網路安全法的案例

① 你的App安全嗎百款APP違規採集個人信息 考拉海購等在列

12月4日，國家網路安全通報中心發文通報，下架整改100款違法違規APP。

百款APP違法違規採集個人信息

12月4日，國家網路與信息安全信息通報中心在官方微信公眾號披露，2019年11月以來，全國公安機關網安部門集中查處整改了100款違法違規採集使用個人信息的App及其運營互聯網企業，不乏考拉海購、微店、更美等知名產品和產品。

根據通報，全國公安機關網安部門按照公安部網路安全保衛局的部署要求，快速行動，重拳出擊，集中發現、集中偵辦、集中查處整改了100款違法違規APP及其運營的互聯網企業。

其中，責令限期整改27款，處以警告處罰63款，處以罰款處罰10款，另有2款被立為刑事案件開展偵查，相關案件正在偵查中。

據悉，今年以來，公安部組織開展「凈網2019」專項行動，已依法查處違法違規採集個人信息的APP共683款。

按照《個人信息安全規范》規定，對個人信息的收集應有明確的目的，不得超出產品功能相關目的之外收集額外的個人信息。而去年，中消協在相關部門的支持下，從App Store、安卓市場下載了10類100款App，調查顯示超九成App涉嫌過度收集用戶個人信息。

圖片來源：國家網路安全通報中心微信公眾號

四項典型案例

1、「健康天津」APP：涉嫌無隱私協議收集用戶位置信息等違法違規行為，經天津市公安局武清分局網安支隊受案調查，依據《網路安全法》第四十一條、第六十四條規定，對該APP運營單位「天津健康醫療大數據有限公司」處以行政警告並責令限期整改。

2、「趨勢密碼」APP：未經用戶同意收集使用精準定位等個人信息，涉嫌超范圍收集用戶信息等違法違規行為，經上海市公安局徐匯分局網安支隊受案調查，依據《網路安全法》第六十四條第一款，對該APP運營單位「上海益秋投資管理有限公司」處以行政警告。

3、「折瘋了海淘」APP：未明示數據項採集用途，涉嫌違規收集用戶信息，經杭州市公安局西湖分局受案調查，依據《網路安全法》第六十四條第一款，對該APP運營單位「杭州橙子信息科技有限公司」處以行政警告並責令限期整改。

4、 「簡訊」APP：涉嫌無隱私協議收集用戶位置信息等違法違規行為，經成都市公安局網安支隊受案調查，依據《網路安全法》第六十條第一款規定，對該APP運營單位「成都市黑領科技有限公司」處以行政警告並處罰款貳仟元。

5類違法情形不得出現

2019年11月以來，公安部加大打擊整治侵犯公民個人信息違法犯罪力度，組織開展APP違法違規採集個人信息集中整治，深入推進由中央網信辦、工業和信息化部、公安部、市場監管總局聯合開展的APP違法違規採集使用個人信息專項整治行動。APP運營企業等網路服務提供者不得出現以下5大類違法採集公民個人信息的情形：

一、不得存在「未公開收集使用規則」的情形：在APP中沒有隱私協議，或者隱私協議中沒有收集使用個人信息規則的相關內容；在APP首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策；隱私協議難以閱讀，如文字過小過密、顏色過淡、模糊不清，或未提供簡體中文版等。

二、不得存在「未明示收集使用個人信息的目的、方式和范圍」的情形：收集使用個人信息的目的、方式和范圍發生變化時，未以適當方式通知用戶（更新隱私協議未提醒用戶閱讀及授權）；收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息，未同步說明目的；有關收集使用規則的內容晦澀難懂、冗長繁瑣，用戶難以理解等。

三、不得存在「未經用戶同意收集使用個人信息」的情形；

四、不得存在「違反必要原則，手機與其提供的服務無關的個人信息」的情形；

五、不得存在「非法獲取公民個人信息」的情形：未經用戶同意獲取用戶行蹤軌跡信息、通信內容、 徵信 信息、財產信息。

各類APP內容繁雜，真假難辨，致使用戶個人信息的安全受到挑戰。

但就目前來看，監管手段只是維護用戶信息安全的形式之一。除了技術和監管手段之外，提升開發者自律意識，提升網民信息保護意識，加強網路生活自我保護，也是重要一環。

那麼個人如何在使用APP時保護個人信息？建議大家：

一、不要注冊來源不明網站，謹慎使用手機號注冊；

二、不掃描來歷不明的二維碼，不安裝來歷不明的程序；

三、淘汰的電子產品信息銷毀要徹底，防止不法分子恢復數據；

四、帶有個人信息紙張單據處理需謹慎，需抹掉隱私信息；

五、避免在社交網站上泄露過多個人信息；

六、慎用公眾場所免費WIFI，防止用戶名密碼泄露；

七、不要點擊簡訊和郵件中的鏈接，以免被「釣魚」；

八、所用軟體不要使用同一組賬號密碼，以免造成損失。

最後，說句題外話，用戶在申請 貸款 時會遇到不同還款方式的貸款產品，由於 利率 的表達方式往往不一樣，比如說有：日息萬分之五、月 費率 1%等等，因此很難比較出幾款產品究竟哪款更省錢。 有錢花 推出的比價神器可以幫我們解決這個問題。通過比較，就能很直觀的了解到對比產品的息費明細，幫助我們做決策。

