网络安全法的案例

① 你的App安全吗百款APP违规采集个人信息 考拉海购等在列

12月4日，国家网络安全通报中心发文通报，下架整改100款违法违规APP。

百款APP违法违规采集个人信息

12月4日，国家网络与信息安全信息通报中心在官方微信公众号披露，2019年11月以来，全国公安机关网安部门集中查处整改了100款违法违规采集使用个人信息的App及其运营互联网企业，不乏考拉海购、微店、更美等知名产品和产品。

根据通报，全国公安机关网安部门按照公安部网络安全保卫局的部署要求，快速行动，重拳出击，集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业。

其中，责令限期整改27款，处以警告处罚63款，处以罚款处罚10款，另有2款被立为刑事案件开展侦查，相关案件正在侦查中。

据悉，今年以来，公安部组织开展“净网2019”专项行动，已依法查处违法违规采集个人信息的APP共683款。

按照《个人信息安全规范》规定，对个人信息的收集应有明确的目的，不得超出产品功能相关目的之外收集额外的个人信息。而去年，中消协在相关部门的支持下，从App Store、安卓市场下载了10类100款App，调查显示超九成App涉嫌过度收集用户个人信息。

图片来源：国家网络安全通报中心微信公众号

四项典型案例

1、“健康天津”APP：涉嫌无隐私协议收集用户位置信息等违法违规行为，经天津市公安局武清分局网安支队受案调查，依据《网络安全法》第四十一条、第六十四条规定，对该APP运营单位“天津健康医疗大数据有限公司”处以行政警告并责令限期整改。

2、“趋势密码”APP：未经用户同意收集使用精准定位等个人信息，涉嫌超范围收集用户信息等违法违规行为，经上海市公安局徐汇分局网安支队受案调查，依据《网络安全法》第六十四条第一款，对该APP运营单位“上海益秋投资管理有限公司”处以行政警告。

3、“折疯了海淘”APP：未明示数据项采集用途，涉嫌违规收集用户信息，经杭州市公安局西湖分局受案调查，依据《网络安全法》第六十四条第一款，对该APP运营单位“杭州橙子信息科技有限公司”处以行政警告并责令限期整改。

4、 “简讯”APP：涉嫌无隐私协议收集用户位置信息等违法违规行为，经成都市公安局网安支队受案调查，依据《网络安全法》第六十条第一款规定，对该APP运营单位“成都市黑领科技有限公司”处以行政警告并处罚款贰仟元。

5类违法情形不得出现

2019年11月以来，公安部加大打击整治侵犯公民个人信息违法犯罪力度，组织开展APP违法违规采集个人信息集中整治，深入推进由中央网信办、工业和信息化部、公安部、市场监管总局联合开展的APP违法违规采集使用个人信息专项整治行动。APP运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形：

一、不得存在“未公开收集使用规则”的情形：在APP中没有隐私协议，或者隐私协议中没有收集使用个人信息规则的相关内容；在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策；隐私协议难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、不得存在“未明示收集使用个人信息的目的、方式和范围”的情形：收集使用个人信息的目的、方式和范围发生变化时，未以适当方式通知用户（更新隐私协议未提醒用户阅读及授权）；收集用户身份证号、银行账号、行踪轨迹等个人敏感信息，未同步说明目的；有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解等。

三、不得存在“未经用户同意收集使用个人信息”的情形；

四、不得存在“违反必要原则，手机与其提供的服务无关的个人信息”的情形；

五、不得存在“非法获取公民个人信息”的情形：未经用户同意获取用户行踪轨迹信息、通信内容、 征信 信息、财产信息。

各类APP内容繁杂，真假难辨，致使用户个人信息的安全受到挑战。

但就目前来看，监管手段只是维护用户信息安全的形式之一。除了技术和监管手段之外，提升开发者自律意识，提升网民信息保护意识，加强网络生活自我保护，也是重要一环。

那么个人如何在使用APP时保护个人信息？建议大家：

一、不要注册来源不明网站，谨慎使用手机号注册；

二、不扫描来历不明的二维码，不安装来历不明的程序；

三、淘汰的电子产品信息销毁要彻底，防止不法分子恢复数据；

四、带有个人信息纸张单据处理需谨慎，需抹掉隐私信息；

五、避免在社交网站上泄露过多个人信息；

六、慎用公众场所免费WIFI，防止用户名密码泄露；

七、不要点击短信和邮件中的链接，以免被“钓鱼”；

八、所用软件不要使用同一组账号密码，以免造成损失。

最后，说句题外话，用户在申请 贷款 时会遇到不同还款方式的贷款产品，由于 利率 的表达方式往往不一样，比如说有：日息万分之五、月 费率 1%等等，因此很难比较出几款产品究竟哪款更省钱。 有钱花 推出的比价神器可以帮我们解决这个问题。通过比较，就能很直观的了解到对比产品的息费明细，帮助我们做决策。

