数据安全每周观察|自然资源部印发《自然资源领域数据安全管理办法》

近日，自然资源部印发《自然资源领域数据安全管理办法》。《办法》提出，鼓励自然资源领域数据依法共享开放和开发利用，支持数据创新应用。积极构建数据开发利用和安全产业协调共进的发展模式，不断提升数据安全保障能力，维护国家安全、社会稳定、组织和个人权益。其中：

第一条 为规范自然资源领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》等法律法规，制定本办法。

本办法所称数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四条 在国家数据安全工作协调机制统筹协调下，自然资源部承担自然资源行业、领域数据安全监管职责，负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门（以下统称地方行业监管部门）开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责，参照本办法制定具体制度。

行业监管部门将数据安全纳入党委（党组）国家安全责任制，按照“谁管业务，谁管数据，谁管数据安全”原则，落实本行业本地区本领域数据安全指导监管责任。

第五条 自然资源部、国家林业和草原局推进自然资源领域数据开发利用和数据安全标准体系建设，组织开展相关标准制修订及推广应用。

第六条 鼓励自然资源领域数据依法共享开放和开发利用，支持数据创新应用。积极构建数据开发利用和安全产业协调共进的发展模式，不断提升数据安全保障能力，维护国家安全、社会稳定、组织和个人权益。

第七条 支持开展经常性的自然资源领域数据安全宣传教育。采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

第八条 自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别认定、数据安全保护等标准规范，指导开展数据分类分级管理工作，编制行业重要数据和核心数据目录并实施动态管理。国家林业和草原局按照自然资源领域数据分类分级标准规范，结合工作需要编制林草领域数据安全标准规范，指导开展林草数据分类分级工作，编制林草重要数据和核心数据目录并实施动态管理。

第十二条 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。（一）建立数据安全管理制度，针对不同级别数据，制定数据全生命周期各环节的具体分级防护要求和操作规程。（二）根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业监管部门开展工作。（三）利用互联网等信息网络开展数据处理活动时，要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。（四）应当采取相应技术措施和其他必要措施保障数据安全，防范数据被篡改、破坏、泄露或者非法获取、非法利用等风险。（五）合理确定数据处理活动的操作权限，严格实施人员权限管理。（六）根据应对数据安全事件的需要，制定应急预案， 并开展应急演练。（七）定期对从业人员开展数据安全知识和技能相关教育培训。（八）法律法规等规定的其他措施。

重要数据和核心数据处理者，还应当：（一）建立覆盖本单位相关部门的数据安全工作体系， 明确数据安全负责人和管理机构，建立常态化沟通与协作机制。本单位法定代表人或主要负责人是数据安全第一责任人，领导班子中分管数据安全的班子成员是直接责任人，其他成员对职责范围内的数据安全工作负领导责任，履行数据安全保护义务，接受监督。（二）明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书，责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。应当按照业务工作需要和最小授权原则，依据岗位职责设定数据处理权限，控制重要数据接触范围，人员变动时应及时调整权限。涉及核心数据的相关关键岗位人员、信息系统建设和运维单位等，提交公安机关、国家安全机关进行国家安全背景审查。（三）建立内部登记、审批机制，对重要数据和核心数据的处理活动进行严格管理并留存记录不少于六个月。（四）在数据全生命周期的各环节，应当综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护。（五）涉重要数据信息系统建设、运维项目未经委托方批准不得转包、分包。建设运维人员未经委托方明确授权，不得处理委托方的重要数据。在提供涉重要数据信息系统建设、运维过程中收集、产生的数据，不得用于其他用途，服务完成后按照与委托方约定处理或及时删除。（六）应当加强人员和经费保障。

