案件概述 - 南京市玄武区人民法院审理一起利用AI换脸技术实施的诈骗案 被告人符某非法获取195万条公民个人信息并通过AI换脸软件侵入23名被害人金融账户 [1][2] - 符某成功突破某金融支付平台人脸识别系统 修改5人支付密码和绑定手机号 冒用1人银行卡购买两部手机共计消费15996元 [2] - 符某因侵犯公民个人信息罪和信用卡诈骗罪被判有期徒刑4年6个月 需承担15996元公益损害赔偿金并公开赔礼道歉 [6] 技术漏洞分析 - 某金融支付平台因风控系统存在漏洞被符某通过AI换脸技术攻破 仅通过单一刷脸认证即可修改密码和绑定信息 [4][6] - 其他金融支付平台因风控严格未能被攻破 案发后涉事平台已完成整改 [4][6] - AI换脸技术可生成动态视频模拟用户摇头、张嘴等动作 突破传统人脸识别系统的指令验证 [4] 行业技术发展 - AI换脸技术升级对人脸识别安全性构成挑战 网络安全领域认为漏洞难以完全避免 [7] - 顶尖AI安全技术检测率超过95% 可通过分析眼球运动方向等特征识别伪造人脸 [10] - 部分智能手机已集成实时伪造人脸检测功能 应用于视频通话等场景 [10] 行业建议 - 使用人脸识别的单位需采用多层身份认证机制 避免单一生物特征验证被攻破 [6][11] - 需持续提升防伪鉴别技术 通过AI治理AI的方式应对新型攻击手段 [8][10] - 应加强个人信息保护措施 防止公民信息泄露被用于技术犯罪 [11]

个人信息保护负责人信息报送新规 - 国家网信办要求处理100万人以上个人信息的个人信息处理者必须向市级网信部门报送个人信息保护负责人信息 [1] - 新规自2023年7月18日起实施 处理量达到100万人的企业需在30个工作日内完成报送 [1] - 在2023年7月18日前已处理100万人以上个人信息的企业需在2025年8月29日前完成报送 [1] 报送流程与变更要求 - 信息报送采用线上方式 通过"个人信息保护业务系统"或中国网信网"全国网信政务办事大厅"栏目进行 [2] - 报送信息发生实质性变更时 需在变更之日起30个工作日内办理变更手续 [2] 监管合规要求 - 未按规定履行信息报送手续的企业将依照相关法律法规处理 [2]

人脸识别技术在快递行业的应用现状 - 丰巢和EMS在首次线上寄件实名认证中强制要求用户进行人脸识别 [2][3][4] - 广州部分快递驿站网点自助取件出库默认要求用户"拍脸存档" [2] - 快递企业声称"刷脸"实名认证是为了落实实名收寄规定 [3][4] 法律法规与行业标准 - 《快递暂行条例》《邮件快件实名收寄管理办法》等文件仅要求寄件人出示有效身份证件，未要求人脸识别 [5] - 2023年《寄递服务用户个人信息安全管理规定》强调收集用户个人信息应限于最小必要范围，未提及人脸信息 [5] - 《快递服务》国家标准（GB/T 27917—2023）明确必要个人信息不包括人脸信息 [5][6] - 国家网信办等四部门发布的《常见类型移动互联网应用程序必要个人信息范围规定》也未将人脸信息列为必要 [6] 行业实践与专家观点 - 驿站负责人称"拍脸存档"用于解决快递冒领、错领等纠纷 [7] - 律师指出"拍脸存档"并非解决取件纠纷的唯一方式，在有视频监控和扫码验证的情况下可能属过当 [7] - 专家强调人脸识别应以用户自愿为前提，快递企业无必要将其作为唯一身份认证方式 [12][13] - 建议仅在"高安全风险场景"（如贵重物品配送）中使用人脸识别，普通场景优先采用非生物识别技术 [14] 公众反馈与行业问题 - 部分市民认为人脸识别提高了效率，但更多人质疑其必要性并担忧信息泄露风险 [10] - 公众反映快递行业"刷脸"标准混乱，呼吁建立统一规范 [11] - 专家建议快递行业制定技术标准，明确人脸识别适用场景，并加强用户教育 [14] 技术应用的合规性 - 律师指出驿站若未明确告知或取得用户单独同意采集人脸信息，则违反《个人信息保护法》 [8][9] - 专家建议快递企业履行告知义务，开展个人信息保护影响评估，确保技术应用合法透明 [13][14]