② 大数据时代网络安全进入产业爆发期

大数据时代网络安全进入产业爆发期
2017年中国云市场竞争中，“1分中标”、“1元中标”案例已经不新鲜，在竞争白热化的云计算市场中，第一部网络安全相关法律的出台，再次搅动业界神经，安全成为各大云服务厂商标榜的核心竞争力。以近日菜鸟和顺丰的争议为例，数据安全、云市场争夺都被成为各执一词的缘由。
21世纪经济报道记者近日采访包括阿里云在内的云服务公司以及网络安全领域的创业者和专家，解读云服务市场的安全竞争。其中阿里云总裁胡晓明一一回应跟阿里云相关的竞争和安全问题。他表示，“根本不存在（阿里云）与腾讯云争夺顺丰一事，另外如果阿里云做侵犯用户隐私的事情，那应该倒闭。”
阿里云回应“不安全”
6月1日，《网络安全法》实施第一天，顺丰和菜鸟陷入数据之争，在数据资源方面互不让步，双方皆以保护用户数据隐私安全的名义指责对方。卷入这场“罗生门”的，还有顺丰和菜鸟各执一词的“云市场”争夺，即腾讯云和阿里云的的云服务市场竞争。
在这场风波中，关于安全的讨论争议也很多。
近日，胡晓明在上海接受21世纪经济报道记者采访时回应菜鸟顺丰之争。“顺丰早就是我们的客户了，我也没有提要跟顺丰进一步加大云计算的合作，我们都没有找过对方。”胡晓明说。
他表示，一方面不存在与腾讯云争夺顺丰一事，另外一方面从技术角度也不可能实现通过用户IP地址获取用户核心数据的可能。
在接受采访的一个小时时间里，胡晓明约有一半时间在谈安全、回应与安全相关的质疑。据介绍，阿里云平台上承载了大概37%的中国网站业务，阿里云平均每天承受的攻击是16亿次。
据胡晓明介绍，阿里云有严格的内部审计制度。阿里云工程师进行任何运维管理操作时，都会有内部审计和实时违规预警。所有工程师都需要双因素认证来完成操作人的身份验证。此外，还通过定期的安全扫描和模拟渗透，来确保数据安全的内部控制有效、完整性。
“为什么我们今天特别欢迎网络安全法的正式实施？就像交通法规定的红绿灯一样，交通规则越严格越好。”阿里云的另一位负责人补充说，这个也是整个云计算产业发展的前提。
网络安全产业爆发期
从5月份的勒索病毒事件，再到6月的菜鸟顺丰事件，叠加《网络安全法》的落地，网络安全的概念被热炒到了新高度。
法律对于网络运营者的管理责任作了较为明确的规定，《网络安全法》规定了网络安全等级保护制度，而网络运营者则应根据网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或入侵，防止数据泄露或被窃取或篡改。
6月13日，21世纪经济报道记者在2017中国网络安全大会采访十余家参会网络安全公司，其中瑞星安全的一位负责人告诉21世纪经济报道记者，近期咨询业务的客户明显增加，行业向好。
北京另一家做云安全服务的创业公司人士表示，国外的网络安全市场相对成熟，中国相当于刚刚做完基础设施建设，对安全的需求正处于爆发的上升期，产业也在爆发期。他们公司2015年创立，现在基本能做到盈亏平衡，比较难得。
据介绍，他们的客户主要是政府的政务云平台和金融机构，客户的安全意识还是比较强的，特别是《网络安全法》出台后，对一些网络数据管理运营平台担负的责任进一步清晰，大家也不得不重视起来。
某信息安全众包服务电商平台的CEO陈新龙表示，网络安全元年，应该从2017年《网络安全法》的实施开始。
根据国家互联网应急中心数据显示，2016年1月至11月，中国境内被篡改网站数量总数达到62894个，其中被篡改政府网站数量达到1483个。已收集到的信息系统安全漏洞达9756个，其中高危漏洞3764个，占比为38.6%。
又一份IDC 报告数据显示，截至 2014 年底，中国信息安全投资的比例依然不足 1%，和美国（3.6%）及日本（6%）等成熟市场差距明显，中国网络安全市场还有很大的释放空间。
陈新龙告诉21世纪经济报道记者，2017年他所创立的安全服务平台，新入驻的网络安全厂商增长迅速。
此前，工信部电子科学技术情报研究所总工程师尹丽波在接受21世纪经济报道记者采访时也表示，目前政府的意识很强，包括工信部和网信办，这些年都在对政府部门在做安全培训和检查，提升网络安全意识，普及网络安全技能和知识。在保护安全方面，大部分政府部门都已经行动起来。但企业这块还有很大的空间，特别是中小企业，信息化程度很低，更别说网络安全措施。所以海量的中小企业，可能会是将来网络安全产业的巨大目标群体。

③ 关于网络安全的故事或事例

1、聊天陷阱

2006年2月24日晚上，上海“网虫”钱某终于见到了网上聊天认识的女网友“仇某”。然而，两人散步至一处花店附近时，突然冒出4名手持剪刀的青年男子。毫无准备的钱某不仅遭到一阵殴打，身上仅有的1部手机和300元人民币也被抢走。

3天以后，案情大白，犯罪嫌疑人裘某正是那位自称“仇某”的女网友。原来，两人在网上搭识以后，钱某经常出言不逊，裘某萌发报复念头，找到以前的男友抢劫钱某财物。

2、低价陷阱

2018年1月，徐某无意中进入一个买卖二手车的网址，发现其中一辆本田CRV车只要13000元。徐某心动不已，随即联系网站客服，按照对方要求填写信息并通过网银转账500元订金。2天后，对方告知押车员已将车子运送至天台县，要求徐某支付余款12500元。

