数据安全早知道｜一地宣布：销毁10亿条涉疫个人数据；摩根大通限制员工使用ChatGPT，担心数据安全

本期看点

热点资讯

· 一地宣布：销毁10亿条涉疫个人数据

· 驰名品牌遭网络诈骗滥用，中联重科：已举报备案

· 美油企再遭勒索攻击，关基保护需实战化常态化

· 加拿大电信巨头Telus员工信息及源代码遭泄露

· TikTok遭加拿大联合调查，涉及用户数据问题

· LastPass数据泄露事件最新细节，工程师电脑被植入键盘记录器

· 摩根大通限制员工使用ChatGPT，担心数据安全

安全研究

· 加密流量已成为网络威胁的主要来源

· 构建全面OpSec行动安全计划的8个最佳实践

· 《个人信息出境标准合同办法》九大疑问、四大价值全解析

· 如何识别和保护企业在云上的暗数据资产

· 泄露的云计算凭据：来自野外的示例研究

· 如何理解“数据三权”的关系，进一步提高企业数据治理能力

· 汽车数据安全合规—如何落实脱敏处理原则

行业法规

· 苏州和厦门两地《数据条例》正式施行

· 《个人信息出境标准合同办法》正式发布

监管动态

· 中共中央国务院印发《数字中国建设整体布局规划》

· 上海市通管局：完成电信和互联网行业首批重要数据和核心数据认定工作

· 工业领域数据安全管理试点典型案例和成效突出地区名单公示

会议活动

· 2023年中国网络和数据安全产业高峰论坛网络安全产融合作分论坛圆满举办

· INSEC WORLD世界信息安全大会移师西安，将于3月23日举办

一地宣布：销毁10亿条涉疫个人数据

3月2日，无锡市举行涉疫个人数据销毁仪式，首批销毁数据10亿条为确保数据彻底销毁、无法还原，邀请了第三方审计和公证处参与工作；同时门铃码、疫查通、货运通行证等“数字防疫”40多项应用功成身退，陆续下线。

无锡市“数字防疫”服务上线以来，始终坚持以人民为中心，发挥数据在科学决策、精准施策中的重要作用。共搜集了10亿条个人数据，主要用于核酸筛查、流调溯源、外防输入性疫情、重点人群核酸检测等用途。

（来源：平安无锡）

驰名品牌遭网络诈骗滥用，中联重科：已举报备案

近日，中联重科发布一则声明，称近日有不法分子冒用该公司名义制作非法APP、网址及小程序，以租赁机械设备、众筹等理由骗取财物，该公司已经向属地公安机关举报备案，提醒广大群众切莫上当受骗。

（来源：安全内参）

美油企再遭勒索攻击，关基保护需实战化常态化

Encino Energy是美国最大的私营天然气和石油生产商之一，在勒索软件组织ALPHV在暗网上公开披露其成为勒索目标之后，Encino Energy在上周为此做出了回应。

据美媒报道，Encino Energy发言人Jackie Stewart就事件做出部分回应，如“公司之前就意识到了未经授权的活动，并进行了调查和补救行动。”回应信息并不包含是否支付了赎金，或是否检查400GB泄露数据的真实性。他们重点强调的主要还是：“对我们的运营没有影响，我们继续照常运营。”。

（来源：安全419）

加拿大电信巨头Telus员工信息及源代码遭泄露

Telus是加拿大三大电信巨头之一，据外媒报道，Telus目前正在调查一起数据泄露事件，事关其员工信息及源代码。

黑客以7000美元的价格售卖一个包含Telus员工电子邮件的数据库，以6000美元的价格出售一个包含770条员工记录（其中包括Telus总裁的信息）的工资单数据库。最为重磅的是，黑客还计划出售Telus的私有源代码和GitHub存储库，售价为50000美元。

（来源：看雪学苑）

TikTok遭加拿大联合调查，涉及用户数据问题

加拿大正在对TikTok发起一项由联邦和省级监管机构共同进行的联合调查，原因是担心这家短视频应用收集、使用和披露个人信息，包括该公司在与年轻用户打交道时是否遵守法律。

