网络安全违规通报

㈠ BOSS直聘等被启动网络安全审查，被查原因是什么

BOSS直聘等被启动网络安全审查，被查原因与网络安全有关，如今国家越来越重视个人信息的安全问题，所以对这些涉嫌收集个人信息的app将会进行大力的整治。

据悉，7月5日，网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。

为防范国家数据安全风险，维护国家安全，维护社会公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。

为配合网络安全审查工作，防止风险扩大，审查期间，“运满满”、“货车帮”、“BOSS直聘”停止了新用户注册。

滴滴出行app也刚被下架：

7月2日，国家网信网曾公告，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。

随后在7月4日，国家网信办通报，根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

㈡ 33款App违规收集个人信息被通报，要在多久完成整改

33款App违规收集个人信息被通报，网信办要求，针对检测发现的问题，相关App运营者应当于本通报发布之日起10个工作日内完成整改，并将整改情况报我办网络数据管理局，逾期未完成整改的我办将依法予以处置。

据网信办消息，近期，针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》等法律和有关规定，组织对输入法、地图导航等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测。

根据这个通报，33款APP中有15款都是输入法，包括网民最常用的搜狗、讯飞、网络、QQ、手心输入法等。

还有17款是地图类应用，包括高德、网络、腾讯、搜狗等知名APP，即时通讯类APP就“连信“一款，不过他们的违规情况更严重一些，前面的32款APP主要是违反必要原则，而连信APP则是诱导用户授权通信录并发送营销短信，性质恶劣。

规定的出台实施将对APP发展的影响：

规定明确为保障APP基本功能服务的正常运行可以收集必要个人信息，不得因为用户不同意提供非必要个人信息而拒绝用户使用，科学地平衡了个人信息保护与促进APP发展应用的关系。规定的出台不会影响APP的发展应用，将有效规范APP收集使用个人信息行为，有利于促进APP的健康发展。

㈢ 互联网网络安全信息通报实施办法的具体内容

关于印发《互联网网络安全信息通报实施办法》的通知
工信部保[2009]156号
各省、自治区、直辖市通信管理局、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政府和公益机构域名注册管理中心、部电信研究院、中国互联网协会、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、其他相关单位：
为规范通信行业互联网网络安全信息通报工作，制定《互联网网络安全信息通报实施办法》，现印发给你们，请遵照执行。
联系人：付景广
二〇〇九年四月十三日 报送的信息分为事件信息和预警信息。
事件信息是指已经发生的网络安全事件信息。
预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息，或者对事件信息分析后得出的预防性信息。 信息报送单位应按照本办法第十条、第十一条规定对信息进行分类、分级，并根据本办法的相应规定报送信息。
基础电信业务经营者集团公司负责汇总、核实、报送省级分公司/子公司的信息。省级分公司/子公司将信息同时抄送当地通信管理局。 对于特别重大、重大事件信息以及一级、二级预警信息，信息报送单位应于2小时内向通信保障局及相关通信管理局报告，抄送CNCERT。
对于较大事件信息以及三级预警信息，信息报送单位应当于4小时内向相关通信管理局报告，抄送CNCERT；对于跨省（自治区、直辖市）的较大事件信息，应同时向通信保障局报告。
对于一般事件信息，信息报送单位应按月及时汇总，于次月5个工作日内报送CNCERT，抄送相关通信管理局；对于四级预警信息，信息报送单位应当于发现或得知预警信息后5个工作日内报送CNCERT，抄送相关通信管理局。 事件信息报送的内容应包括：
（一）事件发生单位概况；
（二）事件发生时间；
（三）事件简要经过；
（四）初步估计的危害和影响；
（五）已采取的措施；
（六）其他应当报告的情况。 预警信息报送的内容应包括：
（一）信息基本情况描述；
（二）可能产生的危害及程度；
（三）可能影响的用户及范围；
（四）截至信息报送时，已知晓该信息的单位/人员范围；
（五）建议应采取的应对措施及建议。 事件发生后出现新情况的，信息报送单位应当及时补报。
CNCERT在接到预警信息后，应立即组织对预警信息进行跟踪、分析，有重要情况应及时向通信保障局报告。 对于特别重大、重大、较大事件信息以及一级、二级、三级预警信息，由通信保障局审核后，根据有关规定直接或委托CNCERT及时通告相关单位、人员或互联网用户，并抄送各通信管理局。
对于一般事件信息，由CNCERT负责汇总、分析全部信息，于次月10个工作日内将当月信息向通信保障局报送，向相关单位、人员通告，并抄送各通信管理局；对于四级预警信息，由CNCERT根据实际情况及时向相关单位、人员通告，并抄送各通信管理局。 事件信息通告内容主要包括：事件统计情况、造成的危害、影响程度、态势分析、典型案例。
预警信息通告内容主要包括：受影响的系统、可能产生的危害和危害程度、可能影响的用户及范围、建议应采取的应对措施及建议。 本办法自2009年6月1日起实施。

