数据安全每周观察|扫码点餐个人信息保护要求公开征求意见

政策趋势

一、《网络安全标准实践指南——扫码点餐个人信息保护要求（征求意见稿）》公开征求意见

为指导餐饮商家规范扫码点餐服务个人信息处理活动，减少因扫码点餐造成的个人权益损害问题，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——扫码点餐个人信息保护要求（征求意见稿）》，现面向社会公开征求意见。

《指南》依据法律法规和政策标准要求，针对当前扫码点餐过程中餐饮商家超范围收集个人信息等问题，给出了扫码点餐个人信息保护实践指引，旨在规范扫码点餐处理个人信息行为、减少因扫码点餐造成的个人权益损害问题。

《指南》强调，餐饮商家自行开发、运维扫码点餐小程序并面向餐饮用户提供扫码点餐服务的，应制定扫码点餐小程序个人信息处理规则；在餐饮用户首次使用扫码点餐服务时，应以弹窗的形式向餐饮用户明示个人信息处理规则，并由餐饮用户主动勾选同意个人信息处理规则。应采用弹窗的形式向餐饮用户明示权限申请目的、使用场景；应仅向餐饮用户收集满足所提供服务所需的最少必要个人信息；应建立个人信息投诉举报管理机制和跟踪流程，并在不超过十五个工作日内对投诉进行响应；使用扫码点餐服务过程中，应由用户主动选择使用关注公众号、注册会员等附加服务。

面向餐饮商家或第三方提供餐饮服务小程序配置的平台，应在小程序开发者使用开发平台前对其资质进行审核；在小程序上线前对小程序个人信息处理规则进行审核；应在小程序上线前对小程序进行个人信息安全检测，重点检测超范围收集个人信息、未经同意向第三方提供个人信息、强制索权等方面；在小程序上线后对小程序持续监督、定期抽查，抽查内容包括但不限于：小程序个人信息处理规则、小程序个人信息安全保护情况；应对违规小程序不予上架并要求小程序运营者限期整改，情节严重或超期未整改的，应采取永久下架、取消开发者资质等处置手段。

二、关于发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》的通知

为解决移动智能终端摇一摇广告乱跳转问题，规范摇一摇广告的展示和触发行为，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——摇一摇广告触发行为安全要求》。

《指南》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求，适用于规范摇一摇广告的展示和触发行为，也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。

App 运营者和第三方广告 SDK 运营者提供摇一摇广告触发及相 关功能时，应符合第三方广告 SDK 运营者设置显著的摇动手机图标、动画，或 者包含“摇动”等文字引导语清晰明确用户需要执行的操作；第三方广告 SDK 运营者清晰明确说明用户在执行相应的操作或完成指定的动作后可能引发的结果； App 运营者自行提供摇一摇广告的，遵守对第三方广告 SDK 运营者提出的要求等要求。

三、国家卫健委提出全国数智健康建设“4128”规划

近日，第十九届中国卫生信息技术/健康医疗大数据应用交流大会（2025 CHITEC）在郑州成功召开。会上，国家卫生健康委统计信息中心明确提出，以“4128”为架构推进全国数智健康建设。

“4128”即四个目标、一套体系、两级部署、八项支撑保障。四个目标，即“便民、助医、辅政、促研”；一套体系，即统一规划设计、统一标准规范、统一应用场景“三统一”，以及统筹项目管理、统筹数据治理、统筹信息安全“三统筹”；两级部署，即推进国家和省两级统筹智慧健康服务平台的建设和应用部署；八项支撑，即完善信息技术、数据资源、数据应用、基础设施、网络安全、人工智能、信息标准、人才队伍八大支撑保障，并从提升参谋助手能力、凝聚共识形成工作合力、厚植卫生健康数智化素养等方面对下一步工作进行了展望，为行业发展指明了方向。

其中，在网络安全支撑上，指导网络安全建设、强化数据安全管理、探索新技术应用安全等，筑牢行业防御基础，保障创新安全可控。在信息标准支撑上，组织制定国家卫生信息标准体系规划，组织开展标准开发、应用推广与测评；围绕核心业务构建“新标准篮子”；围绕核心数据完成度、网络与数据安全等级、检查检验结果共享水平等，打造互联互通测评Ⅱ阶方案；测算全国地级市城市智慧健康发展指数；推动标准国际化等。