徐某打款后兴冲冲等着去提车，结果对方又找各种理由要求他再付16870元，徐某这才恍然大悟自己是被骗了。

3、“支付宝”发邮件称需升级

小美在淘宝开了一家汽车用品店。一个“买家”来店里拍了一套汽车坐垫后发了一张截图，显示“本次支付失败”，并提示“由于卖家账号异常，已发邮件给卖家”。小美打开邮箱，果然有一封主题为“来自支付宝的安全提醒”的未读邮件。

小美没有多想就点击邮件里的链接，按提示一步步进行了“升级”，期间几次输入支付宝账号和密码。隔天，小美发现账户里的8000多元余额被人以支付红包的形式盗空。

4、代“刷信誉”先交“服务费”

阿珍在淘宝网上开了一家卖袜子的小店。去年5月，她在网上看到可以帮忙“刷信誉”的广告，便心动了。加QQ后，对方要求先付钱才能帮其代刷，阿珍就向对方账户汇了1500元“服务费”。没过多久对方又称，需要阿珍再付3000元“保证金”。

这下阿珍起了疑心，要求对方先刷一部分信誉再谈，对方却坚持要阿珍再汇款。阿珍越想越觉得可疑，要求对方退回1500元，对方却怎么都不理她了。阿珍这才明白，自己是被骗了。

5、“大客户”下单后要“回扣”

去年7月，小罗的汽车用品淘宝店来了一个“大客户”。这买家自称是公司的采购，想要长期合作，但希望小罗给“回扣”。一番沟通后，买家很快用另一个旺旺号拍下1万多元的宝贝并付款，随后要求小罗将说好的近2000元“回扣”转给他。

小罗转了回扣后，对方却申请了退款，因为“回扣”是通过支付宝直接转账的，无法申请退款，小罗因此损失近2000元。

④ 网警普法｜关于“网络安全保护义务”，看完你就懂了

哎!你们听说了嘛?!
XX公司的数据被泄露了!
XX公司的网站被植入违法信息了!!
XX公司的后台有漏洞被黑客攻击了!!!
发生这样的事情，首先我们应该谴责那些破坏网络环境的黑客。其次，公安机关在打击网络违法犯罪的同时，也想提醒网络运营者们，必须承担起维护网络安全的主体责任。
·真实案例·
案例一:
上海网安部门今年4月在工作中发现，上海市某网络科技有限公司的网站存在低危级别的安全漏洞，立即责令其限期整改。
5月，网安部门在对整改情况开展复查时发现，该公司未按规定完成整改内容，并且又出现了其他5个高危安全漏洞。
对此，公安机关依据《如春网络安全法》第21条、第59条第一款之规定，对该公司罚款两万元。
案例二:
上海网安部门今年7月在工作中发现，上海市某信息科技有限公司的网站被植入淫秽色情等违法信息。经查，该公司未采取网络安全技术保护措施、未落实网络安全保护管理制度。
对此，公安机关依据《网络安启姿全法》第21条、第59条第一款之规定，对该公司罚款一万元。
《网络安全法》第21条、第59条中规定的"网络运营者应履行的网络安全保护义务”和“不履行上述义务将承担的法律责任”究竟指的是什么呢?
就让带您来了解一下《网络安全法》中关于“网络安全保护义务”的重要内容，以便网络运营者真正了解哪些义务必须履行，以及不履行的相关法律责任。
·法律条文·
《网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
网警解读
重点1:技术措施和管理制度缺一不可
《网络安全法》第21条明确规定了网络安全等级保护制度。主要内容分为:技术类安全要求和管理类安全要求。
对此，网络运营者们在工作中，不仅应落实好网络安全技术保护措施，还应落实好网络安全保护管理制度，两架马车，缺一不可。
重点2:应落实哪些网络安全技术保护措施?
网络运营者采取防范危害网络安全行为的技术措施，就像是在“网络这道墙上安装防护网”一样，达到防范计算机病毒、网络攻击、网络侵入等网络安全风险的目的。通俗地讲，主要包括(不限于)以下内容:
1、安装防病毒软件;
2、安装网络身份认证系统;
3、安装网络入侵检测系统;
4、安装网络风险审计系统;
5、安装自动报警系统;
6、配备相应的软件或者硬件留存网络日志不少于6个月;
7、采取数据分类、重要数据备份渣旁耐和加密等措施。
重点3:应落实哪些网络安全保护管理制度?
网络运营者在落实网络安全技术保护措施的同时，也应在管理制度上下狠功夫，管好人才是重中之重，从而确保不论哪个环节出现责任事故都能找到责任人。通俗地讲，主要包括(不仅限)以下内容:
1、制定有关网络安全管理组织架构、人员配备、行为规范、管理责任的规则;
2、制定有关人员在操作设备或者办理业务时应遵守的程序或者步骤;
3、根据不同保护等级设置安全管理机构、安全管理人员、安全主管、安全管理责任人等，并明确相关机构和人员的职责。
重点4:相关法律责任?
网络运营者不履行网络安全保护义务的，轻则处以警告;重则最高可处以10万元罚款、对直接负责的主管人员最高可处以5万元罚款。
你懂了吗?