㈣ 西安碑林公安通报西工大遭境外网络攻击，为何美国网络攻击不断

西安碑林公安通报西工大遭境外网络攻击，为何美国网络攻击不断首先是因为美国想要满足自身的政治目的，其次就是美国自身的网络科技手段很强大，再者就是美国不顾对应的网络安全公约违反了对应的安全守则，另外就是美国的网络攻击主要是体现在看不见的文件上面来进行攻击，需要从以下四方面来阐述分析西安碑林公安通报西工大遭境外网络攻击，为何美国网络攻击不断。

一、因为美国想要满足自身的政治目的

首先就是因为美国想要满足自身的政治目的 ，对于美国而言他们想要满足自身的政治目的所以采取不择手段的措施来更好的对境外的国家进行攻击来窃取一些重要的机密文件。

中国应该做到的注意事项：

应该加强多渠道的网络安全监督体系的建立，可以更好地将一些机密文件保护好。

㈤ 违反《网络安全法》，14款App涉嫌超范围采集个人隐私信息被通报

国家计算机病毒应急处理中心近期通过互联网监测发现14款移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。

这14款App分别是：

这些被通报的App，存在的问题如下：

1、App中无隐私政策；

2、未向用户明示申请的全部隐私权限；

3、App在征得用户同意前就开始收集个人信息；

4、未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件；

5、未建立并公布个人信息安全投诉、举报渠道，或超过承诺处理回复时限。

《网络安全法》第四十一条：

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

网警提示：及时卸载此类软件！

广大手机用户不要下载这些违法有害移动应用，避免手机操作系统受到不必要的安全威胁。

在日常使用时，谨慎向各类App进行不必要的授权，从源头避免个人信息泄露。

㈥ 安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、网络，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云操作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

㈦ 你的App安全吗百款APP违规采集个人信息 考拉海购等在列

12月4日，国家网络安全通报中心发文通报，下架整改100款违法违规APP。

百款APP违法违规采集个人信息

12月4日，国家网络与信息安全信息通报中心在官方微信公众号披露，2019年11月以来，全国公安机关网安部门集中查处整改了100款违法违规采集使用个人信息的App及其运营互联网企业，不乏考拉海购、微店、更美等知名产品和产品。

根据通报，全国公安机关网安部门按照公安部网络安全保卫局的部署要求，快速行动，重拳出击，集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业。

其中，责令限期整改27款，处以警告处罚63款，处以罚款处罚10款，另有2款被立为刑事案件开展侦查，相关案件正在侦查中。

据悉，今年以来，公安部组织开展“净网2019”专项行动，已依法查处违法违规采集个人信息的APP共683款。

按照《个人信息安全规范》规定，对个人信息的收集应有明确的目的，不得超出产品功能相关目的之外收集额外的个人信息。而去年，中消协在相关部门的支持下，从App Store、安卓市场下载了10类100款App，调查显示超九成App涉嫌过度收集用户个人信息。

图片来源：国家网络安全通报中心微信公众号

四项典型案例

1、“健康天津”APP：涉嫌无隐私协议收集用户位置信息等违法违规行为，经天津市公安局武清分局网安支队受案调查，依据《网络安全法》第四十一条、第六十四条规定，对该APP运营单位“天津健康医疗大数据有限公司”处以行政警告并责令限期整改。

