⑴ 萬字干貨|新規下,車企如何建設數據安全體系
隨著智能網聯化、數字化發展,汽車數據安全和網路風險防範成為行業密切關注的難題。
汽車傳統的物理邊界被打破,出現了大量的雲上服務,比如車聯網、自動駕駛技術、OTA等等,相應的,汽車產生的數據也越來越多。相關數據顯示,一輛智能網聯汽車每天大概會產生 10TB 的數據,這些數據包含駕駛人員的出行軌跡、駕乘習慣、車內語音圖像等個人信息,也包含車輛實時收集到的地圖數據等。
隨著《個人信息保護法》、《汽車數據安全管理若干規定(試行)》的頒布實施,對數據的合規分類收集和使用提出了更為嚴格的要求。同時,也有汽車品牌近來遭受到網路黑客攻擊,造成不小的損失和安全風險。如何平衡數據使用的合規與高效,並在全面上雲的背景下構築扎實的安全防線,成為整個行業密切關注的話題和迫切需要解決的難題。
此此背景下,騰訊智慧出行與汽車之心聯合策劃了「行者有雲」系列沙龍第二期——《車企上雲,如何構築雲上安全防線?》,聚焦汽車數據的合規使用和安全防範問題,加速車企構建在數據網路安全領域的競爭力。
本期沙龍邀請到上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全聯合實驗室負責人陳寧,騰訊安全策略發展中心總經理呂一平,共同探討車企數據安全防護建設和未來趨勢發展並發表了獨到精闢的見解。
以下為沙龍對話實錄:
主持人:大家好!歡迎收看「行者有雲」系列沙龍,本期我們討論的話題是「車企數據上雲,如何構築雲上安全防線」,我們將圍繞數據安全和風險防禦問題討論。車企在系列新規背景下,將採用怎樣的新手段、新模式來保證數據的合理開發利用,並有效防範潛在風險。非常有幸我們請到了兩位嘉賓和我們一起分享討論。一位是上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全實驗室聯合負責人陳寧;另一位是騰訊安全策略發展中心總經理呂一平。
在智能化網聯化大變革下,一輛汽車在使用過程中產生的數據越來越多,隨著《個人信息保護法》和《汽車數據安全管理若干規定(試行)》頒布實施,企業在使用處理數據的時候,要遵守哪些行為准則?
陳寧:在《個網法》講得比較細致針對《個人信息保護法》有8類處理原則,大概總結:
第一,對於用戶個人信息數據的授權,信息處理,告訴用戶要收集個人信息,個人隱私數據要進行處理。
第二,處理過程中要注意處理流程,要保護和保密。
第三,數據收集,要符合相關的規定。對於汽車來說,有《汽車數據安全管理若干規定(試行)》,定得比較明確,這和《個網法》有相互呼應的關系,上面有《數據安全法》,以此為由展開。
呂一平:還有一點,去年下半年國家集中出台了比如《個人隱私信息保護》,及《數據安全法》等法律法規。同時面向汽車行業,汽車行業本身屬於關鍵信息基礎設施行業,針對「關基」(關鍵信息基礎)行業也有一些相應的針對基礎安全和數據安全的要求。所以,這也是需要汽車行業各位同仁需要考慮的問題。
主持人:如果針對整個汽車數據來說,我們有什麼樣的分類界定?
