专家解读 | 从移动应用数据泄露案看数据和网络安全义务的落实

主要观点总结

本文报道了公安部网安局公布的“护网—2025”专项工作中的一起涉及个人信息泄露的行政执法典型案例。云南某科技公司开发的“通讯录”APP因内部管理问题导致大量个人信息泄露。文章从制度建设、技术防护、人员管理和事件响应等方面分析了企业需履行的法律义务，并给出了全面提升个人信息保护能力的建议。

关键观点总结

关键观点1: 案例背景

报道了“护网—2025”专项工作中的一起涉及个人信息泄露的行政执法典型案例，云南某科技公司开发的“通讯录”APP因内部管理混乱导致个人信息泄露。

关键观点2: 案情分析

详细阐述了该案例中个人信息泄露的风险链条，包括治理失序、身份与权限失管、技术控制失效和事件响应失灵等问题。

关键观点3: 法律基础

介绍了我国个人信息安全保护的法律基础，包括《网络安全法》、《数据安全法》和《个人信息保护法》等，强调了数据处理者应承担的核心安全保护义务。

关键观点4: 建议措施

针对本案暴露出的严重合规问题，提出了企业与相关数据处理主体应重点关注的几个方面，包括构建全流程管理制度、加强身份核验与权限控制、提升技术安全防护能力、常态化安全培训与意识提升以及健全应急响应机制等，以全面提升个人信息保护能力。