造成系统暂定运行。在2018年国家网络安全宣传周期间，腾讯智慧安全正式发布《医疗行业勒索病毒专题报告》，报告指出在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。

3. 全国网络安全和信息化工作会议在京召开

4月20日，全国网络安全和信息化工作会议召开，习近平总书记出席作重要讲话。习近平总书记强调，信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用，加强网信领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦做出新的贡献。

4. 国家标准《信息安全技术 个人信息安全规范》正式实施

5月1日，国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017)正式实施。《规范》以国家标准的形式，明确开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求，可以为互联网企业处理用户个人信息提供指导和规范。

5. 网上公民个人信息泄露频频发生

2018年以来，国内多家机构疑似发生个人信息泄露事件。6月13日，知名视频播放网站A站(AcFun)遭遇黑客攻击，数据库近千万条用户数据发生泄露；6月14日，前程无忧数据库195万余条用户数据疑似泄露，但遭该公司声明否认；8月1日，浙江省1000万条学籍数据疑似泄露，样本数据经核实与真实信息基本一致;8月28日，华住旗下酒店5亿条用户信息泄露；9月7日，江苏一高校学生信息泄露，疑被企业用于偷逃税款；12月31日，北京警方破获一起侵犯公民个人信息案，网上贩卖470余万条疑似12306铁路订票网站用户数据的犯罪嫌疑人陈某被刑拘。

6. 公安部发布《网络安全等级保护条例(征求意见稿)》

6月27日，公安部发布了会同有关部门起草的《网络安全等级保护条例(征求意见稿)》。此条例征求意见稿要求网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则，建立健全网络安全防护体系，重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。征求意见稿拟将网络分为五个安全保护等级，要求网络运营者依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。

7. 首届网民网络安全感满意度调查活动在全国开展

8月27日，2018全国网民网络安全感满意度调查活动正式启动。本次调查活动由80多家网络安全社会组织共同发起，主题为“网络安全为人民，网络安全靠人民”，调查结果在2018年国家网络安全宣传周法治日活动上首次发布。本次调查动员了全国各省的信息安全协会参与组织实施，范围覆盖全国所有省、市、自治区，是国内首次对网络安全满意度进行如此大规模的公开调查，本次调查活动参与人数量多，组织类型全面。活动着眼于反映广大民众对于网络安全态势的感受，积极宣传网络安全，提高网络治理成效，成绩可喜。

8. 《公安机关互联网安全监督检查规定》正式施行

11月1日，《公安机关互联网安全监督检查规定》正式实施。根据规定，公安机关将根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况开展监督检查。

9. 国家网信办发布具有舆论属性的信息服务安全评估规定

11月15日，中国国家互联网信息办公室发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，要求互联网信息服务提供者在特定情况下，按规定自行开展安全评估，并对评估结果负责。该规定自2018年11月30日起施行。对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务，省级以上网信部门和公安机关应当组织专家进行评审，必要时可以会同属地相关部门开展现场检查。

10.《互联网个人信息安全保护指引(征求意见稿)》向社会征求意见

11月30日，公安部网络安全保卫局发布《互联网个人信息安全保护指引》(征求意见稿)，旨在深入贯彻落实《网络安全法》，指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益。

11.多项国家重大会议和国际活动网络安保顺利完成

2018年，全国两会、上合组织峰会、博鳌亚洲论坛、中非合作论坛北京峰会、第五届世界互联网大会、上海进口博览会等国家重大会议和国际活动顺利举办。期间，国内众多网络安全公司作为技术支持单位付出了巨大努力，保障了会议与赛事网络安全平稳运行，网络安全零事故发生。

2019年3月6日，重庆信息安全产业技术创新联盟协同重庆信息安全产业研究院走进重庆亚凡科技有限公司、重庆鼎慧峰合知识产权代理事务所。

第一站 重庆亚凡科技有限公司

2018年3月1日，重庆信息安全产业技术创新联盟秘书长马传龙带领联盟秘书处一行走进了重庆市云计算和大数据协会。



协会秘书长侯丹在会上对协会的创立组建、发展动向进行了介绍，以及就当前行业内外的形势发展、政策与联盟秘书长进行了深入的探讨，联盟秘书长马传龙就当前联盟的情况、成立组建、以及2018年的规划进行了介绍，并与协会达成了共识，决定建立战略合作关系，互惠共赢，共同推进信息安全产业发展。此次交流，打响了联盟新年工作的第一枪，为联盟2018年工作开启了一个新的篇章。