第十三条 数据处理者收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据。法律法规对收集数据的目的、范围有规定的，应当在法律法规规定的目的和范围内收集。数据收集过程中，应当根据数据安全级别采取相应的安全措施，加强重要数据和核心数据收集生产人员、设备的管理，并对收集来源、时间、类型、数量、精度、区域、频度、流向等进行记录。通过间接途径获取重要数据和核心数据的，数据处理者应当与数据提供方通过签署相关协议、承诺书等方式，明确双方法律责任。

第十四条 数据处理者应当依据法律法规规定的方式和期限存储数据，可以从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面，加强数据存储安全管控，保障存储数据的完整性、保密性、真实性和可用性。

第十七条 数据处理者应当按照有关规定安全有序提供数据，明确提供的范围、类别、条件、程序等，提供的数据应当限于实现数据接收方处理目的的最小范围，并告知数据接收方按照对应级别进行分类分级保护，采取必要的安全保护措施，涉及重要数据的，与数据接收方签订数据安全协议。重要数据在共享、调用过程中应当加强安全管控，采取技术措施定期监测数据共享、调用的情况，并配备风险隔离、认证鉴权、威胁告警等安全保护措施。涉及提供、共享核心数据的，应当采取必要的安全保护措施，并上报自然资源部，自本年度1月1日起可能累计达到总量30%及以上的，应当经自然资源部报国家数据安全工作协调机制组织风险评估。涉及国家机关依法履职或单位内部流动的除外。

第二十二条 数据处理者委托他人处理、与他人共同处理数据的，数据安全责任不因委托而改变，应当通过签订合同协议等方式，明确委托方与受托方的数据安全责任和义务。涉及重要数据的，委托方要把安全作为重要考虑因素，应当对受托方的数据安全保护能力、资质进行评估或核实，经过严格的审批程序，明确受托方的数据处理权限和保护责任，并监督受托方履行数据安全保护义务。

第二十三条 数据处理者应当在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志，并采用商用密码技术保护日志的完整性。其中，一般数据的日志留存时间不少于六个月，涉及重要数据安全事件处置、溯源的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的，相关日志留存时间不少于三年。涉及核心数据安全事件处置、溯源的，相关日志留存时间不少于三年。

第二十四条 自然资源部按照国家相关标准和流程，组织建立自然资源领域数据安全风险监测机制，建立自然资源领域数据安全风险监测预警体系，划分数据安全风险和事件等级，组织建设数据安全监测预警技术手段，形成监测、溯源、预警、处置等能力，与相关部门加强信息共享。国家林业和草原局组织建立林草数据安全风险监测预警机制，划分林草数据安全风险和事件等级，组织建设林草数据监测预警技术手段。地方行业监管部门分别建设本地区数据安全监测预警机制，组织开展本地区自然资源领域数据安全风险监测，按照有关规定及时发布预警信息，通知本地区数据处理者及时采取应对措施。数据处理者应当开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险。

第二十五条 自然资源部组织指导开展自然资源领域数据安全风险评估等工作。国家林业和草原局组织指导开展林草数据安全风险评估等工作。地方行业监管部门分别负责组织开展本地区自然资源领域数据安全风险评估工作。重要数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向行业监管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的类别、数量，开展数据处理活动的情况，面临的数据安全风险、应对措施及其有效程度等。数据处理者应当保留风险评估报告至少三年。核心数据处理者优先使用第三方评估机构开展风险评估。数据处理者在组织重要数据安全风险评估时，应当对其数据查询、下载、修改、删除等重点操作的日志开展审计分析，发现违规或异常行为，应及时采取相应处置措施。

第二十六条 自然资源部组织建立自然资源领域数据安全风险信息通报机制，统一汇集、分析、研判、通报数据安全风险信息。国家林业和草原局组织建立林草数据安全风险信息通报机制。地方行业监管部门分别汇总分析本地区自然资源领域数据安全风险，根据数据安全风险的发展态势、规模大小、关联程度、现实危害等综合研判，及时将可能造成重大及以上安全事件的风险向自然资源部报告。数据处理者及时将可能造成较大及以上安全事件的风险向行业监管部门报告。

