保险业"内鬼"狂飙 监管重锤砸向数据黑产 作者：李秀梅 车险将要到期推销电话不停，只买了一份保险却收到了几十条推销短信，不用怀疑，你的个人信息被泄 露了。 8月19日，北京商报记者注意到，近期中国裁判文书网公布了一则刑事裁定书，显示杨某某、何某某、 俞某某等人为拓展保险业务，购买公民个人信息数万条，犯下侵犯公民个人信息罪。而这些个人信息， 同样来自于保险公司，一位"内鬼"倒卖。 当前，保险业数字化程度不断提升，侵害公民个人信息权益的问题也随之而来。如何保护好客户的个人 信息，是保险公司面临的新课题。 倒卖车险信息遭罚 身为保险公司部门负责人，不考虑如何扩展业务，竟动了歪心思，想通过购买客户信息"走偏门"？近期 中国裁判文书网公布的一则刑事判决书，将某保险公司多名员工侵犯保险客户个人信息的犯罪细节公布 于众。 判决书显示，杨某某为天安财险安庆中心支公司原总经理，何某某为天安财险安庆中心支公司电销部门 原负责人，俞某某为天安财险黄山中心支公司电销部门原负责人。2020年3—12月期间，杨某某为推动 电销部门工作，安排何某某通过向杨某(另案处理)转账3.75万元，两次从杨某处购买公民个人信息3万余 条。2019年3 ...

杨某的个人信息来自何处？竟然是同业保险公司。裁判文书显示，证实杨某丰是某大型保险公司安徽省 公司电销负责人，也是杨某（另案处理）之前的同事，杨某丰手中有安徽省全省的购车数据，数据里面 有车架号、身份证号、电话、姓名、住址以及保险到期日。2018年杨某同杨某丰合谋出售购车数据牟 利。杨某丰将数据按照各个地市的分类打包好给杨某，杨某再按照每个地市的信息以每条七至九毛钱出 售，所获利润和杨某丰三七分成，杨某拿七成。出售对象都是各保险公司的从业人员。 8月19日，北京商报记者注意到，近期中国裁判文书网公布了一则刑事裁定书，显示杨某某、何某某、 俞某某等人为拓展保险业务，购买公民个人信息数万条，犯下侵犯公民个人信息罪。而这些个人信息， 同样来自于保险公司，一位"内鬼"倒卖。 当前，保险业数字化程度不断提升，侵害公民个人信息权益的问题也随之而来。如何保护好客户的个人 信息，是保险公司面临的新课题。 倒卖车险信息遭罚 车险将要到期推销电话不停、只买了一份保险却收到了几十条推销短信，不用怀疑，你的个人信息被泄 露了。 身为保险公司部门负责人，不考虑如何扩展业务，竟动了歪心思，想通过购买客户信息"走偏门"？近期 中国裁判文书网 ...

监管动态 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息情况 [1] - 专项行动依据《网络安全法》《个人信息保护法》等法律法规及四部门联合公告要求开展 [1] 违规详情 - 方舟健客网上药店(版本6.42.0)存在未告知个人信息接收方详细信息及未取得单独同意的问题 [1] - 该应用未向用户提供撤回同意收集个人信息的途径和便捷撤回方式 [1] 公司背景 - 应用运营商为广州方舟医药有限公司 系广州方舟云康信息科技集团有限公司全资子公司 [1] - 方舟健客成立于2015年 专注互联网慢病管理服务 目标成为中国最大慢病服务平台 [1]

中国经济网北京8月19日讯 国家网络安全通报中心公众号13日发布消息"国家计算机病毒应急处理 中心检测发现70款违法违规收集使用个人信息的移动应用"。依据《网络安全法》《个人信息保护法》 等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息 保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，70款移动应用存在违法违规 收集使用个人信息情况。 其中，《掌上华医》（版本V3.124.5，应用宝）存在以下问题：（一）隐私政策未逐一列出App （包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；（二）个 人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、 联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；（三）未向用户提供撤回 同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。 中国经济网记者查询应用商店发现，《掌上华医》运营商为北京华医网科技股份有限公司。北京华 医网科技股份有限公司第一大股东为天津红杉资本投资基金中心（有限合伙），持股比例为25.34% ...