个人信息保护专项行动 - 国家计算机病毒应急处理中心检测发现68款移动应用存在违法违规收集使用个人信息情况 [1] - 依据《网络安全法》《个人信息保护法》等法律法规开展2025年个人信息保护系列专项行动 [1] - 上期通报的64款应用中仍有22款存在问题 相关应用已予以下架 [2] 斗鱼APP违规情况 - 版本1 1 3在广汽AION Y应用商店存在多项隐私政策违规 [1] - 首次运行时未通过弹窗提示用户阅读隐私政策 以默认选择方式征求用户同意 [1] - 隐私政策难以访问 未显著告知个人信息处理者名称 联系方式 保存期限等信息 [1] - 未逐一列出收集使用个人信息的目的 方式 范围等 [1] 老乡鸡小程序违规情况 - 版本1 2 334在微信小程序存在隐私政策问题 [2] - 未逐一列出收集使用个人信息的目的 方式 范围 [2] - 未经用户同意即开始收集个人信息或打开相关权限 [2] - 未制定未成年人信息处理专门规则 收集时未取得监护人单独同意 [2] - 未采取加密 去标识化等安全技术措施 [2] 迅雷游戏SDK违规情况 - 版本1 8 0 0在官网存在隐私政策问题 [2] - 未逐一列出收集使用个人信息的目的 方式 范围 [2] - 未经用户同意即开始收集个人信息或打开相关权限 [2] - 未提供撤回同意收集个人信息的途径和方式 [2]

金诺小贷业务概况 - 金诺小贷为苏州金螳螂企业集团全资子公司，其控股股东为A股上市公司金螳螂（002081.SZ）[1] - 公司成立于2016年3月，注册资本仅2亿元，未达网络小贷10亿元最低监管门槛[1] - 法人庄海红直接持有金螳螂企业集团5.2%股份[1] 产品运营与投诉问题 - 拥有5个放贷类APP著作权（九九分期、鑫用钱、金风贷、速贝钱包、元优享），其中鑫用钱和速贝钱包为现运营产品[1] - 速贝钱包被投诉存在信息泄露、电话骚扰、开通权益收费利率过高问题[1] - 用户投诉速贝钱包无法注销账户、客服失联、提额欺诈等问题[7][9][10] - 旗下APP下载量显著：速贝钱包在小米/华为商城下载量超10万，鑫用钱下载量数万[5] 数据合规与授权争议 - 旗下产品开薪街存在一键授权强分发用户信息至20多家贷款平台的行为[16] - 合作方包括曾被处罚的机构（如吉客有钱运营方广州绿地吉客小贷、51信狐关联方浩瀚汇通小贷）[16] - 违反《个人信息保护法》关于信息处理安全及禁止非法共享的规定[16] 关联上市公司财务表现 - 金螳螂2024年营收183.29亿元（同比降9.20%），归属净利润5.44亿元（同比降46.89%），扣非净利润4.18亿元（同比降48.50%）[17] - 公司总资产352.89亿元（同比降4.83%）[17] - 金螳螂否认金诺小贷涉及高利贷问题[17] 市场合作与商标布局 - 注册18个贷款类商标（如美家时贷、贝钱包）[5] - 获维信金科、微博钱包、分期乐等助贷平台导流支持[5]

个人信息保护专项行动 - 国家计算机病毒应急处理中心检测发现68款移动应用存在违法违规收集使用个人信息问题 [2][3] - 专项行动由中央网信办、工信部、公安部、市场监管总局联合开展，旨在治理常用服务产品和场景中的个人信息违规问题 [2] - 检测时间为2025年6月11日至2025年7月1日 [3] 违规行为分析 - 主要违规行为包括：未提供撤回同意收集个人信息的途径（涉及35款应用）、未采取加密或去标识化措施（涉及31款应用）、隐私政策未明确列出信息收集范围（涉及30款应用） [4] - 其他违规行为：首次运行时未显著提示隐私政策（14款）、默认同意隐私政策、隐私政策难以访问等 [4] 涉及行业及典型应用 - 被通报应用覆盖游戏、餐饮、酒店、旅游、金融等领域，包括《斗鱼》《杨国福》《老乡鸡》《众汇酒店管理》《马蜂窝》等 [3] - 金融领域涉及财达证券《财达财日昇》和银泰证券《银泰掌易宝》两款APP [5][6] 券商APP违规细节 - 财达证券APP违规行为：未告知用户个人信息接收方信息及处理方式（涉及第三方代码嵌入）、未提供撤回同意途径 [7][8] - 银泰证券APP违规行为：首次运行时未显著提示隐私政策、未告知用户个人信息接收方信息及处理方式 [9] 历史通报情况 - 此前通报的64款应用中，复测后仍有22款未整改，已被应用分发平台下架 [11]