四、公安部印发实施《关于依法打击知识产权犯罪服务高质量发展的意见》

近日，公安部为深入贯彻落实党中央决策部署，认真落实《中共中央关于推进公安工作现代化的意见》的要求，高标准做好知识产权保护工作，高质量服务经济社会发展，印发实施《关于依法打击知识产权犯罪服务高质量发展的意见》。

《意见》明确，要向保护科技创新精准发力，深入开展防范打击商业秘密犯罪“安芯”专项工作，依法严厉打击侵犯商业秘密犯罪，助力因地制宜发展新质生产力。要向推动产业发展精准发力，依法严厉打击制造业、生产性服务业、消费品领域侵权假冒犯罪，助推现代化产业体系建设。要向促进文化繁荣精准发力，依法严厉打击各类侵权盗版犯罪，促进文化产业创新发展。要向守护民生安全精准发力，依法严厉打击食品药品领域多发性犯罪，消防器材、建筑材料、电气设备等领域危害生产生活安全的假冒伪劣犯罪，涉种子、化肥等套牌侵权犯罪，以及制售假烟犯罪，坚决维护人民群众生命健康安全。

《意见》强调，要加强法制建设，实现打击知识产权犯罪工作与科技、产业和经贸等战略部署、重大任务政策协同、目标协同。要严格执行接报案与立案、跨省涉企案件管辖、强制措施适用、涉案财物查封扣押冻结、异地办案协作等规定，提升专业化、规范化执法水平。要深入开展涉企执法突出问题专项治理，加强办案质效评估和执法质量监督。要会同有关部门完善鉴定检验工作制度，建立跨部门专家共享制度，带动提升侦查办案能力水平。

《意见》要求，要全面构建职能科学、事权清晰、指挥顺畅、运行高效的知识产权犯罪侦查机构职能体系，做专做强专业力量。要常态化开展培训练兵，建好用好专家人才队伍，提升专业能力。要依托新型警务运行模式，构建高效协同的工作格局，深化全方位、各领域、多层次警务协作。要推进大数据智能化建设应用，加快提升知识产权保护工作智能化数据化水平。

五、2025年数字厦门工作要点印发

近日，厦门市推进政府职能转变和数字政府建设领导小组办公室关于印发2025年数字厦门工作要点的通知。

《要点》强调，要筑牢安全屏障。加快网络安全协调指挥一体化平台建设，构建全市一体化防护体系。统筹开展云网数安一体化运维监管，定期开展数据安全“体检”，强化数据全生命周期审计。做好互联网企业生成式人工智能服务和区块链备案核查工作。协同推进信创替代和商用密码应用，健全运维服务和应用支撑保障体系，做到政务信息系统“无信创不立项，无商密不验收”。

六、国内首个公共信用数据授权运营专项政策出台

近日，永州市数据局官网发布了《永州市公共信用数据授权运营管理办法（试行）》，该办法已于7月14日正式实施，是国内首个针对公共信用数据授权运营的规范性文件。

《办法》根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《国家发展和改革委国家数据局关于印发<公共数据资源授权运营实施规范（试行）>的通知》（发改数据规〔2025〕27号）以及国家和省关于公共数据授权运营、信用体系建设的相关政策法规制定，旨在规范永州市公共信用数据授权运营管理，充分发挥公共信用数据价值，推动信用体系建设，促进数字经济发展。

《办法》规定，公共信用数据授权运营遵循统筹规划、依法合规、公平公正、合理收益、安全可控的原则，在确保国家安全、公共安全和保护个人信息、商业秘密的前提下，按照“原始数据不出域、数据可用不可见”的要求，向社会提供数据产品和服务。

各级数据管理部门加强信用数据授权运营工作的安全和监督管理，防止数据泄露、篡改、丢失等安全事件的发生，定期会同发改、财政、公安、网信、市场监管等部门，对授权运营机构的协议执行合规性、数据安全措施落实、信息披露、财务收支合法性进行年度监督检查，发现问题及时要求运营机构整改。