2、“趋势密码”APP：未经用户同意收集使用精准定位等个人信息，涉嫌超范围收集用户信息等违法违规行为，经上海市公安局徐汇分局网安支队受案调查，依据《网络安全法》第六十四条第一款，对该APP运营单位“上海益秋投资管理有限公司”处以行政警告。

3、“折疯了海淘”APP：未明示数据项采集用途，涉嫌违规收集用户信息，经杭州市公安局西湖分局受案调查，依据《网络安全法》第六十四条第一款，对该APP运营单位“杭州橙子信息科技有限公司”处以行政警告并责令限期整改。

4、 “简讯”APP：涉嫌无隐私协议收集用户位置信息等违法违规行为，经成都市公安局网安支队受案调查，依据《网络安全法》第六十条第一款规定，对该APP运营单位“成都市黑领科技有限公司”处以行政警告并处罚款贰仟元。

5类违法情形不得出现

2019年11月以来，公安部加大打击整治侵犯公民个人信息违法犯罪力度，组织开展APP违法违规采集个人信息集中整治，深入推进由中央网信办、工业和信息化部、公安部、市场监管总局联合开展的APP违法违规采集使用个人信息专项整治行动。APP运营企业等网络服务提供者不得出现以下5大类违法采集公民个人信息的情形：

一、不得存在“未公开收集使用规则”的情形：在APP中没有隐私协议，或者隐私协议中没有收集使用个人信息规则的相关内容；在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策；隐私协议难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

二、不得存在“未明示收集使用个人信息的目的、方式和范围”的情形：收集使用个人信息的目的、方式和范围发生变化时，未以适当方式通知用户（更新隐私协议未提醒用户阅读及授权）；收集用户身份证号、银行账号、行踪轨迹等个人敏感信息，未同步说明目的；有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解等。

三、不得存在“未经用户同意收集使用个人信息”的情形；

四、不得存在“违反必要原则，手机与其提供的服务无关的个人信息”的情形；

五、不得存在“非法获取公民个人信息”的情形：未经用户同意获取用户行踪轨迹信息、通信内容、 征信 信息、财产信息。

各类APP内容繁杂，真假难辨，致使用户个人信息的安全受到挑战。

但就目前来看，监管手段只是维护用户信息安全的形式之一。除了技术和监管手段之外，提升开发者自律意识，提升网民信息保护意识，加强网络生活自我保护，也是重要一环。

那么个人如何在使用APP时保护个人信息？建议大家：

一、不要注册来源不明网站，谨慎使用手机号注册；

二、不扫描来历不明的二维码，不安装来历不明的程序；

三、淘汰的电子产品信息销毁要彻底，防止不法分子恢复数据；

四、带有个人信息纸张单据处理需谨慎，需抹掉隐私信息；

五、避免在社交网站上泄露过多个人信息；

六、慎用公众场所免费WIFI，防止用户名密码泄露；

七、不要点击短信和邮件中的链接，以免被“钓鱼”；

八、所用软件不要使用同一组账号密码，以免造成损失。

最后，说句题外话，用户在申请 贷款 时会遇到不同还款方式的贷款产品，由于 利率 的表达方式往往不一样，比如说有：日息万分之五、月 费率 1%等等，因此很难比较出几款产品究竟哪款更省钱。 有钱花 推出的比价神器可以帮我们解决这个问题。通过比较，就能很直观的了解到对比产品的息费明细，帮助我们做决策。

㈧ 被通告！34款常用运动APP违法违规收集使用个人信息

今日节目音频：

目前，全球已有约90个国家和地区制定了个人信息保护法，而中国的《中华人民共和国数据安全法（草案）》已于2020年7月公开征求大众的意见。所有公司和个人都将或早或晚面对数据保护法，并把遵守数据保护法当做日常生活和工作的一部分。

据新华社报道：近期，针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定，有关运动健身部分App就个人信息收集使用情况通报：

