数据安全每周观察 | 《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》公开征求意见

公开征求对《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》的意见

本次公开征求意见的《工业和信息化领域数据安全行政处罚裁量指引（试行）》，旨在明确工业和信息化领域数据安全行政处罚的标准和程序，规范行政处罚行为，保障数据安全和促进数据开发利用。

《裁量指引》明确行政处罚由违法行为发生地管辖、一事不再罚等要求。同时将数据安全违法行为的危害程度分为“较轻”“较重”“严重”三类，如超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或者涉及2个以上数据处理者的重要数据、核心数据属后果严重情况，行政执法机关将结合实际情况和适用条件，作出最终裁决。

除了对数据安全违法行为的处罚措施作出规定外，该指引还强调了工业和信息化领域数据安全管理的重要性。指引要求，企业应当建立健全数据安全管理制度和责任制，采取必要的安全保障措施，加强对数据安全的保护和管理。同时，政府和监管机构也应当加强对数据安全的监管和执法力度，严厉打击数据安全违法行为。

总之，《工业和信息化领域数据安全行政处罚裁量指引（试行）》的出台将有助于规范工业和信息化领域的数据安全管理，保障数据安全和促进数据开发利用。

近日，规范数据要素市场活动，保障数据安全，促进数据要素开发利用和流通交易，推动数据要素市场化配置，根据有关法律法规，结合广西实际，广西壮族自治区人民政府办公室印发《广西数据要素市场化发展管理暂行办法》（以下简称“暂行办法”《暂行办法》）。

《暂行办法》共五章。其中，第五章 数据安全监管要求：

近日，广州市荔湾区人民法院公布了一起侵犯公民个人信息罪案件，据了解，当事人张某在搭建智能家居环节中，使用了一款带有无线传输功能的气象数据收集设备，该设备收集的数据信息被传输至国外服务器，造成数据信息外泄。

普陀区综合行政执法局执法工作人员根据市气象局提供的违法线索，随即介入调查。经查，张某为配合家中智能家居使用而购买了某款无线气象仪，将气象仪放置于院落内并接入互联网，人在外时通过手机APP实时查看院内天气信息。

执法人员经过咨询相关部门、查看手机APP用户协议及有关数据资料，确定该款产品的确会将气象仪收集的数据信息（包括温度、湿度、风向、风速、气压、雨量、日照等）通过互联网传输至境外，张某的无线气象仪从某网上购物平台购买，其采集和显示设备在未联网的情况下不会外传数据信息，一旦联网，就会将数据信息传输至境外服务器。

鉴于张某检查发现后，立即停止了违法行为，且认错态度良好，情节轻微。普陀区综合行政执法局依法对其作出警告并处罚款人民币5000元整的处罚决定。

近日，浙江省舟山市普陀区综合行政执法局查处一起气象数据信息外泄案件。近日，Cybernews发文称，其研究团队于2023年10月3日发现了一个属于越南邮政公司的开放式Kibana实例，据了解，越南邮政公司是一家越南政府所有的邮政服务公司，另外还提供金融、人寿和非人寿保险服务。

研究人员发现该公司的安全日志和员工电子邮件地址可被外部网络窥探者访问，数据存储库中包含员工姓名、电子邮件等信息以及2.26亿条日志事件，总共1.2TB的数据，并且这些数据正在实时更新。这些日志主要与扩展检测和响应（XDR）、安全信息和事件管理（SIEM）等网络安全软件有关。

事件日志对潜在攻击者来说非常有价值，因为它们有助于进行网络、用户和服务的枚举和跟踪。Cybernews透露，这个数据存储库至少在87天内都可被访问，因为物联网搜索引擎最早于2023年7月8日索引到这些数据。10月6日发现后不久，越南邮政公司撤销了公开访问权限。

虽然这次泄露不会直接提供攻击者访问敏感系统或用户账户的权限，但泄露的信息使潜在攻击者能够确定在某个时间点哪些员工在工作，以及他们使用的设备。“XDR工具对于网络安全人员来说至关重要，可以帮助他们追踪网络上发生的事情，以便及时发现威胁并做出有效应对。当这些系统落入错误的角色手中时，攻击者就能够看到网络中的情况，并监视对网络节点可能造成的潜在威胁的响应。”Cybernews的研究人员解释道。