授权运营机构承担信用数据安全主体责任，授权运营机构主要负责人是授权运营安全合规的第一责任人。授权运营机构应严格遵守数据安全、个人信息保护、反垄断和不正当竞争等有关法律和法规规定，建立健全安全管理制度，加强内控管理、技术管理和人员管理，防止数据被非法获取、篡改、泄露或不当利用。不得超授权范围使用公共信用信息数据，加强对数据服务商的监管，严防数据加工、处理、运营、服务等各环节的数据安全风险。

授权运营机构应当及时处置系统漏洞、计算机病毒、网络攻击和入侵、数据泄露等危害网络及数据安全的风险。制定应急预案，明确应急事件处理预案和安全响应流程，定期组织开展安全和应急演练。在运营期内发现存在数据安全隐患或其它不安全因素，应第一时间向实施机构和数据管理部门上报，并密切配合数据管理部门做好安全事件的处置及调查工作，积极采取措施消除安全隐患。运营机构发生造成数据泄露等安全事件的，应当承担法律责任。

七、山东发布国内首个省级数据交易规范指引

近日，山东省大数据局印发了《山东省数据交易规范指引（试行）》，是国内首个省级数据交易规范指引。

《指引》根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规和有关政策规定，结合实际制定，旨在规范数据交易行为，促进数据合规高效流通使用。

《指引》规定，数据供需双方应当采取必要的技术和管理措施，保障数据安全，防止数据泄露、丢失或被非法访问；在发生数据泄露或其他安全事件时，应当立即采取补救措施，并及时向相对方通报事件详情和所采取的应急措施。

数据交易机构应当采用安全可靠技术建立安全可信的交易环境，保障数据交易全过程安全可控；对交付过程进行监督管理，必要时对交易标的进行查验，发现存在违法违规行为的应当中止交易。

八、云南启动数据资产全过程管理试点工作

近日，云南省财政厅联合云南省数据局、云南省国资委印发《云南省数据资产全过程管理试点方案》，将通过制度创新打通数据资源到资产的转化路径，建立健全数据资产授权运营、流通交易、收益分配制度体系，探索数据资产融资变现新模式。根据《方案》，云南省将组织试点单位全面清查盘点单位数据资源情况和编制数据资产台账，探索建立数据标准，形成公共数据资产目录清单。

省财政厅资产管理处相关负责人介绍，确权是数据资产计入企业财务报表的前提，通过将数据资产确权入表，推动数据从“费用化”转向“资本化”。确权证书可以作为数据资产的“信用凭证”，助力企业通过质押融资、证券化等方式盘活数据资源，促进实现融资和变现。

为促进数据资产价值实现，云南省还将探索建立公共数据资产政府指导定价机制或评估定价、市场交易定价等多样化价格形成机制。加强供需对接，鼓励行政事业单位、国有企业在数据交易机构挂牌登记和场内公开交易，促进数据资产有效流通、价值实现。同时，探索数据资产收益分配机制，探索完善数据资产全生命周期管理制度，全面规范数据资产管理行为。

监管动态

一、33款App违法违规收集使用个人信息被通报

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，33款移动应用存在违法违规收集使用个人信息情况。

1.未公开收集使用规则。涉及《比陌》（1.1.2，百度手机助手）1款移动应用。

2.未逐一列出收集、使用个人信息的目的、方式、范围。涉及《映客直播》（9.7.25，华为应用市场）、《悦享家生活》（9.7.1，华为应用市场）等14款移动应用。

3.在申请打开可收集个人信息的权限时，未同步告知用户其目的。涉及《即陌》（1.0.12.2，豌豆荚）1款移动应用。

4.在申请收集用户等个人敏感信息时，未同步告知用户其目的。涉及《Nico》（8.32.2，VIVO应用商店）1款移动应用。

5.征得用户同意前就开始收集个人信息。涉及《零售云》（8.32.0，VIVO应用商店）、《一起作业》（3.8.24.10009，VIVO应用商店）等3款移动应用。

6.实际收集的个人信息超出用户授权范围。涉及《宝宝树孕育》（9.91.2，华为应用市场）、《花生日记》（6.3.0，小米应用商店）等14款移动应用。

7.配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及《宝宝树孕育》（9.91.2，华为应用市场）、《陌生》（1.1.0，华为应用市场）等3款移动应用。