第二十七条 自然资源部组织制定自然资源领域数据安全事件应急预案，组织协调重要数据和核心数据安全事件应急处置工作。国家林业和草原局组织建立林草数据安全事件应急预案，组织协调重要数据和核心数据安全事件应急处置工作。地方行业监管部门分别组织开展本地区自然资源领域数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件，应当立即报自然资源部，并及时报告事件发展和处置情况。数据处理者在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和核心数据的安全事件，第一时间向行业监管部门、属地公安部门报告，事件处置完成后在一周以内形成总结报告。每年向行业监管部门报告数据安全事件处置情况。数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。

第二十九条 在国家数据安全工作协调机制统一组织下，自然资源部依法配合有关部门，对影响或者可能影响国家安全的自然资源领域数据处理活动开展数据安全审查工作。

第三十条 数据处理者及其委托的数据安全风险评估机构工作人员对在履行职责中知悉的个人信息、商业秘密等，应当严格保密，不得泄露或者非法向他人提供。

第三十一条 行业监管部门在履行数据安全监督管理职责中，发现数据处理活动存在较大安全风险的，可以按照规定权限和程序对数据处理者进行约谈，并要求采取措施进行整改，消除隐患。

第三十二条 对于违反有关规定的，依照《中华人民共和国数据安全法》及有关法律法规予以处理，根据情节严重程度给予相应行政处罚，构成犯罪的，依法追究刑事责任。

近日，国家互联网信息办公室正式公布《促进和规范数据跨境流动规定》（下称《规定》），《规定》自公布之日起施行《规定》是对《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（又称“数据二十条”）中关于构建数据安全合规有序跨境流通机制的落实，是响应国家层面关于探索跨境数据管理新模式要求的重要举措，体现了我国扩大高水平对外开放的决心。《规定》的实施将切实提高数据流动的便利性，有效降低企业合规成本。其中：

第一条 为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行，制定本规定。

第十一条 数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，消除隐患；对拒不改正或者造成严重后果的，依法追究法律责任。

为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，近日，国家互联网信息办公室编制了《数据出境安全评估申报指南（第二版）》、《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

数据处理者因业务需要向境外提供重要数据和个人信息，应当遵守《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》有关规定。符合数据出境安全评估适用情形的，按照申报指南申报数据出境安全评估；通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的，按照备案指南向所在地省级网信部门备案。

为规范银行保险机构数据处理活动，保障数据安全，促进数据合理开发利用，稳步提升金融服务数字化、智能化水平，保护个人和组织的合法权益。近日，金融监管总局制定了《银行保险机构数据安全管理办法（征求意见稿）》（下称《办法》）。主要包括：

一是明确数据安全治理架构。要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作；按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

二是建立数据分类分级标准。要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。

三是强化数据安全管理。要求银行保险机构按照国家数据安全与发展政策要求，根据自身发展战略建立数据安全管理制度和数据处理管控机制，在开展相关数据业务处理活动时应当进行数据安全评估。

四是健全数据安全技术保护体系。要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

五是加强个人信息保护。要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

六是完善数据安全风险监测与处置机制。要求银行保险机构将数据安全风险纳入本机构全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。

七是明确监督管理职责。规定国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行监督管理，开展非现场监管、现场检查，依法对银行保险机构数据安全事件进行处置。对违反《办法》要求的依法追究相应责任。

近日，上海市通信管理局等11个部门联合印发《上海市智能算力基础设施高质量发展 “算力浦江”智算行动实施方案（2024-2025年）》，加快推进算力基础设施建设发展，努力创建智能算力高质量发展格局，助力上海建设成为具有世界影响力的国际数字之都。

