政策趋势
01
近日,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 生成式人工智能服务安全基本要求》已形成标准征求意见稿,并面向社会公开征求意见。
《要求》规定了生成式人工智能服务在安全方面的基本要求,包括训练数据安全、模型安全、安全措施等,并给出了安全评估参考要点。
《要求》要求服务提供者:应自行组织对于标注人员的安全培训,培训内容应包括标注任务规则、标注工具使用方法、标注内容质量核验方法、标注数据安全管理要求等;应自行对标注人员进行考核,给予合格者标注上岗资格,并有定期重新培训考核以及必要时暂停或取消标注上岗资格的机制,考核内容应包括标注规则理解能力、标注工具使用能力、安全风险判定能力、数据安全管理能力等。
02
工业和信息化部关于印发《工业和信息化领域数据安全风险评估实施细则(试行)》的通知
为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,近日,工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》有关要求,印发了《工业和信息化领域数据安全风险评估实施细则(试行)》。
《细则》适用于对中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估,适用于工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。
《细则》要求:重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。同时要按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估。
03
国家数据局印发《数字中国建设2024年工作要点清单》
近日,国家数据局印发《数字中国建设2024年工作要点清单》(以下简称《工作要点》),对2024年数字中国建设工作作出部署。
《要点》围绕高质量构建数字化发展基础、数字赋能引领经济社会高质量发展、强化数字中国关键能力支撑作用、营造数字化发展良好氛围环境等四个方面部署重点任务。主要包括:加快推动数字基础设施建设扩容提速,着力打通数据资源大循环堵点,深入推进数字经济创新发展,健全完善数字政府服务体系,促进数字文化丰富多元发展,构建普惠便捷的数字社会,加快推进数字生态文明建设,加强数字技术协同创新运用,稳步增强数字安全保障能力,不断完善数字领域治理生态,持续拓展数字领域国际合作交流空间。
04
国家发展改革委 国家数据局 财政部 自然资源部关于深化智慧城市发展 推进城市全域数字化转型的指导意见
为深入贯彻落实党中央、国务院关于数字中国建设的决策部署,以数据融通、开发利用贯穿城市全域数字化转型建设始终,更好服务城市高质量发展、高效能治理、高品质生活,支撑发展新质生产力,推进中国式现代化城市建设,近日,国家发展改革委、国家数据局、财政部、自然资源部制定并发布了关于深化智慧城市发展 推进城市全域数字化转型的指导意见。
《意见》强调:要加强城市数字空间安全管理,健全完善网络安全监测预警和应急处置机制,构建城市网络运行安全管理体系,提升通信网络韧性。加快推进城市数据安全体系建设,依法依规加强数据收集、存储、使用、加工、传输、提供、公开等全过程安全监管,落实数据分类分级保护制度,压实数据安全主体责任。加强个人隐私保护。推进建设有韧性的城市数据可信流通体系,健全数据要素流通领域数据安全实时监测预警、数据安全事件通报和应急处理机制。
05
工业和信息化部 交通运输部 商务部联合印发《制造业企业供应链管理水平提升指南(试行)》
近日,工业和信息化部、交通运输部、商务部联合印发《制造业企业供应链管理水平提升指南(试行)》,明确提升制造业企业供应链管理水平是一项系统性工程,要以高起点部署供应链战略为引领,以保障循环畅通为底线,以提高质量和效益为目标,以高端化、智能化、绿色化为路径进行布局。
《指南》强调,要加强供应链管理系统建设。鼓励企业积极应用新一代信息技术赋能业务,加快供应链数字化系列标准应用实施,着力加强产品数据、检验检测、供应商、仓储物流等关键管理系统建设,不断完善售后服务、质量跟踪、回收物流、信息追溯等数字场景应用。强化供应链数据安全和隐私保护能力建设,定期针对工业互联网平台、工业控制系统等开展网络安全检测评估。
