数据安全国际动态（2024年4月）

1.美国佛罗里达州引入数据泄露豁免权

4月2日报道称，美国佛罗里达州立法机构通过了《网络安全事件责任法案（HB473）》，该法案为遵守相关法律法规但面临数据泄露索赔的公司提供诉讼豁免权。具体条件包括以下两项：一是即时通知。公司必须基本遵守《佛罗里达州信息保护法》对个人、监管和消费者报告机构的通知要求。二是安全合规。公司必须采用与当前联邦法律、行业标准、相关框架等基本一致的网络安全计划。同时，公司必须在相关规定更新后的一年内更新其网络安全计划，以基本符合相关行业标准、框架或适用法律的任何变化。

2.英国加入《全球隐私执法合作安排》

4月7日报道称，英国信息专员办公室（ICO）宣布与《全球隐私执法合作安排》（Global CAPE）成员签署了一项新的国际多边协议，在跨境数据保护和隐私执法方面开展合作。在该协议下，ICO将能够在调查方面提供协助，并与成员共享信息，而不必与相关国家分别签订谅解备忘录。此前，《全球隐私执法合作安排》的成员包括美国、澳大利亚、墨西哥、日本、韩国、菲律宾、新加坡等国家和地区。

3.法国发布人工智能与个人信息保护建议

4月9日，法国国家信息与自由委员会发布针对人工智能与个人信息保护的建议，该建议指导相关方将个人数据用于人工智能系统开发时，不仅需要遵守通用数据保护条例，还需遵循欧洲人工智能相关法规。主要包括：明确AI训练的目的和目标、相关方的角色与责任、数据处理的合法性依据、数据留存期限等内容，确保AI训练时重复使用数据的合法性、符合数据最小化原则，开展数据保护影响评估等合规要求。

4.美国提出《生成人工智能版权披露法案》草案

4月11日报道称，美国众议院议员提出《生成人工智能版权披露法案》草案，要求所有从事人工智能业务的公司披露他们用于训练生成式AI的受版权保护的材料。该法案将使人工智能公司对其人工智能训练的内容保持透明，否则将面临至少5000美元的罚款。

关于使用受版权保护的内容来训练人工智能模型存在很多争议。一个著名的案例是《纽约时报》起诉OpenAI和微软，指控他们未经许可使用数百万篇报纸文章来训练人工智能技术。

5.加拿大加入《全球隐私执法合作安排》

4月11日报道称，继此前英国信息专员办公室宣布与《全球隐私执法合作安排》达成合作后，加拿大隐私专员办公室宣布加入《全球隐私执法合作安排》，以在跨境数据保护和隐私执法方面与其他成员国开展合作。截止至4月11日，《全球隐私执法合作安排》的成员与合作方包括美国、澳大利亚、墨西哥、日本、韩国、菲律宾、新加坡、英国、加拿大等国家和地区。

6.美国提出《美国隐私权法案》草案

4月15日报道称，美国两党、两院公布了《美国隐私权法案》草案，该法案旨在对大型数据经纪人的活动进行严格限制和规范，防止他们无限制地收集和出售美国公民的个人信息。一是限制数据使用，法案将限制数据经纪人对于个人数据的存储、保护及共享方式，以减少对隐私的侵犯。二是监管追踪，法案允许相关部门和责任人识别并追踪市场上的大型数据经纪人，确保他们的活动受到监管。三是禁止滥用数据，数据经纪人将被禁止利用数据进行跟踪或骚扰性质的宣传和营销活动。四是提高透明度，法案要求实施清单制度，以增加业务透明度。

7.欧盟通过《通用数据保护条例》附加程序规则谈判立场

4月16日报道称，欧洲议会通过了“与执行《通用数据保护条例》相关的附加程序规则的谈判立场”，旨在通过提高各成员国数据保护机构之间的合作水平，同步数据保护程序规则和权利，改善数据争端解决机制，以促进欧盟成员国之间的数据流动。主要内容包括：一是要求申诉人在各国享受公平透明待遇，二是明确处理期限以加快程序，三是明确在各方同意的基础上可达成和解。

