近期网安资讯动态盘点(2024-1下)

最新政策法规动态

工业和信息化部等七部门关于推动未来产业创新发展的实施意见

工业和信息化部、教育部、科技部等七部门联合印发《关于推动未来产业创新发展的实施意见》（以下简称《意见》），以加强对未来产业的前瞻谋划、政策引导，支撑推进新型工业化，加快形成新质生产力。

《意见》从技术创新、产品突破、企业培育、场景开拓、产业竞争力等方面提出发展目标：到2025年，我国未来产业技术创新、产业培育、安全治理等全面发展，部分领域达到国际先进水平，产业规模稳步提升。建设一批未来产业孵化器和先导区，突破百项前沿关键核心技术，形成百项标志性产品，初步形成符合我国实际的未来产业发展模式。到2027年，未来产业综合实力显著提升，部分领域实现全球引领。关键核心技术取得重大突破，一批新技术、新产品、新业态、新模式得到普遍应用，形成可持续发展的长效机制，成为世界未来产业重要策源地。

未来产业发展的核心是前沿技术的创新突破。《意见》按照“技术创新—前瞻识别—成果转化”的思路，提出推动前沿技术产业化的具体举措：一是抓创新。面向未来制造、未来信息、未来材料、未来能源、未来空间、未来健康6大重点方向，实施国家科技重大项目和重大科技攻关，发挥各创新载体作用，鼓励龙头企业牵头成立创新联合体，体系化推进关键核心技术攻关。二是精识别。打造未来产业瞭望站，跟踪重点领域科技发展动向，聚焦前沿热点，利用人工智能、先进计算等技术，精准识别具备高水平技术突破、高潜能产业化前景的技术创新。三是促转化。定期发布前沿技术推广目录，高水平建设未来产业成果“线上发布大厅”，打造产品交易平台，举办成果对接展会，提供精准对接。高水平建设技术市场和科技企业孵化器，高效整合创新优势资源，推动先进科技成果落地转化。

详见：

https://www.gov.cn/zhengce/zhengceku/202401/content_6929021.htm

国家金融监管总局将加强网络安全和数据安全风险监管

1月25日，在国务院新闻办举行的金融服务经济社会高质量发展新闻发布会上，国家金融监督管理总局新闻发言人、统计与风险监测司负责人刘志清表示，在金融机构和监管部门的共同努力下，金融行业数字化转型进程不断加快，服务实体经济质效也显著提高。金融监管总局将持续加强监管引领，多措并举做好数字金融这篇大文章，引导金融机构提升服务质效，全面加强风险管理。

一是持续推动银行业保险业数字化转型，开展数字化转型评估工作，并把它纳入到银行保险机构信息科技监管评级中，引导金融机构加强顶层设计和统筹规划，科学制定发展战略，加大资源要素投入，实现经营管理和服务的变革。

二是增强数字赋能成效，充分调动金融机构积极性和主动性，不断优化数字金融产品和服务，做好科技创新、先进制造、绿色发展和中小微企业重点领域的金融支持，有效降低企业融资成本。同时积极拓展互联网、移动终端等服务渠道，通过数字手段触达的传统金融服务难以覆盖的客群，持续提高金融服务的普惠性可获得性。

三是提升行业风险防控能力，推动银行业保险机构将数字化风控工具嵌入业务流程，充分用数字化能力，提高风险管理和内控的合规水平。

四是加强网络安全和数据安全风险监管，推动银行保险机构提高网络安全风险的日常监测和应急处置能力，有效保护数据安全和客户的信息，强化数字生态场景下的科技外包风险管理。

五是规范数字创新，守住风险底线。要求银行保险机构建立稳健的业务审批流程，对新产品、新业务、新模式带来的技术和业务逻辑变化进行评估，确保新技术投产运用的审慎性和合规性，牢牢守住数字化转型过程中的风险底线。

详见：

https://www.gov.cn/zhengce/202401/content_6928406.htm

李强主持召开国务院常务会议研究部署推动人工智能赋能新型工业化有关工作等

新华社北京1月22日电国务院总理李强1月22日主持召开国务院常务会议，研究部署推动人工智能赋能新型工业化有关工作等。

会议强调，要统筹高质量发展和高水平安全，以人工智能和制造业深度融合为主线，以智能制造为主攻方向，以场景应用为牵引，加快重点行业智能升级，大力发展智能产品，高水平赋能工业制造体系，加快形成新质生产力，为制造强国、网络强国和数字中国建设提供有力支撑。

