为满足疫情防控需要,有关单位通过互联网移动应用开展个人信息采集登记和排查工作。针对这一情况,近日全省网安部门组织开展涉及疫情防控个人信息采集类移动应用专项保卫工作,全力确保数据安全和系统运行稳定,切实维护群众利益,保障疫情防控工作。

积极摸排,纳入管控视线

根据返城申报、复工申报、出行实名等应用类型,摸排“来苏返苏人员健康状况主动申报告知系统”、“宁归来”、“返锡通”在内的41款移动应用。对上述移动应用,全部纳入管控视线,对相关运营主体,纳入动态监管。

主动对接,开展法律宣贯

省厅网安总队制定《涉及疫情防控个人信息采集类移动应用网络安全告知书》,各级公安机关网安部门主动对接相关单位、企业,宣贯告知法律责任义务,指导健全管理制度。

强化监测,消除风险隐患

结合特殊时期工作特点,采取“远程技术检测为主、实地检查为辅、视频会议支撑”方式,开展网络安全检查,提出数据防护建议35条,发现安全隐患漏洞27处,其中危及数据安全的中高危风险6处,第一时间督促整改,确保隐患清零。

健全机制,落实专人负责

建立网络安全案事件应急响应机制,明确运营单位安全责任人。省级层面推广或数据量较大的移动应用,安全应急管理由省厅直接介入,其他移动应用落实属地监管职责,逐一明确1名网安民警,与责任单位24小时保持联络。

规范执法,查处违法行为

针对散布公民隐私类行政案件,明确法律适用及裁量意见,规范执法行为。目前,对网上传播、泄露涉及湖北返乡人员、疑似新冠病毒患者等公民个人信息情况,行政拘留2人、罚款3人、批评教育39人;查处网络运营者不履行安全防护等义务类案件26起,督促本地网站、论坛,主动发现、删除相关涉及个人隐私类有害信息175条

据省公安厅网络安全保卫总队相关负责人介绍,新型冠状病毒疫情发生以来,全省各社会单位全力投入疫情防控工作。为满足疫情防控需要,政府有关部门、社区、物业公司等单位通过线上、线下等多种方式开展个人信息采集登记和排查工作,信息内容包括姓名、身份证号、联系电话、住址、行踪等,为防控工作提供了有力保障。

但工作中也发现部分工作人员保密意识不强,导致一些个人隐私信息在朋友圈、微信群中肆意传播,群众反映强烈。同时,相关网络应用一旦出现安全风险,极易导致数据泄露,甚至被用于诈骗等犯罪活动。

在此,警方提醒,因疫情防控工作需要,收集或掌握公民个人信息的机构、单位,对公民个人信息的安全保护负主体责任,要按照《中华人民共和国网络安全法》等法律法规规定,做好以下数据保护工作:

一是采集、使用公民个人信息应遵守合法、正当、必要原则,严格限定工作目的,合理确定个人信息采集范围,避免采集与疫情防控无关的个人信息;

二是为疫情防控收集的公民个人信息,不得用于其他用途;

三是任何单位和个人未经被收集者同意,不得通过信息网络或其他途径发布公民个人信息,因联防联控工作需要,经过脱敏处理的除外;

四是以纸质填表方式登记个人信息的,应严格管理纸质材料,妥善保管、使用、销毁;

五是采集个人信息的应用平台运营者,要确定网络安全负责人,按照网络安全等级保护要求,落实防范计算机病毒和网络攻击、入侵等危害网络安全行为的技术措施,建立完善的网络安全管理制度和数据操作规程;

六是围绕数据采集、存贮、应用、销毁等主要环节,对重要数据分类管理、加密备份,制定安全事件应急预案,及时处置风险隐患;

七是发生或者可能发生个人信息泄露、毁损、丢失时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

有关法律法规

《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第六十四条 窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

《治安管理处罚法》第四十二条 有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:

(6)偷窥、偷拍、窃听、散布他人隐私的。

《中华人民共和国刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。

《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第四条 拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:

(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的。

江苏网警综合编辑整理

声明:本文来自江苏网警,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。