TikTok发言人对此回应称：“TikTok社区的隐私和安全，尤其是我们年轻用户的隐私和安全，始终是我们的首要任务。我们致力于透明运营以赢得并维持许多加拿大人的信任，他们在我们的平台上创造和寻找快乐。我们欢迎有机会与联邦和省级隐私保护机构合作，就我们如何保护加拿大人的隐私澄清事实。”

（来源：安世加）

LastPass数据泄露事件最新细节，工程师电脑被植入键盘记录器

早前，知名密码管理软件——LastPass发生了一起严重数据泄露事件。近日，LastPass关于其数据泄露事件的调查又有了新进展，据其透露，攻击者最初是感染了LastPass一名DevOps工程师的个人电脑，随后从其Amazon AWS云存储服务器中窃取了敏感数据。

（来源：看雪学苑）

摩根大通限制员工使用ChatGPT，担心数据安全

据彭博社报道，投行摩根大通已限制员工使用ChatGPT，成为继亚马逊和几所大学之后，又一家在工作场所宣布限制使用OpenAI聊天机器人的组织。摩根大通是第一家在工作场所限制使用ChatGPT的华尔街投行。

彭博援引知情人士称，该禁令并非由特定事件或事故引发，而是该公司“对第三方软件的正常限制”的一部分，并表示，该类限制普遍存在于金融机构。

（来源：安全客）

加密流量已成为网络威胁的主要来源

加密流量被认为是在线浏览和开展业务的最佳安全选择。追溯到 2013 年，根据Google的透明度报告显示，只有48%的网络流量是加密的。快进到今天，加密的Web 流量已经高达98%。然而，随着网络技术发展，现在的大多数网络威胁却也潜伏在加密通道中。

为了更好地理解这一点，可以根据Zscaler发布的《2022年加密攻击状况报告》，报告分析了2021年10月至2022年9月的240亿个威胁，以揭示嵌入在 HTTPS 流量（包括 SSL 和 TLS）中的威胁的详细信息。该报告显示，从2020年的57% 到2022年的85%以上，使用加密通道的攻击呈持续上升趋势。

详情请看：

构建全面OpSec行动安全计划的8个最佳实践

网络攻击者正变得越来越聪明，他们的攻击行为也越来越隐蔽。在网络攻防的博弈中，击败攻击者的唯一有效方法，就是像攻击者一样思考，将安全防护措施领先于潜在的网络攻击行为和漏洞利用，从被动事件响应转化为主动威胁防御。在此背景下，企业组织构建全面的行动安全（Operational Security，OpSec）防护计划至关重要。

详情请看：

《个人信息出境标准合同办法》九大疑问、四大价值全解析

2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起正式施行。

继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后，《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。

详情请看：

如何识别和保护企业在云上的暗数据资产

世界依靠数据运行。这一直是公认的事实，但数据的力量可能从未像今天这样强大。我们生活在信息的巨大时代——一个看似无限的知识宝库就在我们的指尖上。但是，数据当然不仅仅是供个人使用。事实上，数据对商业世界的影响最大。数据是让企业发展引擎保持运转的燃料。

然而，事实是，企业平均使用的数据不到他们积累的一半。其余的数据存留在了网络上的某个地方，在那里它变成了所谓的“暗数据”，使您的客户、员工和公司面临风险。

详情请看：

泄露的云计算凭据：来自野外的示例研究

云泄露通常源于配置错误的存储服务或暴露的凭据，越来越多的攻击专门针对云计算服务，以窃取相关凭据并非法访问云基础设施。这些攻击的目的就是使目标组织付出经济或其他方面的代价。

本文重点介绍了两个云计算凭据被攻击的示例。虽然初始访问阶段很重要，但我们将重点关注攻击期间执行的攻击后操作，并分享这两种针对云基础设施的攻击流程。攻击流程显示了攻击者如何滥用窃取的计算凭据来寻找各种攻击方法(如加密挖掘、数据窃取等)，并以意想不到的方式滥用云服务。

详情请看：

如何理解“数据三权”的关系，进一步提高企业数据治理能力

中共中央国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”），提出淡化数据所有权，强调数据使用权，以促进数据使用权流通为核心目标，建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，为我国数据产权制度建设明确了方向。

