数据安全每周观察 | 《全国网络安全标准化技术委员会2024年度工作要点》正式印发 - 新鲜讯息

政策趋势

《全国网络安全标准化技术委员会2024

年度工作要点》正式印发

近日，全国网络安全标准化技术委员会正式印发《全国网络安全标准化技术委员会2024年度工作要点》。

《要点》强调：加强国际国内网络安全战略研究，做好标准顶层规划与布局，持续完善网络安全国家标准体系，健全关键信息基础设施安全、数据安全、生成式人工智能安全等重点领域标准体系，指导标准制定与实施工作有计划、有步骤推进。

加快研制数据安全保护要求、数据交易服务安全等标准，推动发布数据安全风险评估、数据安全评估机构能力要求等标准，开展数据分类分级、数据安全风险评估等标准全国贯标和试点示范工作。围绕新型云计算技术应用和数据分类分级保护需求，研制云计算服务数据安全要求标准。

支撑安全认证和安全检测工作，统筹推进网络型流量控制产品、抗拒绝服务攻击产品、数据泄露防护产品、日志分析产品等网络安全专用产品系列标准制修订，标准研制过程同步考虑网络安全产品互联互通相关技术要求。

加快推进生成式人工智能服务安全基本要求、训练数据安全、数据标注安全等标准研制与试点验证，启动生成式人工智能服务安全测评标准研制。推动发布机密计算通用框架、人工智能计算平台安全框架、区块链共识机制等标准，为新兴技术应用与产业发展提供指导；研制新型密码技术和密码应用急需标准。

工信部发布《关于开展增值电信业务

扩大对外开放试点工作的通告》

近日，工信发布《关于开展增值电信业务扩大对外开放试点工作的通告》。

《通告》指出：工业和信息化部作为行业主管部门，会同相关部门开展增值电信业务试点扩大对外开放评估。

地方通信管理局作为本地区电信管理机构，会同相关部门督促增值电信业务扩大对外开放试点企业规范运营，监督管理服务质量，建立企业信息上报和定期抽查机制，强化网络和数据安全监管能力，督促企业切实履行安全主体责任。

试点地区政府做好本地区试点企业管理和服务工作，建立健全信息共享和协调合作机制，构建双向告知、数据比对机制，将证照衔接、监管联动、执法协作等机制有效贯通，营造稳定公平透明可预期的发展环境。

工信部部署做好2024年信息通信业安全

生产和网络运行安全工作

近日，工业和信息化部近日印发《关于做好2024年信息通信业安全生产和网络运行安全工作的通知》，部署做好2024年信息通信业安全生产和网络运行安全工作。

要求各有关单位按照安全生产治本攻坚三年行动工作部署要求，坚持安全发展、预防为主、技管结合，把安全生产和网络运行安全的任务、措施、责任真正落到实处，切实筑牢保障人民群众生命财产安全和社会大局稳定的信息通信网络底座。着力完成强化思想政治引领、完善制度政策体系、增强安全预防能力、加强重点问题整治、紧盯关键环节场景、提升应急处置水平、严格执法监督考核等七项重点任务。

国家金融监督管理总局就《反保险欺诈

工作办法（征求意见稿）》公开征求意见

为防范化解保险欺诈风险，保护保险消费者合法权益，推进保险业高质量发展，近日，金融监管总局起草了《反保险欺诈工作办法（征求意见稿）》（以下简称《办法》），并面向社会公开征求意见。

《办法》第五条（网络数据安全）强调，保险机构和行业组织应按照职责分工统筹网络安全、数据安全与创新发展，依法履行安全保护义务，完善管理制度，加强网络安全和数据安全防护，保障必要的人员和资源投入，采取网络安全、数据安全管理和技术措施，确保反欺诈信息系统安全可控运行。

三份公共数据细分领域管理办法

在石家庄发布

近日，石家庄市数字政府建设领导小组办公室起草了《石家庄市公共数据开发利用安全管理办法（征求意见稿）》《石家庄市公共数据产品合规审查管理办法（征求意见稿）》《石家庄市公共数据运营纠纷管理办法（征求意见稿）》，现面向社会公开征求意见。

