盘点个人信息保护重大发展事件！

3月22日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》。《规定》明确移动互联网应用程序（APP）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用APP基本功能服务。《规定》明确了39种常见类型APP的必要个人信息范围，将自今年5月1日起施行。

经过专家梳理我们会发现，新中国成立以来我们的个人信息保护观念有四个发展阶段——第一个阶段是很传统的隐私观念；第二个阶段是民法上的隐私观念；第三个阶段是公法上的个人信息保护观念；第四个阶段是大数据时代的个人数据观念。

2017年6月1日，《网络安全法》正式实施，对个人信息保护提出了总体要求。随后发布的《信息安全技术 个人信息安全技术规范》（GB/T 35273-2017），则第一次从国家标准层面为企业和机构落实个人信息保护提供了标准和依据。

2018年和2019年可以说是个人信息保护的“攻坚之年”。《个人信息保护法》、《数据安全法》也纳入立法规划，国家加强了对个人信息保护的联合查处力度，尤其在金融、电信、互联网、大数据等与个人信息密切相关的行业，相关规范和技术标准陆续出台，对侵犯个人信息的打击和整治力度不断加大，个人信息保护正逐步成为网络空间安全建设、网络生态文明建设的战略要地。

• 四部门联合开展APP违法违规收集使用个人信息专项治理

2019年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。此次专项治理重点开展了以下工作：一是组织相关专业机构，对用户数量大、与民众生活密切相关的APP隐私政策和个人信息收集使用情况进行评估。二是加强对违法违规收集使用个人信息行为的监管和处罚，包括责令有关APP运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。三是公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作，依法严厉打击涉及个人信息的违法犯罪行为。四是开展自愿性APP个人信息安全认证，鼓励搜索引擎、应用商店等进行明确标识，并优先推荐通过认证的APP。

• 人脸识别公司被曝百万数据泄露

2019年2月，国内某人脸识别公司发生了大规模的数据泄露，预估泄露人脸数据达250万，近700万条包含个人姓名、身份证号码、性别、家庭住址和照片等重要个人信息遭泄露。据悉，此公司利用深度学习和人工智能等技术在监控视频中分析，用于人脸识别和人物画像分析。由于生物特征的唯一性，如人脸、虹膜、指纹等特征信息一旦泄露，后果非常严重。

中国人民银行作为监管部门之一，对于新技术在金融领域的应用高度敏感，已于2018年10月出台了《移动金融基于声纹识别的安全应用技术规范》，并正在加快制定人脸识别、活体检测、个人信息保护等相关标准。然而，生物识别技术的应用与监管已远超金融范畴，亟待加强顶层设计，完善相关法律法规，形成以《网络安全法》和正在制定出台过程中的《个人信息保护法》、《数据安全法》为“骨架”，以诸多细则条款和相关标准为“血肉”的多维度、立体式监管体系，防止系统性风险发生。

• 《个人信息保护法》列入人大立法规划

2019年3月4日，十三届全国人大二次会议将《个人信息保护法》列入本届立法规划，相关部门正在抓紧研究和起草，争取早日出台。《个人信息保护法》将上承《网络安全法》中个人信息保护相关要求，下接《信息安全技术 个人信息安全技术规范》（GB/T 35273-2017）等技术标准，横向打通《中华人民共和国民法总则》、《刑法修正案（九）》、《全国人大常委会关于加强网络信息保护的决定》、《网络安全等级保护条例》等法律法规，制定一部超脱民法、刑法、行政法的，独立的个人信息保护法律，才能为个人信息保护提供全面针对性的法律支撑。

• 市场监管总局中央网信办公告开展APP安全认证工作

2019年3月15日，从国家市场管理总局发布的公告获悉，国家市场监管总局与中央网信办联合启动APP安全认证工作，旨在规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。随后由中国网络安全审查技术与认证中心（CCRC）等单位编制的《移动互联网应用程序（APP）安全认证实施规则》出台，此标准是为落实中央网信办、工信部、公安部、市场监管总局《关于开展App违法违规收集使用个人信息专项治理的公告》相关认证要求而建立的。

• 三部门联合发布《互联网个人信息安全保护指南》

2019年4月，公安部网络安全保卫局、北京网络行业协会、公安部第三研究所等单位共同研究制定的《互联网个人信息安全保护指南》正式发布，旨在全面贯彻落实《网络安全法》，有效指导个人信息持有者健全公民个人信息安全，明确了适用范围，包含通过互联网提供服务的企业，以及使用专网或非联网环境控制和处理个人信息的组织或个人。

• 百款常用APP申请收集使用个人信息权限情况公布

2019年5月，网信办公布了《百款常用APP申请收集使用个人信息权限情况》报告，涉及大量常用APP的权限索要情况。报告调查了包括存储、个人位置、短信、麦克风、相机等多达20余种权限的索要情况，同时，对于部分APP存在的“用户不同意开启，则APP无法安装或运行的权限数”也做了记录，基本能让用户全面了解这百款常用APP是否存在权限滥用的风险。

• 工信部开展提升网络数据安全保护能力专项行动

2019年7月，工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》，开展为期一年的行业提升网络数据安全保护能力专项行动，全面提升行业网络数据安全和个人信息隐私安全保护能力，加快推动构建行业网络数据安全综合保障体系，为建设网络强国、助力数字经济发展提供有力保障和重要支撑。