本文分析了数据产权三权分置对数据发挥生产要素作用的意义，梳理了学界、业界对这三种权利及与其他法定权利关系的不同观点，并对企业在“三权分置”背景下提升自身数据治理能力，提供了若干建议。

详情请看：

汽车数据安全合规—如何落实脱敏处理原则

《汽车数据安全若干问题合规实践指南》是数据安全推进计划汽车工作组在2022年产出的成果之一，指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，为汽车企业提供数据安全合规实践指引。本文将聚焦“脱敏处理”原则，解析合规要点，总结汽车行业典型场景，进而提出合规实践建议。

详情请看：

苏州和厦门两地《数据条例》正式施行

近一年，各地加快数据立法步伐，浙江、上海、江苏、山东等多地纷纷出台数据相关条例（包括大数据条例、数据条例、数字经济条例，统称为“数据条例”），对数据赋能产业、数据安全保护、数据共享等内容进行规制，以促进当地数字经济高质量发展。

3月1日起，苏州和厦门两地正式施行《数据条例》为当地的数据资源利用、数据处理、数据安全提供了法律保障。

（来源：数据合规公社）

《个人信息出境标准合同办法》正式发布

2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》）。《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排，细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计，规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。

（来源：网信中国）

中共中央国务院印发《数字中国建设整体布局规划》

近日，中共中央、国务院印发了《数字中国建设整体布局规划》（以下简称《规划》），并发出通知，要求各地区各部门结合实际认真贯彻落实。

《规划》指出，建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。加快数字中国建设，对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。

（来源：新华网）

上海市通管局：完成电信和互联网行业首批重要数据和核心数据认定工作

近期，上海市通管局组织数据安全领域专家对各企业报送的重要数据和核心数据开展专题评审，并通过评审意见通报、实地调研访谈等形式指导企业开展数据认定、分类分级和安全保护相关工作。

评审认为，上海移动、得物、小红书、上海电信、拼多多、携程报送的数据目录总体质量较好，其中上海移动和得物的数据认定工作较为突出。现经多轮评审反馈和整改报送，上海市通管局已审核确定上海市电信和互联网行业首批重要数据和核心数据目录，并按规定报送工业和信息化部。

（来源：数据合规公社）

工业领域数据安全管理试点典型案例和成效突出地区名单公示

近期，工业和信息化部办公厅发布消息称，按照《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点典型案例和成效突出地区遴选工作的通知》（工信厅网安函〔2022〕242号）要求，经申报、评审和网上公示，确定29个工业领域数据安全管理试点典型案例和5个试点成效突出地区。

（来源：信息安全与通信保密杂志社）

2023年中国网络和数据安全产业高峰论坛网络安全产融合作分论坛圆满举办

2月24日，由工业和信息化部、四川省人民政府主办，国家工业信息安全发展研究中心承办的2023年中国网络和数据安全产业高峰论坛网络安全产融合作分论坛在成都召开。

论坛以“资本赋能新安全，助推企业高成长”为主题，邀请产融两端网络安全高成长企业代表、网络安全投融资机构代表等专家，广泛交流分享网络安全投融资观点、网络安全专精特新企业培育经验等，并发布网络安全高成长性企业评价结果等重磅活动。

（来源：安全419）

INSEC WORLD世界信息安全大会移师西安，将于3月23日举办

2023年，又将是信息安全动荡的一年！在此背景下，由陕西省工业和信息化厅和陕西省商务厅指导，英富曼会展集团主办的2023 INSEC WORLD世界信息安全大会将以“聚焦安全打造多元新格局“为主题，于3月23-24日在西安国际会展中心会议楼举办。

作为一次汇聚各界意见领袖和技术专家的行业开年盛会，大会邀请到逾50位海内外优秀行业大咖分享安全实践经验及最新技术，更有华为、深信服、安恒、OSRC、AWS、火山引擎、微步在线、新思科技、四叶草安全等近40家知名企业集体亮相。大会旨在搭建产业交流、技术探讨、人才培养、学术发布、产品展示和供需配对的平台，共同探寻信息安全行业发展的最新脉搏，实现面对面自由头脑风暴，共话年度行业热点话题与最新技术。

（来源：安全内参）