美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习-资源

本文目录一览：

1、为什么近几年的人容易掉进“网恋骗局”？
2、为什么考博士的时候不能用苹果手机
3、互联网企业如何制定APP隐私政策？
4、库克任职CEO的第十一年，隐私保护者苹果「叛变」了
5、数据安全有哪些案例？
6、在利用大数据技术进行营销时哪些数据属于用户的隐私信息

为什么近几年的人容易掉进“网恋骗局”？

我们常常会在热榜和头条上看到这样的新闻：一女/男子陷网恋杀猪盘陷阱被骗xx万。

很多人会觉得因为网恋被骗钱是件很离谱的事情，明明你连对方人都没见过，认识也没几天，怎么就能心甘情愿给对方转账呢？

今天，我就为大家分析一下为什么网恋杀猪盘陷阱总有人陷进去，以及它运用了哪些爱情心理学知识和情感套路。

相信很多人都不太了解这种诈骗模式，我们就先来看看什么是杀猪盘陷阱。

简单来说，杀猪盘是一种通过网络疯狂敛财的“迷魂式”的爱情骗局，网络和迷魂式爱情是其主要手段，敛财是其最终目的。

杀猪盘中的“猪”通常指感情经验少、社会阅历浅、钱多，内心孤独、寂寞、缺爱的人群，“杀猪”则是指诈骗方先摸清目标人群的情况，再通过技巧和套路让目标人群爱上并信任他，最后实现敛财骗钱的操作。

而且，杀猪盘诈骗方大多是一个团队，有专人负责各个模块，无孔不入地侵袭目标人群的私生活，以达到敛财的目的。

现在我们知道了什么是“杀猪盘”，下面我就从杀猪盘一般会有的三个步骤来分析一下它是如何利用心理学骗人的：

1. 「找猪」

诈骗方的目标往往是那些钱多、感情经历少、渴望爱情、内心孤独的人。

他们通常会通过社交网络、大数据或者朋友圈来锁定目标人群，并摸清目标人群的性格特征和个人条件，比如缺爱、孤独、内向、自卑，在现实世界里被排挤、把感情寄托在网络世界等特征，然后针对性地给目标人群下套。

这一步主要是由诈骗方的「资料组」来负责的，他们通常有庞大的数据库和信息源，其对个人信息的掌控程度是我们难以想象的。

2. 「养猪」

这一步主要是为了培养感情，建立信任，由诈骗方的「话术组」来负责，他们深谙各种情感套路，摸清了男人女人的情感心理。

他们会打造出目标人士喜欢的优质人设来靠近目标人士，比如名牌大学毕业、有留学经历、资深建筑师、高薪程序员、文艺青年、有钱富二代等等。他们会给目标人士创造一种自己“多金、帅气、优秀上进，还懂得疼人、关心人”的印象，以此来获取目标人士的信任。

可以说，这些骗子都是“情感大师”，深谙目标人士的情感需求，知道怎样让目标人士爱上他们，并主动走入他们编织的迷魂式爱情陷阱里。

3. 「杀猪」

当获取了目标人士的信任，诈骗方的下一步就是利用感情来骗钱了，这时「洗钱组」正式上场了，他们会通过各种听起来合情合理并让人心动的套路来让目标人士掏钱。

比如，他会说自己公司资金周转困难，急需用钱，借此让你入股，一起和他运营公司；或者是他家里发生变故，需要用钱，所以暂时会比较忙，不能陪你了，暗示你借钱给他渡过难关；又或是他被父母逼着去相亲，不去就停掉卡，向你寻求帮助，鼓动你给他钱等等。

这些理由会激起你对他的心疼、不舍和你自身的欲望，你会为了想帮助他、继续和他在一起或者证明自己对他的爱而忍不住转钱给他。

就是在这样一次又一次合情合理的套路中，你被他骗了一次又一次，直到发现端倪停止转钱，而这时诈骗方可能早已逃之夭夭。

以上三个步骤，就是杀猪盘常见的套路，在这种骗局里，最恐怖的点在于“爱情迷魂计”。它会利用人的情感心理，比如习惯性依赖、缺乏安全感、恋爱脑、孤独、渴望被爱等等特质，为目标人群塑造出一个完美的伴侣，让他们产生自己遇到了人生真爱的感觉，然后引导他们付出，一步步把钱骗到手。

