案件概述 - 某公司在厂区公告栏张贴包含员工郑某姓名、身份证号码、户籍、住址、手机号码等个人信息的聘雇合同到期终止通知书 [1] - 郑某认为公司无权公布其个人信息并要求撤回 公司在张贴两三天后撤回 [1] - 郑某以公司侵害其隐私权为由提起诉讼 要求公开赔礼道歉、消除影响并赔偿精神损害抚慰金1000元 [1] 法院判决依据 - 《中华人民共和国民法典》规定自然人享有隐私权 任何组织或个人不得以公开等方式侵害他人隐私权 [2] - 个人信息包括姓名、身份证号码、住址、电话号码等 私密信息适用隐私权规定 [2] - 法院认定公司公布郑某身份证号码、户籍、家庭地址等私密信息超过必要限度 构成侵权 [2] 判决结果 - 法院判决公司在厂区公告栏张贴向郑某赔礼道歉的声明以消除影响 [3] - 因公司已撤回通知书且侵权行为持续时间短、影响小 法院不支持郑某精神损害抚慰金赔偿请求 [3] 法官提示 - 个人信息使用应遵循合法、正当、必要原则 采取对个人权益影响最小的方式 [4] - 处理员工个人信息应征得同意并采取技术措施保护私密信息 [4] - 公司内部公开函件需对员工身份证号码、家庭地址等私密信息进行遮蔽处理 [4] - 对员工离职原因描述应客观属实 避免影响员工后续就业 [4]

案件核心判决 - 最高人民法院发布网络消费民事典型案例 明确网络服务提供者过度收集消费者个人信息应承担侵权责任 [1] - 某词典App的运营公司因过度收集用户手机号等个人信息 被法院认定侵害用户个人信息权益 需承担停止侵害、赔礼道歉、赔偿等责任 [1][2] 1 - 该App的基本功能为词汇查询 用户的手机号码并非使用该基本功能所必需的信息 因此公司的行为被认定为过度收集用户信息 [1] 公司具体侵权行为 - 该App在用户未实际阅读隐私政策的情况下 若点击屏幕其他位置 系统会自动勾选“已阅读并同意隐私政策”选项 未保障用户在充分知情下自主同意 [1][2] - 若用户点击拒绝同意隐私政策 该App会直接退出且不提供任何服务 属于拒绝提供基本服务 [1][2] - 该App在用户勾选同意后 未提供便捷的撤回同意的方式 [2] - 公司的上述行为违反了《个人信息保护法》第十五条和第十六条的规定 [2] 案件结果与公司整改 - 在诉讼过程中 公司已对该App的隐私政策进行了修改 并新增了撤回同意等功能 [2] - 法院最终判决公司删除其收集的原告马某的手机号等个人信息 并向马某赔礼道歉并赔偿其维权合理支出 [2]

数据安全与个人信息保护专项整治 - 北京市互联网信息办公室近期开展数据安全和个人信息保护专项整治 发现未经用户同意收集个人信息是突出问题 典型违规行为包括后台收集安卓ID 应用列表 外部存储文件等 [1] - 专项整治聚焦11个民生消费领域应用程序 包含智慧停车 线上点餐 运动健身 酒店住宿 线上诊疗等 覆盖北京市各类经营主体5万余家 [3] - 检测人员随机抽取197款应用程序进行远程技术检测 发现并督导整改问题388个 其中未公开收集使用规则 未征得用户同意收集个人信息等问题较为集中 [3] 应用程序个人信息收集规范 - 应用程序应遵循"最小必要原则" 在实现特定目的所需的最小范围内收集 使用和存储个人信息 如快递外卖可收集地址电话 到店点餐则不能收集此类信息 [2] - 开发者或运营者如需收集额外信息用于广告营销 算法推荐等 应在隐私协议中明确提出并征得用户同意 且不能因用户不同意而拒绝提供业务功能 [2] - 规范的应用程序应明确告知用户收集哪些信息及用途 并提供有效的更正 删除个人信息及注销账号功能 [2] 传输通道安全漏洞案例 - 某知名茶饮品牌点餐小程序因传输通道认证授权机制不完善 导致全国1800家门店店长的手机号 姓名 邮箱等个人信息可被黑客攻击获取 [4] - 这些泄露信息可能被用于商业推广或诈骗 如不法分子以品牌总部培训名义实施诈骗 成功率将大幅提升 [4] 整改与常态化治理措施 - 专项整治发现的问题已通过各行业主管部门督促整改 北京市互联网信息办公室将开展常态化治理 定期对民生消费领域应用程序进行远程抽查检测 [4] - 经营主体可与行业协会或主管部门联系 对照自查清单开展自查自纠 用户可通过12345市民服务热线反馈相关线索 [5]

