分类： 联盟新闻

2018年3月1日，重庆信息安全产业技术创新联盟秘书长马传龙带领联盟秘书处一行走进了重庆市云计算和大数据协会。



协会秘书长侯丹在会上对协会的创立组建、发展动向进行了介绍，以及就当前行业内外的形势发展、政策与联盟秘书长进行了深入的探讨，联盟秘书长马传龙就当前联盟的情况、成立组建、以及2018年的规划进行了介绍，并与协会达成了共识，决定建立战略合作关系，互惠共赢，共同推进信息安全产业发展。此次交流，打响了联盟新年工作的第一枪，为联盟2018年工作开启了一个新的篇章。

2019年3月6日，重庆信息安全产业技术创新联盟协同重庆信息安全产业研究院走进重庆亚凡科技有限公司、重庆鼎慧峰合知识产权代理事务所。

第一站 重庆亚凡科技有限公司

文章来源自：经济参考网，由“重庆信息安全产业技术创新联盟”整理发布。

2月20日，由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办的2018年中国网络安全大事发布会在公安部一所举行。本次会议发布了结合专家组评选和线上投票遴选出的2018年中国网络安全大事。

1. “净网2018”专项行动打击整治网络违法犯罪

2月7日，公安部部署全国公安机关从即日起至12月底，深入开展打击整治网络违法犯罪“净网2018”专项行动。专项行动要求强化清理整治，全面规范网络安全秩序，督促指导重点网站、网络服务商、信息服务商和联网单位严格落实信息安全管理责任，严格落实网络实名制等管理制度，依法查处一批“黑产”“黑市”，整治一批违法违规企业，清除一批违规有害应用服务，解决一批危害网络安全、滋生违法犯罪的基础性问题。

2. 勒索软件持续入侵大型系统，造成严重后果

3月，湖北某医院内网遭到勒索病毒攻击，导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作;8月，台湾积体电路制造三大厂区出现电脑大规模勒索病毒事件，造成大量经济损失;9月，GlobeImposter勒索病毒入侵山东省10市不动产登记系统，造成系统暂定运行。在2018年国家网络安全宣传周期间，腾讯智慧安全正式发布《医疗行业勒索病毒专题报告》，报告指出在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。

3. 全国网络安全和信息化工作会议在京召开

4月20日，全国网络安全和信息化工作会议召开，习近平总书记出席作重要讲话。习近平总书记强调，信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用，加强网信领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦做出新的贡献。

4. 国家标准《信息安全技术 个人信息安全规范》正式实施

5月1日，国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017)正式实施。《规范》以国家标准的形式，明确开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求，可以为互联网企业处理用户个人信息提供指导和规范。

5. 网上公民个人信息泄露频频发生

2018年以来，国内多家机构疑似发生个人信息泄露事件。6月13日，知名视频播放网站A站(AcFun)遭遇黑客攻击，数据库近千万条用户数据发生泄露；6月14日，前程无忧数据库195万余条用户数据疑似泄露，但遭该公司声明否认；8月1日，浙江省1000万条学籍数据疑似泄露，样本数据经核实与真实信息基本一致;8月28日，华住旗下酒店5亿条用户信息泄露；9月7日，江苏一高校学生信息泄露，疑被企业用于偷逃税款；12月31日，北京警方破获一起侵犯公民个人信息案，网上贩卖470余万条疑似12306铁路订票网站用户数据的犯罪嫌疑人陈某被刑拘。

6. 公安部发布《网络安全等级保护条例(征求意见稿)》

6月27日，公安部发布了会同有关部门起草的《网络安全等级保护条例(征求意见稿)》。此条例征求意见稿要求网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则，建立健全网络安全防护体系，重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。征求意见稿拟将网络分为五个安全保护等级，要求网络运营者依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。