详见：

https://www.gov.cn/yaowen/liebiao/202401/content_6927581.htm#:~:text=%E6%96%B0%E5%8D%8E%E7%A4%BE%E5%8C%97%E4%BA%AC1%E6%9C%882,%EF%BC%88%E4%BF%AE%E8%AE%A2%E8%8D%89%E6%A1%88%EF%BC%89%E3%80%8B%E3%80%82

中央网信办启动“清朗·2024年春节网络环境整治”专项行动

为营造喜庆祥和的春节网上氛围，中央网信办决定即日起开展为期1个月的“清朗·2024年春节网络环境整治”专项行动。

专项行动重点整治以下6方面问题：

（一）宣扬猎奇行为、违背公序良俗问题。

（二）散播网络戾气、煽动群体对立问题。

（三）炮制虚假信息、恶意营销炒作问题。

（四）色情赌博引流、网络诈骗问题。

（五）鼓吹炫富拜金、无底线追星问题。

（六）危害未成年人身心健康问题。

详见：

http://www.cac.gov.cn/2024-01/29/c_1708196062197841.htm

标准动态

信安标委下达7项网络安全推荐性国家标准计划

近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括7项由全国网络安全标准化技术委员会归口的标准项目，清单见下表。

详见：

https://www.tc260.org.cn/front/postDetail.html?id=20240130162006

工信部就《国家人工智能产业综合标准化体系建设指南》公开征求意见

为深入贯彻落实党中央、国务院关于加快发展人工智能的部署要求，贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》，进一步加强人工智能标准化工作系统谋划，加快构建满足人工智能产业高质量发展需求的标准体系，更好发挥标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用，制定《国家人工智能产业综合标准化体系建设指南》。

l 重点方向：

基础共性标准（基础共性标准主要规范人工智能术语、参考架构、测试评估、管理、可持续等内容。）

基础支撑标准（基础支撑标准主要包括基础数据服务、智能芯片、智能传感器、计算设备、算力中心、系统软件、开发框架、软硬件协同等部分。）

关键技术标准（关键技术标准主要包括机器学习、知识图谱、大模型、自然语言处理、智能语音、计算机视觉、生物特征识别、人机混合增强智能、智能体、群体智能、跨媒体智能、具身智能等部分。）

智能产品与服务标准（智能产品与服务标准主要包括智能机器人、智能运载工具、智能移动终端、数字人、智能服务等部分。）

行业应用标准（人工智能行业应用重点领域包括智能制造、智能家居、智慧城市、科学智算等。）

安全/治理标准（安全/治理标准包括人工智能领域的安全、治理等部分。）

详见：

https://www.tc260.org.cn/front/postDetail.html?id=20240130162006

国内动态/事件盘点

蜜雪冰城遭证监会“追问”！涉及用户个人信息安全

1月2日，蜜雪冰城向港交所递交招股书。近日，证监会官网发布的《境外发行上市备案补充材料要求公示》显示，蜜雪冰城被证监会要求补充材料，具体涉及用户个人信息安全。

《公示》显示，证监会国际司要求蜜雪冰城补充说明开发、运营的网站、APP、小程序等产品情况，收集和存储用户信息规模、数据收集使用情况，是否存在向第三方提供信息的情形，以及上市前后个人信息保护和数据安全的安排或措施。

详见：

http://finance.ce.cn/stock/gsgdbd/202401/23/t20240123_38877779.shtml?ivk_sa=1023197a

内蒙古14家机构因未履行个人信息保护义务受到处罚

近期，内蒙古赤峰市喀喇沁旗公安机关多次接到辖区居民被装修推销电话骚扰的警情。报警者反映，推销人员对其个人及住房情况非常了解，怀疑其个人信息已遭泄露，担心财产和人身安全。

为维护人民群众合法权益，内蒙古赤峰市喀喇沁旗公安局迅速出警，通过缜密侦察，捣毁张某为首的以“信息共享”为名侵犯公民个人信息的犯罪团伙，共抓获犯罪嫌疑人18名，查获公民个人信息100余万条，扣押涉案电脑、手机等物品68件。