违规APP现状 - 国家网络与信息安全信息通报中心通报65款存在违法违规收集使用个人信息的移动应用，涉及未显著告知隐私政策、未经用户同意向第三方共享数据、未提供有效注销功能等问题 [1] - 2024年4月国家计算机病毒应急处理中心已通报13款违规应用，覆盖外卖、金融、社交等多个领域 [1] - 2024年工信部通报的50款侵害用户权益APP中，27款存在强制、频繁、过度索取权限问题 [2] - 2023年通报的9批APP中，强制、频繁、过度索取权限情况出现143次，占比49.5% [2] 用户行为数据 - 武汉大学调研显示77.8%用户"很少或从未"阅读隐私协议，69.69%会忽略隐私协议更新提示 [3] - 主流APP隐私政策全文8000-20000字，完整阅读需耗时30分钟以上 [3] - 北京市互联网法院明确禁止以拒绝服务为由强迫用户提供个人信息 [2] 行业合规挑战 - 当前已形成网络安全法、数据安全法和个人信息保护法构成的顶层法律框架 [4] - 法律规范与监管存在滞后性，难以匹配个人信息处理数量及情形的快速增长 [4] - 隐私合规成本高昂，包括数据安全措施调整、第三方检测、法律顾问等多项开支 [5][6] - "知情-同意"原则面临适用困境，APP技术性强且信息收集具有隐匿性 [4] 解决方案建议 - 建议针对不同业务场景及体量的移动应用制定差异化规则标准 [7] - 企业需持续关注监管披露，明确行业合规标准，特别是处理大量敏感信息的主体 [7] - 技术层面采取数据加密、隔离存储、操作限制等措施保护用户隐私 [7] - 用户可通过识别隐私政策弹窗异常（默认勾选、字号干扰等）规避风险 [8]

生成式人工智能的数据风险与隐私挑战 - 生成式人工智能技术基于海量数据进行训练和生成，其便捷性伴随着个人信息泄露的重大风险[1] - 大模型训练所需语料的源头数据管控是个人信息保护的关键环节，需明确哪些数据可以提供给模型[2] - 用户在与生成式人工智能交互时，常因不理解数据收集的合规边界和系统配置策略，而盲目输入敏感隐私信息[4] - 专家建议，在与人工智能问答交互过程中，应尽量避免输入个人信息、敏感个人信息及工作秘密信息[6] 数据关联与深度挖掘带来的泄露风险 - 人工智能能够综合公开数据与个人数据，结合行为分析挖掘出更深层、更敏感的信息[8] - 用户使用任何系统都会留下痕迹，即使个人认为已删除敏感信息，但通过信息整合与关联分析，仍可能在输出点被泄露出来[10] - 深度伪造技术能对人脸和声音信息进行高度逼真的伪造，被用于诈骗时具有极强的迷惑性，建议涉及金钱交易时务必通过其他渠道复核[27] 技术防御与主动保护方案 - 行业正在发展针对深度伪造的主动防御技术，例如通过向待保护的人脸图片添加人眼不可见但机器可识别的特定扰动噪声，使伪造模型失效或能被识别[11][12] - 该技术旨在从源头防止照片被用于合成虚假影像，保障个人生物识别信息的安全[12] 法律法规与合规框架的演进 - 中国已出台《个人信息保护合规审计管理办法》《网络数据安全管理条例》《生成式人工智能服务管理暂行办法》等重要法律法规以保障数据安全[14] - 法规着重压实了信息处理企业的社会责任，强调收集个人信息需遵循“最小必要”、“告知同意”、“合法正当”等原则[14] - 个人信息处理者需审慎研判数据采集的必要性，并考虑是否存在替代方案以在完成业务要求的同时降低违规风险[16] - 面对人工智能等新技术，中国法律法规的演进速度非常快，但在个人信息处理的透明度、业务可溯源可审计等方面仍需进一步迭代更新，以保持规则与技术应用的同步[18] 个人信息泄露引发的精准诈骗模式 - 基于个人信息泄露的精准电信网络诈骗高发，诈骗分子通过获取的信息还原受害人生活轨迹，实现骗局的“私人定制”[19] - 例如，掌握受害人的旅行订票信息后，诈骗分子会发送机票退款或航班取消等精准诈骗信息[21] - 在社交平台发布图片或视频时，可能无意中暴露个人关联信息（如孩子校服、窗外景色），这些信息可能被用于定制针对性骗局[23][25] - 反诈提示建议在社交软件上发布信息时，尽量避免暴露个人关联信息[23]