7. 首届网民网络安全感满意度调查活动在全国开展

8月27日，2018全国网民网络安全感满意度调查活动正式启动。本次调查活动由80多家网络安全社会组织共同发起，主题为“网络安全为人民，网络安全靠人民”，调查结果在2018年国家网络安全宣传周法治日活动上首次发布。本次调查动员了全国各省的信息安全协会参与组织实施，范围覆盖全国所有省、市、自治区，是国内首次对网络安全满意度进行如此大规模的公开调查，本次调查活动参与人数量多，组织类型全面。活动着眼于反映广大民众对于网络安全态势的感受，积极宣传网络安全，提高网络治理成效，成绩可喜。

8. 《公安机关互联网安全监督检查规定》正式施行

11月1日，《公安机关互联网安全监督检查规定》正式实施。根据规定，公安机关将根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况开展监督检查。

9. 国家网信办发布具有舆论属性的信息服务安全评估规定

11月15日，中国国家互联网信息办公室发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，要求互联网信息服务提供者在特定情况下，按规定自行开展安全评估，并对评估结果负责。该规定自2018年11月30日起施行。对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务，省级以上网信部门和公安机关应当组织专家进行评审，必要时可以会同属地相关部门开展现场检查。

10.《互联网个人信息安全保护指引(征求意见稿)》向社会征求意见

11月30日，公安部网络安全保卫局发布《互联网个人信息安全保护指引》(征求意见稿)，旨在深入贯彻落实《网络安全法》，指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益。

11.多项国家重大会议和国际活动网络安保顺利完成

2018年，全国两会、上合组织峰会、博鳌亚洲论坛、中非合作论坛北京峰会、第五届世界互联网大会、上海进口博览会等国家重大会议和国际活动顺利举办。期间，国内众多网络安全公司作为技术支持单位付出了巨大努力，保障了会议与赛事网络安全平稳运行，网络安全零事故发生。

文章来源自：证券时报网，由“重庆信息安全产业技术创新联盟”整理发布。



2019年2月11日，针对去年10月的抽查与约谈情况，上海市互联网信息办公室对1号店等23个上海本地最常用移动互联网应用程序（App）用户权限的整改情况做了复测与公示。结果显示，截至1月中旬，相关App共整改158个不合理权限和98个“合理但存在风险”的权限。

2017年6月1日，《中华人民共和国网络安全法》正式实施；2017年末，《个人信息安全规范》国家标准正式发布。业界称2018年为中国“数据合规元年”。2019年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。App运营者收集使用个人信息时，不得收集与所提供服务无关的个人信息，不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。

接受证券时报记者采访的专家认为，此次四部门专项治理行动，可以称作是针对我国网络安全问题“涉及范围最广、措施最严厉”的一次专项行动，效果值得期待。在这一过程中，还需进一步确定一个国家机关来专门负责“自然人信息保护”工作，同时也需要对《行政处罚法》《网络安全法》等再做相应具体修改，有专家还建议单独制定一部《自然人信息保护法》。

2018年全国两会期间，三六零安全科技股份有限公司董事长周鸿祎表示，用户隐私保护可遵循三个原则，即数据所有权的归属、用户应有的知情权和选择权、互联网公司对用户数据的保护。周鸿祎认为，在大数据时代，一定要平衡好互联网的使用与个人信息的安全。

“数据合规”

仍需努力

2018年12月在深圳举行的“腾讯隐私保护白皮书发布会”上，南都大数据研究院个人信息保护研究中心副主任蒋琳表示，在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下，国内App的隐私政策透明度整体比2017年有所提升，但依然有逾七成App的隐私政策不合格。

2017年6月1日，《网络安全法》正式实施，业界称2018年为中国“数据合规元年”。但从相关统计来看，任务之艰巨不言而喻，“按下葫芦浮起瓢”等现象仍较突出。

上海市网信办相关抽查发现，样本中约30%的App权限与所提供的服务没有对应关系，属于不合理范围。只有严格限制App向用户索取不合理权限，才能从源头上减少个人信息被泄露、被滥用的可能。抽查所指“风险”，是指App权限被恶意利用后可能产生的风险，有别于技术风险。

对于App索取用户权限的现象，有关部门早已有明文禁止。2016年8月起生效的《移动互联网应用程序信息服务管理规定》指出，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。