⑤ 挖掘明星的过去相关信息，或者家人信息，爆料者是否违法

挖掘明星的过去相关信息，或者家人信息，爆料者违法，会根据情节的严重与否，被处以行政拘留或者刑事拘留，同时还会被处以罚款。需要谨记的是，网络并非法外之地，在网上发文章也好视频也好，要充分的考虑后果。要知道，任何的杜撰或者造谣，都是会被追究责任的。不要等被法律制裁的时候，才幡然悔悟，到那个时候就晚了。现在互联网高度发达，自媒体高速发展，有很多的人选择了以营销账号，博得关注获得流量最终变现为生。其实，只要是不造谣，不可以抹黑或者杜撰，在网上文明发声发文，都是不会被追究责任的。但若是为了钱，不择手段，冒着风险去造谣，以此来获取流量谋利。那么，恐怕下场就是赚多少钱都不够赔的，赚多少钱都买不来可能会入狱的自由。

现在越来越多的明星，选择对恶意爆料者零容忍。现在越来越多的明星选择诉讼于法律，维护自己的名誉权和隐私权。而且，很多的诉讼案例，明星都打赢了，一些不法造谣者也被严厉的处罚，不仅被行政拘留，还被罚了款，甚至要公开道歉。因此，不要挑战法律，会付出惨痛代价。

⑥ 犯人每天写日报告吗

近年来，随着互联网的高速发展，公民个人信息和数据日趋成为社会发展的关键资源。在利益驱使下，侵犯公民个人信息、危害信息数据安全的行为与日俱增，如淘宝12亿个人数据泄露案件、“暗网”兜售个人信息案件等等，其造成的后果也是十分严重。
基于此，我们应当重新审视刑事救济手段在惩治侵犯公民个人信息过程中的重要性，并结合典型的案件，对相关罪名所涉及的手段和争议焦点展开讨论。本文对2016年以来，涉及侵犯公民个人信息相关犯罪的司法大数据进行分析和整理，梳理出围绕公民个人信息的刑事犯罪案件数量、涉及罪名、典型案例及主要争议焦点。一方面为行政机关开展“两法衔接”工作提供指引，对于涉刑案件及时移送司法机关处理，另一方面也是向企业机构合规建设提供指引，避免陷入刑事风险。
11月，我国《个人信息保护法》正式实施，现在我国在公民个人信息数据保护方面已基本形成了“民、行、刑”三位一体的新时代安全防护网。当前，在我国的刑事司法以国家公权力保障社会公共利益和公民利益不受侵害，对个人信息的保护相较于行政、民事立法可以说是走在前列。笔者对近10年来，关于侵犯个人信息相关刑事犯罪的一审判决进行了汇总研究，用数字来展示我国个人信息刑事犯罪保护的发展趋势，并结合典型案例对焦点问题进行总结。
个人信息立法不断完善
为刑事司法救济提供制度保障
（一）我国个人信息保护刑事立法的演变
我国个人信息的法律保护经历了从以公法保护为主到日益重视私法保护的发展历程。
2005年,第十届全国人民代表大会常务委员会第十四次会议通过的《刑法修正案(五)》中増设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款)是我国首个关于侵犯公民个人信息犯罪的法律规定。
2009年,第十一届全国人民代表大会常务委员会第七次会议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。
2015年，《刑法修正案(九)》对第253条之一作了修改:将“违反国家规定”修改为“违反国家有关规定”，同时对犯罪主体的不同身份作出区分，对于特殊身份主体，规定了从重处罚的原则。对处理个人信息中履行相关职责的人员提出了更高的要求。
2017年5月，针对近年来侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,为加大对公民个人信息的保护力度,最高人民法院会同最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该司法解释根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出了全面、系统的规定。
（二）我国信息保护的法律法规相继出台
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了具体的规定。
2015年7月，《国家安全法》颁布实施，将数据安全保障提高到国家安全层面。强调国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。
2017年6月，《网络安全法》正式实施，其在第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面的规范。对于侵犯个人信息的责任承担问题,虽然该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任。
2021年1月，《民法典》正式实施，民法典明确了个人信息的定义和范围；明确了个人信息的处理范围、要求及原则，以及免责情形；明确了个人信息主体权利，规定信息处理者义务；完善对患者的隐私及个人信息保密责任等等。
2021年9月，《数据安全法》生效实施，《数据安全法》是我国第一部有关数据安全的专门法律，首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，其上位法是《国家安全法》，这一法规确立了“国家核心数据”的概念，与“重要数据”“其他数据”形成责任界定，并且优化了数据出境的规则。
2021年11月，《个人信息保护法》正式实施，个人信息保护法首次在我国确立一整套系统的个人信息保护法律制度，弥补以前立法的缺陷。既从我国实际出发，将实践中行之有效的做法和措施上升为法律规范；又充分借鉴有关国际组织和国家、地区的有益做法，体现立法的前瞻性和完整性。
至此，我国个人信息保护形成以《刑法》《国家安全法》《网络安全法》《数据安全法》《民法典》《个人信息保护法》为主导的，全领域、多层次的保护体系，构建中国信息及数据安全领域的法律框架。
样本情况及数据分析
（一）从2017年开始爆发式增长
本次检索在Alpha数据库中，以“侵犯公民个人信息”“数据“为关键词，获取了自2011年至今的一审刑事裁判文书，共计5624篇裁判文书。以此作为我们本次分析的样本数据，并重点分析自2016年以来，我国个人信息刑事司法保护的发展和趋势。
图表 1涉个人信息类刑事案件数量趋势
通过图表1我们可以看出，侵犯个人信息类刑事犯罪案件数量呈现爆发式增长。特别是在2017年，成为了我国个人信息刑事保护的关键起点。
因为在这一年，最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，开启了我国涉个人信息刑事保护新时代。因此从2017年开始，案件增幅速度明显呈现爆发式增长。同时，这也体现出了立法者和司法机关通过司法解释避免法的滞后性，紧追大数据、互联网时代的大趋势，坚决打击侵犯公民个人信息的态度和决心。
（二）案涉地域以沿海发达城市为主
（本次统计将案件涉及的全部犯罪实施地和犯罪结果发生地区均统计为犯罪地，因此犯罪地数据可能大于案件样本总数）
通过对犯罪地统计可以看出，在涉及侵犯公民个人信息的刑事类案件中，案发地所涉省市前五名，有四个省市位于我国南方的沿海城市，并且是经济大省江浙沪以及广东省，而另外一个河南省则是我国的人口大省。其中有4223件次涉及到江浙沪地区，可以说，江浙沪会成为个人信息刑事保护的前沿阵地。

