近日网上爆出“企业对用户个人信息保护不力造成盗刷6万被罚100万，冤吗？”引起网友的热议。

这到底是怎么回事？

去年，云南省昆明市西山警方连续接到多名群众报案，出现“卡在，钱消失”的现象。经调查，发现某公司负责系统维护的员工浦某，他利用工作便利和程序漏洞，获取公民个人信息实施犯罪。浦某所使用的笔记本电脑中存有4.5万余条公民个人隐私信息，在8个月的时间里，利用购物、套现等方式先后60余次盗刷50余名受害者的银行卡6万余元。

根据《中华人民共和国网络安全法》第六十四条第一款之规定，云南省昆明市西山区公安分局对该公司处98万元的罚款。直接负责该项目的主管人员孙某被处以2万元罚款。浦某因触犯《中华人民共和国刑法》第一百九十六条之规定，涉嫌信用卡诈骗活动，现已提请西山区人民检察院批准逮捕，目前案件还在进一步办理中。

究其原因：一方面，该公司在开展项目的开发、建设、维护时，未严格落实网络安全保护工作的要求，未及时发现系统漏洞；另一方面，该公司没有对内部人员实施相应的管控手段，导致公司内部职工存在侥幸心理，利用职务之便牟取私利。

个人信息保护的中场战事

“战争”不会停止  未来会继续“打”下去

近几年，个人信息保护已逐步纳入国家法规和行业规范中，包括《网络安全法》、《网络安全等级保护基本要求2.0》等。

这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定，对网络运营者承担的数据安全保障义务与责任进行了明确要求，并保障信息安全在法律范围内的可控性。

关于个人信息保护 监管部门采取的制度性措施

2020年5月25日，全国人大常委会工作报告在下一步主要工作安排中指出：今年将围绕国家安全和社会治理制定个人信息保护法和数据安全法。

2020 年3月4日，在国务院联防联控机制新闻发布会上，工信部鼓励各省加强自身的防控，推动省际间互信互利，为复工复产的群众提供便利。同时，工信部将严格落实数据安全和个人信息保护措施，防范数据的泄露、滥用等违规行为。

2020 年2月9日，中共中央网络安全和信息化委员会办公室2月9日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也要求，“收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露”。

《信息安全技术·个人信息安全规范》（GB/T35273-2020）提出，个人信息保存期限应为实现目的所必需的最短时间，且在超出前述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

《网络安全法》第四章网络信息安全要求，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

《中华人民共和国刑法》第196条规定，（一）使用伪造的信用卡的；（二）使用作废的信用卡的；（三）冒用他人信用卡的；（四）恶意透支的，属于信用卡诈骗活动。

《民法总则》第111条规定，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《中华人民共和国政府信息公开条例》第15条设立了对个人隐私信息的保密性规定，涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。

《治安管理处罚法》第42条第6项规定，对于偷窥、偷拍、窃听、散布他人隐私的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

《中华人民共和国网络安全法》第42条规定， 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

世平信息助力个人信息保护

从众多个人信息泄露事件中可以看出，黑灰产内鬼是造成内部恶意数据泄露的主要风险因素。解决人为因素，网络运营者首先必须通过培训让员工具备一定的合规和安全意识，并具有一定级别的网络安全运营能力：例如大型企业应该具备专门的网络安全运营中心，配备专业的数据安全保障措施，中小企业可通过第三方来托管其网络安全运营服务。

世平信息基于多年的数据安全从业经验，可以为企业提供合规可靠的数据安全保护产品和针对性的解决方案。针对个人信息安全存在的风险，以深度内容识别技术为核心，遵从行业标准、法规，并且以降低隐私数据安全风险为目标，全方位保障个人隐私数据的安全。

隐私信息安全评估系统（SIMP-SRD）

帮助监管机构及企业依法、有效地开展个人信息合规风险检测，协助监管机构开展有效的信息合规风险检测，帮助平衡个人信息的利用效率与合规风险。该产品已经通过公安三所的检测，支持等保2.0下的数据安全测评，为监管机构和政府、企业、网络运营者检测、监控重要数据和个人信息泄露风险提供有效技术手段和工具支撑。

数据泄露防护系统（SIMP-DLP）

通过深度内容识别技术对存储、传输、使用中的疫情相关个人信息在采集、存储、使用、共享、传输、销毁等生命周期各环节进行发现、定位、监控、阻断、溯源、审计等数据泄露风险管控，一旦发现使用的数据内容涉及到个人隐私数据，超出自己的使用权限时，可以进行相对应的告警、审计、阻断的行为；另外屏幕水印功能可对于拍照/截图等途径泄露的个人隐私数据实现可追溯的目的，对系统内部人员有意或者无意的泄露行为起到警示作用，真正做到事前可防范、事后可追溯、信息安全可管可控。

数据脱敏系统（SIMP-SDM）

对个人信息通过脱敏规则进行数据变形处理，实现智能发现、自动分类、自动脱敏，并以静态脱敏库或即时逐条返回的形式自动装载还原，消除被共享、调用数据的敏感性，有效降低敏感数据泄露风险，保障个人隐私信息安全。

个人信息保护关系到公民的切身利益，在国家法规标准不断完善的基础上，网络运营者与安全厂商也应共同为公民撑起一道技术的“保护伞”，实现个人信息保护的法制化、精细化，不要让个人信息“裸奔”！