首页 > 原创 > 详情

城市高质量发展中如何保护个人信息安全? 专家齐聚解疑答惑

为夯实数字安全底座、强化全社会个人信息安全防护,2026年第二期云南网络安全云社区直播《等保新标准下的个人信息安全保护工作解读》7月7日晚在昆明信息港圆满举办。

本次活动由昆明市网络安全协会主办,云南南天信息安全测评中心、昆明信息港联合承办,昆明市住房和城乡建设局张曦文主持,聚焦2026年全新施行的三项等保配套公安行业数据安全标准,结合云南城市高质量发展、沿边区位、特色产业发展实际,多位行业专家围绕个人信息保护、跨境数据流转、等保测评、日常安全防护等核心问题深度答疑,为全省数字化建设合规安全发展提供专业指引。

微信图片_20260708091713_1_39

三项新标落地,筑牢云南城市高质量发展安全根基

本次直播解读核心为2026年正式实施的三项等保配套新标准,分别是《信息安全技术网络安全等级保护数据安全基本要求》《信息安全技术网络安全等级保护数据安全测评过程指南》《信息安全技术网络安全等级保护数据安全测评要求》,昆明市自然资源信息中心副主任周昱认为,此三项标准精准衔接《网络安全法》《数据安全法》,补齐传统等保数据管控短板,构建“网络防护+数据防护”一体化安全模式,适配云南边疆区位、多民族发展、沿边开放的地域特色,四大核心价值凸显。

与此同时,新标准可赋能城市高质量发展,为智慧城市精细化治理,CIM城市信息模型、“一网统管”“一网通办”等智慧城建应用统一数据安全规范,破解城市建设“重功能、轻安全”痛点;筑牢沿边跨境数据安全屏障,搭建口岸专属数据防护框架,规范跨境数据全流程流转,助力强边固防、兴边富民;推动产城人深度融合,为绿色能源、生物医药、低空经济等云南特色产业明确数据合规边界,实现“安全促发展、发展保安全”;夯实民生治理底座,覆盖医疗养老、城市更新、防灾减灾等领域,守护群众隐私与城市核心运行数据,支撑云南中长期城市建设发展。

微信图片_20260708092029_3_39

周昱梳理出云南城市高质量发展中七大个人信息高频处理场景及专属管控重点,覆盖全省数字化核心应用场景:

一是智慧城市场景,涵盖政务“一网通办”、城市“一网统管”、CIM模型、地下管网管理、社区网格化治理、12345政务热线等载体,聚焦市民海量隐私数据,需落实分级差异化防护、最小权限原则,保障市民信息法定权益,常态化开展合规审计,规范公共区域人脸、视频采集使用。

二是文旅旅居康养场景,覆盖景区预约、酒店民宿入住、旅行社服务、康养机构运营、旅居地产服务等领域,严守最小采集原则,严禁采集无关个人信息,规范第三方合作、数据短期留存,新增智能采集功能前需开展个人信息保护专项评估。

三是沿边口岸跨境经贸场景,涵盖口岸通关、跨境贸易、物流、文旅、边贸往来等业务,为云南独有高风险场景,需建立跨境信息单独同意机制,严格审核境外合作方资质,严守境外司法调证红线,坚持口岸敏感数据境内存储,留存全流程操作日志。

四是商品房与智慧物业场景,涵盖楼盘销售、看房登记、智慧门禁、小区停车、物业服务等环节,杜绝强制采集隐私信息,人脸数据与业主信息分库加密存储,严控中介机构信息泄露风险,设备报废前彻底清零数据。

五是普惠公共服务场景,覆盖医疗养老、普惠托育、社保经办、公共交通、网约车监管、城乡融合服务等领域,实现等保全覆盖,加密管控敏感民生数据,强化未成年人、老年人等特殊群体隐私保护,规范轨迹数据使用与跨区域流转审批。

六是产业园区与低空经济场景,覆盖园区数字化管理、低空文旅、飞行赛事等新兴业态,归集企业人员、客户、参与者身份与时空轨迹数据。应建立数据分级管控体系,规范外包服务数据边界,严控低空业态数据留存与商业滥用。

七是城市数字基础设施场景,涵盖全域视频监控、物联网传感终端、城市算力节点等底座设施,针对全域监控、物联网终端等设备,严守最小采集原则,规范视频数据留存周期,民生敏感数据采用专属云独立加密部署。

周昱总结,全省个人信息安全整体管控思路为:分行业精准管控、跨境业务专项合规、等保标准技术兜底、审计评估长效约束,兼顾数据要素流通与边疆隐私安全底线。

五级等保分级防护,贯穿软件全生命周期合规管理

云南省软件行业协会副秘书长张军强调,等保数据安全标准是分级防护基线,需同步落地《个人信息保护法》,系统安全等级越高,个人信息管控约束越严格,五级系统差异化防护要求清晰明确。一级系统侧重基础防护,禁用真实敏感测试数据,脱敏展示敏感字段,建立基础数据安全管理制度,规范账号、存储介质与人员培训管理;二级系统强化操作管控,对批量查询、高频导出等异常行为设置预警限制;留存全流程审计日志,规范第三方数据安全管理;三级系统实现个人信息全生命周期管控,严控数据留存周期,隔离存储高敏感生物信息,高风险业务需开展合规评估;四级系统实行高强度全域防护,启用多因子认证、多级复核机制,运用联邦学习、多方安全计算等隐私技术,减少明文数据外流,高风险合作场景可采用对关键岗位人员加强背景审查、权限监督和专项培训;五级系统需对标《信息安全技术关键信息基础设施安全测评要求》,针对国家级高强度网络攻击建立专项应急与安全保障体系。