该项数据更多的反映出了在侵犯公民个人信息的刑事类案件中，人口密集、经济发达的地区案发概率更高。同时对于该类案件的刑事侦查手段和司法裁判也相较于其他地区走在前列，刑事打击力度也相对较大，司法保护力度也会更有成效。
接下来，其他地区将会借鉴江浙沪粤等地区的工作经验，逐渐追赶上来，掀起个人信息刑事保护的新增长趋势。
（三）侵犯公民个人信息手段多样，涉及罪名广泛
在侵犯公民个人信息案件中，被告人实施侵犯个人信息的手段是多种形式的。
一种是以获取公民个人信息为犯罪客体。其目的就是为了获取公民的个人信息，从而转卖、转售获得非法利益。如侵犯公民个人信息罪，以4476件占据了此类案件的决对多数。
随着信息存储的数字化、数据化以及网络化，更多的被告人采取非法侵入计算机系统程序、破坏计算机信息系统、非法获取计算机信息系统数据的方式实施侵犯公民个人信息的犯罪，不仅触犯侵犯公民个人信息罪，同时也会触犯非法侵入计算机系统程序罪等罪名。
另一种是以获取公民个人信息为犯罪工具。其目的是利用个人信息实施具体的违法犯罪活动。如典型的电信诈骗、信用卡诈骗等。我们可以看出采用违法收集的公民个人信息的行为实施诈骗的案件数量有560件。特别是在跨境网络电信诈骗过程中，采用非法获取、购买的个人信息实施诈骗近年来不断攀升。为此，2021年10月19日《中华人民共和国反电信网络诈骗法（草案）》提请十三届全国人大常委会初次审议。这说明我国已经将打击电信网络诈骗提高到了空前的高度。
（四）个罪趋势及典型案例分析
侵犯公民个人信息罪
2017年《解释》的发布实施，以侵犯公民个人信息罪定罪处罚的案件数量大幅提升，2019年达到了峰值，2021年由于大部分案件尚未审结，但是随着当下《个人信息保护法》的正式实施以及数据安全提升到国家安全的程度上来，未来一段时间内，侵犯公民个人信息罪的案件数量仍会持续在较高的水平，但是新增犯罪数量必然会随着监管的加强而逐渐减少，待两三年内存量犯罪案件查办处理后，该案涉案数量将会回落至常态。
典型案例

王某侵犯公民个人信息案
“私家侦探”非法获取并出售特定自然人个人信息
构成侵犯公民个人信息罪
基本案情
2019年3月，吕某找到“私家侦探”王某，雇佣王某调查自己的丈夫。在五个月里，王某通过跟踪拍照、查询开房记录、定位手机等方式，获取了吕某丈夫的行踪轨迹、住宿信息等公民个人信息。凭借这些信息，王某从吕女士处先后收取酬金共计6.4万元。
2019年9月，王某被警方抓获，经查，王某在此次案发前，就在从事类似的违法活动。
最终法院以侵犯公民个人信息罪，判处王某有期徒刑2年6个月，罚金10万元，并继续追缴其6.4万元违法所得。
典型意义
本案中，对于接受个人委托，获取并出售特定自然人个人信息给单一委托人、数据未向不特定群体披露的情形，是否属于侵犯公民个人信息罪进行了确认。两级法院经审理认为，王某的行为具有严重的社会危害性，其接受吕某的委托实施本案行为，并不能排除其行为的违法性，因此对于此类“私家侦探”的非法调查个人信息的行为，已经纳入刑事打击的范围之内。
典型案例