金融领域数据合规现状 - 金融行业作为数据密集型行业，数据合规责任持续压实，《个人信息保护法》实施进入第四年[1] - 国家计算机病毒应急处理中心检测到63款移动应用存在违法违规收集使用个人信息情况，包括金融类APP[1] - 央行分支机构公布对一家消费金融公司和小额贷款公司的行政处罚，违规原因涉及违反信用信息采集、提供、查询管理规定[1] 金融机构违规案例 - 央行湖北省分行对湖北消费金融公司行政处罚，因其违反信用信息采集、提供、查询管理规定[2] - 央行重庆市分行对重庆海尔小贷公司数字科技部大数据总监张某行政处罚，违法行为类型相同[2] - 湖北消金表示已完成整改，处罚涉及历史阶段性事项不影响现有业务[2] - 海尔小贷表示已成立专项小组完成整改并通过合规验收[2] - 2025年以来涉及银行、消费金融机构及助贷平台的违规移动应用超过20家[2] 个人信息保护问题 - 金融机构存在超范围收集、隐私政策不透明、告知不清晰、使用范围不明确、过度授权等问题[3] - 管理不当会增加个人信息泄露和违规使用风险，典型案例显示用户因随意点击"同意"导致信用报告出现未经授权查询记录[3] - 消费金融行业规模扩大背景下，对新市民、年轻客群的信息授权风险认知和保护措施不足[3] 法律风险与业务挑战 - 非法获取、出售或提供征信信息50条以上即构成犯罪[5] - 金融机构掌握的个人信用信息能反映财产状况、担保能力、消费习惯，泄露可能影响名誉、财产及人身安全[5] - 用户更关注资金安全、借贷便利和利息，对数据安全重视不足[5] - 机构从资金安全和市场竞争角度希望获取额外非必要信息，与法律法规要求冲突[5] 合规改进方向 - 建议在法律允许范围内完善授权覆盖面、加固授权链条，业务侧需创新以减少对额外公民信息的依赖[6] - 金融机构应严格遵循《个人信息保护法》，避免过度采集数据，优化授权流程保障消费者知情权和选择权[6] - 当前难点包括业务侧对更多信息的需求与法规冲突，以及能力侧实现全面合规的困难[6] 行业协同建议 - 监管部门需细化跨领域、跨场景法规执行细则，建立培训机制和合规交流平台帮助中小机构提升能力[7] - 金融机构应加快业务创新，探索低信息依赖风控模式，优化授权流程技术手段[7]

境外发行上市备案补充材料要求 - 中国证监会要求南华期货补充说明公司境外业务开展及合规情况、本次发行募集资金用于补充境外子公司资本金需要履行的监管程序及履行情况 [1] - 南华期货已于2025年4月17日向港交所主板递交上市申请，中信证券为其独家保荐人 [1] 证监会补充说明事项 - 需说明公司及子公司经营范围是否涉及《外商投资准入特别管理措施(负面清单)(2024年版)》领域，并确认发行上市前后符合外资准入政策要求 [2] - 需补充境外业务合规性及募集资金用于境外子公司资本金的监管程序履行情况 [2] - 需披露公司及下属公司开发的网站、APP、小程序等产品信息，包括用户数据收集规模、使用情况、是否向第三方提供个人信息，以及上市前后数据安全保护措施 [2] 公司业务及行业地位 - 南华期货是中国领先的期货及衍生品金融服务提供商，为实业客户、金融机构及个人投资者提供定制化衍生品及风险管理服务，同时拓展境内外财富管理业务 [2] - 按2023年总收入计，公司在中国期货公司中排名第8，非金融机构相关期货公司中排名第1 [2] - 按2023年期货经纪佣金收入计，公司排名第12；按境外收入计，公司在中国所有期货公司中排名第1 [2]