陳寧:現在最關鍵的第一步是,汽車數據不可避免要收集。汽車聯網以後,很多服務雲化後,為了對汽車的一些服務以及汽車這狀態甚至說自動駕駛,這天然需要搜集很多數據,所以說數據搜集是不可避免的。現在我們覺得對於汽車數據搜集,首先真正的明確怎樣服務搜集數據,如果說要做自動駕駛相關的,那麼最少應該搜集什麼樣的數據,盡可能的還是少搜。不要說不做分類,不做區分一概搜集上來後面處理,這是不合法不合情的,這是第一個按照服務的細分來分。第二,數據的共享和流動,這也是很重要的因素,現在很多服務在雲上之後,不僅是主機廠要收集數據,很多合作夥伴,比如車上應用需要第三方的數據,我們要把數據給他,數據在流通的過程中以什麼樣的合法合規方式流通,以及我如何對它授權,如何對它約束,這要處理好。
最後,敏感數據的收集,現在汽車廠有大量的感測器、攝像頭,對於用戶的面部輪廓,關鍵設施和關鍵單位的識別、存儲,是否要做相關的模糊化處理或透明處理,這也比較關鍵。
呂一平:我主要做補充,從汽車行業數據來講,不僅要保護數據,要脫敏,盡量按照服務手續收集數據。基於很大的前提是,收集數據時要進行分類分型,針對不同的類型利用手段去保護數據。汽車行業有幾大數據比較重要:
1、汽車研發過程中的車輛狀態,這些數據傳統一直做收集,這方面更多是車企自用,甚至從數據保護角度來講是比較容易實現的,因為汽車公司內部流轉數據。
2、和用戶相關的隱私數據,國家有明確的法律法規要做到保護和保密。針對不同的使用場景我們應該如何給到數據,需要通過分類分級的方法做明確的界定,並有對應的使用要求和規則。
3、從技術進入到其他行業帶來新的需求,比如感測器受地理位置數據,高清地圖數據,這是相當敏感的數據領域,這會涉及到國家安全部分,車企需要非常關注這類問題。去年國家重點關注了一家海外車企這方面的問題,所以這也值得汽車行業重點關注的信息。
主持人:隨著一系列的新規的出台,從車企角度來講,在主動防範上有哪些變化?
陳寧:有很多,結合各方數據安全規定,首先,按照上位法《網安法》來講車企相關車輛應用服務,肯定要通過等保測評。第二,通過等保,配套相關的網路安全或者數據安全,配套的防範措施和防範的管理體系建立起來。第三,提出明確要求,用戶上車默認情況不收集數據。如果要收集數據要告訴用戶,清晰地告訴用戶要收集一些數據,且收集哪些數據。第四,在收集數據狀態中讓用戶知道我們正在收集你的數據,用戶有地方說不希望收集數據,屏蔽它。第五,盡量在車里將敏感的數據輪廓化和清晰化去掉,模糊化。盡量不要通過數據清楚地定義出一個人,這樣方便處理。
再往後,數據共享方面,該企業一開始只做商業合作,後面可能有一些約束,同時很重要的是按照《數據安全法》和汽車相關規定,每年12月25日左右要上報數據安全報告。中國汽車品牌開始向海外發展,根據規定要求要對相關的監管部門進行報備,並且在企業數據安全方面寫清楚,今年發生過幾次數據向境外輸出,以及經過相關評審,這些情況要說清楚。企業不僅僅是義務合規,還要滿足國家戰略需要。
主持人:在上述規定的使用數據和國家安全的前提下,數據如何反哺研發,開發相應的車聯網服務?
陳寧:這挑戰很大。
主持人:要實現兩者的平衡?
陳寧:對,基於我服務的內容收集相關數據,這是做到平衡的關鍵。如果只是判斷車的自動駕駛,只收一些和路況相關的信息,就不要收多餘的信息,盡量精簡收集內容,比如只是採集一些路邊的圖象,車內的信息就不要收。現在有汽車保險,主要是根據用戶的駕駛習慣收集車輛數據,收集一般駕駛者的駕駛習慣就不要收集個人信息,這樣才能合法合情,又能反哺到業務。
第二,做分析時,流通方面盡量做到應用和數據分開,舉個典型的例子,現在自動駕駛數據的安全屋,可能確實採集了很多數據,經過合理處理之後放在數據模型箱里,我們做的事情是將計算模型放進去,用數據計算完之後最後拿出來是模型計算結果或者是模型存儲的演算法,而不是數據本身,這不合理。在模型足夠成熟之後,這些數據可能銷毀掉或者撤掉,這可以比較好達成平衡。這需要付出很多努力。
呂一平:我們在去年國家出台一系列數據安全相關規定時我們非常關注,因為互聯網有大量數據,很多互聯網業務都在線上。我們自己在推進數據安全保護方面做了很完整的展開,從產品的設計上,比如數據收集的最小化,包括用戶知情角度,數據使用需要用戶充分知悉並且充分授權,然後才能進行相應使用。
另外,應用和數據相應分離,騰訊在《數據安全法》出台前兩三年已經做這方面的工作。特別是在不應該使用不合理數據提供下如何規避掉,我們在內部進行了工作。騰訊可以給汽車行業做一些交流和傳遞的工作,幫助行業更好地理解如何做數據安全建立。
主持人:對於外資或者合資車企來說,《個人信息保護法》和《汽車數據安全管理若干規定(試行)》相關規定對他們的影響是否更大?