5月15日，由重庆信息安全产业技术创新联盟、重庆市信息安全协会和重庆计算机安全学会联合发起的“信息安全专业性社团组织联动合作协调会”在西南大学田家炳教育书院召开。会议由重庆市信息安全协会秘书长王建主持，讨论了“联动合作机制”的运行原则、主要内容和今年主要业务活动合作情况，重庆信息安全产业技术创新联盟理事长张为群教授做了总结发言。张教授指出：



一、“联动合作机制”的目的是充分发挥信息安全专业性社团组织在我市网络信息安全领域的桥梁纽带作用，不断增强社团组织的凝聚力、号召力和影响力，促进发展，使之更好的为全市网络安全和信息建设发展服务。



二、“联动合作机制”运行原则是积极主动作为、相互配合支持、资源共建共享、共护网络安全。



三、“联动合作机制”主要内容是畅通联系沟通渠道，及时沟通情况;各社团组织应根据自身的界别特点，积极发挥主体单位在专业、学术、产业等方面的优势，在全市网络信息安全行业领域开展活动;协调配合，积极参与，相互支持，形成合力;共同开展“重庆市网络安全人才库”建设、《重庆市信息安全技术服务机构与产品(服务)推荐目录》(2018年度)编撰发布和《重庆网络信息安全通讯》编辑发行工作。



在“联动合作机制”中，联盟将发挥自身在信息安全产业、技术成果转化、政策咨询、专家库建设等方面的优势，密切团结合作伙伴，共同承办“信息安全新产品新技术发布会”、“信息安全优秀案例评选”、网络安全大赛等活动，共同促进我市信息安全产业的发展。

4月9日，重庆信息安全产业技术创新联盟秘书长马传龙率秘书处赴重庆华龙网集团股份有限公司进行参观交流。

在华龙网互联网大数据中心副主任林琳陪同下，参观了重庆市网络安全科普基地和华龙网网络安全资源调度指挥中心。双方一致表示，华龙网作为联盟的副理事长单位，将一如既往的支持联盟各项工作，并与重庆信息安全产业研究院和联盟在信息安全培训、专家库建设、信息安全论坛等方面展开紧密合作。







华龙网成立于2000年，是国务院新闻办公室批准组建的首批省级重点新闻网站，是重庆首个拥有新闻采访权的网络新闻媒体和“十媒一体”的全媒体网站。华龙网始终坚持“世界小点、重庆大点”的奋斗目标，紧紧围绕“新闻·门户·网站”发展战略，始终坚持正确舆论导向，积极打造以华龙网为龙头、以移动互联网为核心的现代传播体系。

4月11日，重庆信息安全产业技术创新联盟秘书长马传龙率秘书处一行来到重庆市信息通信咨询设计院有限公司。秘书长首先对信通院对联盟做出的工作表示感谢，并介绍了今年联盟的工作要点和一些重要活动安排。重庆信通院网络与信息安全分院张晓琴院长介绍了公司的基本情况、发展历程、资质荣誉和成功案例等，表示将积极支持联盟策划各项活动，同时将在网络安全人才培养等方面展开进一步合作。





重庆市信息通信咨询设计院有限公司（简称:重庆信通院）注册资金5300万，隶属于中国通信服务股份有限公司重庆公司。其立足重庆、布局西南、放眼全国，行业与政企并重，传统设计业务与安全业务相辅相成，是一家集规划设计、测评、运维、咨询能力于一体的综合型网络与信息安全专家企业。



公司拥有多项网络与信息安全资质：信息安全等级保护测评机构的推荐证书、工信部网安局推荐为全国八家信息安全测评机构、CNCERT/CC网络安全应急服务支撑单位、涉密信息系统集成资质证书、信息安全风险评估资质、国家信息安全测评中心的安全工程类资质、通信网络安全服务能力认证资质证书等。获得多项网络安全相关荣誉：2017年度全国网络安全等级保护测评能力验证与攻防大赛三等奖、重庆市网络安全技术咨询中心、重庆市认定企业技术中心、重庆市网络安全优秀企业等荣誉称号。