因此，预防网恋杀猪盘陷阱的重点就在于保持清醒的头脑，不轻信网上的人设，识别引导性行为，不轻易把钱转出去，在必要时候选择报警也是一个明智的选择。

总之，网恋有风险，聊天需谨慎，时刻警惕，时刻握好自己的钱袋。

爱情是美好的，希望我们所有人不在爱情里上当受骗。

为什么考博士的时候不能用苹果手机

清华博士方兴东：公职人员应禁用iPhone

近几年美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习，围绕苹果iPhone安全问题美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习的争议从来没平息过，但也从未给苹果酿成大麻烦。这次事件从行业规范和法律角度，都存在严重问题。苹果是不是依旧能轻描淡写，还得拭目以待。

智能手机安全问题远比美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习我们过去长期关注的传统个人电脑更严重。iPhone和iPad等移动智能设备所涉及的信息量不但比个人电脑更全面、丰富，而且由于具备动态性、实时性和全息性，而更有多层次的价值。比如，通过窃听工具“Dropout Jeep”，用户隐私和数据毫不设防，美国国家安全局可以获取短信、通话、通讯录、语音邮件、手机位置信息、手机录音等几乎所有形式的内容。

当然，由于普通用户对隐私问题的警惕性不高，加上很多潜在的隐私问题用户一般也难以察觉。苹果可获取用户隐私的消息恐怕很难引发民众大量关注。但是，对于已经将网络安全提升到国家战略高度的中国来说，无论在用户的隐私保护上，还是国家信息安全保护上。iPhone的安全问题都不能再像过去那样 “民不告官不究”。

政府不能再坐视不管，应该让苹果给予最充分的说明和解释，并且让有公信力的第三方评估严重程度，找到妥善的解决办法。政府重视才能根本改变苹果轻描淡写的回避政策，真正为“沉默的大多数”用户的利益着想。

可以要求党政军以及重要关键基础设施的人员，禁止使用苹果。因为苹果手机是硬件、软件和云服务等完全一体化的封闭系统，外部企业和安全厂商无法插手，对于潜在的安全问题只有苹果单方面的说辞，很难进行公开透明的有效评估和改进完善。其次，公职人员换用国产手机，而国产手机目前基本使用谷歌的安卓系统。安卓相对开放，提供大量源代码，所以可以通过实施二次开发、安全“加固”等措施，一定程度上提升安全性。

最终，推进中国自主可控的国产手机操作系统，才是长治久安的对策。这方面政府一定要制定战略，出台大力度的支持政策。但是，必须吸取过去10多年国产操作系统的惨痛教训，避免重蹈覆辙。必须市场化运行，通过创新的模式，让有战略高度，有产业理想，也具有互联网基因的国内公司，脱颖而出。

苹果公司兵强马壮

苹果在中国不仅仅关系到中美两国的贸易与政治，而且关系到一个错综复杂的巨大利益场，任何针对苹果政策的风吹草动，都将引发多方面的效应。但是，在如此重大的安全隐患面前，考验的将是整个国家对网络安全的重视程度和战略决心!(作者是互联网实验室创始人，浙

美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习

互联网企业如何制定APP隐私政策？

前言

近年来，伴随着移动互联网技术的蓬勃兴起，APP市场获得了前所未有的发展，APP用户群体亦日趋庞大。然而，与此同时，APP违规获取、利用个人信息从而侵犯个人隐私的乱象频出。2019年伊始，国家多部委重拳出击，着重整治该乱象，几十款APP遭到强制下架、上百款APP被点名整改，业内称APP收集个人信息迎来了强监管元年。作为一种文本形式的“契约桥梁”，隐私政策是目前平台与用户达成个人信息处理共识最普遍、最有效的方法。为进一步提升业务的合规能力，实现持续合规的目标，互联网企业应充分认识到制定一份合格的隐私政策的重要性。本文将聚焦于APP隐私政策的合规要点，对互联网企业全方位提升合规管理体系贡献绵薄之力。