《方案》强调，要强化智算中心网络数据安全运行管理：

推动智算中心与网络数据安全保障体系同规划、同布局、同建设，全面提升网络数据安全运行与管理能力。加强对网络通信、行为日志、数据传输、共享接口等安全监测分析，形成重要数据发现、态势感知、风险预警、应急处置、事前预防等综合技术保障能力。智算中心建立完善网络数据安全管理制度，落实网络数据安全防护措施，完善数据安全分类分级管理机制，加强智算中心安全生产管理，防范遏制重大安全事件。

近日，有黑客针对 Discord Top.gg 的 GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。

研究报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。且黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。

研究人员认为，IT 安全专业人员应定期监控和审核新代码项目，企业应定期对开发人员开展供应链攻击风险的教育和意识培训。

近日，知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用，攻击AI工作负载并窃取敏感（生产）数据和算力。

包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响，数百个集群已经遭到攻击，超过10亿美元算力遭到“劫持”。

AI算力基础设施漏洞野外利用第一案

2023年底，AI工作负载主流开源框架Ray曝出五个漏洞，这些漏洞由Bishop Fox、BryceBearchell和Protect AI团队分别披露（部分同时披露）。漏洞披露后，Ray的开发者和维护者Anyscale发布了一篇博文进行回应，澄清事件始末并详细介绍了每个漏洞的修复方案。

虽然报告的五个漏洞中有四个已经在Ray 2.8.1版本中得到修复，但CVE-2023-48022漏洞仍存在争议。Anyscale并未将其视为安全风险，因此没有提供即时修复方案。

由于存在争议，许多开发团队（以及大多数静态扫描工具）都没有意识到CVE-2023-48022的潜在危害。一些团队可能错过了Ray的相关文档，另一些则根本不知道此漏洞的存在。

OligoSecurity的研究人员观察到，CVE-2023-48022漏洞正被积极利用，这使得原本争议的漏洞变成了“影子漏洞”——此类漏洞不会在静态扫描中显现，却能导致安全漏洞和重大损失。

Oligo的研究团队将此漏洞命名为ShadowRay，是首个已知人工智能基础设施漏洞被用于攻击人工智能工作负载的案例。

研究发现，全球范围内已有数千台部署在公共网络上的Ray服务器因该漏洞被攻陷，有些服务器甚至已经沦陷至少7个月。其中许多服务器包含了历史命令记录，这使得攻击者更容易理解服务器上的内容，并可能泄露生产环境中之前使用过的敏感机密信息。

受Ray漏洞影响，数百家公司已经暴露于远程代码执行(RCE)风险之中，其中一些公司至今仍未修复漏洞。

AI算力基础设施损失超10亿美元

截至目前，Oligo已发现数百个受感染的AI算力集群。每个集群由许多节点组成，这些节点是通过网络连接到集群的机器。大多数节点都有GPU，攻击者通过安装不同类型的挖矿软件利用GPU进行加密货币挖矿活动。

换而言之，攻击者选择攻击AI算力集群不仅是因为他们可以获得有价值的敏感信息，而且因为当前GPU算力资源非常昂贵且难以获得。

GPU机器的按需价格主要取决于GPU类型和内存。截至发稿，AWS上的GPU按需价格每台机器的年成本可高达85.8万美元。

根据Oligo过去几周的监测，可能已遭到攻击的机器和算力总估值近10亿美元。

国家数据局局长刘烈宏：充分发挥数据要素价值 培育新质生产力

近日，国家发展改革委党组成员、国家数据局局长刘烈宏出席中国发展高层论坛2024年年会，并以“释放数据要素价值助力可持续发展”为题发表演讲，提出数字经济的蓬勃发展离不开发挥数据作为关键生产要素的作用，欢迎国内外企业积极参与中国数据要素市场建设，共享发展红利。

他强调，为更好释放数据要素价值，统筹推进中国数据事业发展，我们将进一步把握数字化、网络化、智能化发展的趋势，加快破除阻碍数据要素合规高效流通的体制机制障碍，围绕优化数据要素市场化配置，催生新产业、新模式、新动能，培育和发展新质生产力，重点推进以下几方面工作：