公司拥有一只高素质网络与信息安全人才队伍，本科学历以上占比100%，博士、硕士学历达到60%，拥有公安部信息安全等级保护测评师、网络安全高级工程师、工信部信息安全测评师、高级安全认证（CISSP、Security+、CISP、NSACE）专家、CISAW等网络安全专业资质的有40余人。公司拥有漏洞扫描、渗透测试、情报收集、基线审查等专业软件，配备高性能移动测试终端、服务器等专业硬件设备。







公司业务范围涵盖安全技术研究、安全规划、安全设计、安全开发、安全评估、安全加固、安全整改、安全运维、安全应急响应、安全体系建设、合规性咨询、等级保护测评等等，业务范围覆盖全国共18个省份，与众多政企、行业客户保持着良好的合作关系。

2018年7月12日，重庆信息安全产业技术创新联盟继4月的走进会员单位后，联盟秘书长马传龙率秘书处一行来到了重庆至道医院管理股份有限公司和重庆金窝窝网络科技有限公司进行调研交流。



第一站：重庆至道医院管理股份有限公司





副总裁冉旭介绍了公司的基本情况：

重庆至道医院管理公司成立于2012年8月，位于重庆市北部新区洪湖西路24号(国家级两江新区软件产业中心)，是一家专业从事医疗质量管理软件研发，临床数据应用评估，医疗信息大数据、云平台策划与建设，医疗管理服务咨询的高新科技企业。



公司自主研发的“基于患者满意的医院品质分析与改进提升系统”，能精准采集患者满意度等医疗质量评价信息，通过云平台分析，提供详尽医疗评价监测报告，并为医院的品质提升、持续质量改进提供循证依据。系统在国内大型公立医院推广应用获业内专家高度评价，称之为“首个基于云平台的医院品质全过程记录系统、首个实现医院质量循证式管理智慧决策系统、首个具备院科多层级品质监测交互管控系统、首个对接等级评审质量改进的量效评价系统和首个采用统计数理分析评估病患满意度系统”，为医院建设和医疗质量管理提供了有力的科技支撑。



第二站：重庆金窝窝网络科技有限公司

在公司副总裁云纪鑫的陪同下，参观了公司的工作环境并着重介绍了目前国内区块链的发展趋势及前景，及公司的当前业务。秘书长马传龙说到，当前区块链发展空间巨大，双方均表示可以以区块链为中心开展多方面的合作。





重庆金窝窝网络科技有限公司（以下简称“金窝窝”）成立于 2015 年 4 月，2016 年入选重庆市“互联网+”示范企业和国家知识产权重点培育市场，2017 年落户重庆市区块链产业创新发展基地。

金窝窝网络科技是一家以区块链技术优势、行业纵深优势为基础的国际化互联网科技公司，致力于打造开放的、非中心化的商业生态系统，打破壁垒推动行业融合，为使全球中小企业实现数字经济转型提供全套商业解决方案。

截至2018 年 6月，金窝窝员工约 150 人，其中技术人员近 50 人。公司下设 6 家控股或全资子公司，其中包括在华东和重庆分别设立的区块链研发中心和大数据服务公司。



在夯实云计算和区块链技术搭建的基础能力之上， 金窝窝逐步形成了产、学、研、创、投的企业生态链。 2018 年 3 月，继与重庆大学和北京邮电大学建立区块链和大数据的联合基地外，金窝窝又与重庆邮电大学签订了重庆首个基于区块链的校企联合实验室——区块链与大数据联合实验室，2018年4月，联合工信部权威部门成立了“工信计世-金窝窝区块链与电商融合应用研究中心”。将通过产、学、研结合的方式，把学校和企业的资源充分利用起来，形成自己的技术基地和人才库，为包括金窝窝在内的众多互联网企业提供区块链高端人才储备。

目前，金窝窝面向中小企业和用户开放区块链平台，链接不同业务形式需求，涵盖电商、养老、游戏、O2O、个人征信等经济社会的不同领域，全面助力数字中国发展。

联盟走进会员单位系类活动还将继续进行，下一站是不是你呢!