手机APP是如何泄露用户隐私的：

安装APP时强制用户同意权限

你在安装某APP时是否遇到过这样的情况：“xxx想访问您的麦克风/访问你的图库”当我们点击不同意时，将无法使用该APP，最后我们不得不被迫同意，躺在我们图库、音频中的个人信息将陷入“易泄露”困境。

过度、超范围索取用户权限

当一款做菜类APP需要获取通讯录，一款影音类APP需要获取定位权限，我们的隐私也在悄悄泄露，有些不法分子会根据搜集到的碎片化信息，逐渐拼凑出一份完整的个人信息，然后再打电话骗取用户信任，进一步套取银行卡密码、验证码等信息，对个人财产安全造成严重危害。

服务协议与隐私政策描述模糊

大家在安装APP时是否真的仔细读过动辄几页甚至十几页的服务协议与隐私条款？

当我们直接点击同意时，会有一些不法分子直接钻漏洞，披着“合法”的外衣搜集你的个人信息。

当然就算我们仔细阅读过条款后，在维权时面对一些晦涩并模糊不清的条款，也只能望洋兴叹。

手机APP的安全漏洞

某些APP并没有以上3种问题，但仍然会不慎泄露我们的隐私，原因在于该APP自身存在的一些安全漏洞，在不知情的状况下造成用户信息流出，如2019年万豪酒店5亿房客的信息遭到窃取一案。

个人隐私安全保护这道难题该如何破解呢？

1.个人隐私保护，用户自身需加强防范

在日常使用APP时，我们要牢记这三步：首先要从正规渠道下载安全的APP；其次在下载应用后要对其做权限管理，在不影响正常使用的情况下尽量关闭应用内“资费相关”与“隐私相关”的权限，如关闭APP中的自动续费服务，尽量不授权访问个人通讯录、照片的请求；最后切勿在非官方渠道填写自己的银行账号及密码等信息，将个人信息做到最小化处理。

2.从源头抓起，开发者应保障用户信息安全

对于开发者来说，需明确个人信息的采集与利用，个人信息存储及保护制度，个人信息的处理制度，未成年信息保护制度等，切实保护用户个人信息。

3.应用分发平台需把好审核关，提升用户使用体验

据统计，我国境内应用商店数量已超过200家，大部分应用商店都推出了一定措施来保障用户的安全体验。以华为应用市场为例，作为华为终端官方的应用分发平台，采用

“恶意行为检测”+“隐私泄露检查”+“安全漏洞扫描”+“人工实名复检”四重检测体系，以多样安全审核措施保障上架应用的安全合规。此外，华为应用市场还会从应用兼容性、稳定性、安全、功耗、性能表现及权限获取等方面综合评判，给符合标准的应用添加“绿色应用”标识，方便用户选择使用。

通往个人信息安全之路道阻且长，开发者需自觉遵守《APP违法违规收集使用个人信息行为认定方法》等相关法律；个人需加强信息安全保护意识，不让非法应用“有机可乘”；应用分发平台更会凭借强大的技术能力，完善审核机制，帮助用户守好“最后一道门”。相信在多方共同努力下，信息安全将得到最大保障，互联网世界将更加绿色、安全。

普通手机用户该如何防范隐私泄露？

一是尽量选择知名APP商店下载应用软件；

二是下载后对APP做权限管理，一般情况下，关闭APP“资费相关”和“隐私相关”的大部分权限并不影响APP正常使用(某些APP需“定位”功能的除外)；

三是即便是无意将APP某个权限关闭，也不要担心，比如提示无法进行视频聊天等，使用时打开相关权限即可。

㈨ 工信部将重磅处罚企业违规自建网络，罚单或将数亿！

最近有一批涉嫌违规自建网络从事电信经营的企业将接到通信管理部门开出的巨额罚单，包括但不限于没收全部非法所得、处以经营额三倍至五倍的罚款。有些罚单可能是高达数亿的一个天文数字，疑似已有企业收到巨额的处罚意见告知书。

工信部于2017年发布《关于清理规范互联网网络接入服务市场的通知》（32号文），要求严厉打击骨干网、城域网违法自建等违规行为。此后更再发布282号文，明确列明诸多涉嫌违规企业，很多知名上市公司均榜上有名。