公司违规事件概述 - 租赁行业头部平台"人人租"（版本3.16.3）因四项违规被国家网络安全通报中心点名通报 [2] - 违规问题包括隐私政策未逐一列出收集使用个人信息的目的、方式、范围；未向用户提供撤回同意的明确途径；未提供便捷的撤回同意方式；未采取加密、去标识化等必要安全技术措施 [2] - 截至8月14日，人人租运营方广州研趣信息科技有限公司尚未就整改计划发布正式公告，其官网及APP Store页面仍正常运营 [2] 监管背景与要求 - 此次通报是"2025年个人信息保护系列专项行动"的一环，由中央网信办、公安部等四部委联合推动 [2] - 监管依据为《个人信息保护法》，通过对APP进行技术检测后集中通报 [2] - 通报要求各运营者在15个工作日内完成整改，逾期不改或情节严重的，将依法暂停相关业务或下架处理 [2]

移动应用违法违规收集个人信息 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息问题 [2] - 涉及多款金融类应用包括《万达普惠》《烟台银行市民e贷》《人人租》等 [2] 烟台银行市民e贷小程序问题 - 微信小程序《烟台银行市民e贷》版本v2 4 1 0存在投诉举报未按时受理处理问题 [3] - 未建立便捷的个人行使权利申请受理和处理机制 [3] - 未提供撤回同意收集个人信息的途径和方式 [3] - 个人信息处理者未提供便捷的撤回同意方式 [3] 烟台银行近期违规处罚 - 7月份因多项违法行为被处以警告并罚款319 2万元 [3] - 违法行为包括违反金融统计规定、账户管理规定、商户管理规定等 [3] - 同时没收违法所得387 45元 [3]

核心观点 - 金融消费者信息安全是法律保护的重要权益 个人信息泄露可能导致财产损失和信誉影响 金融机构需积极履行社会责任以共建安全金融环境 [1] 案例警示 - 客户因未妥善处理含家庭住址和保单信息的业务批单 导致不法分子获取个人信息后实施诈骗 [2] - 犯罪分子冒充保险公司工作人员诱导退保并购买虚假高收益理财产品 造成客户保障缺失和财产损失 [2] 风险防护措施 - 建议对取款凭条 业务批单等材料进行姓名 地址 账号等关键信息的无痕化处理 从源头阻断泄露风险 [3] - 重要业务优先选择本人柜面办理 若委托代办需确认受托人可靠性并全程跟踪业务进度 [4] - 对陌生上门服务要求核查身份 拒绝敏感操作 并通过营业网点进行场外验证 [5] - 发现信息被冒用或诈骗时立即保留证据报警 并向金融机构官方渠道反馈 [6] 金融机构行动 - 公司通过金融知识普及活动 服务流程优化和技术防护强化等措施守护客户信任 [7] - 公司开通24小时客服热线为客户提供咨询与协助 [6] - 呼吁公众增强风险意识和防护技能以巩固金融安全 [7]

问题的提出 - 2025年6月13日，工信部等八部委征求对《汽车数据出境安全指引（2025版）》的意见，旨在推动建立高效便利安全的汽车数据跨境流动机制 [4] - 2024年我国汽车整车出口达585.9万辆（同比增长19.3%），其中新能源汽车出口128.4万辆（同比增长6.7%） [5] - 2025年1-6月汽车整车出口308.3万辆（同比增长10.4%），新能源汽车出口106万辆（同比增长75.2%），伴随大量汽车数据跨境流动 [5] 《指引（2025版）》主要内容分析 主要变化 - 相比2021年《汽车数据安全管理若干规定（试行）》，新指引在数据出境路径、技术防护要求、重要数据识别等10个方面进行细化和调整 [7][8] 适用范围 - 新增"电信运营企业、自动驾驶服务商、平台运营企业"作为汽车数据处理者 [8] - 明确三类数据出境行为：数据传输至境外、境外机构调取境内存储数据、境外处理境内个人信息 [9] 数据出境路径 - 申报安全评估：涉及重要数据出境或关键信息运营者出境100万+个人信息/1万+敏感个人信息 [9] - 标准合同或认证：10万-4100万个人信息/不满1万敏感个人信息可选两种方式 [9] - 九类豁免情形包括自贸试验区负面清单外数据、OTA召回源代码等 [9] 重要数据界定 - 采用"业务场景+数据类别+判定规则"三维框架，明确六大场景重要数据： 1 研发设计：物料清单、源代码、测试场景数据 [11][12] 2 生产制造：生产控制程序源代码 [12] 3 驾驶自动化：算法、训练数据、特征数据 [12] 4 软件升级：动力/底盘系统源代码 [12] 5 联网运行：车辆密钥、实景影像、车路协同数据 [12][13] 6 其他：行业标准识别数据 [13] 实施流程 - 五步流程：数据识别→路径判定→安全评估→标准合同→保护认证 [14] - 日志记录要求留存不少于3年 [15] 对车企的挑战与机遇 重大挑战 - 重要数据识别需组建专业团队评估动态阈值，改造数据资产管理系统 [17] - 地理信息数据出境需保密处理，影响自动驾驶业务 [17] - 合规成本激增，需复合型人才和流程再造投入 [17] 重大机遇 - 利用自贸试验区负面清单外数据免申报政策优化全球数据流 [18] - 推动隐私计算技术应用，加速本土自动驾驶研发 [18] - 合规领先企业可获得更多跨境合作机会，重塑行业格局 [18][19]

