【2025年网络安全宣传周】网络安全为人民，网络安全靠人民

（来源：长信基金）

一.《网络安全法》、《数据安全法》、

《个人信息保护法》 这些内容你要懂

《中华人民共和国网络安全法》：（以下简称《网络安全法》）

是我国第一部全面规范网络空间安全管理方面问题的基础性法律，由全国人民代表大会常务委员会于2016年11月7日公布，自2017年6月1日起施行。

1.《网络安全法》的基本原则是什么？

（1） 网络空间主权原则。网络空间主权是国家主权在网络空间中的自然延伸和表现，没有网络安全，就没有国家安全；

（2）网络安全与信息化发展并重原则。既要推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力，做到 “双轮驱动、两翼齐飞”；

（3）共同治理原则。网络空间安全保护需要政府、 企业、社会组织、技术社群和公民等网络利益相关者的共同参与。

2.《网络安全法》禁止哪些个人和组织的网络行为？

不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家，破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

3. 发现他人有危害网络安全的行为时，我们应该如何处理？

向网信、电信、公安等部门举报。

4. 发现网络运营者违反《网络安全法》相关规定，侵犯个人权益的，我们有哪些权利？

有权要求网络运营者删除个人信息，发现网络运营者收集、存储的个人信息有错误的，有权要求网络运营者予以更正。

《中华人民共和国数据安全法》

是我国数据领域的基础性法律，也是国家安全领域的一部重要法律，由全国人民代表大会常务委员会于2021年6月10日会议通过，自2021年9月1日起施行。

1.国家制定《数据安全法》的目的？

规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。

2. 数据处理的定义包括哪些处理活动？

数据处理包括收集、存储、使用、加工、传输、提供、公开等。

3. 遇到违反《数据安全法》条款的现象时如何投诉。

（1）任何个人、组织有权对违反本法规定的行为向有关主管部门投诉、举报；

（2）收到投诉，举报的部门应及时依法处理。

4.非法窃取或获取数据的个人、组织有哪些罚则？

将依照有关法律、行政法规的规定处罚。

《中华人民共和国个人信息保护法》

是一部保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用的法律。2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，2021年11月1日起施行。

1. 什么是个人信息？

指以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。

2. 敏感个人信息有哪些？

包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

3. 处理个人信息有几个原则。

（1）处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；

（2）处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；

（3）任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人 信息；不得从事危害国家安全、公共利益的个人信息处理活动。

4. 个人信息处理有"三最"。

（1）处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；

（2）收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；

（3）除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

二. 防范指南

1

钓鱼邮件升级

细心检查莫入圈套

(1)典型案例

在生成式AI兴起的潮流中，不法分子利用生成式AI技术制作高仿真度的钓鱼邮件，高度伪装成知名平台官方通知邮件，在邮件内容中制造紧迫感、鼓励诱使收件人点击恶意链接并输入账户信息。有不少亚马逊卖家称 收到伪装成亚马逊官方的钓鱼邮件，该邮件的发件地址与亚马逊官方高度相似，内容仿制官方通知风格，要求更新紧急联系人信息。按照邮件指引操作后，卖家会被引导至一个仿造的亚马逊网站，要求输入邮箱、密码及二次验证码，最终导致账户被盗用，重要账户信息被提取，有卖家在短短一夜之间损失高达40万。

(2)问题分析

受害者往往因为对品牌的信任，对官方通知风格的邮件缺乏足够的警惕，容易在紧迫感的驱使上，忽略安全性、真实性检查。随着生成式Al技术的兴起，钓鱼邮件生成手段日益翻新，不法分子利用Al技术降低制作虚假邮件等信息的成本和提高其逼真度，增加了钓鱼获取账户信息的成功率。

(3)法律法规

《中华人民共和国网络安全法》第四十八条规定:任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。

(4)防范指南

•增强安全意识，对任何要求输入敏感信息的邮件保持警惕，不轻信看似官方的邮件通知；

•对邮件的发件地址和邮件中的链接进行仔细检查，确认其是否指向真实的官方网站；

•启用多因素认证增加账户安全性，即使不法分子获取了登录信息也难以直接访问账户。

2

售卖数据牟利

违法侵害他人权益

(1)典型案例

媒体报道，一家名为“XX查”的平台正在大规模售卖企业家个人信息，号称覆盖数亿企业数据库，拥有亿条线索联系方式”。经与企业家本人或接近企业家的知情人士确认，核实到多位企业家手机号在该平台售卖，且均为其本人所有并正在使用。

(2)问题分析

随着数据价值不断提升，一些组织利用“大数据+超链分析”技术抓取、整合各平台信息，或向各大平台支付费用购买信息，违法收集售卖个人信息等数据牟取利益，侵害了个人权益和社会公共利益。

(3)法律法规

《中华人民共和国数据安全法》第三十二条规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

(4)防范指南

•不轻易在公开平台发布或在非正规活动平台填写真实个人信息；

•网上涉及个人信息的内容，要及时退出、删除痕迹或销毁; 对于长期不用的平台或网站，要及时取消授权、注销账号；

•未经个人同意，个人信息处理者不可公开或向他人提供其所获取的个人信息。

3

个人信息“裸奔”