腾讯社会研究中心和DCCI互联网数据研究中心2018年8月发布《网络隐私安全及网络欺诈行为研究分析报告》，统计了1144款手机App获取用户隐私权限的情况，结果显示，获取“打开摄像头”权限的App比例达89.9%，获取“使用话筒录音”权限的App比例达86.2%，这两个权限均涉及用户最核心的隐私信息。

蒋琳对证券时报记者表示，对App过度获取手机权限的现象，用户可以在App的下载页面仔细看一下权限列表，使用App的时候也要重点关注隐私政策中“个人信息收集和使用”相关条款，做到心里有数。对于敏感权限弹窗，不使用的功能就拒绝，需要时再开启。

电子商务领域专家、北京金诚同达（上海）律师事务所合伙人王良认为，数据不单单是一种资产，它还涉及国家利益、商业秘密和个人隐私，并兼具财产权和人格权的双重属性。一旦遇到个人信息被侵害，有很多维权途径可供选择，例如：12377中央网信办举报中心，12321网络不良与垃圾信息举报受理中心，全国12315互联网平台等。当然，如遇被诈骗等网络犯罪的情形，应及时向公安部门报案。

网络安全立法

“三步走”

中伦律师事务所《2018年网络安全年度法律观察》指出，全国人大常委会2017年“一法一决定”执法检查报告认为，《网络安全法》执法中“九龙治水”局面仍然存在。依照法律规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。事实上，几个行政执法主体间存在着权责不清、交叉执法等问题。不过根据已有案例统计，虽然三个主要执法部门存在执法重叠问题，但仍各有侧重。

记者注意到，在十三届全国人大常委会2018年9月公布的立法规划中，将《个人信息保护法》和《数据安全法》列入第一类项目，即全国人大认为这两部法律的立法条件比较成熟，在本届任期内拟提请审议。

知识产权领域专家、中伦律师事务所合伙人陈际红律师表示，域外立法对中国企业的影响不容忽视。中国一直是经济全球化的践行者和受益者，中国企业与域外的关联因素已经非常广泛。考虑到全球各国的数据立法此起彼伏，且很多具有域外管辖的长臂效果，中国企业在走出去的过程中，不得不密切关注域外数据立法对企业的影响。陈际红介绍，这主要包括《欧盟数据保护通用条例》、美国《澄清境外数据的合法使用法案》及2018年8月特朗普总统签署生效的《外国投资风险审查现代化法案》等。

“考虑到我国的《网络安全法》属于框架性立法，很多法律要求并不十分明确，此类标准和指引对于企业合规和执法管理的指引性和参照性作用十分明显。”陈际红表示。

同济大学法学院院长助理刘春彦对证券时报记者说，作为民事基本法，2017年10月1日开始施行的《民法总则》并没有规定自然人的信息权，而按照民法的理论，个人信息只作为一种法益保护，还没有上升为民事权利。在《网络安全法》基础上，第二步可对《行政处罚法》甚至对《网络安全法》作进一步的修改调整，明确与侵害自然人信息有关行为的处罚。

中伦法律观察报告判断，预计2019年中国的数据跨境监管方案终将出台；关键信息基础设施安全保护配套法规将颁布生效，运营者网络安全保护义务落实的执法检查会进一步加强；网络安全等级保护2.0制度体系将落地实施，公安部门会进一步加强该工作的管理和实施检查。

陈际红认为，作为第三步，在一般性法律完善之后，各个行业主管部门将开展行业内的网络安全和数据保护实施细则的立法和执法工作，尤其是金融、医疗健康、电子商务等数据敏感行业。届时，数据合规将成为企业普遍接受的概念。

王良表示，我们的立法需要在个人信息和隐私保护与商业价值之间进行取舍和平衡。首先应明确对个人信息和隐私保护的基础不能动摇；其次应在个人信息的收集、处理和利用中，逐步确立起收集限制、目的特定化等国际通行的做法与准则；最后还应根据我国目前社会与经济发展水平，决定个人信息保护的水平和力度，不偏废保护隐私与产业发展的任一方。

日前，全国信息安全标准化技术委员会开展国家标准《信息安全技术 个人信息安全规范(草案)》(下称《草案》)征求意见工作。《草案》要求，不得强迫收集个人信息，用户应有权拒绝个性化推送。