8.实际收集的个人信息超出相关功能的必要范围。涉及《花生日记》（6.3.0，小米应用商店）、《附近陌生人欢聊》（3.0.2，OPPO软件商店）等3款移动应用。

9.实际收集个人信息的频率超出相关功能的必要范围。涉及《得间免费小说》（5.4.2.1，华为应用市场）、《糖豆》（8.5.3，华为应用市场）等14款移动应用。

10.提前要求用户打开非当前功能所需的可收集个人信息权限。涉及《万能遥控》（7.1.5，应用宝）、《Nico》（8.32.2，VIVO应用商店）等5款移动应用。

11.强制要求用户打开非必要的可收集个人信息权限。涉及《爱文漂流瓶》（2.0.3，VIVO应用商店）、《扫描全能王》（6.91.0.2507020000，VIVO应用商店）2款移动应用。

12.强制要求用户提供非必要的个人信息。涉及《Nico》（8.32.2，VIVO应用商店）、《爱文漂流瓶》（2.0.3，VIVO应用商店）2款移动应用。

13.广告存在误导、欺骗用户行为。涉及《随手电筒》（7.0.3，应用宝）、《小伴龙》（10.3.6，小米应用商店）等3款移动应用。

二、最高检发布电商犯罪三大典型案例

近日消息，2024年1月至2025年6月，全国检察机关起诉涉电商领域相关犯罪1万余人。涉电商犯罪领域有三种情形值得重点关注。一是利用电商平台销售假冒伪劣商品屡禁不止。二是电商领域公民个人信息泄露问题较为突出。三是依托电商直播实施的诈骗需警惕。

其中，公民个人泄露问题方面，电商行业涉及通信、物流、零售、互联网等各个领域，掌握大量公民个人信息。在利益驱使下，部分从业者违规获取个人信息并非法出售、提供。如检察机关办理的成某某侵犯公民个人信息案。成某某利用任职某公司电商业务部的职务便利，多次将其在工作中获取的30余万条跨境购物订单信息出售给他人。又如检察机关办理的张某某侵犯公民个人信息案。张某某利用担任某科技公司信息安全负责人的职务便利，将公司后台电商平台的大量购物缓存数据导出后出售。

三、人保支付因未按规定履行数据安全保护义务等被罚104万元

近日，中国人民银行重庆市分行行政处罚决定信息公示表显示，人保支付科技(重庆)有限公司违反账户管理规定，未按规定履行数据安全保护义务，未按规定履行客户身份识别义务，受到警告，通报批评，没收违法所得3698元，并处104万元罚款。

四、国安部通报某科研机构人员违规使用 AI 软件导致泄密等典型案例

近日，国家安全部通报了几起泄密典型案例。

1.随意谈论涉密工作。小田是某涉密单位工作人员，在一次赴同事家做客闲聊时，随意谈论自己参与的某重大涉密项目进展情况，不料被同事家人在其他房间听到，并将相关信息发到网上，造成国家秘密泄露。事后，小田及相关责任人受到党纪政务处分。

2.违规使用 AI 工具。小李是某科研机构研究人员，在撰写一份研究报告时，为图方便，使用了某 AI 应用软件，擅自将核心数据及实验成果作为写作素材进行上传，导致该研究领域涉密信息泄露。事后，小李受到严肃处理。

3.社交媒体炫耀涉密信息。小蒋是某机关新入职干部，按照工作安排，参加有关会议并领取一份秘密级文件。出于炫耀心理，他将该文件首页拍照并在微信朋友圈发布，造成泄密。事后，小蒋被给予党纪政务处分。

五、“开盒挂人”致用户遭网暴 平台被判赔

近日，北京互联网法院审结一起社交平台“开盒挂人”案件，判定发布侵权内容的用户及未尽到信息安全保障义务的平台均须承担侵权责任。

经调查，因对明星赛事结果有不同认识产生争议，2023年10月，本案被告张某在某社交平台发布了多条内容，将郑某某的社交平台账号与其对应的注册手机号、姓名、身份证照片等个人信息公开，配以人身攻击性质的侮辱性言论，并煽动网友网暴，导致郑某某收到大量恶评、验证码短信骚扰。此外，张某还对其他多名平台用户实施类似“开盒”行为。被“开盒”的郑某某投诉后，平台将相关内容设为“私密”或删除，未采取进一步措施。