经查，该犯罪团伙依托涉案的售楼企业、装修公司，通过“买卖、交换”等非法途径获取特定自然人信息，以“数据分筛、介绍客户、品牌融推”等所谓的“信息共享”方式传播扩散，并以此为目标客户进行“精准”业务推销，严重干扰居民正常生活秩序，对公民个人信息安全构成威胁。

经法院审判，犯罪团伙中张某因犯侵犯公民个人信息罪，被处有期徒刑六个月，并处罚金人民币六万元。未构成犯罪的温某、王某、马某等16人，根据《中华人民共和国网络安全法》第四十四条、第六十四条第二款之规定，依各违法情节，分别处2千到一万元不等罚款。

公安机关同时开展一案双查，14家相关企业因未全面履行《中华人民共和国个人信息保护法》规定的个人信息保护义务，依据该法第六十六条第一款之规定，喀喇沁旗公安网安部门依法责令相关企业进行改正并给予行政警告，对相关责任人员总计罚款6.8万元。

详见：

https://mp.weixin.qq.com/s/Rdhx_Npysz-cNYbgIXnDNw

工信部通报36款APP（SDK）侵害用户权益，闲鱼、高德等在列

1月22日，工信部信息通信管理局发布《关于侵害用户权益行为的APP（SDK）通报（2024年第1批，总第36批）》。

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，我部组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”、“关不掉”以及违规收集使用个人信息等问题进行检查，共发现31款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

详见：

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_a6f9db30756c4464804355afb64723ff.html

台媒：黑客入侵鸿海旗下半导体设备大厂京鼎威胁公开5TB数据资料

中新网1月17日电据台湾《联合报》等台媒报道，台湾鸿海集团旗下半导体设备大厂京鼎惊传黑客入侵，不只如此，黑客集团更直接在网站上威胁称，如果京鼎置之不理，总资料量达5TB的客户数据将被公开。

据报道，黑客集团骇进上市柜公司窃取资料时有所闻，但这是台湾第一次传出有黑客集团在窃取数据之后，直接“挟持”上市柜公司网站，昭告天下该公司内部数据被窃。

京鼎16日针对黑客事件发布讯息指出，初步评估对公司运作无重大影响，公司后续仍将持续提升网络与信息基础架构安全管控。据了解，京鼎已先电话联系台当局法务部门“调查局”，17日将赴“调查局”制作笔录，并提供保留数据，从网络迹证追查黑客来源与渗透进入点。

详见：

https://baijiahao.baidu.com/s?id=1788301558002398013&wfr=spider&for=pc

国际动态/事件盘点

“假拜登”忽悠选民不要投票， “AI深度造假”成美国政治隐患

2024年美国总统选举新罕布什尔州初选将在当地时间23日进行。据美国媒体报道，在竞选活动如火如荼之际，该州部分选民接到一个神秘来电，电话中一则类似美国总统拜登的录音号召他们不要在该州初选中投票。后来经证实，这个来电是机器人语音电话，并非拜登本人录制。美国全国广播公司率先披露了这则机器人语音电话的内容，其中包含拜登的口头禅“真是一派胡言”。

美国媒体报道称，这个电话是用虚拟号码打给众多选民的，其中一个虚拟号码就是新罕布什尔州民主党前主席凯西·沙利文的个人手机号码。沙利文在声明中表示，自己的电话号码在不知情的情况下被使用了。美国一家技术公司的调查显示，播放这则录音的机器人电话数量，可能在5000个至25000个之间，并且有75%的电话打给了新罕布什尔州的居民。

美国白宫发言人在22日的新闻发布会上确认，相关录音不是总统拜登录制的，并指出新兴技术可能让更多虚假和错误信息出现，这个意外事件就是证明。新罕布什尔州总检察长表示，正在调查这一事件，并呼吁选民忽视这类假消息。

分析指出，这一事件加深了人们对竞选活动中“深度伪造”的担忧。“深度伪造”，也就是使用人工智能的深度学习能力，生成合成图像、音频或视频的技术，运用这一技术已经可以制作具体虚拟人物形象等，也引发了人们对虚假信息传播的担忧。