张某某侵犯公民个人信息案
依法公开的企业法定代表人、
相关负责人信息不属于公民个人信息

基本案情
2016年9月至2017年4月期间，被告人张某某在重庆市融信天下信息技术有限公司（以下简称融信天下公司）担任业务员。为了拓展贷款业务，其通过QQ从他人处非法获取信息79921条，其中包括姓名、业主楼号、住宅套内面积、联系方式等内容的财产信息1940条；包括姓名、身份证号码、贷款记录、联系方式等内容的交易信息588条；包括企业及法人、相关负责人信息73244条；一般公民个人信息4149条。通过QQ提供给他人包括姓名、电话号码等内容的信息278324条，其中包含车主姓名、身份证号码、上户日期、车型、车牌号、车架号、住址、联系方式等内容的财产信息1318条；包括姓名、业主楼号、住宅建筑面积、联系方式等内容的财产信息37条；包括企业及法人、相关负责人信息267580条；一般公民个人信息9389条。2017年4月11日，被告人张某某被公安机关抓获，其到案后如实供述了上述事实。
重庆市渝中区人民法院经审理认为，以被告人张某某犯侵犯公民个人信息罪，判处有期徒刑3年，缓刑4年，并处罚金5000元。
典型意义
认定企业法定代表人信息是否属于公民个人信息，应先对公民个人信息的入罪范围进行实质界定。
首先，从保护法益角度出发，公民个人信息被侵犯后将给公民的人身财产安全带来重大风险。而对外公开的企业法定代表人相关信息属于向社会公示范围，并没有违背其本人不予公开的真实意思表示。这类信息的对外公开表明企业法定代表人让渡出部分个人权益，概括同意该信息自由流通，保护价值降低。因此，从保护法益角度来讲，企业法定代表人信息不属于公民个人信息。
其次，从公民个人信息的类型划分来探究不同类型信息的内在属性。在公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码，它既不同于财产信息、交易信息等敏感信息，又不同于一般公民个人信息，无法识别特定自然人身份或反映特定自然人活动情况，故不应认定为刑法规范中的公民个人信息。
诈骗罪
近年来，电信网络诈骗案件高发，特别是通过非法获取公民个人信息之后，再冒充公检法向其本人、亲友实施诈骗活动，既包括侵犯公民个人信息的行为，同时又触犯了诈骗罪，应当数罪并罚。此类案件随着我国打击电信网络诈骗力度加强，严格互联网运营商、服务商监管义务，并且随着个人信息保护的加强，对个人信息泄露的渠道封堵，该类案件在未来将会在一定程度上减少。但是鉴于跨境互联网犯罪打击难度较大，很难在短时间内快速显现成效。
典型案例

章某某等诈骗、侵犯公民个人信息案
非法获取公民个人信息后，实施电信网络诈骗等犯罪
构成数罪的，依法予以并罚
基本案情
2016年初，被告人章某某到广东省河源市租住源城区建设大道德欣豪庭C2栋1201室，准备手机等作案工具并通过互联网非法购买公民个人信息12555条。
2016年3月至4月间，被告人章某某先后雇佣被告人汪某某等三人在该租房内，通过拨打章某某事先从网上购买的学生个人信息上的家长联系电话，冒充“学校教务处”、“教育局”工作人员，以获取国家教育补贴款为由，诱骗学生家长持银行卡到ATM机上转账至章某某掌控的银行账户，从中获取钱财。至被查获时，共拨打诈骗电话4392人次，骗取116200元。
2016年4月期间，被告人章某某还伙同他人利用同样的手段实施诈骗行为，至被查获时，共拨打诈骗电话807人次，骗取他人钱财近3000元。
2016年12月14日，安溪县人民法院作出一审判决，以诈骗罪、侵犯公民个人信息罪判处被告人章某某有期徒刑五年，并处罚金人民币三万八千元；其他3名被告人以诈骗罪分别被判处一年至二年九个月不等有期徒刑，并处罚金。
典型意义
打击利用互联网出售、提供、非法获取公民个人信息等侵犯公民个人信息犯罪，切断其与电信网络诈骗等犯罪的犯罪链条，从源头上预防和减少犯罪发生，具有重要意义。
本案中章某某等人通过网络及QQ向他人购买学生个人信息，拨打学生家长电话，先后冒充学校及教育局工作人员，以领取学生助学补助金为幌子，骗取钱财，不仅侵犯了学生及学生家长的个人信息和财产安全，还破坏了学校的正常教学秩序和教育系统声誉，社会危害极大。随着《反电信网络诈骗法》草案的征求意见，此类案件将会持续纳入司法机关重点打击的对象。
帮助信息网络犯罪活动罪
2015年《刑法修正案（九）》新增“帮助信息网络犯罪活动罪”，该罪名被普遍认为是帮助犯的正犯化，新增该法条目的是单独对帮助信息网络犯罪活动进行确认和定性，加强对帮助行为的打击力度。在样本数据中，共有47件案件涉及到公民个人信息问题。
在对该类犯罪行为定罪定性的过程中，需要重点考虑两个方面：一方面要考虑法条竞合的问题，即根据刑法第二百八十七条之二第三款（帮助信息网络犯罪活动罪）：“同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”另一方面，案件涉及到的“信息”是否属于法律所保护的公民个人信息的范畴。
典型案例