公共数据开发利用安全管理办法

主要内容：规范公共数据处理活动，确保数据安全和合法权益保护。明确公共数据开发利用的定义和安全管理原则。规定公共数据全生命周期安全管理责任制。强化运营单位和应用单位的人员管理和数据安全防护。建立数据安全事件应急处置预案和安全监管机制。

《办法》第一条：为了规范公共数据处理活动，保障公共数据安全，促进数据资源有序开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《河北省数字经济促进条例》等有关法律法规规定，结合本市实际，制定本办法。

第四条 公共数据开发利用安全管理应当坚持安全与发展并重，遵循统筹规划、权责统一、综合防范的原则，保障公共数据在依法合规的前提下进行开发利用和价值挖掘。

第五条公共数据开发利用按照“谁管理谁负责、谁运营谁负责、谁使用谁负责”的原则，加强公共数据全生命周期安全和合法利用管理，确保数据来源可溯、去向可查，行为留痕、责任可究。

第十三条运营单位和应用单位应当加强网络安全和数据安全管理统筹规划，强化制度建设、经费投入、技术保障、人员管理，建立健全数据安全管理制度，落实数据安全管理责任制，实施数据安全技术防护，加强权限管理，组织开展数据安全教育和培训。

第十六条运营单位和应用单位应当制定数据安全事件应急处置预案，发生数据泄露、毁损、丢失等数据安全事件或重大风险时，应当立即启动数据安全事件应急处置预案，并向市公共数据主管部门报告。

第十八条运营单位和应用单位在公共数据开发利用过程中不得损害国家利益、社会公共利益和他人合法权益。如违反网络安全、数据安全、个人信息保护有关法律法规规定的，由相关单位依法予以查处，将相关违规违法行为纳入征信记录。

第十九条公共数据主管部门应当建立健全安全监督管理机制，对公共数据开发利用安全合规监督检查，并督促整改落实。

运营单位和应用单位在开展公共数据开发利用过程中，应当记录全生命周期数据处理、权限管理、配置管理等信息，并对异常操作行为进行监控和告警，保障重要操作行为可溯源。信息留存时间不少于六个月，并定期进行安全审计，运营单位和应用单位应当配合公共数据主管部门组织的数据安全监督检查活动。

第二十条运营单位和应用单位委托第三方服务机构开展公共数据加工的，应当对受托的第三方服务机构数据安全保护能力、资质进行核实，确保符合国家、行业主管部门的相关要求。

公共数据产品合规审查管理办法

主要内容：保障公共数据产品合规流通，维护数据安全和合法权益。引导合规、安全开展公共数据产品流通交易。规定公共数据产品的定义和合规审查要求。明确运营单位和应用单位的主体合规要求。规定数据来源、加工和交易渠道的合规要求。建立法律责任机制，规范违规行为的处理。

第一条为进一步加强公共数据产品交易合规审查管理，引导各类主体合规、安全开展公共数据产品流通交易，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《河北省数字经济促进条例》以及行业性、地方性法律法规政策，结合本市实际，制定本办法。

第十八条参与公共数据产品加工的运营单位、应用单位不得损害国家利益、社会公共利益和他人合法权益。如违反网络安全、数据安全、个人信息保护有关法律法规规定的，由相关部门按照职责依法予以查处，将相关违规违法行为纳入征信记录。

公共数据运营纠纷管理办法

第一条为保障本市数据要素市场主体的合法权益，促进本市公共数据开发利用和价值化释放，根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、法规，结合本市实际，制定本办法。

本办法所称公共数据运营，是指符合条件的企事业单位（以下简称运营单位），在保障国家秘密、国家安全、社会公共利益、商业秘密、个人隐私和数据安全的前提下，依法合规地对公共数据进行加工处理，开发形成公共数据产品和服务，并向社会提供的行为。