提高供应链数字化运用能力。企业应积极发挥供应链管理系统作用,逐步推动全流程业务上线上云,实现系统间多源实时信息数据交换和在线处理分析,打通供应链堵点卡点。提高管理系统运用效率,实现与业务流程的双向渗透、有机融合。强化供应链管理系统日常维护,确保业务流程在线顺畅运行。主动运用信息技术改造供应链管理流程,创新供应链组织模式,构建企业内部智能决策系统。鼓励企业探索建立数据产权体系,明确数据权属,规范数据交易。
06
自然资源部发布《矿业权人勘查开采信息管理办法》
为了规范矿业权人勘查开采活动事中事后监管,促进矿业权人诚信自律,营造公平竞争的市场环境,根据《中华人民共和国矿产资源法》《优化营商环境条例》等法律、法规,制定并发布了《矿业权人勘查开采信息管理办法》。
《办法》规定:矿业权人勘查开采信息管理应当坚持包容审慎的原则,保护矿业权人合法权益。
矿业权人勘查开采信息按照“谁产生,谁填报”的原则,由矿业权人和县级以上人民政府自然资源主管部门在全国矿业权人勘查开采信息管理系统中负责填报,并依照本办法规定向社会公示。
矿业权人勘查开采信息填报、公示,应当遵守有关保护国家秘密、商业秘密、个人隐私、个人信息等法律、行政法规的规定。
07
全国首个垂直行业“数据要素x”行动方案发布
近日,中国气象局印发《“气象数据要素×”三年行动实施方案(2024—2026年)》(以下简称《实施方案》),持续推动气象数据开放共享与开发利用,充分发挥气象数据要素乘数效应,赋能经济社会高质量发展。
《实施方案》明确,到2026年底,打造30个以上示范性强、显示度高、带动性广的典型应用场景,推出50个以上满足典型应用场景需求的高价值气象数据产品,形成一批以实时数据流驱动运转为特征的业务新机制、新模式,探索培育若干创新能力强、成长性好的气象数据商和第三方专业服务机构,实现“需求牵引产品研发、数据支撑场景运转、交易释放数据价值”的良性循环,推动数据要素成为气象高质量发展的重要驱动力量。
《实施方案》重点任务包括:要强化数据价值释放保障支撑。探索打通“政研用介商”一体的数据创新利用转化流程;健全完善气象数据安全监管平台,稳步推广气象数据身份证,保障气象数据创新、流通相关主体合法权益。
08
浙江省制造业高质量发展(数字经济发展)领导小组办公室印发《关于推进浙江数商高质量发展的实施意见》
为深入实施数字经济创新提质“一号发展工程”,持续推进产业数据价值化改革走深走实,壮大数据要素市场主体,近日,浙江省制造业高质量发展(数字经济发展)领导小组办公室印发了《关于推进浙江数商高质量发展的实施意见》。
《意见》指出,重点支持浙江数商从事数据技术服务、数据产品开发、数据流通服务、数据安全保障、数据平台运营服务等重点业务,促进浙江数商进入数据要素市场进行数据交易。
数据安全服务,主要包括为保障数据持续处于有效保护、合规利用、有序流通状态提供数据安全技术、产品、服务等业务。重点支持浙江数商从事针对数据全生命周期提供敏感数据识别、API安全管理、数据加密、数据脱敏、数据防泄漏、隐私计算、量子保密、监测预警、安全管理咨询等数据安全保障业务。
重点支持浙江数商提供:基于互联网平台提供集中采购、设备共享、供应链金融、精准营销等供应链服务,以及行情指数、行业知识、企业画像等数据产品;通过场景汇聚沉淀产业数据、基于大数据分析为企业提供决策支持,赋能企业实现精准管理和高效运营;建立完备的数据合规使用、流通和交易机制,确保平台数据安全。
《意见》强调:要提升数商发展能力,就要提升流通交易能力。鼓励浙江数商登记数据知识产权,推进数据资产入表,加强数据管理,保障数据安全,提升数据合规运用能力。要强化标准规范导引,就要加强数据领域相关标准制定实施。加强产业数据资源体系、数据知识产权、数据资产管理、数据流通交易、数据跨境流动、数字贸易等领域重要标准的制订和实施。推进数据管理能力成熟度和数据安全能力成熟度国家标准贯标、中国产品主数据标准试点、企业首席数据官制度试点等示范。
09
自然资源部(国土)印发关于征求《智能网联汽车时空数据传感系统安全基本要求》强制性国家标准(征求意见稿)意见的通知
智能网联汽车时空数据事关国家主权和安全,为落实总体国家安全观,促进智能网联汽车发展维护测绘地理信息安全,自然资源部(国土)根据国家标准化管理委员会标准制修订计划,参考《中华人民共和国数据安全法》、《汽车数据安全管理若干规定(试行)》、《自然资源领域数据安全管理办法》等法律法规,组织完成了《智能网联汽车时空数据传感系统安全基本要求》国家标准的征求意见稿,并公开征求意见。