一、APP隐私政策是什么？

隐私政策通常是指网站、应用程序等依据隐私权政策制定的对用户信息处理的政策，是企业与用户之间关于如何处理和保护用户个人信息的基本的权利义务的文件，用以告知用户个人信息如何被搜集、使用、与第三方共享的情况。它不是仅对企业的束缚，也是企业提示用户自主、自愿、合理提供和处分个人信息，并区分与用户责任的依据。用户开始使用产品与/或服务前需仔细阅读，并确认已经充分理解相关隐私政策所写明的内容并且同意后才能使用产品/服务。

目前，国际上对个人隐私信息保护的主要立法包括欧盟的《通用数据保护条例》（简称 GDPR）和美国加州议会通过的《消费者隐私法案》。我国业界尚未有统一的隐私政策合规性评价体系，而是通过《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》（GB /T35273—2020）、《儿童个人信息网络保护规定》等一系列法律法规构建合规性评价体系，其中《信息安全技术个人信息安全规范》明确了对个人信息控制者在信息收集、保存、使用、共享、转让和披露等方面行为的规范，同时也提供了隐私政策书写模板，为移动社交 APP 完善隐私保护政策提供依据。

二、常见的不合规情形

根据《APP违法违规收集使用个人信息行为认定方法》（以下简称“认定方法”）《APP违法违规收集使用个人信息自评估指南》（以下简称“指南”）及工信部系列行政处罚公告（如《关于侵害用户权益行为的APP通报》），结合实务中突出存在的违规情形，本文列举了如下常见的APP隐私政策条款不合规情形：

（1）隐私政策未完整列举其收集、使用的用户信息或运营者超出隐私政策所列范围收集、使用用户信息；

（2）隐私政策中未能详细列明第三方SDK收集使用个人信息的目的、方式、范围，或未在隐私政策中插入第三方SDK目录；

（3）隐私政策中未提供用户投诉、申诉、反馈渠道（一般投诉渠道有：电子邮件、电话、在线客服等方式）；

（4）隐私政策中未提供有效的更正、删除个人信息及注销用户账号功能，或为以上操作设置不必要或不合理条件，或未能及时响应以上操作；

（5）未对14岁以下儿童制定专门的儿童个人信息保护政策；

（6）将平台的利益放在首位，忽视用户权利；

（7）数据存储时限不明确，无视用户享有的被遗忘权。

三、互联网企业制定APP隐私政策注意事项

制定单独的隐私政策并以适当方式明示

首先，互联网企业应当制定单独的隐私政策。由上述可知，隐私协议是告知用户网站或者移动端软件如何收集和使用用户信息和数据的文档。而用户使用协议相当于是网站和用户之间的合同，比如知识产权归属，账号禁封权利等等。这两者是不可混为一谈的。2021年11月1日，《个人信息保护法》（以下简称“个保法”）生效。围绕个保法的规范要旨，平台方需依据其作出及时恰当的回应，包括重视与用户沟通、凸显隐私政策的存在感等，首要任务就是保持隐私政策的独立性，即设置单独的隐私政策。对于隐私政策独立性的要求，一方面是基于隐私政策的重要性提出，近年来，随着互联网发展，个人信息保护地位提升，围绕个人信息展开的隐私政策逐渐后来居上，形成了与用户协议分庭抗礼的局面。为此，对于隐私政策的独立性和易读性的要求逐步登上合规舞台；另一方面是出于合同规范性的考量。隐私政策和用户协议的本质都是平台与用户签订的协议，而当隐私政策条款隐藏在用户协议之中时，平台很难向用户充分强调个人信息保护条款的重要性，并且，隐私政策涉及的款项众多，适用规则也不同于用户协议，双方权利义务亦不相同。因此，隐私政策应当具有独立性，作为完整独立的合同出现。

