盘点2019年最具影响力的十大移动应用安全事件(2019年最具影响力的十大移动应用安全事件有哪些)

随着国际国内网络安全事件的频繁发生，国家和个人层面的信息安全威胁不断上升，国家网络安全政策密集出台。国家越来越重视网络安全产业的发展。2019年，个人信息安全备受关注。在政策法规的推动下，各监管机构对移动应用监管提出了更高的要求，企业对移动应用安全的需求也大幅增长，有力保障了移动应用安全市场的快速发展。

事件一:四部委联合开展“App非法收集使用个人信息专项治理”行动& # 8211；移动个人信息合规检测的应用成为全年的热点。

事件:

四部委联合公告指出，当前，互联网上存在大量App强制授权、越权主张、过度收集个人信息等现象，个人信息违法违规使用问题十分突出。为有效治理个人信息保护中的乱象，四部委要求各监管机构在App运营者收集、使用个人信息时，严格履行《网络安全法》规定的责任和义务，对获取的个人信息安全负责，采取有效措施加强个人信息保护。

解释:

首先，各监管机构需要投入比过去更多的力度，对辖区内手机app的个人信息安全情况进行监控。其次，App运营者需要在开发阶段就考虑移动应用的个人信息合规性要求，确保其App个人信息相关部分的合规性和合法性。在专项治理公告的推动下，政府监管部门将加强对移动应用市场的监管，App运营商在个人信息保护方面的投入将会增加。

事件二:央行发布《个人金融信息(数据)保护试行办法》(草案)征求意见& # 8211；移动金融个人信息数据应用和第三方数据提供商受到强有力的监管。

事件:

金融领域的个人信息比较特殊。与其他个人信息相比，与个人资产、信用状况等高度相关。一旦泄露，可能会对受害者的财产安全造成极大威胁。长期以来，个人金融信息的获取和保护缺乏明确的监管要求，为中下游诸多乱象提供了土壤，包括数据采集和交易过程中的隐私保护乱象，以及数据应用阶段的骚扰营销甚至暴力采集。2019年4月，央行发布了《中国人民银行2019年工作计划》，其中包括制定《个人金融信息(数据)保护试行办法》，明确各方权利义务，使个人金融信息保护切实有效。

解释:

长期以来，个人信息安全合规的治理正逐渐向金融领域下沉。从法律层面加强对个人金融信息的保护。《个人金融信息(数据)保护试行办法》(草案)第十二条规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”第十八条规定:“金融机构不得以‘一般授权’方式，取得信息主体同意对外收集、处理、使用和提供其个人金融信息。”《办法》正式出台后，银行将按照《办法》要求安排提供业务数据的第三方机构。对于不能保证数据来源合法性的数据供应商，应停止合作。最近有银行停止了和一些第三方数据提供商的合作。

事件三:《信息安全技术网络安全等级保护基本要求》正式发布——确保“2.0时代”安全产业快速发展

事件:

5月13日，《信息安全技术网络安全等级保护基本要求》正式发布，标志着我国网络安全等级保护正式进入“2.0时代”。E-Security 2.0的发布是落实《中华人民共和国网络安全法》，实现网络安全国家战略目标的基础。极大地促进了网络安全行业的发展，提高了网络安全企业的估值水平，扩大了网络安全市场的整体规模。保2.0的监管对象更加广泛，包括重要网络基础设施、重要信息系统、云计算平台、物联网、工业控制系统、大数据平台、公共服务平台等。，全部纳入分级保护监管，互联网企业纳入分级保护管理。

解释:

随着攻防技术的不断升级和演进，防御思想的变化体现在“平等防护2.0”标准中。首先，从被动防御到主动防御，整体防御也是分区的，不仅是在边境防御上，更是在内部多层次防御上，细化防御手段和范围；其次，“平等保护2.0”提出了攻击前、攻击中、攻击后的防御，而不仅仅是攻击时的防御。如果不能预防，就应该审计。如果出现问题，事后要追根溯源，知道问题的根源在哪里，是如何发生的，为下一步的保护做好准备。最终使安防系统由被动安防变为感知预警、动态防护、安全检测、应急响应。