10
中央网信办等四部门发布《互联网政务应用安全管理规定》
为保障互联网政务应用安全,中央网信办等四部门根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,制定并发布《互联网政务应用安全管理规定》,要求落实密码应用管理要求。
《规定》指出,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。
机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当以合同等手段明确外包单位网络和数据安全责任,并加强日常监督管理和考核问责;督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
监管动态
01
3万余条新生儿信息被倒卖
近日,杭州互联网法院审理了一起个人信息保护民事公益诉讼案,该案涉及的新生儿个人信息达3万余条。
事件起因于2021年5月,家住浙江杭州萧山区的叶女士刚刚生完孩子没几天,接到了摄影公司的推销电话声称可以免费给新生儿拍照,而且还可以提供上门服务。因为自己确实有这方面的需要,叶女士就答应了。拍照结束后,工作人员向叶女士介绍,之前答应的3张免费照片不包含底片和精修,如果想要的话需要另外收费。考虑到对方已经到家里拍了照片,而且自己也确实有这个需求,叶女士还是选择了这家摄影公司提供的拍照套餐,总价值5000多元。尽管对摄影公司如何获取自己及孩子个人信息的问题产生过疑惑,但叶女士觉得这种事情在日常生活中经常发生,所以并没有进一步追究和维权。
2022年5月,杭州警方接到江苏警方移送的案件线索,萧山区有摄影机构涉嫌购买、使用新生儿个人信息。
萧山警方对此进行了立案侦查,很快就抓获了非法出售新生儿信息的李某,以及购买新生儿信息的两家摄影机构负责人,其中就包括给叶女士孩子提供拍照服务的摄影公司,随后该案被移送至杭州市萧山区人民检察院审查起诉。
检察机关在调查中发现,自2020年下半年至2022年2月,李某通过非法渠道陆续购入多地新生儿个人信息3万余条,涉及地区包括山东、浙江、安徽等多地。
据检察机关调查,李某原本在北京长期从事儿童摄影行业。2020年,他在同行业的社交群里获取了一批新生儿个人信息,为了将这些个人信息变现,他开始寻找买家出售。在找到杭州的意向买家后,李某亲自从北京赶来与买家线下见面,为了打消买家的顾虑,李某还会提供一部分当地新生儿个人信息以用作验证真伪,包括出生日期、性别、父母姓名以及联系方式等。为了拓展客源,杭州某摄影公司和某创意公司先后从李某的手中购买、使用了上述个人信息,李某从中非法获利29万余元。
最终,李某因犯“侵犯公民个人信息罪”被法院判处有期徒刑二年十个月,并处罚金30万元,目前正在服刑。两家摄影机构也被追责。
法院审理认为,本案涉案的新生儿个人信息包含出生日期、性别、父母姓名及联系方式等,足以识别到特定的新生儿及其父母,属于民法典所保护的公民个人信息。三被告以牟利为目的,在未取得个人同意的情况下,非法买卖、使用特定人群的相关个人信息,不仅有损相关主体的公民个人信息权益,扰乱新生儿及其父母的生活安宁,还侵害了公共信息安全领域的社会公共利益,故三被告应当承担相应的民事责任。杭州互联网法院当庭判令,李某等三被告在国家级媒体上公开赔礼道歉,并支付公益损害赔偿金29万余元,用于个人信息保护或者妇女儿童权益保护等公益事项。
02
南昌某集团公司大量数据疑遭境外窃取
近日,接上级网信部门通报,南昌某集团有限公司所属IP疑似被黑客远程控制,频繁与境外通联,向境外传输大量数据。
经过立案调查、现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明:1.该公司未履行数据安全保护义务,未采取相应的技术措施和其他必要措施保障数据安全,所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序,大量数据疑似泄露或被窃取,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;2.该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。
南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对南昌某集团有限公司处以警告、罚款10万元,对直接负责的主管人员处以罚款2万元的行政处罚。