国家网络身份认证公共服务管理办法 政策背景与核心机制 - 六部门联合发布《国家网络身份认证公共服务管理办法》，2025年7月15日起施行，允许自然人自愿申领网号、网证以替代明文身份信息认证 [1] - 新体系通过国家背书的公共服务平台验证身份，互联网平台仅获取"是/否"结果，减少身份信息多平台暴露风险 [1] - 公民身份号码包含地址码、出生日期、派出所代码、性别等敏感信息，易被非法利用 [1][2] 技术实现与应用场景 - 网号为匿名身份符号，网证为认证凭证，采用"门牌号+钥匙"模型实现"可用不可见"的动态身份核验 [5] - 已接入400+应用，覆盖政务、出行、金融等12个领域，包括微信、淘宝、美团等头部平台 [10][11] - 政务服务领域实现全国一体化平台对接，37项业务场景替代线下认证 [11] 市场推广与行业影响 - 当前累计下载1600万次，申领用户800万，认证服务量1200万次 [10] - 金融领域用于中小微企业信贷身份核验，文旅领域应用于莫高窟等景点防"黄牛"倒票 [12] - 教育考试领域70%以上考生通过该服务完成线上认证，有效防范替考作弊 [12] 行业生态建设 - 平台由国家投资建设，免费向公众和企业开放，明确不以盈利为目的 [14] - 航旅纵横、同程旅行等应用在首次关联时仍需绑定手机号，但后续操作可减少明文信息使用 [6][7] - 未来将扩展至交管12123等新场景，持续优化便民服务 [13]

个人信息泄露现状 - 北京市丰台区人民法院审结一起侵犯公民个人信息案 助贷公司负责人非法获取16万条公民个人信息进行电话推销 被判处有期徒刑三年并处罚金20万元 [1] - 信息时代个人信息被视为"数字富矿" 身份信息 消费习惯 上网痕迹等数据被他人轻松掌握 公众对信息泄露深恶痛绝 [1] - 个人信息侵权行为呈现泄密渠道多 涉及范围广的特点 需多头发力进行治理 [3] 个人信息保护立法与挑战 - 我国已陆续出台修订个人信息保护法等相关法律法规 但侵权行为仍高发 [2] - 违法成本低获利高是大数据时代侵权高发主因 个人数据附加值提升促使不法分子铤而走险 [2] - 信息收集场景日益增多 购物休闲 出行订票 扫码点餐等场景拉长收集链条 加大泄露风险 [2] 治理方向与建议 - 技术治理需与时俱进 针对隐私泄露老问题和AI换脸等新问题升级技术手段 [3] - 源头治理尤为关键 第三方平台和普通商户收集处理个人信息能力不足易造成权益影响 [3] - 需建立健全主动排查和监管机制 从源头加强个人信息保护 [3]

人脸识别技术应用新规 - 国家网信办与公安部联合发布《人脸识别技术应用安全管理办法》于6月1日正式施行 对处理人脸信息的基本要求、安全规范及监管职责作出明确规定 [2] - 适用范围涵盖境内应用人脸识别技术处理人脸信息的活动 但境内研发、算法训练活动不适用该办法 [2] - 立法依据包括《网络安全法》《数据安全法》《个人信息保护法》等法律法规 [2] 人脸信息处理规则 - 个人信息处理者需以显著方式告知处理人脸信息的目的、方式、保存期限及对个人权益的影响等事项 [3] - 特殊群体如残疾人、老年人的人脸信息处理需符合无障碍环境建设规定 [3] - 基于个人同意处理人脸信息需取得单独同意 个人有权撤回同意但不影响撤回前的处理效力 [3] 未成年人信息保护 - 处理不满14周岁未成年人人脸信息需取得监护人同意 并制定专门规则保护其信息安全 [4] 信息存储与安全规范 - 人脸信息原则上应存储于设备内 不得通过互联网传输 除非法律另有规定或取得单独同意 [5] - 存在非人脸识别技术替代方案时 不得将人脸识别作为唯一验证方式 [5] - 鼓励优先使用国家人口基础信息库等官方渠道验证身份以减少人脸信息收集 [5] 公共场所与隐私保护 - 公共场所安装人脸识别设备需为维护公共安全必需 并设置显著提示标识 [6] - 禁止在宾馆客房、公共浴室等私密空间安装人脸识别设备 [6] - 国家网络身份认证公共服务平台已对接400余款App 用户可通过网号、网证替代详细身份信息 [6] 备案与监管要求 - 人脸信息存储量达10万人的处理者需在30个工作日内向省级以上网信部门备案 [6][7] - 备案需提交处理者基本情况、处理目的、安全措施、处理规则及评估报告等五类信息 [7] - 6月1日前存储量已达10万人的处理者需在7月14日前完成备案 [7]