一是加快完善数据要素基础制度体系。当前，制约数据“供得出”“流得动”“用得好”的卡点堵点问题依然突出，数据产权、流通交易、收益分配、安全治理等制度还需完善。同时，也要认识到数据基础制度建设具备复杂性、长期性，我们将坚持问题导向，加快推出一批可落地的政策文件，回应社会关切，逐步构建有利于保护各方权益、释放数据要素价值的数据产权制度，加快培育多样化多层次的数据流通交易体系，探索建立有利于激发市场活力的收益分配机制，不断完善多方共同参与的数据安全治理机制。此外，我们还将配合财政部积极推进“数据资产入表”，及时解决入表实践中面临的问题，加快完善数据资源相关会计制度。

二是不断激发数据要素开发利用活力。不同于其他传统要素，数据只有与场景结合，才能改变传统生产函数，更好实现数据价值。我们还将大力推动企业数据的开发利用，处理好数据安全和个人信息保护，在保护各方合法权益的情况下，更好释放数据要素价值。

三是更好推动高质量发展和高水平安全的良性互动。伴随着数字经济快速发展，中国经济与世界经济的融合只会越来越深，在推进数据领域高水平开放方面，近期出台的《扎实推进更高水平对外开放 更大力度吸引和利用外资行动方案》《促进和规范数据跨境流动规定》，这两份文件均明确部署要不断优化数据跨境流动规则。特别是跨境新规豁免了跨境寄递、跨境支付等场景，延长了数据安全评估的有效期，更好促进数据安全高效跨境流动。后续我们还将结合实施情况，及时协同相关部门不断迭代完善政策，持续加强多双边数字领域合作，与主要经贸伙伴国家和地区携手建立数据跨境流动合作机制，更加积极参与全球数字领域规则制定。

杭州市数据局齐同军：数据要素市场化配置改革的杭州实践

近日，云谷“论数”2024“数据要素×”产业推进大会在杭州西湖数据智能产业园召开，杭州数据资源管理局党组成员、副局长齐同军受邀出席，并作题为《数据要素市场化配置改革的杭州实践》的演讲。他指出：

2024年的浙江省政府工作报告中提到，大力发展数字经济，要完善数据基础设施体系和制度体系，加快培育数据要素市场促进数据安全高效流通利用。深化数据要素市场化配置改革，积极创建国家数据要素综合试验区，打造数据产业特区，推动数据要素合规高效流通交易，力争数据交易全国领先。

政府工作报告对数据工作不断增加重视，为积极贯彻落实国家与省政府的指示，杭州立志打造数字要素领域的标志性品牌，即“中国数谷”。“中国数谷”未来将完成六方面的改革探索任务：

首先，“中国数谷”致力于构建新制度，近期杭州将发布与数据沙盒相关的新制度以保障数据安全，适时也会有一系列促进数据要素流通交易、保障数据安全的政策出台。

其次，“中国数谷”将布局新设施，打造“三数一链”的数据可信流通基础设置框架与数据要素治理体系，“三数”分别为：数字证书、数联网、数交所，“一链”则为区块链，布局“三数一链”用以破解当前我国在数据要素市场化配置过程中的全链路合规难、数据安全高效流通难、数据交易监管难、数据交易“存证互认难”等困境。

他指出，建设公平高效的机制是推进授权运营工作的关键，遵循着“建机制、搭平台、组专班、推运营”的建设思路，杭州致力于构建出具备自身特色的公共数据授权运营实践模式：杭州依托于公共数据授权运营平台，将提供数据的公共管理服务机构和需要数据的杭州数据交易所连接的所有企业联结起来，为供需双方搭建起数据权属、数据开发、数据价值、数据安全、数据场景等方面数据活动的桥梁和纽带，从而探索建设“规则+市场+生态+场景”四维一体的公共数据授权运营实践模式。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。