陳寧:相對會大一點,但大體上差不多。首先是對於敏感信息的定義,對外資企業來說風險一樣。另外,用戶的存儲、流動也是一樣。對於外企挑戰最大的是數據不能出境,最大變化是跨境的問題。由於《個人信息保護法》和數據安全定義上,外資也要跟隨國家相關規定,可能要對自己做出規范。但大方向比較好,主要是促進問題。
主持人:騰訊和外資車企在這些領域是否有一些合作?
呂一平:其實外資車企面臨,在中國市場如何滿足國家合規性要求和規定,現在有一些海外業務在推進。不管歐洲還是美國地區,相應的個人信息隱私保護和合規,及數據使用的要求可能都有相應的要求。所以在歐洲和美國,中國企業屬於外資,其實大家遇到的挑戰一樣。對於車企來講,不管是合資還是外資品牌,都要考慮如何滿足本地的個人隱私保護和數據安全合規使用的要求,這其實是基本需要做到的工作。
從騰訊角度來講,騰訊在汽車行業定位一直是數字化助手的角色。我們不僅和合資和外資的車企,和上汽也在數據安全方面有很多交流,我們一起研究如何將數據安全保護的工作做好。相對來講,這個領域比較新,比如網路安全、基礎的安全建設方面,中國已經經歷了幾十年的發展和建設,但數據安全對大家來說是一個新課題。隨著車企聯網和相應技術不斷落地的情況下,數據量會非常大,而且數據的集中度也不一定這么高。如何將數據安全保護工作做好是很有挑戰的課題。先要從汽車數據的分類分級開始,以此作為基礎再去延伸,根據不同級別和類別的數據進行相應保護措施,對應有技術的部分。
陳寧:關鍵是立法,以前沒有明確上位法,2016年有上位法出來之後,車企必須要符合法律。
主持人:除了數據合規收集和處理,也不能忽略的是汽車智能度越高,面臨潛在被攻擊的風險也越來越高,我們也出現過車子被攻擊的案例。這樣的場景在汽車中,是真的能實現的嗎?在車聯網中真的會有這樣的風險嗎?
陳寧:汽車傳統的物理邊界被打破了,大量的雲上服務,大家可以用手機跟車進行互動。汽車擁抱了數字化,但擁抱了數字化的福利和變革也擁抱了數字化的風險,最典型的是雲上服務,比如遠程車控、OTA等等,被不法分子利用之後,遠程的車輛造成一些群體性的影響。另外,手機APP,手機上有藍牙,APP設計或者介面不嚴謹,可能出現批量控制用戶APP,可以隨意開走任何一輛車。另外車聯網在車上暴露大屏、智能駕駛艙等等,這些是數字化東西,數字化的東西多少有軟體的問題會被人利用。1月份德國的小孩才19歲,利用了特斯拉的第三方的軟體的漏洞同時控制不同國家的車輛。數字化是大量的軟體大量的應用,人設計的東西總有一些問題。
主持人:呂總,之前設計的科恩實驗室破解了特斯拉和寶馬,反響很大,為什麼做這樣的實驗?
呂一平:我們不是定義成「黑客」,我們定義為「白帽」,我們希望能改善各類產品和網路的安全性,為之努力的一群專業技術研究團隊。當時為什麼關注特斯拉和寶馬?我們在2016年看到了比較大的趨勢,汽車行業「四化」,對我們來講比較關心是網聯化和智能化,汽車聯網了,汽車的自動駕駛的能力,這和數字化結合程度非常高,當享受數字化福利的時候,肯定會面臨新技術引入帶來的風險。
汽車行業本身對安全非常關注的行業,那個安全叫「safety」,當時汽車行業更多關注safety的部分,對security部分理解不那麼強。Security能對safety造成的影響理解不是很充分,當時我們選了兩個比較有代表性的車企,一是原生數字化,即網聯、智能化、新能源化的特斯拉。另外是傳統的從互聯網非智能化到智能化的標桿,寶馬在全球保有量非常高,我們做了相應的研究。的確發現了網路安全問題,不僅對虛擬世界造成影響,對實際的行駛安全、人身安全,放大一點是公共安全。作為一個負責任的團隊,我們發現問題之後第一時間和特斯拉和寶馬做了相應的溝通,並且在沒有第三方參與情況下,全部將數據暴露給他們,他們修復之後一起聯合對外做發聲的工作,做發聲的工作目的是幫助行業更好地理解,在未來數字化的時代安全有重要的影響,也是讓它回歸到汽車行業對security的關注。
主持人:現階段網路安全技術處於什麼樣的水平?