② 大數據時代網路安全進入產業爆發期

大數據時代網路安全進入產業爆發期
2017年中國雲市場競爭中，「1分中標」、「1元中標」案例已經不新鮮，在競爭白熱化的雲計算市場中，第一部網路安全相關法律的出台，再次攪動業界神經，安全成為各大雲服務廠商標榜的核心競爭力。以近日菜鳥和順豐的爭議為例，數據安全、雲市場爭奪都被成為各執一詞的緣由。
21世紀經濟報道記者近日采訪包括阿里雲在內的雲服務公司以及網路安全領域的創業者和專家，解讀雲服務市場的安全競爭。其中阿里雲總裁胡曉明一一回應跟阿里雲相關的競爭和安全問題。他表示，「根本不存在（阿里雲）與騰訊雲爭奪順豐一事，另外如果阿里雲做侵犯用戶隱私的事情，那應該倒閉。」
阿里雲回應「不安全」
6月1日，《網路安全法》實施第一天，順豐和菜鳥陷入數據之爭，在數據資源方面互不讓步，雙方皆以保護用戶數據隱私安全的名義指責對方。捲入這場「羅生門」的，還有順豐和菜鳥各執一詞的「雲市場」爭奪，即騰訊雲和阿里雲的的雲服務市場競爭。
在這場風波中，關於安全的討論爭議也很多。
近日，胡曉明在上海接受21世紀經濟報道記者采訪時回應菜鳥順豐之爭。「順豐早就是我們的客戶了，我也沒有提要跟順豐進一步加大雲計算的合作，我們都沒有找過對方。」胡曉明說。
他表示，一方面不存在與騰訊雲爭奪順豐一事，另外一方面從技術角度也不可能實現通過用戶IP地址獲取用戶核心數據的可能。
在接受采訪的一個小時時間里，胡曉明約有一半時間在談安全、回應與安全相關的質疑。據介紹，阿里雲平台上承載了大概37%的中國網站業務，阿里雲平均每天承受的攻擊是16億次。
據胡曉明介紹，阿里雲有嚴格的內部審計制度。阿里雲工程師進行任何運維管理操作時，都會有內部審計和實時違規預警。所有工程師都需要雙因素認證來完成操作人的身份驗證。此外，還通過定期的安全掃描和模擬滲透，來確保數據安全的內部控制有效、完整性。
「為什麼我們今天特別歡迎網路安全法的正式實施？就像交通法規定的紅綠燈一樣，交通規則越嚴格越好。」阿里雲的另一位負責人補充說，這個也是整個雲計算產業發展的前提。
網路安全產業爆發期
從5月份的勒索病毒事件，再到6月的菜鳥順豐事件，疊加《網路安全法》的落地，網路安全的概念被熱炒到了新高度。
法律對於網路運營者的管理責任作了較為明確的規定，《網路安全法》規定了網路安全等級保護制度，而網路運營者則應根據網路安全等級保護制度的要求，履行安全保護義務，保障網路免受干擾、破壞或入侵，防止數據泄露或被竊取或篡改。
6月13日，21世紀經濟報道記者在2017中國網路安全大會采訪十餘家參會網路安全公司，其中瑞星安全的一位負責人告訴21世紀經濟報道記者，近期咨詢業務的客戶明顯增加，行業向好。
北京另一家做雲安全服務的創業公司人士表示，國外的網路安全市場相對成熟，中國相當於剛剛做完基礎設施建設，對安全的需求正處於爆發的上升期，產業也在爆發期。他們公司2015年創立，現在基本能做到盈虧平衡，比較難得。
據介紹，他們的客戶主要是政府的政務雲平台和金融機構，客戶的安全意識還是比較強的，特別是《網路安全法》出台後，對一些網路數據管理運營平台擔負的責任進一步清晰，大家也不得不重視起來。
某信息安全眾包服務電商平台的CEO陳新龍表示，網路安全元年，應該從2017年《網路安全法》的實施開始。
根據國家互聯網應急中心數據顯示，2016年1月至11月，中國境內被篡改網站數量總數達到62894個，其中被篡改政府網站數量達到1483個。已收集到的信息系統安全漏洞達9756個，其中高危漏洞3764個，佔比為38.6%。
又一份IDC 報告數據顯示，截至 2014 年底，中國信息安全投資的比例依然不足 1%，和美國（3.6%）及日本（6%）等成熟市場差距明顯，中國網路安全市場還有很大的釋放空間。
陳新龍告訴21世紀經濟報道記者，2017年他所創立的安全服務平台，新入駐的網路安全廠商增長迅速。
此前，工信部電子科學技術情報研究所總工程師尹麗波在接受21世紀經濟報道記者采訪時也表示，目前政府的意識很強，包括工信部和網信辦，這些年都在對政府部門在做安全培訓和檢查，提升網路安全意識，普及網路安全技能和知識。在保護安全方面，大部分政府部門都已經行動起來。但企業這塊還有很大的空間，特別是中小企業，信息化程度很低，更別說網路安全措施。所以海量的中小企業，可能會是將來網路安全產業的巨大目標群體。

③ 關於網路安全的故事或事例

1、聊天陷阱

2006年2月24日晚上，上海「網蟲」錢某終於見到了網上聊天認識的女網友「仇某」。然而，兩人散步至一處花店附近時，突然冒出4名手持剪刀的青年男子。毫無准備的錢某不僅遭到一陣毆打，身上僅有的1部手機和300元人民幣也被搶走。

3天以後，案情大白，犯罪嫌疑人裘某正是那位自稱「仇某」的女網友。原來，兩人在網上搭識以後，錢某經常出言不遜，裘某萌發報復念頭，找到以前的男友搶劫錢某財物。

2、低價陷阱

2018年1月，徐某無意中進入一個買賣二手車的網址，發現其中一輛本田CRV車只要13000元。徐某心動不已，隨即聯系網站客服，按照對方要求填寫信息並通過網銀轉賬500元訂金。2天後，對方告知押車員已將車子運送至天台縣，要求徐某支付餘款12500元。

徐某打款後興沖沖等著去提車，結果對方又找各種理由要求他再付16870元，徐某這才恍然大悟自己是被騙了。

3、「支付寶」發郵件稱需升級

小美在淘寶開了一家汽車用品店。一個「買家」來店裡拍了一套汽車坐墊後發了一張截圖，顯示「本次支付失敗」，並提示「由於賣家賬號異常，已發郵件給賣家」。小美打開郵箱，果然有一封主題為「來自支付寶的安全提醒」的未讀郵件。