其次，隐私政策应当以适当方式明示。根据《民法典》第1035条的规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”

注重隐私政策条款的完备性

明确个人信息采集与利用规则

根据《指南》规定，互联网企业在收集、使用个人信息时，首先应当获得用户的同意。具体来说要求APP运营者对用户作出隐私安全保障承诺，并且明确告知用户个人信息采集的种类、采集的目的以及采集与利用原则，采集与利用应当遵循合法、正当和必要原则。因此互联网企业拟定隐私权政策、用户协议时应当对上述内容进行明确。其次，个人信息使用和收集的基本合法性基础是个人同意机制，即对于用户个人信息的收集和使用需要经用户同意；应当明确告知用户收集、使用信息的目的、方式和范围；不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息；用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。例如，腾讯隐私政策在提到“我们可能收集的信息时”进行了进一步分类之后再具体规定，共分为三类：您提供的信息、其他方分享的您的信息、我们获取的您的信息（包括日志信息和位置信息）。

明确个人信息共享、转让相关内容

“将平台的利益放在首位，忽视用户权利”这一问题在信息的共享、转让、披露环节表现得尤为明显。尽管原则上消费者的个人数据不得共享、披露与转移，但在现实生活中，数据背后巨大的经济效益使得运营商难以抵制二次使用的诱惑。APP 运营商们往往将用户数据与第三方共享，第三方通过算法进行特征与偏好分析，形成间接人群画像，精准推送商业广告。大多数运营商强调的是，与关联方和合作伙伴共享消费者数据的权利；在企业合并、分立、清算时，转移消费者资料的权利；在数据主体同意，或维护公共利益或他人的合法利益的情况下，依法披露相关数据的权利。也就是说，经营者过分强调自己的权利，忽视应承担相应的义务和责任。对此，笔者建议互联网企业在有必要共享和传输用户信息时，应告知消费者信息共享的目的、涉及的个人信息的范围、接收方的类型以及安全与法律责任。

个人信息对外分享的情形主要包括用户向第三方进行信息分享、个人信息的跨境流通、个人信息分享的其他情况。其中第三方平台分享是网络平台服务中最常遇到的情况之一，是指用户从原平台跳转到其他平台并在该平台上分享相关信息的行为，通常情况下，平台跳转的同时会由第三方（也就是用户将要跳转到的平台）收集用户的部分基本个人信息或用户信息（包括但不限于个人昵称、个人头像等项目）。针对此类问题的方案可以参照前文“个人信息的收集及使用”的内容进行制定。与此同时，也需要在“信息分享”一章中明确列举此类信息分享的形式，提示并告知网络服务用户由此可能造成的风险及后果。根据《指南》的规定，APP如存在对个人信息共享和转让行为的，应当满足如下条件：第一、转让前告知个人信息主体共享、转让该信息的目的、数据接收方的类型等信息并征得个人信息主体的授权同意；第二、共享、转让过程中应采取措施保证过程的安全性；第三、应当记录共享、转让信息内容，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；最后、在共享、转让后应当了解接收方对个人信息的保存、使用情况和个人信息主体的权利，如访问、更正、删除、注销等。因此，互联网企业在拟定APP隐私权政策、用户协议等时，如确涉及到对采集的用户个人信息共享、转让行为的，应在相关协议中对上述内容予以明确。

明确对个人信息的处理制度

《指南》中对个人信息的处理包括了应用、删除以及第三方委托处理三部分。就个人信息的应用而言，APP运营者对个人信息的应用应当满足用户注册协议、隐私权政策的规定，不能超出与用户签署的信息使用协议的范围。

就个人信息的删除方面来说，应当满足四个要求：第一，个人信息相关存储设备应当在个人信息超过保存时限之后进行删除；第二，个人信息相关存储设备应当满足将存储的个人信息数据进行删除之后防止通过技术手段进行恢复的要求；第三，对存储过个人信息的设备在进行新信息的存储时，应将之前的内容全部进行删除；第四，废弃存储设备，应在进行删除后再进行处理。