监管行动概况 - 国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息行为 [1] - 检测依据为《网络安全法》《个人信息保护法》及2025年个人信息保护系列专项行动要求 [1] - 检测时间范围为2025年7月2日至2025年7月29日 [4] 违规类型分布 - 13款应用在首次运行时未显著提示隐私政策或告知信息不完整 包括《北斗伴》《边锋斗地主》《才能网》等 [1] - 38款应用隐私政策未逐一列明第三方信息收集目的及范围 包括《百家云Android SDK》《蝉妈妈》《宠日常》等 [1] - 17款应用向第三方提供信息时未取得用户单独同意 包括《车轮》《方舟健客网上药店》《美丽修行》等 [1][2] - 7款应用未经同意即开始收集信息或开启权限 包括《寄信助手》《兰湘子湘菜小炒》《木屋外卖》等 [2] - 5款应用未提供有效的账号管理功能或响应迟缓 包括《百家云Android SDK》《斯维登民宿》《云课堂 SDK》等 [2] - 7款应用未建立有效的投诉处理机制 包括《91桌面》《烟台银行市民e贷》《神龙加速》等 [2][3] - 28款应用未提供撤回同意的便捷途径 包括《对庄翡翠》《好分数》《石油商旅》等 [3] - 2款应用通过自动化决策推送信息时未提供拒绝选项 包括《句读》《雪球基金》 [3] - 1款应用处理敏感信息未取得单独同意 《万达普惠》 [3] - 12款应用未制定未成年人信息处理规则或未获监护人同意 包括《费大厨辣椒炒肉》《陶味茶楼》《天津鲁能城》等 [3] - 1款应用信息收集频度超出业务需要 《音乐多多》 [3] - 31款应用未采取加密或去标识化安全措施 包括《大悦城商场》《肯德基》《朴朴超市》《洲际酒店集团》等 [3] - 2款应用广告关闭机制不符合要求 《上海思极_Android_SDK》《元气SDK》 [3] - 5款应用完全缺失隐私政策 均为长安启源Q05预装或商店应用 包括《车辆中心》《酷咖游戏》《中国象棋》等 [3] 平台合规态势 - 违规应用覆盖多个主流分发渠道 包括微信小程序(19次)、华为应用市场(6次)、PP助手(6次)、vivo商店(5次)等 [1][2][3] - 长安汽车预装应用商店出现系统性合规缺失 5款应用均无隐私政策 [3] - 前期通报的68款应用中仍有25款未完成整改 已被应用商店下架 [3]

核心观点 - 国家网络安全通报中心检测发现60多款移动应用存在违法违规收集使用个人信息问题 其中涉及7家金融机构APP 包括4家券商和3家银行 [1] - 违规行为主要集中在三大领域：隐私政策未完整披露信息收集范围(25款应用) 未提供用户撤回同意途径(30款应用) 未采取加密等安全技术措施(29款应用) [1][2] - 金融机构具体违规应用包括诚通证券6.0.3.0版 申港证券3.1.7版 兴业证券优理宝8.9.0版 五矿证券3.40.2版 乌海银行5.0.1版 海峡银行4.0.0版 龙江银行2.00.03版 [2] 违规行为分析 - 隐私政策未完整列明信息收集目的方式范围 涉及25款移动应用 包括龙江银行和申港证券APP [1] - 未提供用户撤回同意收集个人信息的便捷途径 涉及30款移动应用 包括兴业证券APP [1] - 未采取加密和去标识化等安全技术措施 涉及29款移动应用 包括诚通证券APP [2] - 存在向第三方提供个人信息时未告知接收方信息且未取得单独同意的问题 涉及诚通证券 五矿证券 兴业证券 申港证券 海峡银行 乌海银行等机构 [3] 涉及行业分布 - 60多款违规应用覆盖餐饮 游戏 招聘 交友 生活服务 金融等多个领域 [2] - 茶饮行业成为重灾区 包括星巴克 古茗 霸王茶姬 库迪咖啡 太平洋咖啡 奈雪的茶 茶颜悦色 茶百道 喜茶等品牌APP [2] - 金融行业共7家机构被点名 券商占比57%（4家） 银行占比43%（3家） [1][2] 监管背景 - 检测时间为2025年5月23日至6月11日 由国家计算机病毒应急处理中心执行 [1] - 2025年以来已发布6期违规移动应用名单 前5期也有金融机构被点名 [3] - 中央网信办正在开展2025年个人信息保护系列专项行动 将对拒不整改的依法从严处理 [3]