小美沒有多想就點擊郵件里的鏈接，按提示一步步進行了「升級」，期間幾次輸入支付寶賬號和密碼。隔天，小美發現賬戶里的8000多元余額被人以支付紅包的形式盜空。

4、代「刷信譽」先交「服務費」

阿珍在淘寶網上開了一家賣襪子的小店。去年5月，她在網上看到可以幫忙「刷信譽」的廣告，便心動了。加QQ後，對方要求先付錢才能幫其代刷，阿珍就向對方賬戶匯了1500元「服務費」。沒過多久對方又稱，需要阿珍再付3000元「保證金」。

這下阿珍起了疑心，要求對方先刷一部分信譽再談，對方卻堅持要阿珍再匯款。阿珍越想越覺得可疑，要求對方退回1500元，對方卻怎麼都不理她了。阿珍這才明白，自己是被騙了。

5、「大客戶」下單後要「回扣」

去年7月，小羅的汽車用品淘寶店來了一個「大客戶」。這買家自稱是公司的采購，想要長期合作，但希望小羅給「回扣」。一番溝通後，買家很快用另一個旺旺號拍下1萬多元的寶貝並付款，隨後要求小羅將說好的近2000元「回扣」轉給他。

小羅轉了回扣後，對方卻申請了退款，因為「回扣」是通過支付寶直接轉賬的，無法申請退款，小羅因此損失近2000元。

④ 網警普法｜關於「網路安全保護義務」，看完你就懂了

哎!你們聽說了嘛?!
XX公司的數據被泄露了!
XX公司的網站被植入違法信息了!!
XX公司的後台有漏洞被黑客攻擊了!!!
發生這樣的事情，首先我們應該譴責那些破壞網路環境的黑客。其次，公安機關在打擊網路違法犯罪的同時，也想提醒網路運營者們，必須承擔起維護網路安全的主體責任。
·真實案例·
案例一:
上海網安部門今年4月在工作中發現，上海市某網路科技有限公司的網站存在低危級別的安全漏洞，立即責令其限期整改。
5月，網安部門在對整改情況開展復查時發現，該公司未按規定完成整改內容，並且又出現了其他5個高危安全漏洞。
對此，公安機關依據《如春網路安全法》第21條、第59條第一款之規定，對該公司罰款兩萬元。
案例二:
上海網安部門今年7月在工作中發現，上海市某信息科技有限公司的網站被植入淫穢色情等違法信息。經查，該公司未採取網路安全技術保護措施、未落實網路安全保護管理制度。
對此，公安機關依據《網路安啟姿全法》第21條、第59條第一款之規定，對該公司罰款一萬元。
《網路安全法》第21條、第59條中規定的"網路運營者應履行的網路安全保護義務」和「不履行上述義務將承擔的法律責任」究竟指的是什麼呢?
就讓帶您來了解一下《網路安全法》中關於「網路安全保護義務」的重要內容，以便網路運營者真正了解哪些義務必須履行，以及不履行的相關法律責任。
·法律條文·
《網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改:(一)制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任;(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月;(四)採取數據分類、重要數據備份和加密等措施;(五)法律、行政法規規定的其他義務。
第五十九條 網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。
網警解讀
重點1:技術措施和管理制度缺一不可
《網路安全法》第21條明確規定了網路安全等級保護制度。主要內容分為:技術類安全要求和管理類安全要求。
對此，網路運營者們在工作中，不僅應落實好網路安全技術保護措施，還應落實好網路安全保護管理制度，兩架馬車，缺一不可。
重點2:應落實哪些網路安全技術保護措施?
網路運營者採取防範危害網路安全行為的技術措施，就像是在「網路這道牆上安裝防護網」一樣，達到防範計算機病毒、網路攻擊、網路侵入等網路安全風險的目的。通俗地講，主要包括(不限於)以下內容:
1、安裝防病毒軟體;
2、安裝網路身份認證系統;
3、安裝網路入侵檢測系統;
4、安裝網路風險審計系統;
5、安裝自動報警系統;
6、配備相應的軟體或者硬體留存網路日誌不少於6個月;
7、採取數據分類、重要數據備份渣旁耐和加密等措施。
重點3:應落實哪些網路安全保護管理制度?
網路運營者在落實網路安全技術保護措施的同時，也應在管理制度上下狠功夫，管好人才是重中之重，從而確保不論哪個環節出現責任事故都能找到責任人。通俗地講，主要包括(不僅限)以下內容:
1、制定有關網路安全管理組織架構、人員配備、行為規范、管理責任的規則;
2、制定有關人員在操作設備或者辦理業務時應遵守的程序或者步驟;
3、根據不同保護等級設置安全管理機構、安全管理人員、安全主管、安全管理責任人等，並明確相關機構和人員的職責。
重點4:相關法律責任?
網路運營者不履行網路安全保護義務的，輕則處以警告;重則最高可處以10萬元罰款、對直接負責的主管人員最高可處以5萬元罰款。
你懂了嗎?

⑤ 挖掘明星的過去相關信息，或者家人信息，爆料者是否違法

挖掘明星的過去相關信息，或者家人信息，爆料者違法，會根據情節的嚴重與否，被處以行政拘留或者刑事拘留，同時還會被處以罰款。需要謹記的是，網路並非法外之地，在網上發文章也好視頻也好，要充分的考慮後果。要知道，任何的杜撰或者造謠，都是會被追究責任的。不要等被法律制裁的時候，才幡然悔悟，到那個時候就晚了。現在互聯網高度發達，自媒體高速發展，有很多的人選擇了以營銷賬號，博得關注獲得流量最終變現為生。其實，只要是不造謠，不可以抹黑或者杜撰，在網上文明發聲發文，都是不會被追究責任的。但若是為了錢，不擇手段，冒著風險去造謠，以此來獲取流量謀利。那麼，恐怕下場就是賺多少錢都不夠賠的，賺多少錢都買不來可能會入獄的自由。

現在越來越多的明星，選擇對惡意爆料者零容忍。現在越來越多的明星選擇訴訟於法律，維護自己的名譽權和隱私權。而且，很多的訴訟案例，明星都打贏了，一些不法造謠者也被嚴厲的處罰，不僅被行政拘留，還被罰了款，甚至要公開道歉。因此，不要挑戰法律，會付出慘痛代價。