文旅行业数据安全专项整治 - 北京市文旅行业开展数据安全和个人信息保护专项整治工作，覆盖5762家酒店进行自查自纠[1] - 某公园购票系统曾存在未授权访问漏洞，可获取购票人姓名、手机号、身份证号等信息，目前已整改完成[1] - 专项整治工作依据《专项整治合规指引》和《专项整治工作自查清单》开展，同时将推动景区、图书馆、美术馆、游乐场等场所加强数据保护[1] 住宿行业数据安全整改 - 北京已督导存在问题的16款住宿领域应用程序完成整改[2] - 文旅部门加强酒店行业数据安全保护，因预计全年住宿消费需求将超过1亿人次[2]

移动应用个人信息违规收集 - 国家计算机病毒应急处理中心检测发现68款移动应用存在违法违规收集使用个人信息行为 [1] - 检测依据包括《网络安全法》《个人信息保护法》等法律法规 [1] - 专项行动由中央网信办、工业和信息化部、公安部、市场监管总局联合开展 [1]

人脸识别技术在医疗行业的应用现状 - 《人脸识别技术应用安全管理办法》于今年6月正式施行 确立"目的明确、最小必要、严格保护"的人脸信息处理核心准则 严禁将人脸识别作为唯一验证方式 [1] - 南方都市报对广州市30家三甲医院实测发现 15家医院存在强制患者线上建档"刷脸"现象 部分医院未充分告知人脸信息处理去向 [1] - 中山大学孙逸仙纪念医院和广东省人民医院等机构将人脸识别作为患者建档"必选项" 声称是为了落实实名就医和保障隐私 [2][4] 政策法规与合规要求 - 国家卫生健康委2022年规定医疗机构应实施患者实名就医 但未提及必须使用人脸识别技术 [5] - 广东省医保指南明确参保人就医时需出示医保电子凭证或社会保障卡等身份凭证 同样未要求人脸识别 [5] - 2022年8月三部门联合发文规定医疗卫生机构开展人脸识别时必须同时提供非人脸识别的替代方式 不得因拒绝刷脸而拒绝提供基本服务 [6] 公众反馈与行业实践差异 - 部分市民认可刷脸能防范"黄牛"和身份冒用 但也有质疑医院数据安全措施是否到位 [7] - 市民指出医保电子凭证已完成实名认证 医院重复刷脸可能多余 不同医院验证方式不统一显示数据互通存在问题 [7] - 专家监测显示2023年国内医疗行业数据泄露达9.02亿条 涉及诊疗信息等敏感数据 [9] 技术应用与合规建议 - 专家认为人脸识别可提升身份验证效率 但必须符合《个人信息保护法》对敏感信息的特殊保护要求 [9][10] - 医疗机构应进行个人信息保护影响评估 采取数据加密、访问控制等安全措施 [12] - 必须向用户明确说明信息处理规则 包括是否留存数据及用户权利 确保知情同意 [12]

个人信息保护法规政策宣讲活动 - 活动于7月9日在广州举行 由广东省委网信办指导 广州市委网信办 广东省网络数据安全与个人信息保护协会 中国电子技术标准化研究院联合主办 吸引百余位代表参与 [1][3] - 广州市委网信办总工程师鲁胜兵强调合规是提升用户信任和市场竞争力的有效路径 企业应从被动合规转向主动赋能 [3] - 活动对《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》进行详细解读与现场答疑 为企业提供系统性 针对性 可操作性指引 [3][6] 人脸识别技术应用安全 - 中国电子技术标准化研究院专家指出人脸识别技术应用必须遵循合法性 必要性 最小化原则 明确存储 传输和保存时间要求 [3] - 企业需从技术 流程 人员管理等多维度进行风险分析 确保风险可控 并合理选择技术方案 确保底层安全 [3] - 新规《人脸识别技术应用安全管理办法》已施行 为企业提供合规实践指引 [3][6] 个人信息保护合规审计 - 中国电子技术标准化研究院专家解读合规审计需保持独立性与客观性 覆盖制度 技术措施 人员管理等方面 [4] - 个人信息处理者需为审计提供必要支持并根据结果整改 专业审计机构需具备认证资质且保持独立公正 [4] - 新规《个人信息保护合规审计管理办法》已施行 为企业提供合规实践指引 [3][6] 行业合作与发展 - 广东省网络数据安全与个人信息保护协会表示将携手企业 机构 平台 专家打造全国领先 衔接国际的个人信息保护高地 [6] - 活动通过案例分析 条文对照方式帮助企业理解个人信息保护底层逻辑和操作路径 提供行动指南 [6] - 与会代表表示将以法规政策为指引筑牢数据安全防线 [6]