数据安全每周观察 | 《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》公开征求意见

《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》公开征求意见

近日，为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作，有效提升重要数据和核心数据保护水平，工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》（以下简称《实施细则》），现向社会公开征求意见。

《实施细则》共十七条，确定了部省两级数据安全风险评估工作体系，细化了重要数据和核心数据处理者的评估义务，明确了行业主管部门监督管理评估活动的机制流程。主要内容包括：

信安标委技术文件《生成式人工智能服务安全基本要求》（征求意见稿）公开征求意见

近日，全国信息安全标准化技术委员会组织制定的技术文件《生成式人工智能服务安全基本要求》（以下简称“《基本要求》”）已形成征求意见稿，根据《全国信息安全标准化技术委员会技术文件制订工作程序（试行）》，现将该技术文件面向社会公开征求意见。

《基本要求》给出了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施、安全评估等。其适用于面向我国境内公众提供生成式人工智能服务的提供者提高服务安全水平，适用于提供者自行或委托第三方开展安全评估，也可为相关主管部门评判生成式人工智能服务的安全水平提供参考。

工信部等六部门联合印发《算力基础设施高质量发展行动计划》

近日，工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委等六部门联合印发了《算力基础设施高质量发展行动计划》（以下简称“《行动计划》”），旨在加强计算、网络、存储和应用协同创新，推进算力基础设施高质量发展，充分发挥算力对数字经济的驱动作用。

《行动计划》提出到2025年，存储力方面，存储总量超过1800EB，先进存储容量占比达到30%以上，重点行业核心数据、重要数据灾备覆盖率达到100%。

《行动计划》重点任务六：加强安全保障能力建设

科技部等十部门联合发布《科技伦理审查办法（试行）》

近日，科技部会同教育部、工业和信息化部等十部门联合印发的《科技伦理审查办法（试行）》（以下简称“《审查办法》”）正式发布，旨在规范科学研究、技术开发等科技活动的科技伦理审查工作，强化科技伦理风险防控，促进负责任创新。

《审查办法》第二条——开展以下科技活动应依照本办法进行科技伦理审查：

《审查办法》第十五条——科技伦理（审查）委员会应按照以下重点内容和标准开展审查：

近日，浙江省网信办依据《数据安全法》《行政处罚法》等法律法规，对杭州某科技公司作出罚款5万元的行政处罚，对该公司直接负责人作出罚款1万元的行政处罚。

根据国家网信办移交的问题线索，浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。经查实，该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中，存在未授权访问漏洞，未按要求履行数据安全保护义务，违反《数据安全法》第二十七条之规定。

近日，人民银行重庆市分行发布的行政处罚信息显示，浙商银行重庆分行存在6项违法行为，被警告，并被罚款36.8万元。同时，一名相关负责人被罚。

6项违法行为分别为：1、违反账户管理规定。2、违反人民币流通管理规定。3、违反国库科目设置和使用规定。4、违反信用信息采集、提供、查询及相关管理规定。5、未按规定履行客户身份识别义务。6、违反金融消费者保护内部控制及其他管理规定。其中，第4项涉及信用信息合规问题。

近日，上海市网信办在工作中发现，某科技公司相关数据库存在未授权访问漏洞，部分数据被窃并传输到境外。随即将相关情况通报涉事企业并要求立即核查整改，但该科技公司无视数据安全保护责任，未进行及时有效整改且擅自将涉事数据库一删了之，意图逃避处罚。上海市网信办依据《数据安全法》对该科技公司及公司直接责任人员予以行政处罚。

经调查核实，该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月，公司安装配置了一台Elasticsearch数据库服务器，用于搜集多个应用系统的业务日志，并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，因数据库存在未授权访问漏洞，造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告，未有效履行数据安全保护义务。针对以上违法情况，上海市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币8万元罚款的行政处罚；对公司直接责任人员作出罚款人民币1万元的行政处罚。

近日，北京市政府召开常务会议，研究高质量发展有关工作等事项。市委副书记、市长殷勇主持会议。

会议听取智慧城市建设重点任务工作进展及第三季度“月报季评”情况汇报时指出，要坚持智慧城市建设的发展思路和总体框架，深化规划管控、平台支撑、数据治理三大工作体系，夯实“七通一平”等数字基础设施，以“京通”“京办”“京智”为牵引，推动“一网通办”惠民服务便捷高效，“一网统管”城市治理联通协同，“一网慧治”科学决策精准智能，深化创新场景开放和技术创新产业培育，全面提升智慧城市建设水平。要完善数据治理体系，推动数据汇聚、开放、共享和利用。统筹发展和安全，严格落实部门主体责任，加强数据安全保障能力建设。

事件背景：2023年3月10日，十四届全国人大一次会议第三次全体会议表决通过《国务院机构改革方案》，组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。

近日，国务院任命沈竹林为国家数据局副局长。他此前的职务为国家发改委创新和高技术发展司（下称“高技术司”）司长。沈竹林曾任职的发改委高技术司，主导参与了“数据二十条”和“东数西算”等重要文件和重大项目，其部门职能涉及数字经济和大数据发展战略，这些职能在今年国务院机构改革中被划入国家数据局。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。