⑥ 犯人每天寫日報告嗎

近年來，隨著互聯網的高速發展，公民個人信息和數據日趨成為社會發展的關鍵資源。在利益驅使下，侵犯公民個人信息、危害信息數據安全的行為與日俱增，如淘寶12億個人數據泄露案件、「暗網」兜售個人信息案件等等，其造成的後果也是十分嚴重。
基於此，我們應當重新審視刑事救濟手段在懲治侵犯公民個人信息過程中的重要性，並結合典型的案件，對相關罪名所涉及的手段和爭議焦點展開討論。本文對2016年以來，涉及侵犯公民個人信息相關犯罪的司法大數據進行分析和整理，梳理出圍繞公民個人信息的刑事犯罪案件數量、涉及罪名、典型案例及主要爭議焦點。一方面為行政機關開展「兩法銜接」工作提供指引，對於涉刑案件及時移送司法機關處理，另一方面也是向企業機構合規建設提供指引，避免陷入刑事風險。
11月，我國《個人信息保護法》正式實施，現在我國在公民個人信息數據保護方面已基本形成了「民、行、刑」三位一體的新時代安全防護網。當前，在我國的刑事司法以國家公權力保障社會公共利益和公民利益不受侵害，對個人信息的保護相較於行政、民事立法可以說是走在前列。筆者對近10年來，關於侵犯個人信息相關刑事犯罪的一審判決進行了匯總研究，用數字來展示我國個人信息刑事犯罪保護的發展趨勢，並結合典型案例對焦點問題進行總結。
個人信息立法不斷完善
為刑事司法救濟提供製度保障
（一）我國個人信息保護刑事立法的演變
我國個人信息的法律保護經歷了從以公法保護為主到日益重視私法保護的發展歷程。
2005年,第十屆全國人民代表大會常務委員會第十四次會議通過的《刑法修正案(五)》中増設的「竊取、收買、非法提供信用卡信息罪」(第177條之一第2款)是我國首個關於侵犯公民個人信息犯罪的法律規定。
2009年,第十一屆全國人民代表大會常務委員會第七次會議通過的《刑法修正案(七)》在《刑法》中新增第253條之一,首次將竊取或以其他方式非法獲取公民個人信息、出售或非法提供公民個人信息的行為情節嚴重的規定為犯罪行為,從而納入刑事打擊的范圍。
2015年，《刑法修正案(九)》對第253條之一作了修改:將「違反國家規定」修改為「違反國家有關規定」，同時對犯罪主體的不同身份作出區分，對於特殊身份主體，規定了從重處罰的原則。對處理個人信息中履行相關職責的人員提出了更高的要求。
2017年5月，針對近年來侵犯公民個人信息犯罪仍處於高發態勢,而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢,為加大對公民個人信息的保護力度,最高人民法院會同最高人民檢察院發布《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。該司法解釋根據法律規定和立法精神,對侵犯公民個人信息犯罪的定罪量刑標准和有關法律適用問題作出了全面、系統的規定。
（二）我國信息保護的法律法規相繼出台
2012年,《全國人民代表大會常務委員會關於加強網路信息保護的決定》對網路服務提供者和其他企業事業單位、國家機關及其工作人員在收集、使用、保管公民個人電子信息中應當遵循的原則、承擔的義務及法律責任作出了具體的規定。
2015年7月，《國家安全法》頒布實施，將數據安全保障提高到國家安全層面。強調國家建設網路與信息安全保障體系，提升網路與信息安全保護能力，實現網路和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網路管理，防範、制止和依法懲治網路攻擊、網路入侵、網路竊密、散布違法有害信息等網路違法犯罪行為，維護國家網路空間主權、安全和發展利益。
2017年6月，《網路安全法》正式實施，其在第四章「網路信息安全」中對個人信息的收集、存儲、保管和使用進行了更全面的規范。對於侵犯個人信息的責任承擔問題,雖然該法主要還是規定了網路運營者違反各種保護個人信息的法定義務的行政法律責任。
2021年1月，《民法典》正式實施，民法典明確了個人信息的定義和范圍；明確了個人信息的處理范圍、要求及原則，以及免責情形；明確了個人信息主體權利，規定信息處理者義務；完善對患者的隱私及個人信息保密責任等等。
2021年9月，《數據安全法》生效實施，《數據安全法》是我國第一部有關數據安全的專門法律，首次將數據安全全局決策統籌工作升格至中央國家安全領導機構，其上位法是《國家安全法》，這一法規確立了「國家核心數據」的概念，與「重要數據」「其他數據」形成責任界定，並且優化了數據出境的規則。
2021年11月，《個人信息保護法》正式實施，個人信息保護法首次在我國確立一整套系統的個人信息保護法律制度，彌補以前立法的缺陷。既從我國實際出發，將實踐中行之有效的做法和措施上升為法律規范；又充分借鑒有關國際組織和國家、地區的有益做法，體現立法的前瞻性和完整性。
至此，我國個人信息保護形成以《刑法》《國家安全法》《網路安全法》《數據安全法》《民法典》《個人信息保護法》為主導的，全領域、多層次的保護體系，構建中國信息及數據安全領域的法律框架。
樣本情況及數據分析
（一）從2017年開始爆發式增長
本次檢索在Alpha資料庫中，以「侵犯公民個人信息」「數據「為關鍵詞，獲取了自2011年至今的一審刑事裁判文書，共計5624篇裁判文書。以此作為我們本次分析的樣本數據，並重點分析自2016年以來，我國個人信息刑事司法保護的發展和趨勢。
圖表 1涉個人信息類刑事案件數量趨勢
通過圖表1我們可以看出，侵犯個人信息類刑事犯罪案件數量呈現爆發式增長。特別是在2017年，成為了我國個人信息刑事保護的關鍵起點。
因為在這一年，最高法、最高檢發布《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，開啟了我國涉個人信息刑事保護新時代。因此從2017年開始，案件增幅速度明顯呈現爆發式增長。同時，這也體現出了立法者和司法機關通過司法解釋避免法的滯後性，緊追大數據、互聯網時代的大趨勢，堅決打擊侵犯公民個人信息的態度和決心。
（二）案涉地域以沿海發達城市為主
（本次統計將案件涉及的全部犯罪實施地和犯罪結果發生地區均統計為犯罪地，因此犯罪地數據可能大於案件樣本總數）
通過對犯罪地統計可以看出，在涉及侵犯公民個人信息的刑事類案件中，案發地所涉省市前五名，有四個省市位於我國南方的沿海城市，並且是經濟大省江浙滬以及廣東省，而另外一個河南省則是我國的人口大省。其中有4223件次涉及到江浙滬地區，可以說，江浙滬會成為個人信息刑事保護的前沿陣地。

