政策趋势
一、《可信数据空间发展行动计划(2024—2028年)》公开征求意见
为贯彻落实党的二十届三中全会决策部署,引导和支持可信数据空间发展,促进数据要素合规高效流通使用,加快构建以数据为关键要素的数字经济,国家数据局研究起草了《可信数据空间发展行动计划(2024—2028年)》,现向社会公开征求意见。
《计划》要求,强化可信数据空间规范管理,建立健全可信数据空间合规管理指引,明确可信数据空间参与各方的责权边界,防范利用数据、算法、技术等从事垄断行为。探索开展可信数据空间备案管理,动态发布备案名录。可信数据空间参与各方须遵守网络安全法、数据安全法、个人信息保护法等法律规定,落实数据安全分类分级、动态感知、风险识别、应急处理、治理监管等要求,建立可信数据空间安全管理体系。引导第三方开展可信数据空间核心能力评估。
政策趋势
近日,国家发展改革委起草并发布了《公共数据资源登记管理暂行办法(公开征求意见稿)》,旨在认真贯彻落实《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》等文件要求,促进公共数据资源合规高效开发利用,构建全国一体化公共数据资源登记体系,规范公共数据资源登记工作。本办法根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规制定,适用于在中华人民共和国境内开展公共数据资源的登记活动及其监督管理。
《办法》要求,登记机构应建立健全数据资源登记管理责任机制,履行数据安全保护义务,妥善保管登记信息。首次登记的登记主体应按规定提交主体信息、数据合法合规性来源、数据资源情况、存证情况、产品和服务信息、应用场景信息、数据安全风险评估等申请材料。登记主体在开展授权运营活动并提供数据资源或交付数据产品和服务后,在20个工作日内提交首次登记申请。本办法施行前已开展授权运营的,登记主体应按首次登记程序于本办法施行后的30个工作日内进行登记。
政策趋势
三、《公共数据资源授权运营实施规范(试行)》(公开征求意见稿)向社会公开征求意见
为认真贯彻落实《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》等文件要求,规范公共数据资源授权运营,国家数据局会同有关部门研究起草了《公共数据资源授权运营实施规范(试行)》(公开征求意见稿),现向社会公开征求意见。
《实施规范》根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规制定。要求实施机构应建立健全管理制度,强化数据治理,提升数据质量,明确数据分类分级安全保护要求,加强技术支撑保障和数据安全管理,严格防控纳入授权运营范围的原始公共数据资源直接进入市场,强化对运营机构涉及公共数据资源授权运营的内控审计。运营机构应履行数据安全主体责任,加强内控管理、技术管理和人员管理,不得超授权范围使用公共数据资源,严防数据加工、处理、运营、服务等环节数据安全风险。实施机构、运营机构应通过管理和技术措施,加强数据关联汇聚风险识别和管控,保障数据安全。
政策趋势
四、《山东省数据交易管理办法(试行)》公开征求意见
近日,山东省大数据局发布《山东省数据交易管理办法(试行)(征求意见稿)》,以规范数据交易行为,促进数据市场的培育和数据的合规高效流通使用。
《办法》分为八章,共二十九条,旨在规范数据交易行为,促进数据合规高效流通。适用于省内数据交易及其管理活动,遵循依法合规、市场主导等原则,保护国家、社会和个人权益。《管理办法》提到数据交易标的主要是数据产品,禁止交易危害国家安全、侵犯个人隐私和非法获取的数据。数据提供方需保证数据合法性,需求方需合规使用数据,数据交易机构负责合规审核并出具交易凭证。第三方专业服务机构提供数据集成、合规认证等服务,需具备相应资质。数据交易可通过数据交易机构或供需双方直接进行,鼓励通过交易机构进行。交易定价可采用多种方式,公共数据有偿使用执行政府指导定价。交易双方需签订合同,明确交易内容和责任。数据跨境交易需遵守国家规定,进行安全评估。交易主体需承担数据安全责任,交易机构需建立安全管理制度,提升安全防护能力。
政策趋势
监管动态
一、上海某医疗科技企业未履行个人信息数据保护义务被网信部门依法处罚
近日,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索,上海市网信办立即赴涉事企业开展现场核查。经查实,该企业的确存在数据泄漏问题,暴露出公司未能履行好网络安全、数据安全保护义务,上海市网信办依据《数据安全法》对该公司予以立案调查。
通过调查核实,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。针对以上违法情况,上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。