8.美国科罗拉多州通过《生物数据隐私保护法案》

4月19日报道称，美国科罗拉多州州长于4月17日签署《生物数据隐私保护法案》（HB24-1058）。《法案》作为《科罗拉多州隐私法》的补充修订法案，将《科罗拉多州隐私法》中的“敏感数据”的定义拓宽至生物数据以及神经数据（包含脑电波数据），从而使其明确受到《科罗拉多州隐私法》的全面保护。

9.美国内布拉斯加州通过《数据隐私法案》

4月23日报道称，内布拉斯加州州长正式签署《数据隐私法》（DPA）。《数据隐私法》对数据控制者和数据处理者的义务、消费者的权利等方面作出了规定，并赋予州总检察长执行《数据隐私法》的权力。

10.英国通过《调查权力法》修正案

4月26日，英国国王批准了《调查权力法》的修正案，大幅增强了政府的数字监控能力。修正案授权政府可以收集公民大量数据，监控嫌疑人的互联网活动，包括访问的服务、应用、网站，以及电话通信、位置和时间信息。

1.美国OWASP基金会泄露会员数据

4月1日报道称，美国网络安全组织OWASP基金会因Wiki网络服务器配置错误而泄露部分会员简历数据。本次泄露影响2006年至2014年加入基金会的旧会员，泄露数据包含会员姓名、电子邮件地址、电话号码、实际地址和其他个人身份信息。OWASP通过禁用目录浏览、删除所有简历，和清除云缓存等方式避免进一步泄露。

2.加拿大政府第三方承包商数据遭泄露

4月1日报道称，加拿大政府两家承包商于2023年10月遭LockBit勒索组织攻击，大量政府雇员敏感数据被窃取。今年4月，疑似同批194万条数据在暗网被泄露，包括用户名称、ID、用户PIN码、用户最后连接时间、用户电话号码、用户所属组织名称、用户链接、性别、出生日期等内容。

3.印度政府两年内持续泄露公民数据

4月3日报道称，印度政府云服务器S3WaaS于2022年出现错误配置，将所存储的公民个人数据暴露互联网上，任何人都可以通过搜索引擎获取这些数据。直到近日，印度政府才解决了这一配置错误问题。在此期间，至少有数百份包含公民个人信息的文件在网上被公开。

4.独联体国家被窃取大量数据

4月4日报道称，黑客组织Lazy Koala发起了一系列针对俄罗斯、白俄罗斯、哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦、塔吉克斯坦和亚美尼亚等独联体国家的网络钓鱼攻击。该黑客组织入侵了867个政府、金融、医疗等组织中的员工账户，并通过被盗信息进一步攻击公司内部系统。

5.美国政府承包商数据失窃

4月5日报道称，美国政府承包商Acuity证实，黑客入侵了其GitHub存储库并窃取了包含旧数据和非敏感数据的文档。该公司为美国民用国家安全提供DevSecOps、网络安全、数据分析和运营支持服务。攻击者IntelBroker已泄露数千条记录，涉及司法部、国务院、国土安全部、联邦调查局等机构的雇员信息。黑客还声称窃取了五眼联盟的机密文件。

6.美国环保局遭大规模数据泄露

4月7日报道称，黑客USDoD利用美国环保局重大安全漏洞，盗取并公开了超850万用户和承包商数据。泄露数据目前在俄罗斯黑客和网络犯罪论坛中流传。

7.法国雅高集团遭大规模数据泄露

4月10日报道称，黑客IntelBroker入侵法国雅高集团服务器，窃取超64.2万人敏感信息，包括姓名、电子邮件地址、职位以及所属公司等数据，并于事后在非法论坛BreachForums上免费发布。此前，IntelBroker还泄露了PandaBuy、HomeDepot、通用电气、美国公民及移民服务局(USCIS)、美国移动运营商和Facebook Marketplace的数据。

8.菲律宾科技部服务器遭严重入侵

4月11日报道称，黑客组织Ph1ns入侵菲律宾科学和技术部服务器，获取了对虚拟机管理器、网络附属存储器和路由器等关键基础设施的访问权限以及域管理员权限。黑客通过加密域控制器，封锁了其他用户的访问，并删除了服务器中的25TB数据，以表达对政治家及寡头的不满。