南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。
03
澳大利亚一家医疗机构遭受“大规模勒索软件数据泄露”
近日消息,澳大利亚电子处方提供商MediSecure成为最新一家遭受勒索软件攻击的医疗机构,并且犯罪分子窃取了患者的个人和健康数据。
澳大利亚联邦警察正在调查这起入侵事件,澳大利亚国家网络安全协调员将其描述为“大规模勒索软件数据泄露事件”。在近日的另一份声明中,澳大利亚的最高网络安全官员表示,澳大利亚政府“继续协助MediSecure”,并正在努力了解数据泄露事件的规模和性质。
MediSecure事件再次凸显勒索软件团伙越来越频繁地瞄准医疗部门,因为这些机构负责保护数百万人的非常敏感的医疗和个人信息。
数据窃贼知道,这意味着受害机构更有可能支付赎金。例如,美国Change Healthcare曾向犯罪分子支付了2200万美元。然而,支付赎金并未解决问题,据报道,更多勒索软件犯罪分子开始泄露敏感数据,并向该公司提出更多勒索要求。
在2022年底,澳大利亚医疗保险公司Medibank也成为勒索软件攻击的受害者,近1000万客户的数据被泄露。被盗信息包括约50万Medibank客户的医疗治疗细节,以及970万个人的姓名、出生日期、地址、电话号码和电子邮件地址。这次袭击被归咎于已不存在的REvil犯罪团伙,澳大利亚当局指责俄罗斯庇护了该团伙。
业界之声
01
举办全国网络安全标准化技术委员会 2024年第一次“标准周”活动的通知
为促进标准各相关方加强网络安全技术与标准化交流研讨,推进网络安全国家标准项目研究和制修订工作,提升标准研制质量,近日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布关于举办全国网络安全标准化技术委员会 2024年第一次“标准周”活动的通知,本次活动将于2024年6月12日至6月15日在江西南昌举办。
本次“标准周”活动包含1个全体会议、7个工作组分组会议、5个研讨会、2个标准知识培训会。总体安排如下:
02
辽宁首个数据资产登记中心成立
近日,以“激活数据要素潜能 构造数据要素生态”为主题的沈阳市数据要素市场化配置改革成果发布会举行。会上,沈阳市拿出一系列数据要素市场化改革成果对外发布,其中包括揭牌成立辽宁首个数资产登记中心成立,落地首笔数据资产融资,首笔数据产品交易协议等,充分展现了沈阳市在数据要素市场化配置方面的创新实践和显著成果。
会议指出,当前,沈阳市以《沈阳市政务数据资源共享开放条例》为法律依据,构建了覆盖数据共享开放、基础数据规范、数据分类分级、数据资产登记、数据资产评估、数据授权运营、数据流通交易、数据所(商)管理规范等多维度的制度规范体系,为数据要素市场的健康发展奠定了坚实基础。
未来,沈阳市将通过数据多场景应用、多主体复用,培育基于数据要素的新产品和新服务,加快多元数据融合,充分发挥海量数据和丰富应用场景优势,催生新产业、新业态、新模式,培育经济发展新动能,推动沈阳市“数据要素×”工作全面启航。
03
温州数据集团在2024数据安全发展大会上正式揭牌成立
近日,“瓯江论数 数安中国”2024数据安全发展大会在温州盛大开幕,温州市数据集团有限公司(以下简称“温州数据集团”)在大会上正式揭牌成立。
温州数据集团由温州市工业与信息技术发展有限公司、温州市大数据运营有限公司、温州市数据管理发展集团有限公司三家公司合并重组而成,其功能定位是构建数据基础设施、激发数据要素潜能、保障数据安全、布局数据产业,主要负责温州市重大数据基础设施建设运营与产业战略投资、公共数据一级开发、关键平台的运维与运营、统筹数据要素市场建设、构建网络与数据安全保障体系,协助开展中国(温州)数安港专业化运营工作,推动全市数据产业的高质量发展。
温州数据集团将在三家公司现有业务板块基础上构建“一核三驱”发展模式,以重大数据基础设施建设运营与产业战略投资为核心,驱动数据安全、数据要素、人工智能三大业务方向,推动公共数据管理、数据价值挖掘、网络信息安全保障、人工智能产业发展,为温州打造智能、安全、高效的数据生态,助力城市数字化转型和产业升级。
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
相关阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...