上海市网信办表示,将依法持续加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击各类违法行为,切实维护网络安全、数据安全和个人信息合法权益,进一步营造安全稳定的网络环境。
监管动态
二、江苏盐城一老师泄露6万学生信息
近日,江苏盐城警方破获一起培训机构侵犯学生隐私案,涉六万条个人信息。
据悉,2024年7月亭湖一居民发现自己近期经常接到教培机构的电话,并且教培机构知晓自己家庭信息等情况,就立即进行了报警。经查,犯罪嫌疑人茆某、朱某等人,在市区多个角落秘密布局教育培训机构,更从一位名为郭某的学校教师手中,非法获取了六万余条中小学生的个人信息,而后为招揽生源,使用这些信息对家长进行 “狂轰乱炸”。
盐城警方顺藤摸瓜最终揭露并成功捣毁了一起本地教育培训机构侵犯公民个人信息的恶行,将十二名涉案人员抓获。
监管动态
三、国安部:某境外企业以汽车智能驾驶研究为掩护 开展非法测绘
近年来,随着国家安全机关加大对非法测绘活动的打击力度,部分境外组织逐步转向与国内企业开展所谓项目合作逃避监管,非法采集我国原始测绘数据,威胁我国家安全。
财联社近日电,国家安全机关工作发现,某境外企业A公司通过与我国具有测绘资质的B公司合作,以开展汽车智能驾驶研究为掩护,在我国非法开展地理信息测绘活动。根据《中华人民共和国测绘法》规定,其并不具备在我国单独开展地理信息测绘活动的资质。为规避我国行业主管部门监管,该公司以汽车智能驾驶研究为由,将项目多次外包,最终委托具备测绘资质的国内B公司具体实施。在经济利益的诱惑驱使下,B公司完全沦为A公司的牵线木偶而其所具有的测绘资质也为A公司在我国境内非法获取测绘数据起到了掩护作用。
根据我国法律规定,测绘地理信息的原始数据由于可能涉及军事重地、要害部门等高精度测量信息,存在被境外用于标记我关键核心部位的风险隐患。为确保测绘过程中原始数据安全可控,《中华人民共和国测绘法》《中华人民共和国测绘成果管理条例》中有专门细化规定,要求测绘主体除必须拥有测绘资质外,还应严格落实数据保密管理的责任。
国家安全机关提示:在大数据时代,数据资源对国家经济社会发展具有重要价值,测绘数据更与国土安全、军事安全、生态安全、数据安全等国家安全领域息息相关。国内测绘公司及相关从业人员在开展地理信息测绘活动中,应严格遵守国家法律法规,加强对测绘数据的安全管理,谨防测绘数据被境外组织或个人窃取。
监管动态
四、上海市通信管理局关于下架12款侵害用户权益行为应用的通报
在工业和信息化部的统一领导下,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管〔2020〕164号)工作部署,上海市通信管理局将移动互联网应用软件用户个人信息保护专项整治作为全年的重点工作,全面深化落实移动互联网应用软件侵害用户权益的专项整治行动,并在近日向社会公示了一批共26款存在侵害用户权益行为的应用。在规定的二次整改期限内,经核查复检,尚有12款应用未按照要求落实整改。
为严肃处理上述应用的违法违规行为,上海市通信管理局依据《网络安全法》《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律和规范性文件要求,已对上述应用在全国范围内主流应用市场进行下架处理。
监管动态
五、数据泄露代价高涨 国内市场百家争鸣共筑安全防线
在数字化转型的大潮中,数据已成为企业最宝贵的资产之一。然而,随着数据量的爆炸性增长,数据泄露的风险也在日益加剧。近日,IBM发布的《2024年数据泄露成本报告》为全行业敲响了警钟,而国内网络安全行业同样面临着数据泄露带来的巨大挑战。
《报告》指出,一场数据泄露的平均成本从2023年的445万美元飙升至2024年的488万美元,增幅达10%,创下新冠疫情以来的最高纪录。这一数据不仅凸显了数据泄露对企业造成的巨大经济损失,也反映了当前网络安全形势的严峻性。结合国内全行业的现状,这一报告为我们提供了深刻的启示。
数据泄露的直接成本主要包括检测和响应费用、通知费用、法律费用以及信用监控和身份保护服务费用等。同时,数据泄露还带来了更为严重的间接成本。报告显示,业务损失(包括运营停机和客户流失)和泄露后响应成本合计高达280万美元,创下过去6年来的新高。数据泄露事件往往会导致企业系统瘫痪、业务中断,进而造成收入损失。此外,泄露事件还会损害企业的品牌形象和信誉,导致客户信任度下降,甚至引发客户流失。这些间接成本虽然难以直接量化,但对企业的影响更为深远。
从该报告可以看出,在直接成本和间接成本双重打压之下,全球数据泄露的成本正在不断飙升。同样,国内数据泄露成本也呈上升趋势,这主要归因于业务中断、客户流失、法律诉讼、监管罚款以及泄露后的修复和补救措施等直接和间接成本的增加。
目前,国内数据泄露态势在法规驱动、市场需求激增、服务商多样化、技术创新以及领域深耕等多个方面呈现出积极的发展态势。然而,随着威胁态势的不断变化,企业仍需保持高度警惕,不断提升自身的数据安全防护能力。
监管动态
六、思科曝大规模数据事件,微软、亚马逊等巨头源代码被窃取