王某某犯帮助信息网络犯罪活动罪案
出售公民自愿提供的公民个人信息
不属于侵犯公民个人信息

基本案情
2020年4月份，被告人王某某明知他人收购电话卡用于信息网络犯罪，通过“蓝牙工作室”网络招聘成为一名“开卡代理”，其以每张60元的价格让其亲朋好友及他人开通了164张手机卡，后再以每张100元至140元不等的价格将164张手机卡卖给“蓝牙工作室”“卓越”“撸撸移动联盟”等微信用户，违法所得共计14430元，其中非法获利4590元。王某某所售手机卡之一被用于诈骗被害人翟某所用。案发后，王某某退出非法获利4590元。
濮阳市华龙区人民法院于2020年11月30日，以被告人王某某犯帮助信息网络犯罪活动罪，判处有期徒刑八个月，缓刑一年，并处罚金人民币一万元。
典型意义
濮阳市华龙区人民法院认为，公诉机关指控王某某犯侵犯公民个人信息罪的罪名不当，本院认为王某某对外提供的手机卡号均系卡主自愿、真实开通，其并没有侵犯到卡主的个人信息，但其将开通的手机卡号提供给他人用于实施网络犯罪，其行为侵犯的客体符合帮助信息网络犯罪活动罪的构成要件，而非侵犯公民个人信息罪的构成要件，应认定王某某犯有帮助信息网络犯罪活动罪。
利用计算机信息技术相关犯罪
近年来，随着python等计算机语言的快速普及，利用爬虫技术等简单的技术手段便可以通过互联网获取大量数据，并且随着个人信息数据的价值不断增加，铤而走险采用侵入计算机系统、获取计算机信息系统数据的违法犯罪行为的数量在2017年以后也呈现不断增长的趋势。在涉及个人信息数据犯罪方面，以非法侵入、非法控制计算机信息系统的行为案件数量增长趋势最为明显。
典型案例

解某某侵犯公民个人信息、
非法获取计算机信息系统数据案
非法获取计算机信息系统数据罪
与侵犯公民个人信息罪辨析

基本案情
2017年7月至10月，被告人解某某使用“灭天战神”“远程爆破”等黑客软件攻击他人计算机信息系统，并将破解的计算机IP地址、账号、密码及公民个人信息向他人出售。
2017年7月，在天津市东丽区一无名网吧，被告人解大伟使用上述方法攻击他人计算机信息系统，侵入贵州省贵阳市云岩区周某某经营的中国移动代办点的计算机信息系统及王某经营的通讯经营部的计算机信息系统，非法获取他人身份证照片、电话号码等公民个人信息510条，并存储于其网络云网盘中，后将上述个人信息向他人贩卖。
2017年7、8月，在天津市北辰区小淀镇某网吧，被告人解大伟在QQ群内下载“公安数据库”“公安局的裤子”“教育局”“学生数据”等共享文件，并储存于其腾讯微云网盘中。其中“公安局数据库”及“公安局的裤子”文件共含有公民个人信息2342条、“教育局”文件含有公民个人信息1339条、“学生数据”文件含有公民个人信息12154条。
2017年7月，在天津市东丽区一无名网吧，被告人解大伟使用上述方法侵入他人计算机信息系统，非法获取12306网站登录账号、密码等身份认证信息及姓名、居民身份证号码、联系电话、电子邮箱等公民个人信息共计13组，并储存于其腾讯微云网盘中。2017年10月18日，被告人被公安机关抓获归案。
天津市北辰区人民法院于2018年9月20日作出天津市北辰区人民法院（2018）津0113刑初156号刑事判决：被告人解大伟犯侵犯公民个人信息罪，判处有期徒刑一年，并处罚金5000元；犯非法获取计算机信息系统数据罪，判处有期徒刑四年六个月，并处罚金20000元，数罪并罚，决定执行有期徒刑五年，并处罚金25000元。
典型意义
如何辨析非法获取计算机信息系统数据罪与侵犯公民个人信息罪？通过网络非法获取的信息中有可能包含公民个人信息，也就是说非法获取计算机信息系统数据的行为在一些情况下是侵犯公民个人信息罪的手段行为，所以两罪之间存在一定的竞合关系。而这种竞合是因“一行为侵害数个独立之法益，致触犯数个罪名，同时具有数罪之性质”。也就是说，两罪之间的竞合由于一个犯罪行为侵害多个法益所在，是想象竞合关系。
但两罪之间又存在诸多不同点，存在实质性差别，成为司法实践中构成不同罪名进行处断的依据。如何根据获取的“个人信息”性质不同，区分侵入他人计算机信息系统非法获取他人身份信息的行为应如何定罪？合议庭经合议后认为，被告人解大伟侵入他人计算机信息系统，非法获取12306网站登录账号、密码等身份认证信息共计13组的行为，同时符合非法获取计算机信息系统数据罪与侵犯公民个人信息罪的犯罪构成，应按照想象竞合从一重规则进行处理；其实施的侵入他人计算机信息系统，非法获取他人身份证照片、电话号码等公民个人信息510条及在QQ群内下载“公安数据库”等文件获取公民信息15835条的行为，与上述犯罪行为在犯罪性质上有所区分，仅侵犯了公民个人信息隐私权，应认定为侵犯公民个人信息罪一罪。
特殊主体侵犯公民个人信息相关犯罪
2015年《刑法修正案（九）》新增了对于侵犯公民个人信息罪中特殊主体的规定：“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”
这里的“履行职责或者提供服务”的人员不仅限于公职人员，对于酒店从业人员、互联网运营管理人员等均属于该特殊主体的范畴之内。当前，各监管机构对于互联网APP的治理是一项急切的工作。对于互联网企业而言，作为个人信息收集、处理、使用的第一责任人，如果在强监管之下仍然抱着侥幸心理，不切实履行自身的法律义务，放任侵犯公民个人信息事件的发生，届时受到追诉的不仅仅是具体工作人员，整个企业都有可能陷入刑事风险。
在国家机关的数据保护义务方面，《数据安全法》《个人信息保护法》也都分别作出了相应的规定。
典型案例