个人信息保护法第六十九条第一款规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。我国个人信息保护法规定个人信息侵权责任适用过错推定，因此，在没有相反证据的情况下，能够推定被告某科技公司作为个人信息处理者泄露了包括原告在内的多名用户的个人信息，在数据安全管理上存在漏洞，未尽到个人信息安全保障义务，应当承担泄露用户个人信息的侵权责任。

六、某知名二手交易平台数据遭窃 上万台手机险被低价拍卖

近日，上海市公安局杨浦分局披露，依托“网桥行动”警企协作机制侦破一起非法获取计算机信息系统数据案，抓获犯罪嫌疑人3名，涉案金额达10万余元。

今年5月，某知名二手电子产品回收交易平台公司负责人报案称该公司的竞拍平台遭受网络攻击，大量二手智能手机的参数和定价后台数据被盗取，导致竞拍平台无法交易，被迫关停，平台正常的交易秩序受到严重影响。据调查，民警发现，数据竟是由公司员工廖某和刚离职不久的彭某账号登录获取的。通过对近20万条后台数据进行梳理和筛查，进一步查明了被盗数据攻击源均指向一私有后台管理网站，而该网站的负责人系胡某。5月8日，在充分掌握了犯罪嫌疑人胡某、廖某和彭某的犯罪证据后，在当地警方支持下，民警赴多省市将3人成功抓获。 经审讯，3人如实供述了自己的犯罪行为。据胡某交代，其长期从事二手手机维修业务，并于2022年在业务往来中结识了当时在二手电子产品交易平台工作的彭某和廖某。胡某在使用平台交易时，发现平台系统存在交易漏洞，便向两人支付一笔费用，“借用”员工登录账号，非法获取了内部权限及访问通道。随后利用搭建的管理网站非法“爬取”平台服务器，获取了1万余份包含手机外观、电池健康等机况信息的二手机质检报告。凭借提前掌握的手机真实状况，胡某得以在平台上以低于市场价格购得优质手机，再通过其他二手平台加价出售，非法获利近10万元。

目前，犯罪嫌疑人胡某因涉嫌非法获取计算机信息系统数据罪被检察机关依法批准逮捕；犯罪嫌疑人彭某、廖某被杨浦警方依法采取刑事强制措施。民警已指导企业对相关网络漏洞进行修复，加强系统防护，全面排查整改安全隐患，避免再次造成损失。

七、法国Pôle emploi大规模信息泄漏，揭示第三方服务商安全短板

近日，法国就业机构Pôle emploi宣布发生大规模数据泄露事件，可能影响多达4300万名求职者和前求职者个人信息。此次泄露涉及姓名、社会保险号码、出生日期、电子邮件地址、邮政地址和电话号码等敏感数据。Pôle emploi表示，尽管账户访问凭证和银行信息未被泄露，但泄露规模巨大，影响范围覆盖当前和近年内与该机构有业务往来的大部分民众。

目前，尚无迹象表明这些被泄露数据已被用于身份盗窃或其他网络犯罪，但有关部门警告受影响用户加强对钓鱼邮件、电话诈骗等欺诈行为的警惕。据安全专家初步分析，攻击者极有可能通过入侵第三方IT服务供应商实现数据非法访问。Pôle emploi官网已发布应急指引，提醒用户警惕可疑电子邮件与信息，建议采取诸如更换重要密码、开启双因素认证等安全措施。此次事件再度凸显供应链安全管理的重要性和个人数据保护的严峻挑战，也促使相关机构加大对外包合作方的安全审查力度。

八、澳洲时尚品牌Sabo逾61万客户数据遭泄露

澳大利亚知名时尚品牌Sabo近期遭遇大规模数据泄露事件，其超过61万条客户记录被曝光。据安全研究人员披露，这批数据于2024年6月15日在黑客论坛免费发布，内容包括客户全名、电子邮箱、电话号码、实际地址、订单、账户ID等敏感信息。泄露发生后，Sabo方面尚未对事件做出公开声明，亦未证实具体泄露原因。

据了解，泄露数据库原始文件大小为306 MB，解压后数据逾1.2 GB，显示出此次事件影响范围极广。此类敏感信息一旦落入不法分子手中，客户将面临身份盗用、金融诈骗及定向钓鱼攻击等多重威胁。安全分析人士警告，包含个人可识别信息（PII）的大型泄露不但削弱企业声誉，也可能引发监管层面的调查与处罚。