本办法所称公共数据应用单位（以下简称应用单位），是指具备良好的数据安全管理、保障能力，使用运营单位提供的数据产品和服务，在依法合规的前提下开展数据产品应用、新产品及服务研发或开展经济活动的企事业单位和社会组织。

杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见（征求意见稿）

近日，杭州市数据资源管理局发布《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见（征求意见稿）》（以下简称《实施意见》）。

《实施意见》强调，要推动数据跨境合规有序流动。完善跨境数据监管机制，推进数据出境安全评估制度落地实施，加强《数据出境安全评估办法》《个人信息出境标准合同办法》等数据出境规定的培训宣贯工作。

监管动态

1►

泄露 “不能说的秘密” 违法！

近期，国家安全机关依法对擅自将属于国家秘密的执法办案情况泄露给他人、导致调查工作受到严重影响的某快递公司经理张某，处以行政拘留处罚，相关责任人也受到相应处理。

我国法律规定，公民和组织应当支持协助国家安全工作，保守所知悉的国家秘密。

国家安全机关侦办案件时约见张某时，依法出示相关执法证件，要求张某配合提供嫌疑人庞某有关涉案资料，并告知其本次执法工作情况不得向任何其他人员泄露。张某表示将配合相关工作，按要求认真阅读并签署了《保密义务承诺书》。

然而，国家安全机关干警离开后，张某由于保密意识淡薄，转头将此事告诉了同事，尽管张某还嘱咐同事“这事儿别乱说”，但“国家安全机关正在调查庞某”的消息还是传到了庞某那里。得知自己被国家安全机关调查后，庞某迅速逃匿，对国家安全机关办案工作造成严重影响。后来，经过缜密侦查和精准布控，国家安全机关最终对庞某成功实施抓捕。

本案中，快递公司部门经理张某明知自己有保密义务并签署《保密义务承诺书》，却擅自将国家安全机关对庞某开展调查工作这一国家秘密泄露给他人，导致办案工作受到严重影响。张某的行为属于泄露有关反间谍工作的国家秘密，鉴于其本人有认错悔错表现，国家安全机关对其处以行政拘留三日的处罚，同时并处三万元罚款。

《中华人民共和国国家安全法》规定，公民和组织应当履行维护国家安全的义务，为国家安全工作提供便利条件或者其他协助，向国家安全机关提供必要的支持和协助，保守所知悉的国家秘密。

《中华人民共和国反间谍法》规定，任何公民和组织都应当依法支持、协助反间谍工作，保守所知悉的国家秘密和反间谍工作秘密。泄露有关反间谍工作的国家秘密，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由国家安全机关予以警告或者处十日以下行政拘留，可以并处三万元以下罚款。

泄露有关反间谍工作的国家秘密，是指违反保密规定，通过口头、书面、网络等方式，使得国家秘密被不应知悉的人知悉的行为。反间谍工作的国家秘密一旦泄露，可能带来严重后果。如遇国家安全机关依法执行公务并提出相关保密要求，请广大公民和组织积极协助配合，严守国家秘密，共同筑牢反间防谍钢铁长城。

2►

江西公安公布网络安全行政执法

典型案例 多家企业高校遭处罚

近日，江西公安机关加大网络安全行政执法工作力度，发现并查处了一批典型网络安全案事件，对多家不履行网络安全保护义务和数据安全保护义务的单位依法予以处罚。

案例一

江西某职业技术大学不履行数据安全保护义务案

2023年3月，南昌市公安局工作发现，江西某职业技术大学师生个人信息疑似遭泄露。

经查，该学校未健全全流程数据安全管理制度，未采取数据加密等相应技术措施保障数据安全，导致学校数据库被黑客非法入侵，师生个人敏感信息数据遭泄露。

南昌市公安局依据《数据安全法》第二十七条、第四十五条之规定，对该学校给予行政处罚。

案例二

江西某银行不履行个人信息保护义务案

2023年1月，南昌市公安局红谷滩分局在日常检查工作中发现，江西某银行多个APP存在超范围收集公民个人信息的违法行为。

经查，该银行APP存在未公开收集、使用个人信息规则，未明示收集、使用个人信息的目的、方式和范围，未经用户同意收集、使用个人信息，以及违反必要原则，收集与其提供服务无关的个人信息等违法行为。