該項數據更多的反映出了在侵犯公民個人信息的刑事類案件中，人口密集、經濟發達的地區案發概率更高。同時對於該類案件的刑事偵查手段和司法裁判也相較於其他地區走在前列，刑事打擊力度也相對較大，司法保護力度也會更有成效。
接下來，其他地區將會借鑒江浙滬粵等地區的工作經驗，逐漸追趕上來，掀起個人信息刑事保護的新增長趨勢。
（三）侵犯公民個人信息手段多樣，涉及罪名廣泛
在侵犯公民個人信息案件中，被告人實施侵犯個人信息的手段是多種形式的。
一種是以獲取公民個人信息為犯罪客體。其目的就是為了獲取公民的個人信息，從而轉賣、轉售獲得非法利益。如侵犯公民個人信息罪，以4476件占據了此類案件的決對多數。
隨著信息存儲的數字化、數據化以及網路化，更多的被告人採取非法侵入計算機系統程序、破壞計算機信息系統、非法獲取計算機信息系統數據的方式實施侵犯公民個人信息的犯罪，不僅觸犯侵犯公民個人信息罪，同時也會觸犯非法侵入計算機系統程序罪等罪名。
另一種是以獲取公民個人信息為犯罪工具。其目的是利用個人信息實施具體的違法犯罪活動。如典型的電信詐騙、信用卡詐騙等。我們可以看出採用違法收集的公民個人信息的行為實施詐騙的案件數量有560件。特別是在跨境網路電信詐騙過程中，採用非法獲取、購買的個人信息實施詐騙近年來不斷攀升。為此，2021年10月19日《中華人民共和國反電信網路詐騙法（草案）》提請十三屆全國人大常委會初次審議。這說明我國已經將打擊電信網路詐騙提高到了空前的高度。
（四）個罪趨勢及典型案例分析
侵犯公民個人信息罪
2017年《解釋》的發布實施，以侵犯公民個人信息罪定罪處罰的案件數量大幅提升，2019年達到了峰值，2021年由於大部分案件尚未審結，但是隨著當下《個人信息保護法》的正式實施以及數據安全提升到國家安全的程度上來，未來一段時間內，侵犯公民個人信息罪的案件數量仍會持續在較高的水平，但是新增犯罪數量必然會隨著監管的加強而逐漸減少，待兩三年內存量犯罪案件查辦處理後，該案涉案數量將會回落至常態。
典型案例

王某侵犯公民個人信息案
「私家偵探」非法獲取並出售特定自然人個人信息
構成侵犯公民個人信息罪
基本案情
2019年3月，呂某找到「私家偵探」王某，僱傭王某調查自己的丈夫。在五個月里，王某通過跟蹤拍照、查詢開房記錄、定位手機等方式，獲取了呂某丈夫的行蹤軌跡、住宿信息等公民個人信息。憑借這些信息，王某從呂女士處先後收取酬金共計6.4萬元。
2019年9月，王某被警方抓獲，經查，王某在此次案發前，就在從事類似的違法活動。
最終法院以侵犯公民個人信息罪，判處王某有期徒刑2年6個月，罰金10萬元，並繼續追繳其6.4萬元違法所得。
典型意義
本案中，對於接受個人委託，獲取並出售特定自然人個人信息給單一委託人、數據未向不特定群體披露的情形，是否屬於侵犯公民個人信息罪進行了確認。兩級法院經審理認為，王某的行為具有嚴重的社會危害性，其接受呂某的委託實施本案行為，並不能排除其行為的違法性，因此對於此類「私家偵探」的非法調查個人信息的行為，已經納入刑事打擊的范圍之內。
典型案例

張某某侵犯公民個人信息案
依法公開的企業法定代表人、
相關負責人信息不屬於公民個人信息

基本案情
2016年9月至2017年4月期間，被告人張某某在重慶市融信天下信息技術有限公司（以下簡稱融信天下公司）擔任業務員。為了拓展貸款業務，其通過QQ從他人處非法獲取信息79921條，其中包括姓名、業主樓號、住宅套內面積、聯系方式等內容的財產信息1940條；包括姓名、身份證號碼、貸款記錄、聯系方式等內容的交易信息588條；包括企業及法人、相關負責人信息73244條；一般公民個人信息4149條。通過QQ提供給他人包括姓名、電話號碼等內容的信息278324條，其中包含車主姓名、身份證號碼、上戶日期、車型、車牌號、車架號、住址、聯系方式等內容的財產信息1318條；包括姓名、業主樓號、住宅建築面積、聯系方式等內容的財產信息37條；包括企業及法人、相關負責人信息267580條；一般公民個人信息9389條。2017年4月11日，被告人張某某被公安機關抓獲，其到案後如實供述了上述事實。
重慶市渝中區人民法院經審理認為，以被告人張某某犯侵犯公民個人信息罪，判處有期徒刑3年，緩刑4年，並處罰金5000元。
典型意義
認定企業法定代表人信息是否屬於公民個人信息，應先對公民個人信息的入罪范圍進行實質界定。
首先，從保護法益角度出發，公民個人信息被侵犯後將給公民的人身財產安全帶來重大風險。而對外公開的企業法定代表人相關信息屬於向社會公示範圍，並沒有違背其本人不予公開的真實意思表示。這類信息的對外公開表明企業法定代表人讓渡出部分個人權益，概括同意該信息自由流通，保護價值降低。因此，從保護法益角度來講，企業法定代表人信息不屬於公民個人信息。
其次，從公民個人信息的類型劃分來探究不同類型信息的內在屬性。在公示的企業法定代表人信息中有相當部分僅為法定代表人的姓名和手機號碼，它既不同於財產信息、交易信息等敏感信息，又不同於一般公民個人信息，無法識別特定自然人身份或反映特定自然人活動情況，故不應認定為刑法規范中的公民個人信息。
詐騙罪
近年來，電信網路詐騙案件高發，特別是通過非法獲取公民個人信息之後，再冒充公檢法向其本人、親友實施詐騙活動，既包括侵犯公民個人信息的行為，同時又觸犯了詐騙罪，應當數罪並罰。此類案件隨著我國打擊電信網路詐騙力度加強，嚴格互聯網運營商、服務商監管義務，並且隨著個人信息保護的加強，對個人信息泄露的渠道封堵，該類案件在未來將會在一定程度上減少。但是鑒於跨境互聯網犯罪打擊難度較大，很難在短時間內快速顯現成效。
典型案例