在等级保护2.0的安全框架中，明确提出了个人信息安全保护、态势感知等新的技术需求。需要具备分析新攻击的能力，能够检测关键节点的行为及其入侵，能够识别、报警和分析各类安全事件。

事件四:《互联网个人信息安全保护指南》正式发布& # 8211；公安大力整治企业非法获取个人信息行为。

事件:

2019年4月10日，公安部网络安全保卫局联合北京市网络行业协会、公安部第三研究所正式发布《互联网个人信息安全保护指南》。《指南》的部分详细要求参考了推荐性国家标准GB/T 35273—2017《信息安全技术个人信息安全规范》，由公安机关结合侵犯公民个人信息网络犯罪侦查和安全监督管理工作研究制定，可有效指导互联网企业和联网单位。

解释:

《指南》为公安执法机关认定企业或个人是否存在“窃取或者以其他方式获取、非法出售或者非法向他人提供个人信息”等行为提供了检查依据。《指南》强调了用户画像的要求，这是互联网公司最常用的营销手段之一。如何合法合法地使用个人信息，是企业非常关心的问题。

《指南》指出，“将完全依赖自动处理的用户画像技术应用于精准营销、搜索结果排序、个性化新闻推送、定向广告等增值应用中。不需要用户事先明确授权也可以，但要保证用户有权反对或拒绝；如果用于可能给用户带来法律后果的增值应用，如征信服务、行政和司法决策，或者被跨网运营商使用，其数据只能在用户明确授权的情况下使用”。

事件五:中国人民银行关于发布金融行业标准加强移动金融客户端应用安全管理的通知(银发〔2019〕237号)& # 8211；加强行业监管，提高金融客户端应用软件的安全标准。

事件:

2019年9月底，中国人民银行向部分金融机构发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用安全管理的通知》。《通知》主要从提高安全防护、加强个人金融信息保护、提高风险监控能力、完善投诉处理机制、加强行业自律等五个方面对管理进行了规范，并对个人金融信息保护提出了具体要求，包括:在客户端收集、使用个人金融信息时，央行明确各金融机构不得以默认、绑定、停止安装使用等方式强制用户进行变相授权，或者收集与其金融业务无关的个人金融信息。

金融机构应当采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储和使用过程中被非法窃取、泄露或者篡改；信息使用后，各金融机构应立即删除敏感信息，客户端软件卸载后不得保留个人金融信息；金融机构不得违反法律法规和与用户的约定，不得泄露、非法出售或者非法向他人提供个人金融信息。

12月3日，中国互联网金融协会在北京召开金融行业移动金融客户端应用软件备案管理试点启动会，对相关工作进行了部署。要求各试点机构于2019年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料报送和备案申请。互金协会完成备案审核工作后，将公布第一批通过备案的客户端软件名单。下一步，在全国范围内分批组织客户端软件备案和推广，逐步落实风险信息共享、投诉处理机制，以及行业公约、黑白名单、自律检查、违规约束等自律管理。

互金协会秘书长卢树春11月18日在2019北京国际金融安全论坛上指出，正在按照《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》的要求，积极履行加强客户端软件行业自律管理的责任，率先进行App实名备案。

解释:

《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》不仅加强了金融行业的监管，还明确了保险、证券、基金乃至互联网金融行业的安全建设标准，真正落实了金融领域的个人信息安全管理。金融企业需要根据资金交易、信息采集和咨询查询的不同业务场景，区分自身移动金融客户端应用软件的定位，按照相关技术和管理要求实施。对于行业检测机构来说，如何按照人民银行的要求实现移动金融客户端软件的合规性认证，也是检测机构面临的挑战。

事件六:工信部关于开展App侵害用户权益专项整治的通知& # 8211；加强行业监管，提高金融客户端应用软件的安全标准。

事件:

11月4日，工信部发布《关于开展App侵害用户权益专项整治工作的通知》，针对App非法收集个人信息、过度主张权利、频繁骚扰用户等问题，开展信息通信领域APP侵害用户权益专项整治行动。此次整治行动针对两个主要对象:App服务商和App分发服务商。重点整治非法收集用户个人信息、非法使用用户个人信息、不合理请求用户权限、用户账号注销障碍等四个方面八个突出问题。

解释:

此次组织开展的App侵害用户权益专项整治，重点针对用户关心的八类问题进行监督检查和规范整改。一方面，推动App服务商、App分发服务商自查自纠，及时整改；另一方面，综合运用技术检测检验、社会监督、用户和专家评议等手段，充分发挥第三方机构、媒体和用户的联合监督作用，构建政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑的全方位综合监督体系。

工业和信息化部将根据法律法规处理有问题的应用程序。具体措施包括责令整改、向社会公告、组织app下架、停止App接入服务、将受到行政处罚的违规者纳入电信业务经营不良名单或失信名单等。

事件7:金融科技发展规划(2012021)& # 8211；加强网络安全风险控制和金融信息保护的顶层金融设计。

事件:

8月23日，中国人民银行发布《金融科技发展规划(2012021年)》全文(银发[2019]209号)。《规划》要求，到2021年，建立健全我国金融科技发展的“四大支柱、八大支柱”，进一步提升金融科技应用能力，实现金融与科技深度融合、协同发展，明显提升人民群众对数字化、网络化、智能化金融产品和服务的满意度，推动我国金融科技发展达到国际领先水平。

为实现六大发展目标，规划提出了六项重点任务，重点任务下的具体要求包括27项。六大重点任务如下:一是加强金融科技战略部署；二是加强金融科技的合理应用；三是赋能金融服务提质增效；四是加强金融风险的技术防御能力；第五，加强金融科技监管；第六，夯实金融科技基础支撑，不断完善金融科技产业生态。

解释:

《规划》是首个由央行单独发布的金融科技顶层设计文件，对行业未来三年的发展具有很强的指导意义。规划提出，加强金融科技合理应用，以重点突破推动整体发展，加强网络安全风险管控和金融信息保护，做好新技术应用风险防范，牢牢守住不发生系统性金融风险的底线。

《方案》第三章第十五条和第二十一条明确了金融业务安全风险防范的重要性，将智能风控嵌入业务流程，实现可疑交易自动拦截和风险应急处置，提高风险防控的时效性。建设统一的金融风险监测平台，引导金融机构加强金融领域App和门户网站的实名登记制度和安全管理，提升网上银行、手机银行、直销银行等业务系统的安全监测和防护水平，增强对假冒App和钓鱼网站的识别和处理能力。提升穿透式监管能力，引导金融机构积极配合实施穿透式监管，通过系统接口准确上传业务数据，合理应用信息技术加强合规风险监控，提升智能化、自动化合规能力和水平，持续有效满足金融监管要求。

事件八:关于引导和规范教育移动互联网应用有序健康发展的意见& # 8211；引导教育App推动“互联网+教育”有序健康发展

事件:

2019年9月5日——日前，教育部等八部门发布《关于引导和规范教育移动互联网应用有序健康发展的意见》(以下简称《意见》)。《意见》对教育App的内涵和外延进行了界定，提出教育App是以教师、学生、家长为主要用户，以教育学习为主要应用场景，服务于学校教学管理、学生学习生活、家校互动的App。

《意见》规范的教育类app大致可分为三类:市场竞争、师生自主选择；学校合作、学校组织和申请；学校自主开发并部署在校内使用。《意见》明确APP准入程序，提升供给质量。从供给侧出发，对教育类App提供者提出明确要求。

一是建立备案制度。按照全国统一标准，各省分别实施，企业属地备案原则建立备案机制，为事中事后监管提供支撑。二是加强内容建设。明确内容应符合国家法律法规，符合党的教育方针，体现素质教育导向，规范未成年人保护和服务提供者。三是规范数据管理。严格控制数据采集和使用范围，严禁强制用户授权提供个人隐私信息。四是保障网络安全。严格落实网络安全法，推动建立安全审计认证，切实保障师生切身利益。