南昌市公安局红谷滩分局依据《网络安全法》第四十一条、第六十四条之规定，责令该银行限期改正，给予警告，并处罚款。

案例三

江西某协会不履行网络安全保护义务案

2023年11月，南昌市公安局东湖分局工作发现，江西省某协会门户网站被不法分子网络攻击入侵，非法植入博彩网站链接。

经查，该协会未履行网络安全保护义务，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

南昌市公安局东湖分局依据《网络安全法》第二十一条、第五十九条之规定，对该协会给予警告，并处罚款。

案例四

江西某职业学院不履行网络安全保护义务案

2023年11月，江西省九江市公安局八里湖分局工作发现，九江市某职业学院官网被不法分子网络攻击入侵，并植入非法链接。

经查，该学院未履行网络安全保护义务，未落实网络安全保护责任，接到公安机关情况通报后，未启动应急预案，采取相应的补救措施，未按照规定向有关主管部门报告。

江西省九江市公安局八里湖分局依据《网络安全法》第二十一条、第二十五条、第五十九条之规定，责令该职业学院限期整改，并给予警告。

案例五

江西某陶瓷公司不履行网络安全保护义务案

2023年8月，江西省景德镇市某陶瓷公司网站遭不法分子入侵，被篡改成赌博网站。

经查，该公司网站于2017年弃用后无人管理，且技术防护措施不到位，导致网站被不法分子篡改。此外，该公司还存在未按规定制定内部安全管理制度和操作规程、未按规定采取防范危害网络安全行为的技术措施、未按规定办理联网备案手续等问题。

江西省景德镇市公安局依据《网络安全法》第二十一条、第五十九条和《计算机信息网络国际联网安全保护管理办法》第十二条、第二十三条之规定，责令该陶瓷公司限期整改，并给予警告。

案例六

江西某快递营业厅不履行网络安全保护义务案

2023年4月，江西省新余市公安局渝水分局工作发现，当地某快递营业厅业务计算机被不法分子植入木马病毒，非法窃取计算机内存储的快递信息。

经查，该营业厅负责人网络安全意识不强，店内用于打印物流订单信息的计算机未安装任何计算机病毒防范软件，导致该业务计算机遭受网络攻击，致使部分客户信息泄露。

江西省新余市公安局渝水分局依据《网络安全法》第二十一条、第五十九条之规定，责令该快递营业厅限期整改，并给予警告。

案例七

江西某供应链管理公司不履行网络安全保护义务案

2023年1月，江西某供应链管理公司运维管理的货运平台遭网络攻击，网站后台数据被篡改，公司转入平台的货款被盗，相关数据存在泄露风险。

经查，该公司平台存在弱口令等安全漏洞，且公司内部网络安全管理制度不健全，未履行网络安全保护义务，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

江西省鹰潭市公安局依据《网络安全法》第二十一条、第五十九条之规定，责令该供应链管理公司限期整改，并给予警告。

案例八

江西某科技公司不履行网络安全保护义务案

2023年3月，江西某科技公司服务器被不法分子入侵控制，用于实施违法犯罪活动。

经查，该公司未按规定制定内部安全管理制度和操作规程，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

江西省赣州市于都县公安局依据《网络安全法》第二十一条、第五十九条之规定，责令该科技公司限期整改，并给予警告。

案例九

江西某技工学校不履行网络安全保护义务案

2023年10月，江西省吉安市公安局工作发现，当地某技工学校网站遭黑客攻击控制。

经查，该学校未按规定制定内部网络安全管理制度和操作规程，未确定网络安全负责人，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，未按规定留存相关的网络日志。