微信图片_20260708092048_4_39

他结合今年3月中国软件行业协会项目管理专委会发布的《围绕“十五五”大局,推动软件业项目管理标准化进程倡议书》特别指出,个人信息保护需贯穿软件项目全流程,摒弃事后补救模式,六大环节闭环管控缺一不可,需形成“立项识别风险、需求明确规则、设计搭建防护、开发管控缺陷、测试核验成效、上线严格准入、运行持续监测、退役安全退出”完整闭环。

一是立项需求阶段前置风险识别,提前完成合规评估,将隐私保护要求纳入项目合同与验收标准;二是架构设计阶段规划保护措施,实行数据分库分区隔离,配套用户权益保障功能与数据清理方案;三是开发运维阶段规范编码标准,嵌入全流程安全检测,严控第三方SDK与外包服务合规性;四是测试验收阶段禁用真实数据,增设隐私保护专项测试,重大缺陷实行上线否决制;五是版本变更阶段动态评审合规性,变更后重新履行用户授权流程;六是系统退役阶段按照合规要求,完成数据清零、介质销毁;同时面向项目经理、研发、测试、运维、管理人员开展分岗合规培训,培育兼具项目管理、软件开发与隐私合规能力的复合型人才。

构建六位一体体系,实现等保与个人信息保护双评估融合

云南南天信息安全测评中心技术经理李康提出,党政机关及企事业单位需搭建“管理约束+技术防护”双重合规闭环,构建“长效审计机制+全生命周期管控+分级技术防护+组织制度保障+特殊场景专项管理+风险应急处置”六位一体的个人信息保护体系。

微信图片_20260708092106_5_39

一是常态化合规审计方面,按数据体量落实审计频次与岗位配置,重大数据泄露事件启动专项审计,规范审计全流程、闭环整改溯源。二是开展数据收集、存储、使用、服务、销毁全链条生命周期管控,严守合法必要原则,杜绝超采捆绑授权,实现数据动态清理、风险闭环处置。三是分级技术防护对标五级等保标准,匹配不同层级攻击与灾害防护能力,实现风险分级阻断、业务分级恢复。四是组织制度保障上,完善组织架构、健全长效制度保障,处理百万级个人信息单位设立专职个人信息保护岗位,拆分权责、规范外包协议,常态化开展分层合规培训。五是专项场景管控聚焦生物识别、医疗金融、未成年人、跨境数据等高风险领域,落实专属授权与防护规则。六是应急处置方面,完善泄露应急预案,搭建动态风险监测机制,实现风险早发现、早处置。

针对合规落地痛点,李康提出“等保+个人信息保护”双评估一体化方案:一是依托等保测评体系新增个人信息合规核查指标,实现单次测评、双向合规核验;二是将防护等级与数据规模深度绑定,按数据体量匹配差异化防护措施;三是统筹等保年度测评与个人信息合规审计,复用调研成果、一体化排查整改,推动传统等保测评向个人信息安全防护合规+实战能力检测升级,帮助各单位搭建完整的个人信息安全防护闭环。

规范跨境数据流转,搭建政企、群众双重防护体系

中保网盾科技(云南)有限公司副总经理陈仲伟聚焦跨境个人信息保护,明确合法合规核心原则与出境路径。跨境数据传输需恪守合法正当、公开透明、同等保护、权责兜底四大原则,严控敏感信息、未成年人信息出境,明确境内主体兜底责任。同时根据业务体量划分三类合法出境路径:大规模数据出境适用安全评估路径,中体量适用专项认证路径,小额非敏感数据适用标准合同备案路径,严格规避负面清单传输、违规境外调证等风险。在跨境全流程管控上,需获取用户单独书面授权,敏感及生物信息原则上禁止出境,严控境外数据存储期限与第三方转授权,全流程日志留存不少于3年;建立境外合作方全链条管控机制,事前核查资质、事中常态化自查、事后彻底清零留存数据。

微信图片_20260708092129_6_39

此外,陈仲伟提出构建“单位主体责任+公众自我防护”双重防护体系,全方位守护个人信息安全。机关企事业单位需压实主体责任,完善组织架构与全流程管理制度,常态化开展合规培训与自查;规范业务全流程,坚持最小采集原则,运用脱敏、隐私计算等技术,倾斜保护特殊群体,主动开展公益科普。

普通群众需强化日常隐私防护:线上谨慎授予APP、小程序权限,拒绝非必要的相册、定位、人脸等权限,用完及时关闭定位;定期清理个人信息数据、注销闲置账号,不随意上传敏感证件信息;未成年人账号由监护人统一管理;线下扫码办事按需提供信息,拒绝强制填报完整身份证号;公共场所非公共安全类人脸采集可主动拒绝;遮盖快递、外卖单据个人隐私信息,彻底清理废旧电子设备数据;社交与金融场景严守安全底线,不点陌生链接,不在网络平台泄露住址、子女信息、收入、病历等隐私内容,支付账户开启二次验证,绝不泄露验证码与支付密码;遭遇信息泄露、违规采集等侵权问题时,先向平台投诉维权,问题未解决可拨打12345、12377热线,向网信、公安、市监部门提交投诉,并留存页面截图、聊天记录等完整证据。(昆明信息港 记者江枫)

问AI

编辑: 钱嘉榀 责任编辑: 徐婷

相关阅读

广告热线:(0871)65364045 新闻热线:(0871)65390101

24小时网站违法和不良信息举报电话:0871-65390101 举报邮箱:2779967946@qq.com

涉未成年人举报电话:0871-65390101 举报邮箱:2779967946@qq.com

©2008-2026 昆明信息港版权所有