9.美国联合健康集团遭勒索攻击

4月16日报道称，美国医疗保健巨头联合健康集团旗下的Change Healthcare公司因遭受勒索攻击而陷入瘫痪，迄今为止已造成8.72亿美元的损失。该公司向勒索团伙AlphV（BlackCat）支付了2200万美元赎金，但数据被转移到另一团伙手中，面临新的勒索威胁。该团伙4月16日早上开始泄露更多数据。

10.澳大利亚政府服务商遭数据泄露

4月22日报道称，勒索软件组织LockBit成功侵入了澳大利亚政府的第三方呼叫中心运营商OracleCMS。此次攻击导致大量数据被盗，波及诺克斯市、菲利普港市、曼宁汉姆市、怀特霍斯市和莫纳什市等多个城市。LockBit在与OracleCMS谈判未果之后，将超过60GB的数据公之于众。

11.全球最大风控数据库遭泄露

4月23日报道称，风控数据库World-Check发生数据泄露，该数据库被全球主流银行和超过300个政府情报机构使用，此次数据泄露事件导致530万条高风险个人信息落入犯罪分子手中并在网上传播，可能会对全球金融业的安全审核程序产生重大影响。

World-Check从官方制裁名单、监管执法名单、媒体出版物等公开来源汇总数据，在通过严格的审核流程并签署保密协议之后，以订阅方式提供给全球主流银行和政府情报机构用来验证其客户身份，并确定潜在客户是否可能与洗钱等金融犯罪有关或是否受到政府制裁。数据库包含皇室成员、黑客组织成员、宗教人士、恐怖分子、洗钱者、受制裁的政府官员和实体等敏感人物和实体信息。

1.美国众议院禁止国会工作人员使用微软Copilot人工智能助手

4月1日报道称，美国众议院禁止国会工作人员使用微软的人工智能编码助手Copilot，理由是微软人工智能编码助手Copilot可能将国会敏感数据合并到其代码库中，造成敏感数据泄露与未经授权的访问。

2.美国联邦贸易委员会禁止广告披露个人健康信息

4月15日报道称，美国联邦贸易委员会调查发现，戒酒公司Monument Inc违背隐私承诺，将用户的个人信息（包括健康信息）披露给众多第三方广告平台，涉及用户多达84000名。随后，美国联邦贸易委员会勒令该公司删除相关数据，并实施强制隐私方案。

3.美国延长情报机构无证监视外国目标的法律效力

4月21日报道称，美国总统乔·拜登于4月20日签署新法案，将《外国情报监视法》第702条效力延长两年。该条款允许美国情报机构在未经法院许可的情况下对“外国目标”实施监听，搜集其电话、短信及互联网通信内容。

4.欧洲刑警组织和英国国家犯罪局反对使用端到端加密技术

4月24日报道称，欧洲刑警组织公开反对科技巨头使用“端到端加密”的隐私保护技术措施。该组织认为，端到端加密技术会严重限制执法部门调查犯罪的能力，并强调科技公司必须承担社会责任，在不干扰执法机构工作的情况下创造一个安全的环境。英国国家犯罪局认为，端到端加密技术使他们很难发现未成年色情犯罪等内容，削弱了警方调查犯罪和保障公众安全的能力。

5.美国强制要求字节跳动出售TikTok

4月25日，《21世纪以实力求和平法案》（H.R. 8038）由拜登签署正式生效。美国政府依据法案强制要求字节跳动在270天内向美国人出售TikTok，否则将在美国面临全面封禁。该法案授权美国总统可以根据TikTok出售情况，延长出售时限。如果字节跳动没有在截止日期前售出TikTok，苹果和谷歌的应用商店将不再向TikTok提供服务，且TikTok也将无法与美其他企业进行商务合作。

6.欧盟将苹果公司的平板电脑操作系统指定为“守门人”

4月29日，欧盟委员会根据《数字市场法》（DMA）将苹果公司（iPadOS）的平板电脑操作系统指定为“守门人”。所谓“守门人”企业，是指达到一定门槛的大型在线平台。一旦违反规定，“守门人”将面临最高可达全球营业额20%的罚款。在系统性侵权的情况下，欧盟委员会还将实施必要的行为或结构性补救措施。苹果现在有六个月的时间来确保iPadOS完全遵守《数字市场法》义务。