江西省吉安市公安局依据《网络安全法》第二十一条、第五十九条之规定，责令该技工学校限期整改，并给予警告。

案例十

江西某电子科技公司不履行网络安全保护义务案

2023年6月，江西省抚州市某电子科技公司邮箱被黑客攻击控制并向外发送钓鱼邮件。

经查，该公司因业务需要，搭建了新旧两套邮件服务器，新邮件服务器启用后，旧邮件服务器并未关闭，长期处于失管状态，导致被不法分子入侵利用。此外，该公司还存在未按规定留存网络日志的问题。

江西省抚州市公安局依据《网络安全法》第二十一条、第五十九条之规定，责令该电子科技公司限期整改，并给予警告。

业界之声

国内首个基层数据跨境服务中心

在临港启用

数据跨境流动是目前社会各界关注的热点话题。近日，在上海市委网信办指导和帮助下，临港新片区数据跨境服务中心顺利建成并启用运营。这是上海市首个数据跨境服务中心，同时也是国内首个由网信部门设立的基层服务中心。临港新片区在率先探索建立合法安全便利的数据跨境流动机制方面又迈出了标志性的一步。

《促进和规范数据跨境流动规定》(以下简称《规定》)的公布施行，对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出了优化调整。《规定》设立自由贸易试验区负面清单制度，提出自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。

临港新片区数据跨境服务中心旨在进一步落实国家相关法规和政策，帮助数据处理者高效合规地开展数据跨境流动，提供更为便利化的数据跨境流动服务。

代码“1402”！“国家安全学”专业

今年开始招生

近日，教育部公布2024年普通高校本科专业目录，“国家安全学”作为新增专业正式纳入本科专业目录，并列入相关高校2024年本科招生计划，于今年开始招生。

这是继2020年12月国家正式设立国家安全学一级学科（学科代码1402）以来，持续加强国家安全教育，推进国家安全体系和能力现代化的又一重大举措，为加强国家安全科学研究和人才培养奠定了更加坚实的基础。

央行：推动信用信息平台依法合规向征信机构稳步开放数据，充分发挥数据乘数效应

近日，国新办举行国务院政策例行吹风会，介绍《统筹融资信用服务平台建设提升中小微企业融资便利水平实施方案》有关情况。会议指出，央行将积极推动信用信息平台依法合规向征信机构稳步开放数据，以充分发挥数据的乘数效应，将深化征信供给侧改革，支持征信机构运用大数据、人工智能等新技术进行产品创新，为普惠金融发展提供多元化、差异化的信用信息服务。

西安市委理论学习中心组举行集体学习

（扩大）会议

近日，西安市委理论学习中心组举行集体学习（扩大）会议，深入学习贯彻习近平总书记关于数据发展和安全的重要论述、历次来陕考察重要讲话重要指示精神，坚持总体国家安全观，切实维护数据安全，护航数字经济健康发展，为创新推进中国式现代化西安实践提供安全保障。

会议既有对维护数据安全的阐述，又有对数字经济健康发展的解读，对进一步做好数据安全工作具有很强的针对性和指导性。会议强调，要深学细悟习近平总书记关于数据发展和安全的重要论述，持续增强做好数据安全工作的责任感紧迫感，统筹推进数据资源的开发利用和安全治理，为促进数字经济健康发展筑牢安全根基，以实干实绩坚定拥护“两个确立”、坚决做到“两个维护”。

同时，要扎实做好数据安全管理利用，认真落实数据安全政策法规，加强对重点领域和关键信息基础设施安全防护，全面筑牢数据安全防线。要推动数据开放和安全有序流动，进一步打破“信息孤岛”、破除数据壁垒，推动数据资源整合归集、共享利用，持续深化数字政府、数字社会建设，更好服务市民群众生活。全市各级各部门要不断提高对数据安全的把握能力、驾驭能力、保障能力，加快形成分工负责、协同配合、齐抓共管的工作格局。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。

相关阅读