资讯速递丨11月网络安全事件、政策法规回顾

11月资讯速递

01

某集团遭遇数据泄露，236.3GB数据被暴露！

搜狐网11月23日，大江生医集团数据泄露，文件大小236.3GB，包含104,001个文件。此次监测到的数据泄露，主要包括客户投诉数据、SQL备份(HR库、CRM库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)等信息。

市民家中私装气象仪并外泄气象资料信息，被罚款5000元。

11月16日，中国青年报消息称，浙江舟山市普陀区综合行政执法局查处一起气象数据信息外泄案件，对当事人张某作出警告以及罚款人民币5000元的行政处罚决定，并责令张某停止使用该气象仪。据了解，张某在搭建智能家居环节中，使用了一款带有无线传输功能的气象数据收集设备。该设备收集的数据信息被传输至国外服务器，造成数据信息外泄。按照我国相关法律规定，组织和个人开展气象探测须向省级气象主管机构备案，探测所获得的气象资料须向省级气象主管机构汇交；开展气象探测、传输探测所得气象资料涉及境外组织、机构和个人，必须经国务院气象主管机构会同国家安全、保密等部门审批同意后方可实施。

内鬼盗卖数据，某大药房被罚！

近期，浙江温州公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案：大药房未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全，导致大量敏感数据泄露。温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该大药房直接负责的主管人员处罚款10万元。

非法出售明星航班行踪，已获刑。

澎湃新闻11月15日，北京市高级人民法院发布侵犯公民个人信息犯罪典型案例。在一起侵犯公民行踪轨迹信息案中，被告人利用职务之便非法获取并出售明星航班轨迹信息被判刑并承担损害赔偿责任。案情显示，两名被告人以侵犯公民个人信息罪判处有期徒刑各三年，并处罚金人民币各四万元；出售他人航班行踪轨迹信息1964条、其他公民个人信息370条，非法获利共计人民币4万余元。

中国跨境电商暴露数百万用户隐私数据

近日，外媒TechCrunch报道了一起令人担忧的事件：一家中国电商店铺的数据库暴露在互联网上，导致数百万中国公民的个人信息遭到泄露。据报道，云安全公司的安全研究员发现了这次暴露的数据库。他表示，该数据库属于Zhefengle，暴露数据库包含了2015年到2020年之间超过330万订单，包含了客户送货地址、电话号码、身份证号码，部分还有身份证照片。目前尚不清楚这个数据库暴露了多长时间。只要知道数据库的IP地址，任何人都可以在直接通过网络浏览器访问其中的数据。TechCrunch联系了这家网店的所有者，提供了有关泄露数据库的详细信息。不久之后，数据库就无法访问。店主回复说：“漏洞已经得到迅速处理。我们正在对原因展开内部调查。”

一国有大行在美子公司被勒索软件攻击

中国工商银行股份有限公司在美全资子公司工银金融服务有限责任公司（ICBCFS）（以下简称“工银金融”）近日在官网发布声明称，美东时间11月8日，工银金融遭遇勒索软件攻击，导致部分系统中断。工银金融表示，发现攻击后公司立即切断并隔离了受影响的系统，已进行了彻底调查，并在专业信息安全专家团队的支持下推进恢复工作。此外，也已经向执法部门报告了这一事件。工银金融同时称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。

旅客信息泄露、屡遭机票诈骗，民航局编制文件加强数据保护。

近日，有网友呼吁严查旅客航班信息泄露及利用其诈骗问题，中国民用航空局答复称，民航局高度重视数据治理工作，认真贯彻《网络安全法》《数据安全法》《个人信息保护法》等相关规定，先后出台“7+1”智慧民航数据治理系列规范（7部行业标准、1部信息通告），指导规范行业单位开展数据共享、数据服务、数据安全等工作。民航局方面还表示，目前，为落实民航领域数据分类分级保护有关要求，民航局正在编制相关文件，进一步加强对重要数据的保护。同时，对于第三方网络渠道代理公司的旅客信息泄露等问题，民航局将积极协调公安机关开展有关严查打击工作。

国家安全部披露间谍网络钓鱼攻击典型案例

11月3日，国家安全部发布一起间谍发起的网络钓鱼攻击典型案例，对案例发生经过进行详细介绍。国家安全机关提示单位和个人要加强对网络设施、信息系统等的反间谍技术防范和反间谍安全防范教育培训，防范网络攻击、维护网络空间安全。

湖南省常德市某中学不履行网络安全保护义务案

11月2日，公安部网安局发布“路由器安全相关执法案例”：湖南某中学智慧校园系统路由器被黑客入侵劫持并篡改，学校存在网络安全意识淡薄，系统网络安全防护不到位，未配置专业的网络安全技术人员等问题；路由器运维方存在未履行日常巡查、软件更新等网络安全保护义务的问题。当地公安机关依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，对该校及相关主管人员分别依法予以罚款，对运维公司依法予以警告。