但是由于行动开展以来，鲜有被严重处罚的案例，很多企业仍然在观望，尤其是城域网领域的违规建设，仍然开展的如火如荼。

据说此次的处罚由工信部信管局某高层直接在各地管局督阵查处，或将涉嫌违规自建名单内企业全面清查处罚。如果能够通过此次整顿，彻底清理网络通信设施服务及互联网数据传送市场秩序，对于未来中国电信市场的健康发展无疑是非常有利的。只是不知道有多少企业能扛得住4倍营收罚款（没收加上至少3倍罚款）。

长期以来，大型互联网公司通过自建网络进行网络传输，虽说一定程度上推动了中国互联网产业的快速发展，推动了国家“提速降费”目标的实现。但是这种不受监管的自建行为毕竟属于违规，不利于国家信息网络安全和产业的规范发展。如何将违规网络快速纳入合法监管，同时又不至于影响中国互联网产业发展，损害民众合法权益，确实是对监管部门领导智慧的考验。

重点违规方式

一、打着用户驻地网或宽带接入网的名义违规建设城域网或骨干网

用户驻地网（宽带用户驻地网）是指用户网络接口到用户终端之间的传输及线路等相关设施。用户驻地网是从用户驻地业务集中点到用户终端之间的传输及线路等相关设施。用户驻地可以是一个居民小区，也可以是一栋或相邻的多栋写字楼。

宽带接入网可以建设从用户端到网络接入服务器范围内的全部或部分有线通信网络设施，可以开展相应的网络元素出租、出售。试点企业上联互联网骨干网必须经由基础电信企业的城域网接入，不同地市的业务节点不得直连，租用的接入网络资源严禁再次转租转售。

不管是持有用户驻地网还是宽带接入网试点牌照的企业，都禁止非法建设城域网和骨干网。

二、打着行业专网名义进行非法建设经营

一些企业利用公路、铁路及各类重大工程的建设机会，以建设行业专网名义私自建设网络对外出租出售经营。行业专网只能是企业内部使用，不得进行经营性使用，同样也不能在本行业内经营，收取本行业内其他企业费用。