最后就第三方委托处理方面来说，在委托第三方进行处理前，应当对受托方的安全能力进行评估，同时与委托方签订相关协议要求委托方符合《指引》的相关要求，最后，对个人信息委托处理时，不应超出该信息主体授权同意的范围，并且受托方对个人信息的相关数据处理完毕后，应当对存储的数据内容进行删除。因此互联网企业拟定用户协议、隐私权政策时对个人信息的处理相关条款应当按照《指引》的要求进行完善。

明确对未成年人的信息保护制度

随着《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》和《互联网企业个人信息保护测评标准》等相关规定的出台，明确对未成年人的信息保护制度对互联网企业来说责无旁贷。根据《儿童个人信息网络保护规定》《网络音视频信息服务管理规定》和《互联网企业个人信息保护测评标准》等相关规定，互联网企业应当建立未成年人保护制度，应规定未成年人个人信息处理的特殊措施，在未征得监护人明示同意时不得处理未成年人的个人信息。同时，互联网企业应当设置专门的未成年人个人信息保护规则和用户协议，并指定专人负责未成年人个人信息保护。同时，伴随着个人信息强监管的逐步落地，为长远计，互联网企业应当制定独立的《儿童个人信息保护政策》，区分14岁以下和14岁以上未成年人适用的内容。

隐私政策的内容应满足合理性要求

所谓的合理性是指APP运营商设置隐私政策条款时，不应设置不公平条款，例如规定免除己方责任，加重对方义务的条款。一旦隐私政策的条款内容过于强势极有可能陷入霸王条款，而面临隐私政策内容无效的局面。根据《民法典》规定，格式条款是指当事人为了重复使用而预先拟定、并在订立合同时未与对方协商的条款。可以说目前几乎所有的隐私政策都属于格式条款。《民法典》第四百九十七条规定了格式条款的无效情形：“（一）具有本法第一编第六章第三节和本法第五百零六条规定的无效情形；（二）提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利；（三）提供格式条款一方排除对方主要权利。”相关APP运营企业应当做好用户协议内容效力审查工作，避免出现因违反上述规定导致协议条款法定无效的情况。

全面适用“告知-同意”规则

2013年工信部颁布的《电信和互联网用户个人信息保护规定》首次明确了未经用户同意不得收集、使用其个人信息的原则。其后，2017年《网络安全法》进一步规定网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。由此确立了我国个人信息收集使用的一项基本原则：告知-同意原则。网络运营者可收集的用户个人信息被限定在与其提供的服务相关的范围之内，且在收集和使用信息的过程中需遵守法律、行政法规的同时，也应当遵守与用户的约定。出台不久的个保法中依然坚持了以“告知-同意”为核心的个人信息的处理规则。在此前提之下，APP运营者须对其收集、使用的信息之目的、方式及范围进行公开，并获取被收集者的同意。

结语

在隐私裸奔的大数据时代，隐私政策作为现代公司治理体系的重要组成部分，必然对数字经济的发展产生重要影响。随着消费者对数据隐私保护的需求增加，那些拥有完整隐私政策的运营商在市场上的竞争力也将不断增强。而隐私政策不完善的运营商势必会损耗用户的信任，对企业发展带来不利影响。因此，注重APP隐私文本的合规性，对企业长远发展具有至关重要的意义。

作者：上海兰迪律师事务所孙良娟律师

库克任职CEO的第十一年，隐私保护者苹果「叛变」了

美国当地时间2011年8月24日（北京时间8月25日），乔布斯辞去苹果CEO一职，转任董事长，董事会随即任命时任COO蒂姆·库克为新一任CEO，库克就此开始了美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习他美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习的苹果CEO生涯。

在库克任职的十年间，苹果在不断对iPhone、iPad及Mac这三大乔布斯时期就已存在的产品线进行更迭，操作系统也遵循着一年一更新的传统，而乔布斯在世时就已有构想的智能手表Apple Watch，也在2014年也顺利推出。