方案提出，2019年10月底前，完成全部基础电信企业、50家重点互联网企业以及200款主流APP数据安全检查；2020年7月底前，进一步完善网络数据安全制度标准体系，形成行业网络数据保护目录，制定15项以上行业网络数据安全标准规范，贯标试点企业不少于20家等要求。

• 国家网信办发布《儿童个人信息网络保护规定》

2019年8月，国家互联网信息办公室发布了《儿童个人信息网络保护规定》，明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息，网络运营者收集、使用、转移、披露儿童个人信息的，应征得儿童监护人的同意。督促网络运营者做好儿童个人信息安全保护的相关工作和全社会信息制度的建设，为儿童健康成长营造安全的网络环境。

• 《个人金融信息保护试行办法》征求意见

2019年10月，《个人金融信息（数据）保护试行办法》（初稿）出炉，央行已下发到各家银行征求意见。该办法规定：“（金融机构）不得从非法从事个人征信业务活动的第三方获取个人金融信息”。《办法》颁布实施后，银行将对提供数据服务的第三方机构进行审核，对于不能保证数据来源合法的供应商要停止合作。

数据已成为当前企业乃至国家重要的战略资源，个人信息作为个人的数据资产受到了越来越广泛的关注。App企业跑马圈地野蛮生长，强制授权、过度索权、超范围收集个人信息、未制定并公开隐私政策等乱象丛生，使个人信息保护难上加难。自2019年四部门联合成立App专项治理工作组以来，相关部门连续出台了多个法律法规并陆续开展了专项治理行动，完善个人信息保护监督管理机制，打击违法违规收集使用个人信息行为，引导相关企业和公共服务机构强化保护措施，保障公民合法权益。

• 《App违法违规收集使用个人信息行为认定方法》发布

2019年12月底，根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引，落实《网络安全法》等法律法规，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。

• 金融行业标准《个人金融信息保护技术规范》正式发布

2020年2月，中国人民银行发布了金融行业标准《个人金融信息保护技术规范》，从安全技术和安全管理两个方面规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全防护要求。

• 新版《个人信息安全规范》正式发布

2020年3月，GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布，并将于2020年10月1日实施。规范对个人信息收集、储存、使用做出了明确规定，并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。

• 公安部依法查处违法违规收集公民个人信息App服务单位

2020第一季度，全国公安机关网安部门充分发挥职能作用，加大公民个人信息保护力度，依法查处违法违规收集公民个人信息App服务单位386个，涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中，97个App被予以行政处罚，192个App被依法责令改正违法行为，51个App被下架、停运，有效保护了公民个人信息。

• 国家计算机病毒应急处理中心监测发现20余款违规移动应用

2020年4月，国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现，20余款外卖、医疗和在线教育类移动应用存在涉嫌隐私不合规行为。这些移动应用的违法违规行为主要有三大方面：一是未向用户明示申请的全部隐私权限。二是未说明收集使用个人信息规则。三是未提供有效的更正、删除个人信息及注销用户账号功能。

• 移动金融App逐步规范，App备案进行时

2020年5月，开始正式公布首批拟备案移动金融客户端应用软件名单，目前已经公布了三批，127款应用入围备案名单。为保障个人金融信息安全、提升金融APP安全防护能力，央行于2019年9月发布了《移动金融客户端应用软件安全管理规范》，要求金融机构按照《规范》对APP进行整改，并向中国互联网金融协会进行备案。

• 《App违法违规收集使用个人信息专项治理报告(2019)》发布

2020年5月，App专项治理工作组发布《App违法违规收集使用个人信息专项治理报告(2019)》(以下简称《报告》)，2019年3月起，评估发现违法违规收集使用个人信息问题共计6976个，向256款App的运营者通报问题，督促其完成1267个重点问题的整改工作，建议有关监管部门下架未落实整改要求App共11款。

6月19日，人民网·人民数据(国家大数据灾备中心)联合中国经济体制改革研究会互联网与新经济专业委员会发布了《大数据应用和权益保护研究报告》，提出了大数据风控和权益保护12原则，即：合法原则、最小范围原则、授权原则、必要原则、明示原则、比例原则、封存销毁原则、可追溯原则、被遗忘原则、保护开发者原则、出境合规原则、整体性安全原则。

• 工信部针对频繁自启动问题约谈多家App企业

2020年6月，据央视新闻报道，有网友反映自己手机上安装的App很多存在频繁自启动、访问、读取手机信息的现象。针对媒体曝光手机App侵害用户权益的问题，工信部组织第三方检测机构对手机应用软件进行检查，并对发现存在问题的企业进行了集中约谈。要求相关企业于6月17日前完成整改。

• 工信部通报两批侵害用户权益行为App

2020年7月初，依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部组织第三方检测机构对手机应用软件进行检查，对发现存在问题的企业进行督促整改。

11月19日，“人民启信”正式上线暨人民数据金融数据中心成立新闻发布会在人民日报社新媒体大厦19层人民网一号演播厅正式举行。人民数据金融数据中心将发挥金融大数据的集聚和增值作用，促进普惠金融发展、防范化解金融风险、推动并构建金融业数据融合应用的新格局。

来源：人民数据