目前能够合法从事城域网及骨干网网络设施服务的企业只有五家，即：中国电信、中国移动、中国联通、中国广电、中信网络。

http://www.cac.gov.cn/2017-01/23/c_1120366809.htm
工业和信息化部关于清理规范互联网网络接入服务市场的通知

各省、自治区、直辖市通信管理局，中国信息通信研究院，中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司、中信网络有限公司，各互联网数据中心业务经营者、互联网接入服务业务经营者、内容分发网络业务经营者：
近年来，网络信息技术日新月异，云计算、大数据等应用蓬勃发展，我国互联网网络接入服务市场面临难得的发展机遇，但无序发展的苗头也随之显现，亟须整治规范。为进一步规范市场秩序，强化网络信息安全管理，促进互联网行业健康有序发展，工业和信息化部决定自即日起至2018年3月31日，在全国范围内对互联网网络接入服务市场开展清理规范工作。现将有关事项通知如下：
一、目标任务
依法查处互联网数据中心（IDC）业务、互联网接入服务（ISP）业务和内容分发网络（CDN）业务市场存在的无证经营、超范围经营、“层层转租”等违法行为，切实落实企业主体责任，加强经营许可和接入资源的管理，强化网络信息安全管理，维护公平有序的市场秩序，促进行业健康发展。
二、工作重点
（一）加强资质管理，查处非法经营
1.各通信管理局要对本辖区内提供IDC、ISP、CDN业务的企业情况进行摸底调查，杜绝以下非法经营行为：
（1）无证经营。即企业未取得相应的电信业务经营许可证，在当地擅自开展IDC、ISP、CDN等业务。
（2）超地域范围经营。即企业持有相应的电信业务经营许可证，业务覆盖地域不包括本地区，却在当地部署IDC机房及服务器，开展ISP接入服务等。
（3）超业务范围经营。即企业持有电信业务经营许可证，但超出许可的业务种类在当地开展IDC、ISP、CDN等业务。
（4）转租转让经营许可证。即持有相应的电信业务经营许可证的企业，以技术合作等名义向无证企业非法经营电信业务提供资质或资源等的违规行为。
2.在《电信业务分类目录（2015年版）》实施前已持有IDC许可证的企业，若实际已开展互联网资源协作服务业务或CDN业务，应在2017年3月31日之前，向原发证机关书面承诺在2017年年底前达到相关经营许可要求，并取得相应业务的电信经营许可证。
未按期承诺的，自2017年4月1日起，应严格按照其经营许可证规定的业务范围开展经营活动，不得经营未经许可的相关业务。未按承诺如期取得相应电信业务经营许可的，自2018年1月1日起，不得经营该业务。
（二）严格资源管理，杜绝违规使用
各基础电信企业、互联网网络接入服务企业对网络基础设施和IP地址、带宽等网络接入资源的使用情况进行全面自查，切实整改以下问题：
1.网络接入资源管理不到位问题。各基础电信企业应加强线路资源管理，严格审核租用方资质和用途，不得向无相应电信业务经营许可的企业和个人提供用于经营IDC、ISP、CDN等业务的网络基础设施和IP地址、带宽等网络接入资源。
2.违规自建或使用非法资源问题。IDC、ISP、CDN企业不得私自建设通信传输设施，不得使用无相应电信业务经营许可资质的单位或个人提供的网络基础设施和IP地址、带宽等网络接入资源。
3.层层转租问题。IDC、ISP企业不得将其获取的IP地址、带宽等网络接入资源转租给其他企业，用于经营IDC、ISP等业务。
4.违规开展跨境业务问题。未经电信主管部门批准，不得自行建立或租用专线（含虚拟专用网络VPN）等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线，应集中建立用户档案，向用户明确使用用途仅供其内部办公专用，不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。
（三）落实相关要求，夯实管理基础
贯彻落实《工业和信息化部关于进一步规范因特网数据中心（IDC）业务和因特网接入服务（ISP）业务市场准入工作的通告》（工信部电管函[2012]552号，以下简称《通告》）关于资金、人员、场地、设施、技术方案和信息安全管理的要求，强化事前、事中、事后全流程管理。
1.2012年12月1日前取得IDC、ISP许可证的企业，应参照《通告》关于资金、人员、场地、设施、技术方案和信息安全管理等方面的要求，建设相关系统，通过评测，并完成系统对接工作。
当前尚未达到相关要求的企业，应在2017年3月31日之前，向原发证机关书面承诺在2017年年底前达到相关要求，通过评测，并完成系统对接工作。未按期承诺或者未按承诺如期通过评测完成系统对接工作的，各通信管理局应当督促相应企业整改。