苹果公司在iPhone、iPad以及Apple Watch销量大涨的带动下，苹果股价已经飙升了1022%。但要说这些年苹果公司最让人印象深刻的标签，还得是「隐私保护」。

2016 年 2 月 16 日，苹果收到了法官传来的长达 42 页的政府请求。FBI 试图解锁枪击杀人案嫌疑人的 iPhone，未果，于是要求苹果马上开发一个特殊的 iOS 版本美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习：可以无限次输入密码，直至成功解锁嫌犯手机。

让人意外的是，蒂姆·库克拒绝了执法者，「构建一个能够绕过安全保护的 iOS 版本无疑就是开了一个“后门”。虽然政府可能会争辩说它仅限于这种情况使用，但事实上，这样的控制是根本无法保证的。」

之后，苹果公司更是在官网更新了有关隐私保护的页面，详细介绍了自己在保护用户隐私方面所做的事，用户如何管理自己的隐私，以及来自政府的透明度报告。从多个角度阐述了这家公司对个人隐私保护的理解。

包括在今年4月，苹果排除各种艰难险阻之后，终于在iOS14.5上推出了ATT（应用跟踪透明度）隐私功能。这项功能对各大互联网广告主非常不友好，严格到只要用户不允许，开发者和广告商就不能够再获取用户设备的广告标识符的地步，习惯了精准投放的广告主们，再也不能向iPhone用户定向推荐广告。

苹果因此在很多消费者心里树立起了捍卫用户隐私的形象。

但是最近，苹果为了扩大对儿童的保护，针对儿童性虐待保护推出了三条新政。作为儿童保护计划的一部分，苹果计划在新系统中引入一种先进的本地哈希算法，可以识别、排查设备中的儿童不雅照片，引发了大家对隐私问题的担忧。

尽管苹果公司一再表示，美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习他们不会扫描机主的整个照片库来寻找虐童图片，而是使用密码学把图片与美国国家失踪与受虐儿童中心提供的已知数据库进行比对，但是消费者依然不太买账。

更让消费者没想到的是，苹果证实，该公司从2019年开始在iCloud Mail中使用图像匹配技术检测CSAM内容，含有CSAM内容的账户违反了其条款，将被禁用。苹果还表示，该公司正在对其他数据进行有限的扫描，但没有透露详情。

绝大多数iCloud Mail用户可能都不知道发生了这样的事情，虽然苹果并没有对此保密。

其实早在WWDC21，苹果iOS15在隐私保护方面的更新，已经没有给我们带来多少惊喜，探索系统发展的新方向已经成为必然，只是谁也没想到，会是以这样近乎「叛变」隐私保护的姿态。

要知道，因为iOS系统的绝对地位，Android系统能够实现的应用隐藏功能，基本难以在苹果手机上实现，包括坚果隐藏、暗盒这类工具软件，虽然可以实现桌面图标的隐藏，却还是无法去掉屏幕最右侧的 App 资源库。

但现在，苹果公司以儿童保护之名，留下了一扇「后门」。

目前，已经有许多网络安全和IT专家对苹果的计划表达不满，全球范围内的90多个团体联名给苹果CEO库克写了一封公开信，呼吁苹果放弃此计划。

不过好在，国内用户并不需要关心这个问题。苹果公司已经明确表示，这套系统只在美国提供，并且只有在用户打开iCloud照片后才能启用。

数据安全有哪些案例？

“大数据时代美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习，在充分挖掘和发挥大数据价值同时美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习，解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。

员工监守自盗数亿条用户信息

今年初，公安部破获了一起特大窃取贩卖公民个人信息案。

被窃取美国网络安全局局长点名微软和推特，要求在保护用户隐私方面多向苹果学习的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条，随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现，幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。

业内数据安全专家评价称，这起案件泄露数亿条公民个人信息，其中主要问题，就在于内部数据安全管理缺陷。

国外情况也不容乐观。2016年9月22日，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。

企业数据信息泄露后，很容易被不法分子用于网络黑灰产运作牟利，内中危害轻则窃财重则取命，去年8月，山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件，就可见一斑。