章某某等詐騙、侵犯公民個人信息案
非法獲取公民個人信息後，實施電信網路詐騙等犯罪
構成數罪的，依法予以並罰
基本案情
2016年初，被告人章某某到廣東省河源市租住源城區建設大道德欣豪庭C2棟1201室，准備手機等作案工具並通過互聯網非法購買公民個人信息12555條。
2016年3月至4月間，被告人章某某先後僱傭被告人汪某某等三人在該租房內，通過撥打章某某事先從網上購買的學生個人信息上的家長聯系電話，冒充「學校教務處」、「教育局」工作人員，以獲取國家教育補貼款為由，誘騙學生家長持銀行卡到ATM機上轉賬至章某某掌控的銀行賬戶，從中獲取錢財。至被查獲時，共撥打詐騙電話4392人次，騙取116200元。
2016年4月期間，被告人章某某還夥同他人利用同樣的手段實施詐騙行為，至被查獲時，共撥打詐騙電話807人次，騙取他人錢財近3000元。
2016年12月14日，安溪縣人民法院作出一審判決，以詐騙罪、侵犯公民個人信息罪判處被告人章某某有期徒刑五年，並處罰金人民幣三萬八千元；其他3名被告人以詐騙罪分別被判處一年至二年九個月不等有期徒刑，並處罰金。
典型意義
打擊利用互聯網出售、提供、非法獲取公民個人信息等侵犯公民個人信息犯罪，切斷其與電信網路詐騙等犯罪的犯罪鏈條，從源頭上預防和減少犯罪發生，具有重要意義。
本案中章某某等人通過網路及QQ向他人購買學生個人信息，撥打學生家長電話，先後冒充學校及教育局工作人員，以領取學生助學補助金為幌子，騙取錢財，不僅侵犯了學生及學生家長的個人信息和財產安全，還破壞了學校的正常教學秩序和教育系統聲譽，社會危害極大。隨著《反電信網路詐騙法》草案的徵求意見，此類案件將會持續納入司法機關重點打擊的對象。
幫助信息網路犯罪活動罪
2015年《刑法修正案（九）》新增「幫助信息網路犯罪活動罪」，該罪名被普遍認為是幫助犯的正犯化，新增該法條目的是單獨對幫助信息網路犯罪活動進行確認和定性，加強對幫助行為的打擊力度。在樣本數據中，共有47件案件涉及到公民個人信息問題。
在對該類犯罪行為定罪定性的過程中，需要重點考慮兩個方面：一方面要考慮法條競合的問題，即根據刑法第二百八十七條之二第三款（幫助信息網路犯罪活動罪）：「同時構成其他犯罪的，依照處罰較重的規定定罪處罰。」另一方面，案件涉及到的「信息」是否屬於法律所保護的公民個人信息的范疇。
典型案例

王某某犯幫助信息網路犯罪活動罪案
出售公民自願提供的公民個人信息
不屬於侵犯公民個人信息

基本案情
2020年4月份，被告人王某某明知他人收購電話卡用於信息網路犯罪，通過「藍牙工作室」網路招聘成為一名「開卡代理」，其以每張60元的價格讓其親朋好友及他人開通了164張手機卡，後再以每張100元至140元不等的價格將164張手機卡賣給「藍牙工作室」「卓越」「擼擼移動聯盟」等微信用戶，違法所得共計14430元，其中非法獲利4590元。王某某所售手機卡之一被用於詐騙被害人翟某所用。案發後，王某某退出非法獲利4590元。
濮陽市華龍區人民法院於2020年11月30日，以被告人王某某犯幫助信息網路犯罪活動罪，判處有期徒刑八個月，緩刑一年，並處罰金人民幣一萬元。
典型意義
濮陽市華龍區人民法院認為，公訴機關指控王某某犯侵犯公民個人信息罪的罪名不當，本院認為王某某對外提供的手機卡號均系卡主自願、真實開通，其並沒有侵犯到卡主的個人信息，但其將開通的手機卡號提供給他人用於實施網路犯罪，其行為侵犯的客體符合幫助信息網路犯罪活動罪的構成要件，而非侵犯公民個人信息罪的構成要件，應認定王某某犯有幫助信息網路犯罪活動罪。
利用計算機信息技術相關犯罪
近年來，隨著python等計算機語言的快速普及，利用爬蟲技術等簡單的技術手段便可以通過互聯網獲取大量數據，並且隨著個人信息數據的價值不斷增加，鋌而走險採用侵入計算機系統、獲取計算機信息系統數據的違法犯罪行為的數量在2017年以後也呈現不斷增長的趨勢。在涉及個人信息數據犯罪方面，以非法侵入、非法控制計算機信息系統的行為案件數量增長趨勢最為明顯。
典型案例

