数据安全每周观察 | 国内首个关键信息基础设施安全保护标准正式施行

国内首个关键信息基础设施安全保护标准正式施行

2022年11月，国家市场监管总局批准发布了《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准文件。该标准作为《关键信息基础设施安全保护条例》发布后首个正式发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引，已于2023年5月1日正式实施。

标准的出台是适应网络安全形势变化发展的必然要求，其重要意义不言而喻，为我国关键信息技术设施保护工作的深入开展奠定了坚实的基础。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护和以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了标准保障。

公安部网络安全保卫局副局长、一级巡视员郭启全指出，关键信息基础设施保护是一个系统工程，有关单位和部门要将网络安全等级保护制度、关键信息基础设施保护制度和数据安全保护制度三个制度在法律、政策、标准等方面形成有机衔接的体系。要落实上述要求，围绕关键信息基础设施安全保护要求，构建标准体系。公安机关将大力加强关键信息基础设施安全保卫和安全监管，严厉打击相关违法犯罪活动，与有关部门密切配合，着力构建关键信息基础设施综合防御体系，大力提升综合防御能力和水平，坚决维护好国家网络空间安全。

近日，交通运输部办公厅、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅、国家互联网信息办公室秘书局联合发布《关于切实做好网约车聚合平台规范管理有关工作的通知》，从压实企业责任，保障乘客和驾驶员合法权益；规范经营行为，维护公平竞争市场秩序；加强协同配合，提升监管能力和水平等五方面作出部署，促进网约车行业规范健康持续发展。

《通知》提到各地交通运输、电信、公安、网信等部门要督促网约车聚合平台及合作网约车平台公司，落实网络安全防范措施，严格数据安全保护和管理，采取有效措施防止驾驶员、约车人和乘客等个人信息泄露、损毁、丢失。

中央网信办28日通报，已下发通知在全国范围内启动为期3个月的“清朗·优化营商网络环境 保护企业合法权益”专项行动，深入清理处置涉企业、企业家虚假不实和侵权信息，坚决打击恶意炒作行为，依法查处侵害企业、企业家合法权益的网站平台和账号。

通知指出，本次专项行动重点治理十类网络乱象，包括：假冒仿冒他人企业名称、注册商标、品牌等开设网站、注册账号、上架APP和小程序等；泄露企业商业秘密，虚构企业家私生活话题，炒作企业家个人隐私，泄露企业家生物识别、医疗健康、金融账户、行踪轨迹、家庭住址、身份证号和电话号码等个人信息；假借企业、企业家名义从事违法违规活动，违规使用企业家姓名肖像等；采用“标题党”歪曲新闻原意、断章取义企业家过往言论和片面解读企业财务报表等方式，干扰企业正常经营等。

近日，台湾立法院通过修正个人资料保护法的草案，将成立台湾数据保护机构，该机构有权处以高达1500万台币（约合49万美元）的罚款。根据草案，未能实施适当安全措施以防止个人数据被盗窃、篡改、损坏、销毁或泄露的非政府机构可能面临2万至200万台币的罚款。此前，台湾宪法法院要求政府修订数据保护立法，包括建立独立的监督机构。宪法法院的裁决指出，政府必须在2024年8月之前创建一个负责个人数据相关事宜的机构，以解决政府机构之间关于个人数据泄露产生的争议。

近期，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“新闻资讯类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“新闻资讯类”App，包括今日头条、百度、腾讯新闻、新浪新闻、一点资讯、网易新闻、趣头条、搜狐新闻共计8款。

报告发现，8款App在5种场景下调用了位置、设备信息、应用列表、剪切板4类系统权限，未发现调用相机、麦克风、通讯录等其他权限。同时，8款App上传了4种类型个人信息：①位置信息，包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用Wi-Fi MAC地址；②唯一设备识别码，包括IMEI（国际移动设备识别码）、Android ID（安卓ID）、OAID（开放匿名设备标识符）、手机MAC地址；③应用列表信息，包括手机上已安装、新安装和新卸载的应用信息，自上次使用App以来的应用信息变化情况（包括更新、安装和卸载）；④用户在App首页的截图信息，包括截图操作（记录有截图动作发生）、截图内容（截图产生的图片）。

日前，中国信息通信研究院发布了《中国数字经济发展研究报告（2023年）》，报告分析发现，我国数字经济进一步实现量的合理增长。2022年，我国数字经济规模达到50.2万亿元，同比名义增长10.3%，已连续11年显著高于同期GDP名义增速，数字经济占GDP比重相当于第二产业占国民经济的比重，达到41.5%。

我国数据生产要素价值进一步释放。数据产权、流通交易、收益分配、安全治理等基础制度加快建设，破解数据价值释放过程中的系列难题。同时，数据要素市场建设进程加快，数据产业体系进一步健全，数据确权、定价、交易流通等市场化探索不断涌现。

近日，上海数据交易所国际板启动建设，探索数据跨境双向流动的新机制，推动国内外企业开展数据跨境流通业务合作，实现全球数据互联互通。上海数据交易所国际板的启动建设，将进一步深化国内国际两个市场布局，促进全球数据产品流通交易，推动数据要素市场更高水平对外开放，为对标《数字经济伙伴关系协定》（DEPA）等数字经济国际通行规则提供实践基础。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。