解释:

《意见》明确了教育App监管的标准，在内容管理、数据规范、安全等方面划出了红线，指明了方向。教育App还在发展阶段，对教育App的认识也在不断加深。教育部主管部门今后将加强与职能部门、专业机构、行业协会、企业的合作，建立常态化的监测通报和预警机制，及时发现通报隐患，督促整改，及时反馈。

落实互联网+的监管要求，与网信、电信、公安、市场监管、“扫黄打非”等部门开展联合监管，发挥教育类App提供者、App分发平台、移动终端厂商的主体作用。规范行业管理，规范行业自律，建立反馈和投诉举报渠道，发挥专业机构、专家和家长的主体责任，加强社会监督，形成长效监督机制。

事件九:《电信和互联网行业提升网络数据安全保护能力专项行动计划》——工信部[2019]42号，电信行业深度抓App数据安全，着手建立网络数据安全保障体系。

事件:

2019年7月1日，工业和信息化部办公厅印发《电信和互联网行业提升网络数据安全防护能力专项行动方案》，要求电信行业各单位通过集中开展数据安全合规评估、专项治理和监督检查，督促基础电信企业和重点互联网企业加强网络数据安全全过程管理，及时整改消除重大数据泄露、滥用等安全隐患。行动涉及所有基础电信企业(含专业公司)、50家重点互联网企业和200家主流App数据安全检查，深化App违规专项治理。

解释:

《行动》明确提出了网络数据资源的“清查”管理。开展电信和重点互联网企业网络数据资源研究，根据网络数据的重要敏感性和泄露滥用可能造成的危害，研究形成行业网络数据保护目录，选择重点企业开展试点应用。指导试点企业建立内部网络数据清单和数据分类分级管理制度，对列入目录的网络数据实施重点保护。

深化App违规专项治理。继续推进App违法违规收集使用个人信息专项行动，组织第三方测评机构开展App安全滚动测评，及时下架并公开曝光在网络数据安全、用户信息保护等方面存在违法违规行为的App。组织开展应用商店安全责任专项部署，督促应用商店落实app运营者信息核查、App安全检测、非法App下架等责任。

事件十:《教育移动互联网应用备案管理办法》——落实主体责任，建立长效监管机制

事件:

2019年11月22日，教育部办公厅发布《教育移动互联网应用备案管理办法》(以下简称《办法》)。要求各单位于2019年12月1日至2020年1月31日完成现有教育移动应用的备案工作。2020年2月1日起，公共服务系统向社会提供备案信息查询，接受社会监督。到2020年底，建立健全教育移动应用管理制度、规范和标准，形成常态化监管机制，初步构建科学高效的治理体系。

解释:

第一，明确主体责任。教育行政部门和学校是本单位自主开发教育移动应用的主管单位，是选择第三方教育移动应用的责任单位。将教育类移动应用、微信官方账号、小程序等移动互联网平台纳入本单位重要议事日程，进行部署。按照“谁主管、谁负责开发、谁负责遴选”的原则，建立健全教育移动应用管理责任制，切实维护师生和家长的切身利益。

第二，保证网络安全。方法要求应用商店等移动应用分发平台提供者加强教育移动应用的审核管理，建立开发者信息登记制度，对教育移动应用进行安全审核，及时处理非法教育移动应用。鼓励教育移动应用提供商参与网络安全认证和测试，全面提升网络安全水平。

声明:内容和图片转载自“FreeBuf”。如涉及侵权，请告知，我们将尽快删除。

这几篇文章你可能也喜欢：

• 个人信息保护法即将出台！有保护隐私的法律(个人信息保护法，隐私权)

本文由主机参考刊发，转载请注明：盘点2019年最具影响力的十大移动应用安全事件(2019年最具影响力的十大移动应用安全事件有哪些) https://zhujicankao.com/85840.html