呂一平:中國網路安全技術能力非常出色,我們可以代表國際領先水平。對汽車行業來講,汽車進入到數字化時代才開始逐步關注網路安全部分,所以起步相對晚一些。但我們看到很明顯的趨勢,即國內的各大OEM都在積極地布局網路安全的專業能力和專業團隊的建設,比如陳寧博士帶領的上汽實驗室,4年前成立起來有專職的安全的人員,也有專項的安全能力的建設,逐步形成了上汽進入比較相對安全網路體系,這是比較好的例子。國內其他OEM廠商也在實踐同樣的工作,專業團隊和專業能力建設在不斷地前進。
主持人:在已經有潛在風險存在的前提下,車企可以做哪些方案防禦外部的攻擊,尤其是來自惡意的攻擊。
陳寧:我現在在上汽帆一尚行,現在的防禦從雲管邊端一層層防下來,傳統雲驅動安全內容全部適用,不管從邊界的應用防火牆、APS到裡面的防護,再到探視感知,我們對車輛相關的服務做保護。通道方面,主要是從雲端到車端的通訊鏈路用加密方法進行加密,確保我們鏈路不會被截斷或者被中間人截取掉。同時對車之間相關傳輸的信息做加密,保證安全性和唯一性。
車上現在dirty端和clean端,前者是指暴露在外面,可以觸手可及的大屏,這些最明顯。在它投產之前不管做技術還是流程,設計方面從風險評估、安全設置、投產運營,對於產品的零件或者整車做一系列的測試研發,然後交付。交付之後有相關的防禦措施,比如網關或者IDPS等等,通過它將車輛相關的模塊或者相關的服務隔開,確保車輛在行使過程中,關鍵通信和關鍵指令不會被人惡意篡改。
主持人:具體什麼情況會用到安全網關,對車企研發來講是否剛需?
陳寧:隨著智能網聯化和電動化之後,網關已經是標准選配,相當於是一道防火牆,阻擋了相關請求。現在很難說硬體和軟體哪一項技術更重要,隨著零件集成度高了之後,對硬體晶元依賴層次更高,晶元越好,表示應用軟體的復雜度或者功能會越好。當然,從網關模塊的必要性來看不排除現在也有把網關做到相當重要的零部件,保證零件模塊之間也有防火牆,這是所謂預控的思路。
主持人:隨著我們對數據合規、安全要求越來越高,對車企來說是否意味著要更多投入?
陳寧:肯定要增加投入,因為國家立法,現在不是講人情,而是講法,肯定要增加投入。
呂一平:對,從我的角度來看,汽車行業是對安全關注度非常高的行業。在過去二三十年裡,車企在功能安全方面和研發的投入和體系建設非常完備,功能安全成為了汽車質量管理體系很重要的關注點。隨著這兩年數字化帶來網路安全風險和挑戰,這方面還是需要加強和加大投入。我個人希望網路安全逐步進入到汽車質量管理體系,成為它的一部分。在網路安全方面的投入更加成為研發投入的必要。
陳寧:這種投入可能並不是額外的投入。
呂一平:沒錯。
陳寧:就像security和safety,security引發了safety的問題,所以這些投入不是憑空多出來的投入,而是為了保證車輛質量投入必要的研發資金,從行業發展來說,這方面的投入必不可少。
主持人:剛剛兩位嘉賓的分享我們也意識到數據安全的重要性,從意識到重要性,到車企打造完善的網路安全體系我們大概要經歷一個什麼樣過程?
