网信办发布 “关于开展个人信息保护负责人信息报送工作的公告”

01 谁需要指定个保负责人？

• 处理 100 万人以上个人信息的主体：这是网信办公告重点强调的情形，只要企业处理的员工、客户、供应商等个人信息合计超 100 万人，就必须指定个保负责人并备案，这是当前最紧迫的要求（依据《个人信息保护合规审计办法》第 10 条第 1 款）。
• 处理 10 万人以上敏感个人信息的主体：相关国标虽要求指定负责人及管理机构，但该标准今年 11 月 1 日才生效，可暂不按此次公告要求处理，待后续通知。

02 谁适合担任个保负责人？

• IT 部门领导：个人信息保护需技术落地，IT 部门清楚信息存储位置，且数据安全工作多由其负责，与个保工作关联性强。
• 法律合规部门领导：对法规理解深入，处于监督地位，可通过合同审批、考核等手段督促各部门落实要求。
• 备注：需注意，《个人信息保护法》对相关责任人最高处罚 100 万元，任职前可考虑让公司购买相关保险。

03 怎么做个保负责人？

• 具备相关资质: 有个人信息保护专业知识和相关管理工作经历，比如PIPE/PIPO认证，简历中需体现关联性。
• 明确职责与权限: 在个人信息保护制度和岗位说明书中明确职责，赋予协调内部部门与人员的充分权限，确保履职有保障。
• 参与重大决策: 在个人信息处理重大事项决策前有权提出意见和建议，相关会议纪要、流程审批单需留痕，体现参与过程。
• 制止不合规操作: 依据制度和岗位说明书赋予的权限，对内部不合规操作进行制止并采取纠正措施，相关检查记录等需留存。
• 公开联系方式并完成报送: 在APP隐私政策或公司官网公示联系方式（可设专用邮箱如 p@xxx.com，安排专人处理），并按公告要求完成个保负责人信息报备。

从姓名住址到饮食偏好，澳航570万用户数据遭泄露

01 事件背景

• 事件时间：2025年7月1日
• 事件简述：澳洲航空检测到其一个第三方平台存在异常活动，该平台由其一家联络中心使用。黑客通过该平台获取了大量客户个人信息
• 影响人数：最终确认约 570万名客户的个人数据受到影响

02 事件分析

• 泄露渠道：攻击者冒充澳航员工，通过“语音钓鱼”（vishing）等社会工程学手段，诱骗澳航在菲律宾的呼叫中心员工，从而非法访问第三方客户服务平台
• 泄露类型：姓名、邮箱地址、地址、出生日期、电话号码、性别、餐食偏好（澳航已确认，信用卡信息、护照详情、密码、PIN码或登录凭证等关键财务和账户信息未在此次泄露中被窃取。）

03 事件影响

➡ 对客户的影响

• 网络钓鱼（Phishing）风险增加：泄露的个人信息可被黑客用于发起更具针对性的钓鱼邮件或短信，试图进一步窃取财务信息
• 身份盗用风险：综合的个人信息可能被用于身份盗用或其他欺诈活动
• 信任度下降：客户对澳航的数据安全能力产生质疑

➡ 对澳航的影响

• 声誉受损：此次事件正值澳航试图重建其声誉的关键时期，无疑是一次重大打击
• 应对成本：包括事件调查、客户沟通、技术修复和增强安全措施等在内的巨大成本
• 法律与合规风险：可能面临监管机构的调查和巨额罚款

04 事件启示与反思

• 第三方风险不容忽视：企业需要将第三方供应商的安全性纳入自身的网络安全策略中，因为“最薄弱的环节”往往决定了整体安全水平。
• 社会工程学攻击的威胁：此次事件再次证明，技术防护之外，对员工进行反社会工程学攻击的培训至关重要。
• 数据最小化原则：公司应审视其收集和存储的客户数据，只保留必要的、对业务至关重要的信息，以降低潜在泄露的风险。