日前，生成式人工智能公司OpenAI表示，竞选活动中，政界人士及其竞选团队不得使用该公司的人工智能工具。用户也被禁止创建假扮政治候选人或政府机构和官员的聊天机器人。

数据中心遭勒索攻击，瑞典多个城市因此宕机

芬兰IT服务和企业云托管供应商Tietoevry遭受勒索软件攻击，该攻击严重影响了其在瑞典的一个数据中心的云托管客户。据报道这次攻击是由Akira勒索软件团伙发起的。

Tietoevry是一家芬兰IT服务公司，为企业提供托管服务和云托管。该公司在全球雇用了约24,000名员工，2023年的收入为31亿美元。Tietoevry确认，勒索软件攻击发生在周五晚上到周六早上，并且只影响了其在瑞典的一个数据中心。Tietoevry公司表示，正在恢复基础设施和服务的过程中，但在他们重新启动服务器时，客户仍然受到影响。“时间表也会根据客户、相关解决方案和相关数据恢复需求的不同而有所不同。”据悉，Tietoevry在2021年曾经遭受过一次勒索软件攻击，迫使他们断开客户服务。

此次勒索软件攻击加密了公司用于托管瑞典广泛业务的服务器。瑞典最大的电影院连锁Filmstaden已确认他们是受攻击影响的公司之一，直接导致用户无法通过网站或移动应用在线购买电影票。其他受攻击影响的公司包括折扣零售连锁Rusta、原材料供应商Moelven以及农业供应商Grangnården，后者被迫在IT服务恢复期间关闭其商店。

此次中断还影响了Tietoevry管理的薪资和人力资源系统Primula，该系统在瑞典被政府、大学和学院广泛使用。例如Karolinska Institutet、SLU、University West、斯德哥尔摩大学、隆德大学和马尔默大学等。Primula系统的中断还影响了瑞典的多个政府机构和市政当局，包括Statens servicecenter、Vellinge市政当局、Bjuv市政当局和Uppsala县。对于Uppsala来说，中断的影响更为显著，因为它还影响了该地区的医疗记录系统。

能源巨头施耐德电气遭勒索软件攻击，大量企业数据被窃取

1月30日消息，全球能源管理和自动化巨头施耐德电气近日遭遇重大勒索软件攻击，导致部分服务中断并泄露了大量机密数据。据悉，攻击发生于 1 月 17 日，针对公司旗下可持续发展业务部门，使用的勒索软件为 Cactus 变种。该攻击导致施耐德电气的 Resource Advisor 云平台遭到破坏，目前仍处于瘫痪状态。

据报道，攻击者窃取了“数 TB 企业数据”，并威胁称如果不支付赎金，将会泄露这些数据。目前尚不清楚赎金金额、数据内容以及数据归属，但据悉，施耐德电气可持续发展业务部门为 DHL、希尔顿、百事可乐和沃尔玛等企业提供可再生能源、可持续发展法规等方面的咨询服务。

施耐德电气表示，公司正在进行修复工作，预计将在未来两个工作日恢复受影响系统的访问权限，并强调可持续发展业务部门的网络与集团其他部分隔离，此次事件不会影响其他部门。

英国标准协会率先制定可持续未来国际人工智慧安全指南

英国标准协会 (BSI) 发布了世界上第一个关于人工智慧安全的国际指南，称为 BS ISO/IEC 42001，标志著人工智慧 (AI) 领域的一个重要里程碑。该出版物旨在为各组织建立一个全面的框架安全、负责任地管理人工智慧系统，满足这个快速发展的技术领域对标准化日益增长的全球需求。

人工智慧对从医疗保健到金融等各个行业的变革性影响是惊人的。然而，它的快速採用也引发了人们对安全性、道德使用和可信度的担忧。BSI 的一项调查强调，全球 61% 的人寻求人工智慧使用的国际指南，指出存在显著的“人工智慧信心差距”。作为回应，BSI 的 BS ISO/IEC 42001 旨在为人工智慧管理提供权威的、全球认可的标准。该指南是一个基于影响的框架，重点关注非透明自动决策、机器学习在人类编码逻辑上的使用以及持续学习演算法等基本方面。它描述了组织如何建立、实施、维护和持续改进人工智慧管理系统，并为其提供强有力的保障措施。