陳寧:這個過程很漫長,需要時間積累。對大部分汽車企業來說數字化是相對新的東西,就我前面提到,數字化有很多新的東西,也有很多風險,需要消化。具體到車上,汽車廠特別關注數據安全,但是我覺得數據安全只是大的安全里的一個內容,想做好數據安全要打好很多所謂的低階工作,比如雲上安全、技術架構安全,很多相關的網路安全建設先跟上去,比如雲上的邊界防護、安全的監測、網路安全的漏洞或者網路安全響應的能力,這些都需要時間打磨。技術完全落地,這其實和汽車的有些概念不太完全一樣,因為對汽車來說,比如汽車某一個功能可能做不好的情況下換一個零件,或者買一個方案測試下可以用。但網路安全本身和汽車所謂的功能安全有一點點不一樣,它的邊界相對模糊,沒有絕對的安全,也沒有絕對的攻不破的堡壘,這註定了需要很多時間去打磨和完善。現在汽車行業慢慢向網路安全轉,很多功能要求是為了safety服務,但security也要慢慢理解safety的東西,對於主機廠來說,到底造成了什麼樣的影響,對safety來說是比較抽象的東西,那麼需要具體化,比如影響到車輛駕駛有很多safety,如果影響了數據安全,可能和safety沒有關系,而完全和security掛鉤,所以融合需要時間。同時在技術方面也需要時間去匹配,比如騰訊等互聯網企業、安全企業也需要時間更好地了解車輛技術,車輛技術天生需要注重安全,有些內容可以重合,比如個人隱私方面可以高度重合。
除了技術因素之外很重要的是人的因素,中國現在網路安全的每年高校輸送畢業生大概是十來萬,但去年缺口是非常大,人才缺口越來越大,涉及到汽車網路安全的人才缺口更大。所以我們需要時間找到這樣的人,或者培養這樣的團隊,讓他們適應到環境中,貢獻自己,將更好的技術能力賦能上去。
同時,以前汽車賣出去之後,使命基本上結束了,除非維修或者維保,不再關注車輛本身。但是,電動化和網路化之後,車輛出去進入到一個新階段,稱之為車輛運營階段。因為要關注車輛的自動駕駛的狀態,關注用戶駕駛習慣或者用戶車輛的狀態,這些數據和狀態都需要專業的人,實時地提供所謂的監控或者服務或者異地響應,並不是買了一套工具,如果這么簡單的話找騰訊買一套工具擺在這里就萬事無憂了。但並不是如此,優秀的工具需要優秀的人才或者優秀的團隊使用,成熟的團隊人力因素很重要。
呂一平:剛才陳寧博士提到今天主要議題是如何做好數據安全底座,造堅固的城牆底座沒有做好的話,數據安全基本上是做不好的事情,的確需要周期。國家在出台安全合規性要求越來越快,能給車企應對的時間非常緊張。所以在這個情況下,怎麼樣能快速地將能力建立起來很重要,但目前看到一個挑戰是,對汽車行業來講,在數字化投入部分,在網路安全投入只有2%到3%左右,而對於金融行業經歷了二十年的IT能力建設,目前網路安全投入大概8%到10%。所以,投入加大可以加速能力建設。所以,我們非常建議汽車行業投入,要考慮到時間窗口並不太長,這是一個很大的挑戰和風險。
第二,關於人才能力建設和人才梯隊建設來看,我們看到這點,每年國家能夠通過高校體制培養出來的人才和行業真正需求有很大的差距,而且當出現嚴重失衡的情況下;人才有更大溢價能力,看到信息安全專業水平不斷地上來,這是供求關系失衡造成的問題。所以人才引入和培養是很大的過程,這是長周期的過程,但在市場上我們從外圍觀察,汽車行業傳統的新生代的體系是否可以支撐數字化時代下的需求。這是很大的挑戰,也是車企需要思考的問題,如何快速成為數字化公司,在數字化體系下對人才引入的政策更加靈活,人才薪酬待遇更加靈活,汽車行業在數字化時代所需要的新型人才和新型能力,這和投入相關,這個過程不會那麼快。所以這需要汽車行業思考的重點。
陳寧:逐步發展的速度不能滿足現在國家政策或者國家監管的要求了,因為從2016年「網安法」(《網路安全法》)發布之後,中間兩
⑵ 侵犯公民信息3萬條判多少年
侵犯公民信息3萬條屬於情節嚴重,處三年以下有期徒刑或者拘役,並處或者單處罰金。
依據《中華人民共和國刑法》
第二百五十三條之一 【侵犯公民個人信息罪】違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