九、世界知名黑客组织勒索Dell：大规模数据泄露引金融及安全警示

全球知名科技企业Dell近日证实，其用于客户演示的Dell Demo平台遭受黑客组织World Leaks入侵。该组织在暗网上发布声明，声称已窃取了49GB数据，并将这些数据归类为“极高敏感度”。World Leaks威胁Dell支付赎金，否则将公布这批数据。官方调查显示，受影响平台为Dell一套独立于主生产系统的演示环境，主要用于客户及合作伙伴测试产品或服务。

根据World Leaks的披露，泄露数据包含大量文件、数据库和截图，其中或涉及内部凭证、技术文档甚至安全架构信息。虽Dell强调此次事件未影响主生产环境及客户核心数据，但安全专家警示，这类演示环境往往存在安全防护不足且存放真实数据的风险。一旦这些资源被黑客利用，不仅可能导致后续的网络攻击，还可能危及客户及合作伙伴机密。

十、泰国劳工部遭勒索软件攻击，超300G敏感数据或泄露

日前，泰国劳工部（MOL）对外发布公告，确认遭遇勒索组织DevMan的攻击。公告内容显示，勒索组织入侵并篡改了劳工部系统，并窃取了超300GB敏感数据，包括公民记录、访客信息和机密文件。此外，该勒索组织向劳工部索要1500万美元赎金以换取不在网上公开这些数据。

劳工部是泰国政府的核心机构之一，存储着大量公民和外籍劳工的敏感信息，负责全国公民的劳动关系、社会保障和就业服务等重要工作。勒索组织早在2个月前就已成功入侵劳工部系统，并控制了多台服务器，持续收集敏感数据。公告还证实，有约2000台办公笔记本电脑被加密，所有磁带备份均被销毁，恢复可能性极低。

业界之声

一、关于征集第一批人工智能安全标准实践指南参编单位的通知

为切实做好人工智能安全标准实践指南编制工作，提高人工智能安全标准化水平，全国网络安全标准化技术委员会秘书处现集中组织开展第一批人工智能安全标准实践指南参编单位征集工作。

二、《可信数据空间标准化研究报告》评审会在京成功召开

为落实《全国数据标准化技术委员会2024—2025年工作要点》的重点工作部署，加快推进可信数据空间建设。近日，全国数据标准化技术委员会秘书处在北京组织召开《可信数据空间标准化研究报告》评审会。

会上，全国数标委秘书处向评审组介绍了报告的相关工作情况。报告系统梳理了国内外可信数据空间发展现状与趋势，构建了包含基础通用、功能技术、业务运营、应用服务、安全保障及能力评价6方面的可信数据空间标准体系。评审组充分肯定了报告的研究深度、实用价值和前瞻性，一致同意报告通过评审。

下一步，全国数标委秘书处将根据评审意见修订完善，并加快推动报告面向社会公开征求意见，为可信数据空间建设提供有力标准化支撑。

三、重庆市委网信办举办个人信息保护政策法规宣讲首场活动

宣讲会上，有关专家围绕《人脸识别技术应用安全管理办法》进行详细解读，结合金融支付、智慧社区等场景案例，剖析技术滥用风险点，并现场解答应用人脸识别技术备案流程、数据存储、用户授权等问题。此次培训既明确了应用人脸识别技术处理人脸信息的红线底线，也提出了具有较强操作性的解决方案，为行业合规健康发展奠定了法律法规基础。设注入法治动能。

宣讲会上，有关专家围绕《人脸识别技术应用安全管理办法》进行详细解读，结合金融支付、智慧社区等场景案例，剖析技术滥用风险点，并现场解答应用人脸识别技术备案流程、数据存储、用户授权等问题。此次培训既明确了应用人脸识别技术处理人脸信息的红线底线，也提出了具有较强操作性的解决方案，为行业合规健康发展奠定了法律法规基础。

市委网信办相关负责人指出，人脸识别技术应用必须遵循《个人信息保护法》明确的合法性、必要性和最小化原则，要加强人脸信息收集、存储、传输、使用、销毁等全生命周期监管。合规不仅是个人信息处理者的责任和法定义务，更是提升用户信任、增强市场竞争力的有效路径。

