数据安全每周观察|数据安全重磅立法预计年内发布

近日，国务院办公厅印发了《国务院2024年度立法工作计划》。《计划》强调，国务院2024年度立法工作的总体要求是：在以习近平同志为核心的党中央坚强领导下，坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大和二十届二中全会精神，深入学习贯彻习近平法治思想，深刻领悟“两个确立”的决定性意义，增强“四个意识”、坚定“四个自信”、做到“两个维护”，坚持党的领导、人民当家作主、依法治国有机统一，统筹推进国内法治和涉外法治，坚持立改废释并举，进一步丰富立法形式，注重“小快灵”、“小切口”立法，加快填补立法薄弱点和空白区，发挥好法治固根本、稳预期、利长远的保障作用，为以中国式现代化全面推进强国建设、民族复兴伟业提供坚实法治保障。

其中，《计划》明确的立法项目包括《网络数据安全管理条例》（国家网信办起草）。

根据国家市场监督管理总局、国家标准化管理委员会近日发布的中华人民共和国国家标准公告（2024年第6号），全国网络安全标准化技术委员会归口的16项国家标准正式发布。具体清单如下：

为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国网络安全标准化技术委员会（简称“网安标委”）秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了2024年度第一批网络安全国家标准需求清单：

为推动自贸试验区企业数据跨境流动更加便利，近日，依据《促进和规范数据跨境流动规定》等有关文件规定，中国（天津）自由贸易试验区管理委员会、天津市商务局会同有关部门制定并正式印发了《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024版）》。

《管理清单》制定的目的和意义在于落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律规章，对接国际高标准经贸规则，探索数字领域制度型开放，通过构建数据跨境流动管理新模式，为企业数据依法有序高效出境提供便利，有效提升营商环境和企业国际竞争力。

《管理清单》强调：

一要坚持统筹兼顾。统筹发展和安全，坚守国家数据安全底线，在保障重要数据安全和维护个人信息权益的基础上，促进数据资源有序流动和开发利用，推动数字经济和数字贸易高质量发展。

二要坚持简明实用。按照数据出境安全评估、个人信息出境标准合同、个人信息保护认证等国家数据出境管理制度要求，结合天津自贸试验区企业、机构数据出境的实际需求，制定可操作、可落地的《负面清单》，便于企业掌握和执行。

三要坚持动态调整。根据国家数据安全形势和天津自贸试验区企业主体、数据出境场景等变化，动态调整《负面清单》内容，实现保障安全与促进发展相统一。

近日，河北省工业和信息化厅制定并印发了《河北省工业领域数据安全能力提升工作方案（2024-2026年）》，致力于深入实施“数安护航”专项行动，加强企业防护、产业支撑、安全监管“三种能力”建设，完成1000家规上企业数据安全标准贯标，打造100个数据安全标杆示范案例，完成5000人次数据安全人才培训的目标，加快构建省工业领域数据安全保护体系，助力工业高质量发展，夯实新型工业化发展的安全基石。

《方案》强调，要提升工业企业数据保护能力，强化数据安全产业支撑能力，提高数据安全监管能力。

近日，湖北省数据局发布《湖北省数据条例（草案）（征求意见稿）》（以下简称《条例》），公开征求意见。

《条例》强调，为了规范数据处理活动，加强数据资源管理，保障数据安全，保护自然人、法人和非法人组织的合法权益，加快培育数据要素市场，推动形成新质生产力，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、行政法规，结合本省实际，制定本条例。

《条例》基本原则是统筹发展和安全，坚持改革创新、系统谋划，坚持市场主导、依法治理，坚持开放合作、互利共赢，以数据权益保障、数据流通利用、数据市场建设和数据安全管理为重点，在实践中完善，在探索中发展，促进形成与数字生产力相适应的新质生产力，充分发挥数据在促进经济发展、服务改善民生、完善社会治理等方面的作用。

近日，为加快全省数据基础制度建设，统筹推进数据资源整合共享和开发利用，加强对全省数据工作的管理，山西省数据局起草发布了《山西省数据工作管理办法（征求意见稿）》（以下简称《办法》）。

《办法》根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《山西省数据局职能配置、内设机构和人员编制规定》和有关法律、行政法规制定，旨在加快全省数据基础制度建设，统筹推进数据资源整合共享和开发利用，加快数字山西、数字社会建设，构建以数据为关键要素的数字经济，培育发展新质生产力，扎实推进高质量发展。

近日，威胁攻击者成功窃取并泄露了伦敦证券交易所集团（LSEG）旗下的 World-Check 数据库，该数据库中存储着超过500万条关于政治公众人物（PEP）、罪犯、风险组织以及其他机构的数据记录信息。

威胁攻击者成功获取了对 World-Check 数据库的访问权限后，立即将其中的数据上传至一个知名的数据泄露论坛（该论坛经常处理、交易被盗数据）。随后，一个自称名为 GhostR 的威胁攻击者高调宣称，早在 2024 年 3 月份，经过团队成员「精密合作」，很快就攻破受害者的网络防御系统，轻松获取包含 520 万条记录的数据库。

随着 World-Check 数据库被盗事件持续发酵，引起很多业内媒体、相关机构的关注，其中 Cybernews 研究小组对威胁攻击者「泄露」的数据样本，进行了详细研究，最后确定被盗信息似乎是“合法”的。泄露的数据库中包含来自不同国家的政治人士、法官、外交官、恐怖分子嫌疑人、洗钱者、毒品大王、网站、企业等人物的详细信息。

World-Check 原始数据信息包括社会安全号码、银行账号、加密货币账户、护照、全名、个人类别（例如有组织犯罪成员或政治人物），信息甚至详细到具体职务、出生日期和工作地点、其他已知的别名、性别。

经过内部人员调查发现，World-Check 数据库事件涉及一个客户的数据集，其中包括一份 World-Check 数据文件的副本。威胁攻击者从客户的网络系统中非法获取入侵并泄露了 World-Check 数据库。

LSEG World-Check 数据库允许用户点击「了解你的客户」，查看各类信息，以便能够遵守相关法规，避免与涉及金融犯罪、恐怖主义或其他非法活动的个人或实体建立合作关系。

LSEG 相关负责人强调，目前正在设法与客户取得联系，以确保的数据得到保护，并确保通知任何有关当局。

近日，全国网络安全标准化技术委员会（以下简称“网安标委”）秘书处在北京组织召开国家标准《数据安全技术 数据安全风险评估方法》（报批稿）试点启动会。

本次试点工作旨在验证标准的科学性、合理性、可操作性和适用性，形成数据安全风险评估典型案例和应用经验，为标准推广应用积累经验，为数据安全风险评估工作提供标准支撑。

本次试点工作在金融、能源、交通、卫生健康、教育、自然资源等重点行业和领域选取了24家单位作为标准应用试点单位。会后，网安标委秘书处将按照试点工作方案，指导试点单位、技术支撑单位有序开展试点各项工作。

为规范汽车数据处理活动，保障用户合法权益，鼓励头部汽车制造商发挥标杆作用，推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境，中国汽车工业协会、国家计算机网络应急技术处理协调中心依据《汽车数据安全管理若干规定（试行）》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定，按照企业自愿送检原则，2023年11月起组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况（车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求）进行检测，其中比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来等6家企业的76款车型符合汽车数据安全4项合规要求。