《草案》指出，当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

《草案》明确，个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行同意的除外；超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。同时，当个人信息控制者停止运营其产品或服务时，应：及时停止继续收集个人信息的活动；将停止运营的通知以逐一送达或公告的形式通知个人信息主体；对其所持有的个人信息进行删除或匿名化处理。

《草案》指出，在向个人信息主体提供业务功能的过程中使用个性化展示的，宜：建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力；当个人信息主体选择退出个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项；

在向个人信息主体提供业务功能的过程中使用个性化展示的，宜：建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力；当个人信息主体选择退出个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

《草案》要求，个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后，个人信息控制者后续不得再处理相应的个人信息；应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回同意的方法。

《草案》显示，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时，对个人信息控制者的要求包括：应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制，并妥善留存、及时更新，确保个人信息主体查询、使用；当涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的，宜：开展技术检测确保其个人信息收集、使用行为符合约定要求；宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。

2019年1月25日下午，重庆信息安全产业研究院（以下简称“研究院”）2018年年终总结暨发展座谈会在研究院一会议室举行。

重庆市合川区经信委党委书记兼主任袁晓钦、区科技局党组书记钱伟、区科协主席柏瑞、区科技局副局长刘春莲、区网安支队队长陈立等领导参加会议，上海星地通讯工程研究所、江苏安保工程技术有限公司的嘉宾以及研究院全体员工出席会议。

研究院常务副院长肖建川同志在会上做了关于《重庆信息安全产业研究院2018年工作汇报》。肖建川副院长对参会的领导和嘉宾表示欢迎，并献上新年的问候。他详细地汇报了研究院2018年工作进展情况和存在的不足，同时提出了2019年的工作计划。他说道，在发展方向上，结合产业孵化和社团两个方面，明确定位、重点发展，根据研究院整体规划，加强对行业先进科研机构的学习和调研。

肖建川副院长在会上宣读了《重庆信息安全产业研究院关于表彰2018年年度先进的决定》，对获得2018年度的优秀团体、优秀干部、优秀员工进行了表彰。

座谈会上，莅临研究院的各位领导及嘉宾发表了重要讲话，为研究院未来发展提出了指导性的建议和意见。

区经信委党委书记兼主任袁晓钦对各位参会人员表示新年的问候并发表讲话。她指出，研究院成立以来一年多的时间里，项目顺利、有序、科学推进，对研究院在短时间取得的成绩表示肯定。研究院发展方向应该提高定位，高位推动，同时完善员工培训制度，调动员工工作积极性。品牌做实，项目做实，已有项目有计划、有序推进，不断巩固；新的项目，量体裁衣，重点发展。在国家政策方面，区经信委为研究院提供工业平台指南，发展奖励支撑，协同共进，一起为重庆信息安全产业发展做出贡献。

区科技局党组书记钱伟指出，研究院成绩来之不易，一年多的时间里，做了大量的工作，取得了显著的成绩。研究院发展前景宏伟，技术支撑实力强大，应脚踏实地的为重庆信息安全产业树立标杆。他建议到，研究院应不断加强团队建设，抓好党建工作，本着服务信息安全产业发展的宗旨，加强产学研发展，做强做实，明确定位，抓好建设，强调技术运用，创建各种平台、实验室作为技术重点支撑，做好服务工作。

区科协主席柏瑞指出，研究院一年多时间发展取得的成绩表明其发展模式可行，对研究院团队的能力表示肯定。科协作为党和企业之间的桥梁纽带，在于重点搭设平台，落实两学一产，将学会的资源引入到产业发展中。希望加快院士专家工作站的建设工作，提高学术水平和服务质量。

区网安支队队长陈立指出，研究院在发展的同时，需加强安全防范和保密工作，加强大数据建设，形成自身核心的技术和战斗力，打造重庆信息安全产业高地。

2019年，研究院在市、区两级各部门关怀指导下，在全体员工的共同努力下，将继续前行，为重庆信息安全产业发展做出更大的贡献。