依據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》
第五條 非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的「情節嚴重」:
(一)出售或者提供行蹤軌跡信息,被他人用於犯罪的;
(二)知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;
(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的;
(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;
(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;
(六)數量未達到第三項至第五項規定標准,但是按相應比例合計達到有關數量標準的;
(七)違法所得五千元以上的;
(八)將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到第三項至第七項規定標准一半以上的;
(九)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的;
(十)其他情節嚴重的情形。
實施前款規定的行為,具有下列情形之一的,應當認定為刑法第二百五十三條之一第一款規定的「情節特別嚴重」:
(一)造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的;
(二)造成重大經濟損失或者惡劣社會影響的;
(三)數量或者數額達到前款第三項至第八項規定標准十倍以上的;
(四)其他情節特別嚴重的情形。
(2)網路安全法總共多少萬字擴展閱讀
案例:韓世傑、曠源鴻、韓文華等侵犯公民個人信息案
2015年9月3日至4日,被告人韓世傑、曠源鴻、韓文華利用連光輝(湖北省巴東縣農村商業銀行沿渡河支行徵信查詢員)的徵信查詢ID號、密碼及被告人李沖、耿健美(提供的洛陽銀行鄭州東風路支行的銀行專用網路,在該行附近使用電腦非法查詢公民個人銀行徵信信息3萬余條。
2015年9月5日至6日,被告人韓世傑、曠源鴻、韓文華利用連光輝的徵信查詢ID號、密碼及被告人李楠、盧惠生(德州銀行濱州金廷支行行長)提供的德州銀行濱州分行的銀行專用網路,在該行南面的停車場內,使用電腦分兩次非法查詢公民個人銀行徵信信息2萬余條。
2015年9月8日,被告人韓世傑、曠源鴻、韓文華利用李濤(江蘇省淮安市農村商業銀行徐溜支行職工)的銀行徵信查詢ID號及密碼及被告人李楠、盧惠生提供的德州銀行濱州分行專用網路,在該行南面的停車場內,使用電腦非法查詢公民個人銀行徵信信息近3萬條。
被告人韓亮、鄧佳勇獲得徵信查詢ID號、密碼並非法提供給被告人韓世傑等人使用,雙方通過被告人陳莎莎中轉租金、傳遞密碼。被告人韓世傑、曠源鴻、韓文華將查詢獲得的上述公民個人銀行徵信信息出售給他人,向被告人韓亮、李沖、李楠支付了相關費用。
湖北省巴東縣人民法院判決認為:被告人韓世傑、曠源鴻、韓文華、韓亮、鄧佳勇、李楠、陳莎莎、盧惠生、李沖、耿健美違反國家有關規定,非法獲取公民個人信息出售牟利,情節嚴重,其行為已構成侵犯公民個人信息罪。
綜合考慮被告人自首、坦白、積極退贓等情節,以侵犯公民個人信息罪判處被告人韓世傑有期徒刑一年六個月,並處罰金人民幣二萬元;被告人曠源鴻有期徒刑一年三個月,並處罰金人民幣二萬元;被告人韓文華處有期徒刑一年二個月,並處罰金人民幣一萬元。
被告人韓亮有期徒刑一年,並處罰金人民幣一萬元;以及其他各被告人相應有期徒刑、拘役和罰金。該判決已發生法律效力。
⑶ 等級保護必須要做么找誰做
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
企業辦理等級保護的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
