理工酷

2021年06月11日发布

（一）国内移动应用数据安全发展现状

随着移动通信技术的飞速发展，移动应用成为了经济活动和民生需求必不可少的工具，全面覆盖到金融、医疗、教育、办公、交通等各个领域，移动应用种类和数量呈爆发式增长，对社会经济发展的基础性服务作用日益突显。

新时代下，数据作为生产要素参与市场分配，已成为企业发展乃至国家发展的重要战略资产。然而，移动应用前端的过度、强制索权，以及中后端粗放式的安全漏洞管理、数据管理、权限管理，甚至内外勾结陷入数据黑灰产等暗藏隐患，使得数据安全面临严峻挑战，而国内现有安全标准和企业安全管理及技术水平尚不足以攻克这一道难题。

近年来，移动应用数据安全问题越来越得到社会各界的广泛关注，国家、行业、企业积极开展多方共治，协同推进移动应用数据保护工作。国家层面加快立法及标准制定步伐、提供检测工具、加强执法；重点行业先行先试、加强行业自律；企业积极借助安全标准和检测工具，逐步探索最佳安全管理实践。

1.数据安全立法和标准陆续出台

随着移动应用数据安全领域的快速发展，数据合规立法和标准进入井喷期。《中华人民共和国网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，对国家安全、社会公共利益，保护公民、法人和其他组织的合法权益等做了要求；《民法典》之人格权编规定了隐私权和个人信息保护；《个人信息保护法（草案）》、《数据安全法（草案）》、国家互联网信息办公室关于《常见类型移动互联网应用程序（App）必要个人信息范围》层出不穷。

同时，信息安全技术系列标准不断迭出，《信息安全技术个人信息安全规范》、《信息安全技术个人信息安全影响评估指南》均已发布。工业和信息化部日前组织中国信息通信研究院、电信终端产业协会制定发布了《App用户权益保护测评规范》10项标准和《App收集使用个人信息最小必要评估规范》8项系列标准。

进一步，未来可预期的顶层的《个人信息保护法》、《数据安全法》均可能会发布，并与《民法典》、《网络安全法》共同成为个人信息保护和数据合规法律体系中的“骨架”，同时进一步通过制订行业标准、国家标准，以及司法案例的丰富，我国的数据法体系将进一步有“血”有“肉”。

2.数据安全治理和行动持续推进

2021年1月29日，银保监会开出2021年第一张罚单，某银行因涉及发生数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。类似处罚不是个案事件，执法已经关注到了后端的数据安全治理情况。2020年5月9日，中国银保监会披露一批罚单，包括6家国有大行，2家股份制银行在内的8家银行被罚了1770万元。被罚原因是，监管标准化数据（EAST）系统数据质量及数据报送存在违法违规行为，比如理财产品数量漏报、资金交易信息漏报严重等。这是中国银保监会首次就监管标准化数据报送等问题向银行业开出罚单。同时，工信部数据安全能力专项治理仍在持续推进。