冯某某受贿案
公职人员利用职务便利侵犯公民个人信息权的
罪名适用

基本案情
2017年6月至8月间，冯某某利用担任某法院执行三庭法官助理的职务便利，接受社会人员曹某请托，违规使用法院协助查询存款通知书及工作证件等，多次在中国工商银行知春路支行等多家银行查询与案件无关的公民个人银行账户信息共计300余条，将200余条银行查询结果非法提供给曹某，并因此收受曹某给予的好处费共计人民币8．35万元。
2018年7月3日，北京市第二中级法院作出维持原判裁定，即判处冯某某有期徒刑一年六个月，罚金人民币十万元；犯滥用职权罪，判处有期徒刑一年，决定执行有期徒刑二年，罚金人民币十万元。二、在案之人民币十一万三千五百元，予以没收。
典型意义
一是侵犯公民个人信息的行为与滥用职权的行为的罪名适用问题。冯某某的行为不仅触犯了滥用职权罪，同时还符合了侵犯公民个人信息罪的构成要件，属于犯罪行为的想象竞合。滥用职权罪、侵犯公民个人信息罪主刑的法定刑幅度相同，尽管侵犯公民个人信息罪规定附加判处罚金刑，但考虑到冯力文身份的特殊性，其犯罪行为具有突出的职权属性，因此以滥用职权罪择一重罪处罚。
二是受贿罪与滥用职权罪数罪并罚是否属于重复评价？受贿罪和滥用职权罪均与国家工作人员的职务行为密切相关。然而，受贿罪重在惩罚被告人收受财物的行为对国家工作人员职务行为廉洁性的损害，滥用职权罪则重在惩处被告人不正当行使职权对公共财产、国家和人民利益造成了重大损失。故两罪虽相互关联，又具有独立性，数罪并罚不存在重复评价的问题。
当前，数据已经成为重要的生产要素之一。我国数据及公民个人信息保护经过多年的沉淀和积累，正处于质变的过程，并且随着互联网技术的不断发展以及元宇宙等依靠数据支撑的产业的持续爆火，各领域围绕个人信息数据争夺的热情在短时间内不会消减。因此，我们认为涉及公民个人信息的刑事犯罪案件数量在未来几年内仍然会保持较高的水平。无论是对于个人还是企业而言，仍然要持续关注个人信息刑事保护的法律适用与政策研究，紧紧跟随这个大变革、大发展的时代潮流。
·律师介绍

庞理鹏
北京策略律师事务所 党支部书记、执行主任、合伙人
数据合规项目组负责人
策略区块链与数字经济争议调解中心负责人
EXIN数据保护官(DPO)&信息安全官(ISO)双认证律师、授权讲师
田浩男
北京策略律师事务所 执业律师

拥有多年检察机关、纪检监察机关工作经验
特别 声明： 以上 仅代表笔者个人观点，不 代表 策略 律师 及策略律师事务所 出具的 任何形式之 法律意见。 如有意向就相关议题进一步交流 探讨，欢迎与本所 联系！

⑦ 数据安全有哪些案例

“大数据时代，在充分挖掘和发挥大数据价值同时，解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。

员工监守自盗数亿条用户信息

今年初，公安部破获了一起特大窃取贩卖公民个人信息案。

被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条，随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现，幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。

业内数据安全专家评价称，这起案件泄露数亿条公民个人信息，其中主要问题，就在于内部数据安全管理缺陷。

国外情况也不容乐观。2016年9月22日，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。

企业数据信息泄露后，很容易被不法分子用于网络黑灰产运作牟利，内中危害轻则窃财重则取命，去年8月，山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件，就可见一斑。
去年7月，微软Window10也因未遵守欧盟“安全港”法规，过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。

上海社会科学院互联网研究中心发布的《报告》指出，随着数据资源商业价值凸显，针对数据的攻击、窃取、滥用和劫持等活动持续泛滥，并呈现出产业化、高科技化和跨国化等特性，对国家和数据生态治理水平，以及组织的数据安全能力都提出了全新挑战。

当前，重要商业网站海量用户数据是企业核心资产，也是民间黑客甚至国家级攻击的重要对象，重点企业数据安全管理更是面临严峻压力。

企业、组织机构等如何提升自身数据安全能力？

企业机构亟待提升数据安全管理能力

“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。

5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础，网络数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。

“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型（Data Security Maturity Model, DSMM）进行制订。

阿里巴巴集团安全部总监郑斌介绍DSMM。

作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

⑧ 数据安全的哪些案例，可以看

大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。

5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础，网络数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。

“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。

图说：阿里巴巴集团安全部总监郑斌介绍DSMM。

作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

一位数据安全研究人员分析，企业要提升数据安全管理能力，首先就得认清自身数据保护能力水平，再对症下药弥补缺失和短板，而该标准正是针对大多数企业普遍存在的，不了解或不清楚自身数据安全管理能力的问题。

从标准架构来看，会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期，就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度，至少30多个安全域进行全方位考核评估，最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化，1级至5级的能力成熟等级，等级越高意味数据安全能力越强。