个人信息保护措施须到位

(1)典型案例

很多企业在收集、存储、使用和传输个人信息的过程中，未能采取足够的安全措施，导致大量敏感个人信息处于未加密的“裸奔”状态，极易遭受非法访问和数据泄露。例如，某知名火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息;某知名房产中介收集的200万条用户数据中的20万条客户手机号码等个人信息;某知名培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。 网信部门根据前期检查、立案、约谈和调查询问的情况，对上述单位作出罚款的行政处罚。

(2)问题分析

属地网信部门通过现场检查发现，企业在个人信息保护方面仍存在“五类问题”:(1)在收集环节仍然存在强制要、过度取个人信息问题；(2)在存储环节大量个人信息未加密处于“裸奔”状态；(3)在使用传输环节企业随很多企业在收集、存储、使用和传输个人信息的过程中，未能采取 以授权放权管理不到位；(4)在管理制度上企业关于个人信息保护措施明显缺失；(5)在安全防护上网络信息系统存在安全漏洞等。

(3)法律法规

《中华人民共和国个人信息保护法》第五十一条规定，个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

(4)防范指南

•企业应制定和完善个人信息保护的内部管理制度和操作规程；

•采用加密技术对存储和传输的个人信息进行保护；

•严格按照法律法规的要求收集和使用个人信息，避免非法获取和滥用用户数据。

4

人脸识别滥用

强制“刷脸”须整治

(1)典型案例

某地游泳馆在更衣柜安装人脸识别设备，遭到用户投诉。网信部门与市场监管部门开展现场督查，发现商家在更衣室安装人脸识别设备与维护公共安全无关，督促商家就更衣室内安装人脸摄像头问题进行了整改，并对其运营主体进行了警告的行政处罚。经普法宣传，企业已认识到违法违规问题,将单独与用户签订授权人脸信息收集协议，并将在更衣室禁用人脸识别设备,改用发放芯片手环用于开柜 。

(2)问题分析

部分体育场馆、培训机构、商场超市等经营场景以办理业务、提升服务质量等名义要求消费者接受人脸识别技术验证个人身份，既没有向个人告知处理敏感个人信息的必要性，取得个人的单独同意，也没有对收集的敏感个人信息采取严格保护措施，进行个人信息保护影响评估。

(3)法律法规

《中华人民共和国个人信息保护法》第二十六条规定：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

(4)防范指南

•商家或平台增强个人信息保护法律意识，不违法违规滥用人脸识别设备；

•个人应提高警惕，增强隐私保护意识，使用前仔细阅读隐私政策和使用协议；

•发现商家或平台存在侵害用户隐私的行为，及时举报，捍卫权利。

5

深度合成AI换脸

保持警惕，确认核实，减少信息泄露

(1)典型案例

黄先生报警称其亲戚范先生收到一个与黄先生相同账号昵称和背景头像的"黄先生”好友验证信息，在通过之后，“黄先生"开启了视频通话，画面里正是黄先生本人在村里的场景，之后“黄先生”提出要向范先生借钱，范先生感觉这与黄先生日常的行为风格不符，便手机电话与黄先生进行确认，最后核实发现是人像，声音，场景完全一致的AI视频仿置行为。

(2)问题分析

不法分子通过搜集目标人物的亲友视频、照片、音频等素材，利用深度伪造技术生成逼真的AI换脸视频，合成音效模仿声音，以此冒充身份。

(3)法律法规

《互联网信息服务深度合成管理规定》第六条规定:任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息，不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。

(4)防范指南

•提高技术认知，了解AI换脸等深度伪造技术的原理和可能的诈骗手段；

•观察视频细节，注意观察视频中的人物是否有不自然的表情或动作，要求对方做一些特定的面部运动，如侧脸转向，面部遮挡、捏鼻子等，以辨识AI换脸的可能性；

•在未知来电时，先了解对方信息再开口，减少不必要的信息泄露。

6

网络暴力行为

防范抵制举报，维护良好网络环境

(1)典型案例

王某某、林某某等人因不满法院判决结果，在网上多次发布恶意编辑制作的视频贴文，非法收集并公开发布多名法官个人信息，通过电话”轰炸“辱骂法官，引发网民炒作攻击，严重危害社会秩序。目前，王某某等人已被公安机关依法采取刑事强制措施，案件正在进一步侦办中。

(2)问题分析

近年来网络暴力违法事件频发，网络暴力信息泛滥，致使部分当事人“社会性死亡”甚至精神失常、自杀，严重扰乱网络秩序、破坏网络生态，造成恶劣社会影响。

网络暴力信息，是指通过网络以文本、图像、音频、视频等形式对个人集中发布的，含有侮辱谩骂、造谣诽谤、煽动仇恨、威逼胁迫、侵犯隐私，以及影响身心健康的指责嘲讽、贬低歧视等内容的违法和不良信息。

(3)法律法规

《网络暴力信息治理规定》第十条规定:任何组织和个人不得制作、复制、发布、传播涉网络暴力违法信息，应当防范和抵制制作、复制、发布、传播涉网络暴力不良信息。任何组织和个人不得利用网络暴力事件实施蹭炒热度、推广引流等营销炒作行为，不得通过批量注册或者操纵用户账号等形式组织制作、复制、发布、传播网络暴力信息。

(4)防范指南

•理智判断，不主动发起或跟风评论、转发、传播网络暴力信息；

•发现网络暴力事件，积极向平台举报相关行为；

•平台及时处置涉网络暴力违规和不良信息及相关账号，引导用户文明互动、理性表达；

•遭遇网络暴力时，保持冷静，收集证据，积极寻求平台保护，必要时可向法院起诉。