解某某侵犯公民個人信息、
非法獲取計算機信息系統數據案
非法獲取計算機信息系統數據罪
與侵犯公民個人信息罪辨析

基本案情
2017年7月至10月，被告人解某某使用「滅天戰神」「遠程爆破」等黑客軟體攻擊他人計算機信息系統，並將破解的計算機IP地址、賬號、密碼及公民個人信息向他人出售。
2017年7月，在天津市東麗區一無名網吧，被告人解大偉使用上述方法攻擊他人計算機信息系統，侵入貴州省貴陽市雲岩區周某某經營的中國移動代辦點的計算機信息系統及王某經營的通訊經營部的計算機信息系統，非法獲取他人身份證照片、電話號碼等公民個人信息510條，並存儲於其網路雲網盤中，後將上述個人信息向他人販賣。
2017年7、8月，在天津市北辰區小淀鎮某網吧，被告人解大偉在QQ群內下載「公安資料庫」「公安局的褲子」「教育局」「學生數據」等共享文件，並儲存於其騰訊微雲網盤中。其中「公安局資料庫」及「公安局的褲子」文件共含有公民個人信息2342條、「教育局」文件含有公民個人信息1339條、「學生數據」文件含有公民個人信息12154條。
2017年7月，在天津市東麗區一無名網吧，被告人解大偉使用上述方法侵入他人計算機信息系統，非法獲取12306網站登錄賬號、密碼等身份認證信息及姓名、居民身份證號碼、聯系電話、電子郵箱等公民個人信息共計13組，並儲存於其騰訊微雲網盤中。2017年10月18日，被告人被公安機關抓獲歸案。
天津市北辰區人民法院於2018年9月20日作出天津市北辰區人民法院（2018）津0113刑初156號刑事判決：被告人解大偉犯侵犯公民個人信息罪，判處有期徒刑一年，並處罰金5000元；犯非法獲取計算機信息系統數據罪，判處有期徒刑四年六個月，並處罰金20000元，數罪並罰，決定執行有期徒刑五年，並處罰金25000元。
典型意義
如何辨析非法獲取計算機信息系統數據罪與侵犯公民個人信息罪？通過網路非法獲取的信息中有可能包含公民個人信息，也就是說非法獲取計算機信息系統數據的行為在一些情況下是侵犯公民個人信息罪的手段行為，所以兩罪之間存在一定的競合關系。而這種競合是因「一行為侵害數個獨立之法益，致觸犯數個罪名，同時具有數罪之性質」。也就是說，兩罪之間的競合由於一個犯罪行為侵害多個法益所在，是想像競合關系。
但兩罪之間又存在諸多不同點，存在實質性差別，成為司法實踐中構成不同罪名進行處斷的依據。如何根據獲取的「個人信息」性質不同，區分侵入他人計算機信息系統非法獲取他人身份信息的行為應如何定罪？合議庭經合議後認為，被告人解大偉侵入他人計算機信息系統，非法獲取12306網站登錄賬號、密碼等身份認證信息共計13組的行為，同時符合非法獲取計算機信息系統數據罪與侵犯公民個人信息罪的犯罪構成，應按照想像競合從一重規則進行處理；其實施的侵入他人計算機信息系統，非法獲取他人身份證照片、電話號碼等公民個人信息510條及在QQ群內下載「公安資料庫」等文件獲取公民信息15835條的行為，與上述犯罪行為在犯罪性質上有所區分，僅侵犯了公民個人信息隱私權，應認定為侵犯公民個人信息罪一罪。
特殊主體侵犯公民個人信息相關犯罪
2015年《刑法修正案（九）》新增了對於侵犯公民個人信息罪中特殊主體的規定：「違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。」
這里的「履行職責或者提供服務」的人員不僅限於公職人員，對於酒店從業人員、互聯網運營管理人員等均屬於該特殊主體的范疇之內。當前，各監管機構對於互聯網APP的治理是一項急切的工作。對於互聯網企業而言，作為個人信息收集、處理、使用的第一責任人，如果在強監管之下仍然抱著僥幸心理，不切實履行自身的法律義務，放任侵犯公民個人信息事件的發生，屆時受到追訴的不僅僅是具體工作人員，整個企業都有可能陷入刑事風險。
在國家機關的數據保護義務方面，《數據安全法》《個人信息保護法》也都分別作出了相應的規定。
典型案例

馮某某受賄案
公職人員利用職務便利侵犯公民個人信息權的
罪名適用

基本案情
2017年6月至8月間，馮某某利用擔任某法院執行三庭法官助理的職務便利，接受社會人員曹某請托，違規使用法院協助查詢存款通知書及工作證件等，多次在中國工商銀行知春路支行等多家銀行查詢與案件無關的公民個人銀行賬戶信息共計300餘條，將200餘條銀行查詢結果非法提供給曹某，並因此收受曹某給予的好處費共計人民幣8．35萬元。
2018年7月3日，北京市第二中級法院作出維持原判裁定，即判處馮某某有期徒刑一年六個月，罰金人民幣十萬元；犯濫用職權罪，判處有期徒刑一年，決定執行有期徒刑二年，罰金人民幣十萬元。二、在案之人民幣十一萬三千五百元，予以沒收。
典型意義
一是侵犯公民個人信息的行為與濫用職權的行為的罪名適用問題。馮某某的行為不僅觸犯了濫用職權罪，同時還符合了侵犯公民個人信息罪的構成要件，屬於犯罪行為的想像競合。濫用職權罪、侵犯公民個人信息罪主刑的法定刑幅度相同，盡管侵犯公民個人信息罪規定附加判處罰金刑，但考慮到馮力文身份的特殊性，其犯罪行為具有突出的職權屬性，因此以濫用職權罪擇一重罪處罰。
二是受賄罪與濫用職權罪數罪並罰是否屬於重復評價？受賄罪和濫用職權罪均與國家工作人員的職務行為密切相關。然而，受賄罪重在懲罰被告人收受財物的行為對國家工作人員職務行為廉潔性的損害，濫用職權罪則重在懲處被告人不正當行使職權對公共財產、國家和人民利益造成了重大損失。故兩罪雖相互關聯，又具有獨立性，數罪並罰不存在重復評價的問題。
當前，數據已經成為重要的生產要素之一。我國數據及公民個人信息保護經過多年的沉澱和積累，正處於質變的過程，並且隨著互聯網技術的不斷發展以及元宇宙等依靠數據支撐的產業的持續爆火，各領域圍繞個人信息數據爭奪的熱情在短時間內不會消減。因此，我們認為涉及公民個人信息的刑事犯罪案件數量在未來幾年內仍然會保持較高的水平。無論是對於個人還是企業而言，仍然要持續關注個人信息刑事保護的法律適用與政策研究，緊緊跟隨這個大變革、大發展的時代潮流。
·律師介紹