等級保護總共分為5級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
⑷ 朋友用我身證開的號去詐騙了40多萬,現在辦民警用網路安全法第61條處罰我一萬元合理嗎,
如果你不知情的情況下,你朋友拿你的身份證去辦銀行卡去詐騙是你朋友的責任,民警要罰款是不合理的,如果你知道這事不知道是騙人的也有責任的,所以不能隨便拿身份證去借別人開銀行卡的
⑸ 新修訂未成年人保護法有何亮點
新修訂未成年人保護法的亮點包括細化兒童的第一責任人即監護人的職責;嚴格密切接觸未成年人的相關行業人員的准入制度;築牢網路安全的「防火牆」;多方努力,共築未成年人保護的堅實屏障。
亮點一:細化兒童的第一責任人即監護人的職責
家庭保護對未成年人的健康成長至關重要,新修訂的未成年人保護法明確列舉了未成年人的父母或者其他監護人應該履行的監護職責和不得實施的行為。列舉了10項具體的監護制度。比如說父母要對孩子的安全、生活進行照顧,不僅要關注他的生理、心理健康,還要對他的財產進行管理。同時,還列舉了11項不得從事的行為,比如不能虐待,不能傷害,不得利用孩子進行違法犯罪行為等。
「特別是加強了對留守兒童群體的權利保護。」湖南激揚律師事務所律師何花指出,修訂後的未成年人保護法對不斷加大的留守兒童群體,作出了系列規定,完善了委託照護制度,明確父母沒有正當理由,不能隨便把孩子委託別人照顧,同時也規定了哪些人不能委託,委託時應該特別注意的問題以及如何對委託照護進行有效監督等。
亮點二:嚴格密切接觸未成年人的相關行業人員的准入制度
新修訂的未成年人保護法規定:國家建立性侵害、虐待、拐賣、暴力傷害等違法犯罪人員信息查詢系統,向密切接觸未成年人的單位提供免費查詢服務。密切接觸未成年人的單位招聘工作人員時,應當向公安機關、人民檢察院查詢應聘者是否具有性侵害、虐待、拐賣、暴力傷害等違法犯罪記錄;發現其具有前述行為記錄的,不得錄用。
密切接觸未成年人的單位應當每年定期對工作人員是否具有上述違法犯罪記錄進行查詢。通過查詢或者其他方式發現其工作人員具有上述行為的,應當及時解聘。強制要求密切接觸未成年人的所有單位招聘的時候,要到信息系統查詢,保證有過性侵害、虐待、拐賣、暴力傷害等違法犯罪的人員不出現在密切接觸未成年人的單位里。
亮點三:築牢網路安全的「防火牆」
「此次修訂,最大的變化之一是增加了『網路保護』專章。」何花介紹,隨著互聯網尤其是移動互聯網的普及,未成年人已經成為重要的使用群體,未成年人的思維觀念、行為方式和價值取向等受網路影響日益加深。
但互聯網內容良莠不齊,青少年的身心健康容易受到侵害。雖然已經有民法典、網路安全法等法律法規,但作為未成年人保護的專門法律,設置「網路保護」專章,有著更加特殊的意義。
「網路保護」一章,對各項要求進行了細化,如網路游戲服務提供者不得在每日二十二時至次日八時向未成年人提供網路游戲服務。網路直播服務提供者不得為未滿十六周歲的未成年人提供網路直播發布者賬號注冊服務;為年滿十六周歲的未成年人提供網路直播發布者賬號注冊服務時,應當對其身份信息進行認證,並徵得其父母或者其他監護人同意。
在應對網路欺凌方面,規定遭受網路欺凌的未成年人及其父母或者其他監護人有權通知網路服務提供者採取刪除、屏蔽、斷開鏈接等措施。網路服務提供者接到通知後,應當及時採取必要的措施制止網路欺凌行為,防止信息擴散。
亮點四:多方努力,共築未成年人保護的堅實屏障
「對未成年人的網路保護,不單是某一方的責任,也不是某一方能夠獨立完成的。過去,遇到網路上發生的侵害未成年人的事件時,總是出現各方無從著手的問題。各方都可以管,最後可能都管不全,解決不了根本問題。」何花說。
新修訂的未成年人保護法明確了國家、企業、社會、學校和家庭等各方主體在網路保護中的責任,誰也不能逃避,各負其責,齊抓共管。同時,各負其責並不是相互孤立,而是相伴相生、彼此關聯,整體性地構建未成年人網路保護體系。
此次修改增加的字數大約有1萬字,規定了很多具體、明確的制度。結構上,原來的未成年人保護法是四大保護,也就是家庭保護、學校保護、社會保護和司法保護,新增加了政府保護和網路保護兩章。