其中，各相关企业应按照《关于切实做好互联网信息安全管理系统建设与对接工作的通知》、《关于通报全国增值IDC/ISP企业互联网信息安全管理系统对接情况的函》和《互联网信息安全管理系统使用及运行管理办法（试行）》（工信厅网安〔2016〕135号）要求，按期完成互联网信息安全管理系统建设、测评及系统对接工作。未按期完成的，企业2017年电信业务经营许可证年检不予通过。
2.新申请IDC（互联网资源协作服务）业务经营许可证的企业需建设ICP/IP地址/域名信息备案系统、企业接入资源管理平台、信息安全管理系统，落实IDC机房运行安全和网络信息安全要求，并通过相关评测。
3.新申请CDN业务经营许可证的企业需建设ICP/IP地址/域名信息备案系统、企业接入资源管理平台、信息安全管理系统，落实网络信息安全要求，并通过相关评测。
4.现有持证IDC企业申请扩大业务覆盖范围或在原业务覆盖范围新增机房、业务节点的，需要在新增范围内达到《通告》关于IDC机房运行安全和网络信息安全管理的要求，并通过相关评测。
5.现有持证ISP（含网站接入）企业申请扩大业务覆盖范围的，需要在新增业务覆盖地区内达到《通告》关于网络信息安全管理的要求，并通过相关评测。
6.现有持证CDN企业申请扩大业务覆盖范围或在原业务覆盖范围增加带宽、业务节点的，需要在新增范围内达到《通告》关于网络信息安全管理的要求，并通过相关评测。
三、保障措施
（一）政策宣贯引导，做好咨询服务
各通信管理局要利用各种方式做好政策宣贯和解读工作，公布电话受理相关举报和解答企业问题咨询，引导企业按照要求合法开展经营活动。中国信息通信研究院要做好相关评测支撑工作，协助部和各通信管理局做好政策宣贯、举报受理、企业问题解答等工作。
（二）全面开展自查，自觉清理整顿
各基础电信企业集团公司要组织下属企业全面自查，统一业务规程和相关要求，从合同约束、用途复查、违规问责等全流程加强规范管理，严防各类接入资源违规使用；对存在问题的要立即予以改正，并追究相关负责人责任。
各IDC、ISP、CDN企业要落实主体责任，按照本通知要求全面自查清理，及时纠正各类违规行为，确保经营资质合法合规，网络设施和线路资源使用规范，加强各项管理系统建设并通过评测。
（三）加强监督检查，严查违规行为
各通信管理局加强对企业落实情况的监督检查，发现违规问题要督促企业及时整改，对拒不整改的企业要依法严肃查处；情节严重的，应在年检工作中认定为年检不合格，将其行为依法列入企业不良信用记录，经营许可证到期时依法不予续期，并且基础电信企业在与其开展合作、提供接入服务时应当重点考虑其信用记录。部将结合信访举报、舆情反映等情况适时组织开展监督抽查。
（四）完善退出机制，做好善后工作
对未达到相关许可要求或被列入因存在违规行为被列入不良信用记录的企业，不得继续发展新用户。发证机关督促相关企业在此期间按照《电信业务经营许可管理办法》有关规定做好用户善后工作。向发证机关提交经营许可证注销申请的，发证机关应依法注销该企业的IDC、ISP经营许可证。
（五）完善信用管理，加强人员培训
积极发挥第三方机构优势，研究建立IDC/ISP/CDN企业信用评价机制，从基础设施、服务质量、网络和信息安全保障能力等多维度综合评定，引导企业重视自身信用状况、完善管理制度建设、规范市场经营行为。各通信管理局要加强对相关从业人员的技能培训，不断提高从业人员的业务素质和能力水平。
四、工作要求
（一）提高认识，加强组织领导
开展互联网网络接入服务市场规范清理工作是加强互联网行业管理和基础管理的重要内容，对夯实管理基础、促进行业健康有序发展具有重要意义。各相关单位要指定相关领导牵头负责，加强组织保障，抓好贯彻落实。
各通信管理局、基础电信企业集团公司、互联网网络接入服务企业要落实责任，按照本通知要求，制定工作方案，明确任务分工、工作进度和责任，细化工作、责任到人，确保本次规范清理工作各项任务按期完成。
（三）加强沟通，定期总结通报
各通信管理局、各基础电信企业集团公司要加强沟通协作，及时总结工作经验，每季度末向部（信息通信管理局）报送工作进展情况，发生重大问题随时报部。部（信息通信管理局）将建立情况通报制度，并定期向社会公示规范清理工作进展情况。
工业和信息化部
2017年1月17日

㈩ 84款App被通报，他们都违反了哪些法规

84款App被通报，他们都违反了《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和相关规定。

国家对于APP也有相关的法律和规定，法律中严格约束了APP对个人信息的处理，处理流程涉及了APP的收集、存储、使用、加工、传输个人信息等。法律明确规定，APP开发者应该制定并公开个人信息处理规则，让使用者能非常容易明白个人信息的处理方式，要给使用者展示合理的处理目的、处理方式、保存期限等内容，APP实际进行个人信息处理时要与公布出来的个人信息处理流程相一致。在未经使用者允许之前，不允许APP自行获取相关信息。作为使用者来说，我们要保护好自己的信息，面对本次通报的这些APP，我们需要妥善处理。