02

国内首个可信数据空间标准发布

据IT之家11月27日消息，由工业互联网产业联盟、可信工业数据空间生态链、华为云等等单位共同举办的2023全球数商大会-数据基础设施暨可信数据空间创新发展论坛于26日召开。期间，官方发布了一系列实践成果，其中包括首批15家可信数据空间应用解决方案供应商和国内首个可信数据空间标准《可信数据空间系统测试规范》。

《公共数据授权运营平台技术要求》团体标准正式发布

光明网11月24日称，在第二届全球数字贸易博览会“数据要素治理与市场化论坛”会上，国家工业信息安全发展研究中心人工智能所副所长刘巍发布并解读了团体标准《公共数据授权运营平台技术要求》。本标准定义了公共数据授权运营平台参考架构，围绕数据登记、授权、流通全流程，从功能、性能、运维、安全和互联互通等五个方面明确了平台相关技术要求，本标准的发布推出，对规范公共数据授权运营平台建设、激发公共数据要素价值、促进数字经济健康发展具有一定积极作用，将于2023年12月10日起正式实施。

公开征求对《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》的意见

11月23日，为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，工业和信息化部研究起草了《工业和信息化领域数据安全行政处罚裁量指引（试行）》。现向社会公开征求意见，如有意见或建议，截止日期2023年12月23日。

信通院发布《信息通信行业防范治理电信网络诈骗白皮书（2023年）》

11月21日，中国信息通信研究院（简称“中国信通院”）发布了《信息通信行业防范治理电信网络诈骗白皮书（2023年）》，这是中国信通院第四次发布行业反诈相关研究成果。本次白皮书在延续以往全面梳理国内外电信网络诈骗的形势特点与治理举措，深刻剖析我国在电信网络诈骗治理工作中面临的风险挑战并研提意见建议的基础上，以权威数据深度挖掘我国电信网络诈骗新趋势新特点，具有较强的借鉴意义。

中央网信办开展“清朗・网络戾气整治”专项行动

新华社北京11月17日消息称，中央网信办近日印发通知，在全国范围内启动为期1个月的“清朗·网络戾气整治”专项行动，聚焦网络戾气容易滋生的重点环节版块，从严打击恶意攻击谩骂、挑起群体对立、宣泄极端情绪等突出问题，坚决惩治一批违规账号、群组和网站平台，有力遏制网络戾气传播扩散。通知提出，通过开展专项整治，进一步压实网站平台主体责任，深入查找问题漏洞，健全防范治理网络戾气的制度机制，切实保障广大网民合法权益，维护良好网络生态。

CCIA数安委发布《〈个人信息保护法〉实施两周年观察报告》

近日，中国网络安全产业联盟(CCIA)数据安全工作委员会联合数据安全共同体计划、南都数字经济治理研究中心、对外经济贸易大学数字经济与法律创新研究中心、清律律师事务所共同发布《实施两周年观察报告》，围绕制度推进、行政执法、司法实践、公众感知等方面，多维度观察《个人信息保护法》实施两周年以来的主要进展。

公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法》面向社会公开征求意见

新华社13日消息称，为深入贯彻落实反电信网络诈骗法，近日，公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》，面向社会广泛征求意见。征求意见稿在强化依法惩戒的同时，对惩戒信息数据实行动态管理，明确要求将惩戒依据、期限、措施和申诉权利书面告知被惩戒对象，并明确了申诉、核查和解除等工作的程序和时限，充分保障被惩戒对象的合法权益。公众可以通过公安部网站（www.mps.gov.cn）查阅公开征求意见稿。意见征集截止2023年12月12日，有关意见建议可通过电子邮件发送至[email protected]。

《浙江省汽车数据处理管理规定》公布

据网信浙江11月4日消息，浙江省委网信办、发改委、经信厅、公安厅、交通运输厅联合印发《浙江省汽车数据处理管理规定》。该规定共26条，自2023年11月1日起施行。相较国家网信办等五部门于2021年10月1日起施行的《汽车数据安全管理若干规定（试行）》，该规定增加了座舱数据等相关概念，要求区分场景收集数据，细化了个人信息告知内容，强化敏感个人信息保护，对每项敏感个人信息要求严格单独同意等。这也是省级层面第一次发布汽车数据处理的规范性文件。

我国工业信息安全产业规模超200亿元，仍处快速成长期。

国家工业信息安全发展研究中心日前发布的报告显示，我国工业信息安全产业规模超过200亿元，仍然处于快速成长期。《中国工业信息安全产业发展态势研究(2022—2023年)》显示，2022年我国工业信息安全产业规模为204.86亿元，市场增长率达21.62%，预计2023年我国工业信息安全产业规模增长率或超24%。2022年电力、智能制造、交通和石油石化等关键信息基础设施领域的工业信息安全投入占比依然保持在较高水平。工信部网络安全管理局的数据显示，今年以来，工信部数据安全风险信息报送与共享平台累计报告3700多起风险，其中80%以上的风险涉及工业领域。