去年7月，微软Window10也因未遵守欧盟“安全港”法规，过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。

上海社会科学院互联网研究中心发布的《报告》指出，随着数据资源商业价值凸显，针对数据的攻击、窃取、滥用和劫持等活动持续泛滥，并呈现出产业化、高科技化和跨国化等特性，对国家和数据生态治理水平，以及组织的数据安全能力都提出了全新挑战。

当前，重要商业网站海量用户数据是企业核心资产，也是民间黑客甚至国家级攻击的重要对象，重点企业数据安全管理更是面临严峻压力。

企业、组织机构等如何提升自身数据安全能力？

企业机构亟待提升数据安全管理能力

“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。

5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础，网络数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。

“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型（Data Security Maturity Model, DSMM）进行制订。

阿里巴巴集团安全部总监郑斌介绍DSMM。

作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

在利用大数据技术进行营销时哪些数据属于用户的隐私信息

对大数据运用和安全保护的思考

万平：商务智能分析师，风险计量和模型研发专家

大数据时代，对于普通客户来讲，对于所谓隐私安全、信息安全的忧虑其实已经很难自行缓释了。笔者一直致力于企业数据分析和数据应用，特从企业数据用途角度来谈谈对于数据安全的思考。

一、专业分析数据，使用正确数据

在大数据运用过程中，企业要明确数据属性和数据用途。对于企业不经常用但涉及客户隐私的信息要严格保密，如姓名、身份证号、手机、邮箱、工作单位、家庭住址、车牌号码等基础信息，这些对于客户来讲绝对具有唯一性，是客户最为关键的私密信息，而本质上不具备任何的分析功能，对于企业研究消费者消费习惯、社交网络、市场偏好、产品研发、服务运营等来讲其意义并不直接，而从客户信息安全的角度来讲，这却是最为重要的，需严格加密，与一般常用信息隔离存储，以保证安全。

二、切不可随意滥用客户的唯一性信息

企业努力去获取并分析客户的消费习惯、交易行为、社会网络、产品偏好等数据，用以改善自己的运营服务、产品供给、定价策略无可厚非，这也是企业市场竞争力的表现，然而生活在互联网时代的人们已经被各种营销短信、欺诈电话困绕很长时间了。这种困局的出现，不管是企业自主还是被不法分子盗用，都是在随意、滥用客户的隐私信息，是对客户人身、财产、安全的一种不道德的践踏行为。

三、大数据时代，法律要强调保护弱者

尽管大数据时代对个人信息安全保护有各种先进的技术，但这是远远不够的。比如，有报道称储户遇到的银行账户内资金失踪、ATM机取假钞、信用卡盗刷时，掌握着音频、视频、交易记录等大数据的银行却要求客户举证，这无疑让客户沦为弱者，而法律却无条款规定，这显然是不科学的。同时，对于故意欺诈金融机构、欠债跑路的老赖们，公安机关要充分联合各行业大数据维护正义。

大数据，是时代进步的必然产物，但伴随而来的信息安全是考验企业道德和社会法制健全的重要方面。因此，我们一方面要借助大数据来提高企业的产品质量和服务品质；另一方面，也要切实保护客户的信息安全。

大数据时代，客户隐私会变得越来越少

石云：CC－CMM标准组织常务理事、研发总监

日前网上流传了这么一个段子：一个客户打电话订购比萨，客服人员根据他的会员卡号报出他的家庭住址和所有电话号码，根据他的医疗记录和图书馆借阅信息推荐适合他的披萨口味，根据他的信用卡和房贷欠款信息推荐现金支付，甚至还准确定位出他正在离比萨店30分钟路程的地方骑着一辆摩托车……