四、北京市如何做好民生消费领域个人信息保护？

近日，中国网信杂志发表文章《北京市如何做好民生消费领域个人信息保护？》。

文章指出，为破解个人信息被“过度采、强制要、诱导取、违规用”等现实难题，坚决维护人民群众个人信息安全，全面展示首都城市服务治理水平，近年来，北京聚焦民生消费领域各类侵权问题，坚持系统观念、创新思维，强化部门协同、市区联动，突出标本兼治、常态长效，注重绵绵用力、久久为功，扎实推动民生消费领域个人信息保护专项整治不断取得新成效。

文章强调，北京市坚持聚焦扩面增效，坚持善作善成，构建个人信息治理全新格局。民生消费类应用程序呈现行业领域众多、主体多元复杂、建管分离等特点，不断健全个人信息保护综合治理体系、持续扩大治理覆盖范围是确保群众个人信息权益得到有效保障的重要基础。坚持动态拓展领域。选取扫码点餐、线上诊疗、运动健身等11个领域应用程序进一步开展整治。同时，将个人信息保护纳入行业日常监管，北京市住建委完善行业自律公约，北京市交通委修订行业准入标准，北京市教委将个人信息保护情况纳入教育培训机构年检，北京市文旅局建立酒店住宿领域应用程序底数台账，有效促进个人信息保护工作融入日常、抓在经常。深化融合监管。同步落实《人脸识别技术应用安全管理办法》，将人脸识别技术规范作为下一阶段民生消费领域个人信息保护专项整治重点，摸排应用场景，建立监管台账，实施精准化问题治理，构建企业自律、行业监管、公众监督的多维共治格局，切实保障生物识别特征等敏感个人信息权益。

五、上海市委网信办：多点发力 协同联动 共筑个人信息保护防线

近日，中国网信杂志发布了来自上海市委网信办的文章《多点发力 协同联动 共筑个人信息保护防线》。

文章强调，自2025年3月中央网信办、工业和信息化部、公安部、市场监管总局联合开展2025年个人信息保护系列专项行动以来，各地区按照部署扎实推进各项工作，切实维护人民群众在网络空间合法权益，着力提升人民群众满意度、获得感。上海深入贯彻党中央决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求，坚持统筹发展和安全，全面加强个人信息保护，切实维护公民在网络空间的合法权益，提升广大人民群众在网络空间的获得感、幸福感、安全感。

其中，强化制度保障方面，发布《上海市数据条例》，明确个人信息保护监管职责，设立“个人信息特别保护”专节，进一步细化个人信息处理原则及具体要求。发布《关于加强本市网络数据安全工作的指导意见》，提出“广大人民群众的个人信息得到切实保护”的工作目标，推动个人信息保护指导监管及主体责任落实，部署深化个人信息专项治理等工作任务。落实《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》等相关法律法规要求，修订《网络安全绩效标准》，为开展个人信息保护绩效审计提供参考。

压实保护责任方面，及时通报涉及个人信息违法违规收集使用、个人信息泄露事件等情况，并抄送行业主管监管部门或属地区委网信办，督促整改情况作为网络安全管理考核的重要指标，纳入市管党政领导班子绩效考核。上海市审计局将“网络安全和信息化审计”作为重要审计事项纳入地方、部门、国企经济责任审计以及市级部门预算执行审计，设计包含网络安全责任制落实、个人信息保护等内容的《网络安全和信息化审计调查表》，明确审计关注的重点和要求。

提升个人信息处理活动合规水平方面，聚焦政务、金融、卫健、互联网等行业领域个人信息处理活动，完成网络数据安全风险评估试点。梳理排摸属地处理1000万以上个人信息的网络数据处理者底数，选取部分数据处理者先行开展数据安全风险评估。规范“一网通办”个人信息处理活动，遵循合法、诚信、正当、必要的基本原则制定用户隐私政策，定期组织个人信息处理相关规程培训和专项检查。推荐企业参与国家标准《数据安全技术 个人信息保护合规审计要求》试点验证，为推进个人信息合规审计工作积累宝贵经验。推进网络身份认证公共服务试点建设，落实网络实名管理要求，逐步构建可信数字身份监管体系，有效防范公民个人信息泄露风险。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。