龐理鵬
北京策略律師事務所 黨支部書記、執行主任、合夥人
數據合規項目組負責人
策略區塊鏈與數字經濟爭議調解中心負責人
EXIN數據保護官(DPO)&信息安全官(ISO)雙認證律師、授權講師
田浩男
北京策略律師事務所 執業律師

擁有多年檢察機關、紀檢監察機關工作經驗
特別 聲明： 以上 僅代表筆者個人觀點，不 代表 策略 律師 及策略律師事務所 出具的 任何形式之 法律意見。 如有意向就相關議題進一步交流 探討，歡迎與本所 聯系！

⑦ 數據安全有哪些案例

「大數據時代，在充分挖掘和發揮大數據價值同時，解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。

員工監守自盜數億條用戶信息

今年初，公安部破獲了一起特大竊取販賣公民個人信息案。

被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條，隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現，幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。

業內數據安全專家評價稱，這起案件泄露數億條公民個人信息，其中主要問題，就在於內部數據安全管理缺陷。

國外情況也不容樂觀。2016年9月22日，全球互聯網巨頭雅虎證實，在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。

企業數據信息泄露後，很容易被不法分子用於網路黑灰產運作牟利，內中危害輕則竊財重則取命，去年8月，山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件，就可見一斑。
去年7月，微軟Window10也因未遵守歐盟「安全港」法規，過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。

上海社會科學院互聯網研究中心發布的《報告》指出，隨著數據資源商業價值凸顯，針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫，並呈現出產業化、高科技化和跨國化等特性，對國家和數據生態治理水平，以及組織的數據安全能力都提出了全新挑戰。

當前，重要商業網站海量用戶數據是企業核心資產，也是民間黑客甚至國家級攻擊的重要對象，重點企業數據安全管理更是面臨嚴峻壓力。

企業、組織機構等如何提升自身數據安全能力？

企業機構亟待提升數據安全管理能力

「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節，包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱，大數據安全事件風險成因復雜交織，既有外部攻擊，也有內部泄密，既有技術漏洞，也有管理缺陷，既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發。

5月27日，中國互聯網協會副秘書長石現升稱，互聯網日益成為經濟社會運行基礎，網路數據安全意識、能力和保護手段正面臨新挑戰。

今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題，重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。

石現升介紹，實際早在2015年國務院就發布過《促進大數據發展行動綱要》，就明確要「健全大數據安全保障體系」、「強化安全支撐，提升基礎設施關鍵設備安全可靠水平」。

「目前，很多企業和機構還並不知道該如何提升自己的數據安全管理能力，也不知道依據什麼標准作為衡量。」一位業內人士分析稱，問題的症結在於國內數據安全管理尚處起步階段，很多企業機構都沒有設立數據安全評估體系，或者沒有完整的評估參考標准。

「大數據安全能力成熟度模型」已提國標申請

數博會期間，記者從「大數據安全產業實踐高峰論壇」上了解到，為解決此問題，全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同，著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》，該標準是基於阿里巴巴提出的數據安全成熟度模型（Data Security Maturity Model, DSMM）進行制訂。

阿里巴巴集團安全部總監鄭斌介紹DSMM。

作為此標准項目的牽頭起草方，阿里巴巴集團安全部總監鄭斌介紹說，該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿，旨在與同行業分享阿里經驗，提升行業整體安全能力。

「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱，《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。

⑧ 數據安全的哪些案例，可以看

大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節，包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱，大數據安全事件風險成因復雜交織，既有外部攻擊，也有內部泄密，既有技術漏洞，也有管理缺陷，既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發。

5月27日，中國互聯網協會副秘書長石現升稱，互聯網日益成為經濟社會運行基礎，網路數據安全意識、能力和保護手段正面臨新挑戰。

今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題，重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。

石現升介紹，實際早在2015年國務院就發布過《促進大數據發展行動綱要》，就明確要「健全大數據安全保障體系」、「強化安全支撐，提升基礎設施關鍵設備安全可靠水平」。

「目前，很多企業和機構還並不知道該如何提升自己的數據安全管理能力，也不知道依據什麼標准作為衡量。」一位業內人士分析稱，問題的症結在於國內數據安全管理尚處起步階段，很多企業機構都沒有設立數據安全評估體系，或者沒有完整的評估參考標准。

「大數據安全能力成熟度模型」已提國標申請

數博會期間，記者從「大數據安全產業實踐高峰論壇」上了解到，為解決此問題，全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同，著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》，該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。

圖說：阿里巴巴集團安全部總監鄭斌介紹DSMM。

作為此標准項目的牽頭起草方，阿里巴巴集團安全部總監鄭斌介紹說，該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿，旨在與同行業分享阿里經驗，提升行業整體安全能力。

「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱，《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。

一位數據安全研究人員分析，企業要提升數據安全管理能力，首先就得認清自身數據保護能力水平，再對症下葯彌補缺失和短板，而該標准正是針對大多數企業普遍存在的，不了解或不清楚自身數據安全管理能力的問題。

從標准架構來看，會從組織機構數據採集、存儲、傳輸、處理、交換和銷毀六個數據生命周期，就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度，至少30多個安全域進行全方位考核評估，最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化，1級至5級的能力成熟等級，等級越高意味數據安全能力越強。