同時,進一步強化了法律責任,規定了各種責任追究方式,包括對親生父母的責任追究。比如增加了公安機關可以要求父母去接受家庭教育。同時,學校以及密切接觸未成年人的其他單位相關人員,一旦違反未成年人保護法相關規定,將受到相應的處罰。
新修訂未成年人保護法要求平台限制未成年人上網消費
《中華人民共和國未成年人保護法》修訂案經十三屆全國人大常委會第22次會議表決通過,將於今年6月1日正式施行。
新修訂的未成年人保護法增設了網路保護專章,從立法角度為未成年人提供網路保護。其中提到,網路游戲、網路直播、網路音視頻、網路社交等網路服務提供者應當針對未成年人使用其服務設置相應的時間管理許可權管理、消費管理等功能。
⑹ 全國約有多少款App涉信息安全問題
全國約有300萬款App涉信息安全問題。
近日,雲南省互聯網信息辦公室聯合省公安廳、省通信管理局、省市場監管局和雲南互聯網應急中心共同發布了《雲南省2020年移動互聯網應用程序個人信息安全狀況》。據統計分析,截止去年,全國約有345萬款App,涉及雲南省的App約有1.8萬款。超過九成的App存在安全問題,可能導致個人信息被違法違規收集、使用,造成個人合法權益受侵害。
隨著互聯網的運用越發廣泛,我們生活的方方面面基本都被互聯了起來。但享受了互聯生活所帶來的便利的同時,生活中的每一個細節卻也被互聯網記錄了下來。互聯網服務商、電信運營商、銀行、中介機構、房地產開發商、保險公司、快遞公司、外賣機構、淘寶賣家等各種組織機構或企業、個人都在長期的經營中,逐漸形成並積累各自的用戶信息資料庫。
比如就個人經歷來說,去年年初通過閑魚APP找了房源,再通過中介機構租了房子,整整一年多期間,一直三五不時地就收到各個中介電話、簡訊、微信等渠道給你推薦樓盤信息,問有沒有購房需求。
而從現實情況來看,購房、購車、酒店住宿、機票、信用卡辦理、行動電話號碼辦理等等領域的個人信息很容易被買賣和泄露。泛濫成災的廣告推送、營銷簡訊等,帶來的危害遠不止是讓人心煩,個人隱私信息遭濫用的風險才是更加值得我們警惕的。
(6)網路安全法總共多少萬字擴展閱讀:
在網路時代,保護個人信息安全的舉措
首先需要國家的立法支持,完善個人隱私數據泄露的懲罰和賠償機制。2020年3月6日,2020版《個人信息保護規范》(GB/T 35273-2020)完成修訂並正式發布。
2020年5月28日,十三屆全國人大三次會議表決通過的《中華人民共和國民法典》人格權編,加大了對公民隱私權的保護力度,構築了個人信息保護的防火牆。
目前,《個人信息保護法》草案已提請全國人大常委會審議,這一法律的頒布實施,將對個人信息安全保護發揮重要的作用。
其次,企業單位等部門的管理策略中也應該提示對數據保護能力方面的重視,應積極採取對策,而不應對用戶「吃啞巴虧」的情況坐視不理;建立完備的內控和深層防護機制,減少數據泄露風險,確保數據安全;
嚴格遵守《網路安全法》和個人信息保護有關法律法規,履行應盡責任和義務,認真落實國家相關法律法規;監管機構還應拿出應有的擔當,果斷處置違規企業,使其付出代價,體會到「切膚之痛」,從而更完善地守護網民的個人信息安全。
⑺ 如何看待圓通內鬼致 40 萬條公民個人信息被泄露
圓通內鬼致40萬條公民個人信息被泄露。從這件事上不僅反映出圓通員工素質道德的缺失,也反映出圓通的管理鬆散。監管部門應該加大整頓打擊力度。同時也反映出不僅圓通有這類事件,公民的信息泄露的很嚴重,各類app軟體,都要讀取保留公民的信息,不同意就不能使用該軟體,這種事情應該想辦法解決避免
⑻ 網路電信詐騙25萬要報警嗎
根據查詢相關資料顯示:要。根據《中華人民共和國網路安全法》規定,被欺騙超過3000元以上的就可以立案,更何況被網路電信詐騙25萬,應立即報警向當地派出所說明情況,進行立案。
⑼ 中華人民共和國網路安全法 全文多少章
《中華人民共和國網路安全法》全文有七章:
第一章 總 則
第二章 網路安全支持與促進
第三章 網路運行安全
第一節 一般規定
第二節 關鍵信息基礎設施的運行安全
第四章 網路信息安全
第五章 監測預警與應急處置
第六章 法律責任
第七章 附 則