前段时间，山东济南网警在工作中发现，本地多名新生儿父母曾接到“上门摄影”电话推销，疑似个人信息泄漏。

经查，山东某文化有限公司主营业务为新生儿摄影，公司法人席某倩于2021年5月联系在济南某单位工作的好友张某某、周某，意图通过非法渠道获取更多客户资源，与席某倩达成共识后，张、周二人利用职务之便潜入单位系统，查询获取到部分孕妇和新生儿信息，并以每条5元的价格出售给席某倩。

查明真相后，专案组将上述3人以及山东某文化有限公司共同经营人张某江抓获，同时查获纸质版新生儿信息2000余条，电子版6万余条，经梳理，席某某非法获利51万余元，张某某非法获利24万余元，周某非法获利12万余元。

专案组加紧取证勘验，梳理其他曾为该公司提供各类公民个人信息的家政、月嫂、孕教等上线机构6家，席某倩转手倒卖新生儿个人信息的保险、产康等下线机构2家，又先后抓获犯罪嫌疑人9名，进一步扩大专案战果，形成系统性打击震慑。

以上案件中涉事单位系统监管缺位，存在安全漏洞。济南网警开展“一案双查”，根据《数据安全法》对该系统主管单位处以行政警告并责令整改，对其开发运维企业处以行政警告、罚款5万元并责令整改，对企业驻点的直接责任人崔某健处以行政警告、罚款1万元。

近日，青岛城阳公安在侦办一起车辆被盗案过程中发现多处疑点，盗窃嫌疑人从异地驱车赶来，似乎事先有准确的预判性，中间没有曲折和犹豫，找到目标车辆，实施盗窃后潜逃。经多次审查，结合车主车辆使用、维修等轨迹进行重合认证，民警又成功挖出另一违法链条。办案民警根据线索，很快锁定了出售车辆GPS信息的嫌疑人陈某，并将其抓获归案。

经审查，嫌疑人陈某系汽修从业人员，在工作中经常为客户车辆加装GPS安保防盗系统，也因此掌握了大量车辆GPS账号信息，一些车主又十分大意，初始账户密码也不知改动，直接使用，这样陈某就可以通过相关账号信息登录程序，实时准确获得车辆位置信息。陈某供述，因抵挡不住不法利益诱惑，先后多次将客户车辆GPS信息出售获利。盗车团伙正是利用这些一次次专门花高价购买来的豪车GPS信息，先后在江苏、浙江等地实现了精准盗窃。目前盗车嫌疑人及涉嫌侵犯公民个人信息罪的嫌疑人陈某，都已被城阳警方依法刑拘，案件正在进一步审理中。

公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的各种信息，包括姓名、身份证号码、通讯联系方式、住址、账号密码、财产情况及行踪轨迹等，《刑法》第二百五十三条规定：违反国家有关规定，向他人出售或者提供公民个人信息、情节严重的，处三年以下有期徒刑或者拘役、并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》，北京市互联网信息办公室、北京市经济和信息化局、北京市通信管理局联合组织开展2023年度北京市汽车数据安全管理情况报送工作。

报送内容主要是2023年度汽车数据安全管理情况报告，风险评估报告，汽车数据处理者情况汇总表，若风险评估报告内容与管理情况报告内容有重合之处，重合部分不必再进行描述，但需在风险评估报告中注明与管理情况报告哪个部分内容重合。

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》《浙江省汽车数据处理管理规定》，浙江省互联网信息办公室、浙江省经济和信息化厅、浙江省通信管理局联合组织开展2023年度浙江省汽车数据安全管理情况报送工作。

报送内容主要是《2023年度汽车数据安全管理情况报告》《风险评估报告》《汽车数据处理者情况汇总表》（详见附件）。若风险评估报告内容与2023年度汽车数据安全管理情况报告内容有重合之处，重合部分不用再描述，但需在风险评估报告中注明与管理情况报告哪个部分内容重合。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。