我们生活在大数据的时代，“大数据”之大，不仅仅是数据容量之大，更是数据抓取、整合和分析能力的强大。不可否认，大数据在为我们带来方便生活的同时也为企业带来了不可估量的商业价值，尤其是移动互联网的到来，让每个人无论何时何地都能以不同的终端入口连接在互联网上，一切数据都被企业以各种形式进行抓取、整合和分析。于是，我们的一举一动企业都了如指掌，根据你的兴趣爱好、你的定位信息，企业可以随时随地向你发送广告和促销活动。在这个时代，数据安全，尤其是个人隐私问题，正在日益困扰我们身边越来越多的人。毫无疑问，客户的数据越多，能够分析得到的信息量就越大，但其中客户的隐私就会变得越来越少。如何在大数据时代保护客户数据和隐私，是我们不得不面对的问题。

企业大数据与大数据安全初探

程学勇：华远智德(北京)科技有限公司总经理，企业绩效管理资深咨询顾问

大数据并不是一个新的概念，任何一个企业从一诞生开始便持续创造并拥有大数据。大数据环境下数据安全的首要任务仍然是对数据的非法访问和入侵的防范，但由于大数据的特点，其安全架构也异于传统的企业信息系统安全。针对大数据安全，企业将面临更多更加艰难的挑战，例如企业很难对文件丢失的原因进行追溯，很难确认一个包含敏感数据信息的非结构化文件（如Word，Excel文件）是否传递给了不应该拥有它的人。

即便如此，大数据技术的出现又为大数据安全带来契机。当前的大数据技术能够针对结构化、非结构化数据进行采集，按照预定规则进行数据采集、归类，并按照预定规则进行实时监控分析，这大大提高了企业对大数据非法访问和入侵检测的技术手段。在此背景带动下，未来的数据安全监控对象将不仅仅是信息系统账号、权限、数据的安全，在企业中存在于各种载体形式之下的数据都将成为安全管理对象，如电子邮件、标书报价单的内容等等。

在这一架构中，除了大数据技术，借助于商务智能的信息安全可视化同样为企业的信息安全防范带来帮助。建立企业统一的数据安全视图，使按照安全特性、安全对象、业务对象进行分类的多维度下的安全甄别线索、证据的展现更加容易让管理员了解安全问题发生的节点、原因及可能出现的安全风险趋势，以便制定更加完善的安全策略。

大数据时代的企业及个人隐私保护

黄成明：数据化管理咨询顾问、培训师

从2014年开始，大家真真正正地感觉到大数据时代的来临，每个人都能说出几个大数据的案例，例如大数据帮助奥巴马连任成功、微软大数据成功预测奥斯卡21项大奖、大数据测算出来的热播电视剧《纸牌屋》、百度预测2014年高考作文等等。

但是，大数据带来的副作用是个人的隐私无处遁形，我们每天产生各种数据，这些数据基本上都能被机器、程序等捕捉到。浏览网页记录会被机器追踪，买东西的消费记录会被商家利用，在大街上行走也会被无处不在的Wi-Fi跟踪……

那么，在大数据时代个人如何保护自己的隐私呢？

1、提高个人的安全防范意识，不要轻易将自己的个人信息上传到网络或留给商家。现在的商家办个会员卡都恨不得你把所有的家庭信息都填上，比如不久前笔者刚办过一张健身卡，申请登记时竟然要求填身份证号码，这当然被我拒绝。个人重要的信息包括手机号、微信微博号、QQ号、身份证号、银行卡号、社保号等。

2、养成随时清除无用信息的习惯，比如定时删除自己上网的历史记录，将记录了自己重要信息的文件（包括通话记录单，银行卡账单等）撕碎然后扔到不同的垃圾筐中等等。

3、不要随意下载陌生软件，不要添加如微信中的陌生账号，不要随意扫二维码，谨慎使用社交网络。

对于企业来说，保护企业的商业秘密也是重中之重：

1、需要建立一套企业信息保密制度，例如将重要信息分级管理，培训并监督员工认真执行。可能的情况下，企业可以设立一个隐私官的职位。

2、企业必须部署网络安全设备，一是防止被外部攻击，其次也可以追踪企业信息流向。