数据安全每周观察 | 《电信领域数据安全指南》等12项网络安全国家标准获批发布 - 新鲜讯息

政策趋势

《网信部门行政执法程序规定》

进一步规范和保障网信部门依法履行职责

3月23日，国家互联网信息办公室公布《网信部门行政执法程序规定》（以下简称《规定》），自2023年6月1日起施行。《规定》的出台明确了“一事不二罚”的基本原则，进一步规范和保障了网信部门依法履行职责，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益。以下为《规定》节选：

”

第三十二条对有证据证明是用于违法个人信息处理活动的设备、物品，可以采取查封或者扣押措施。

采取或者解除查封、扣押措施，应当向网信部门主要负责人书面报告并经批准。情况紧急，需要当场采取查封、扣押措施的，执法人员应当在二十四小时内向网信部门主要负责人报告，并补办批准手续。网信部门主要负责人认为不应当采取查封、扣押措施的，应当立即解除。

《电信领域数据安全指南》等12项网络安全国家标准获批发布

根据2023年3月17日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第1号），全国信息安全标准化技术委员会归口的12项网络安全国家标准正式发布。具体清单如下：

《云南省数字政府建设总体方案》

引领驱动数字经济发展和数字社会建设

近日，为加快推进云南省数字政府建设，引领驱动数字经济发展和数字社会建设，创新政府治理理念和方式，加快政府职能转变，云南省人民政府发布了《云南省数字政府建设总体方案》。以下为内容节选：

”

（二）构建数字政府全方位安全保障体系

1、强化安全管理责任

各地各部门按照职责分工，统筹做好数字政府建设安全和保密工作，落实主体责任和监督责任。

2、落实安全管理制度

贯彻落实数据分类分级保护、风险评估、检测认证等制度，加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度，完善相应问责机制，依法加强重要数据出境安全管理。加强关键信息基础设施安全保护和网络安全等级保护，严格执行网络安全、保密监测预警和密码应用安全性评估相关制度，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。

3、提升安全保障能力

建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系，强化安全可靠技术和产品应用，加强网络安全基础设施和密码基础设施集约化建设和供给。充分运用主动监测、智能感知、威胁预测等安全技术，强化日常监测、通报预警、应急处置，拓展网络安全态势感知监测范围，加强大规模网络安全事件、网络泄密事件预警和发现能力。

监管动态

1►

工信部：55款侵害用户权益的APP及SDK

近期，工业和信息化部组织第三方检测机构对群众关注的生活服务、休闲娱乐、实用工具等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行检查，发现55款APP（SDK）存在侵害用户权益行为，包括叨叨记账、会说话的汤姆猫、YY、黄油相机等。工业和信息化部表示，相关APP及SDK应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。

2►

重庆市通管局开展专项检测：出行、医药等

多款软件存在问题

重庆市通信管理局近期组织第三方专业机构对重庆属地的App进行专项检测。截至目前，共发现问题App45款，其中已督促并指导运营企业完成整改38款，对于未限期完成整改的数智交通、药采采、名医挂号等7款App依法依规进行了社会公告。

3►

工行前员工涉嫌倒卖客户信息被禁业3年

据银保监会近日发布的行政处罚信息显示，工商银行莆田涵江支行因存在“内控管理不到位”“未按规定报送案件信息”这两项主要违法违规事实，被银保监会莆田监管分局处以罚款45万元。报道显示，工商银行莆田涵江支行被罚主因是其前员工陈超翼涉嫌倒卖客户财产信息。目前，该员工被禁止从事银行业工作3年。

业界之声

“个人信息保护影响评估专题工作”

评估试点报名启动

为回应企业推进个人信息保护影响评估在细分操作指引、协调落地执行、认定评估效力等方面的问题，切实推进个人信息保护影响评估制度发挥实效，“中国网络安全产业联盟（CCIA）数据安全工作委员会”、“数据安全共同体计划（DSC）”、“数据保护官（DPO）沙龙”共同发起“个人信息保护影响评估专题工作”（以下简称“PIA专题工作”）。

PIA专题工作组将基于首期工作成果，在2023年4月至2023年6月推进第二阶段工作，面向相关社群成员、委员单位征集“个人信息保护影响评估”试点场景，首批试点限20家试点单位参与，优先吸纳参与常用工具表编制的相关单位。

《智能网联汽车安全渗透白皮书3.0》

《智能网联汽车安全渗透白皮书3.0》依据国内外法规及标准政策要求，验证智能网联汽车产品安全防护情况，分析网络安全、数据安全及OTA的风险并提出建议，为行业提升安全防护水平、探索合规解决方案提供参考。

1、数据安全问题

其中，63%的车型存在安全日志、行为日志明文存储，其日志内容包含车辆行驶轨迹信息，车辆位置经纬度信息，个人身份信息等；44%的车型可以通过车机或其他入口在非授权情况下访问使用敏感数据，对车辆工况数据、密钥数据及证书未做安全防护处理。

《白皮书》建议，一是准确把握安全要求，明确需求对应关系。企业应深入分析自身安全需求，从数据安全体系建设和产品数据安全过程保障出发，提升数据安全保障能力，建立健全相关体系；

二是落实安全左移，重视数据生命周期。从概念设计阶段引入数据安全威胁建模和风险评估可以提前发现问题，并重视数据的采集、生产、传输、使用、存储、销毁的生命周期是现阶段逐步形成的技术路线；

三是平衡数据安全、隐私合规与实际使用场景需求的矛盾。建议企业从用户需求和实际功能角度出发细分数据类型，做好分级管理，避免无差异化授权的形式。

2、个人隐私问题

测试结果显示，77%的车型存在个人隐私数据非授权采集、采集范围未做有效控制等问题；45%的车型存在个人隐私泄露问题，泄露内容包括个人身份信息、车辆位置信息、车内对话内容等；近六成的车型存在违规收集个⼈信息，违规使用个人信息，个人敏感信息未做安全防护或脱敏处理，车辆使用过程中强制、频繁、过度索取用户权限等问题。

《白皮书》建议，一方面，需重视车辆使用过程中个人信息隐私合规的重要性。应当按要求建立企业级车辆个人隐私数据管理体系，并实现产品级合规，规避企业因处理个人隐私数据所带来的法律风险和处罚。另一方面使用加密、脱敏等技术手段，对个人隐私数据的全生命周期进行安全防护。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。

相关阅读