据Hackread研究团队发现,名为IntelBroker的黑客声称已从网络巨头思科窃取了数据,并关联到一些知名公司的源代码,包括微软、亚马逊、AT&T等,相关数据已在黑客论坛Breach Forums 上出售。
据黑客称,数据泄露发生在 2024 年 10 月 10 日,并于10月14日在Breach Forums上发布。据 Hackread研究团队所见,Intel Broker 列出了据称在泄露中被盗的大量数据类型,据悉,这是思科时隔两年后再遭遇数据泄露。2022年8月,黑客声称窃取到2.75GB数据,约3100个文件,其中不少文件为保密协议、数据转储和工程图纸。
尽管对该黑客的来源和附属组织尚不清楚,但据美国政府称,IntelBroker 被指控是其中一起 T-Mobile 数据泄露事件的幕后肇事者,这起发生在2022年11月的攻击事件导致3700万名用户数据被泄露。
监管动态
七、泄露3亿客户信息,万豪决定花3.6亿和解
近日消息称,针对于3.44亿客户信息泄露事件,万豪国际酒店集团已同意支付5200万美元作为和解协议的一部分。
目前,万豪在美国各地以及130多个其他国家/地区管理着7000多家酒店。总部位于马里兰州贝塞斯达,本次同意加强其数据安全,并解决2014年至2020年间导致三次重大泄露的问题,根据联邦贸易委员会(FTC)的说法。监管机构表示,万豪国际及其子公司喜达屋酒店及度假村将不得不实施“一个健全的信息安全计划以解决指控”。
针对于网络上“万豪糟糕的安全实践导致了多次泄露,影响了数亿客户。”的说法,万豪在其网站上发布的一份声明中表示,作为和解的一部分,它对“潜在指控”没有承认责任。它还表示,已经加强了其数据隐私和信息安全实践,并将继续做得更多。
根据FTC的说法,第一次泄露始于2014年6月,影响了喜达屋,并在酒店通知客户之前未被检测到14个月。投诉指出,这次泄露暴露了超过4万名客户的支付卡信息。第二次泄露始于2014年7月左右,直到2018年9月才被检测到。在此期间,不良行为者访问了全球3.39亿喜达屋客户账户记录,包括超过500万个未加密的护照号码。第三次泄露影响了万豪自己的网络,从2018年9月至2020年2月未被检测到,恶意行为者在那段时间内访问了520万客户记录,包括180万美国人的数据。
监管动态
八、因泄露数亿人数据,美国国家公共数据公司申请破产
由于早前的黑客攻击并泄露了数亿人的数据,美国最大的背景调查公司之一——美国国家公共数据公司(National Public Data,NPD)近日出于多方诉讼压力申请破产。
据悉,NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产,该公司在破产申明中表示,2023年12月有黑客入侵了系统,相关数据于今年4月首次出现在Breached黑客犯罪市场中,并点名一位叫USDoD的黑客窃取了这些数据,称其在入侵其他机构(包括 FBI、空客等)方面也取得了巨大成功。
今年6月,以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据,声称其中包含 29 亿条美国公民记录。一个多月后,名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。
NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债,以及承担诉讼辩护和支持调查的费用。该公司表示,他们业务的很大一部分是为医疗机构服务,但这些机构禁止“有背景问题”的企业提供服务。该公司还承认正面临多起集体诉讼,这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。此外,来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款,美国联邦贸易委员会也在审查这一事件。
监管动态
业界之声
一、夯实网络安全基石 筑牢网络安全防线
近日,中国网信杂志发表了广元市委常委、宣传部部长袁敏的署名文章《夯实网络安全基石,筑牢网络安全防线》。
文章指出,“技术不够、人才短缺”是基层特别是欠发达地区网络安全风险防范化解工作存在的最大瓶颈。近年来,四川省广元市坚持以习近平总书记关于网络强国的重要思想为指引,立足网信部门统筹协调职能,从把好关口、完善保障、突出防御等基础着眼,扎实构建网络安全体系,织密筑牢网络安全防线,为地方经济、社会发展提供网络安全保障。坚持安全和发展同步推进,制定《广元市市级政务信息化项目管理办法(试行)》,将网络安全作为全市政务信息化项目建设规划、审批、建设的前置必要条件,项目立项审批前需征求网信部门关于网络安全、数据安全的意见,项目竣工验收前需通过系统安全等保测评、数据安全风险评估等,切实推动项目建设和网络安全同步规划、同步建设、同步运行。
业界之声
二、2024世界智能网联汽车大会在北京开幕
近日,2024世界智能网联汽车大会在北京亦庄开幕。大会以“协同并进 智行未来—共享智能网联汽车发展新机遇”为主题,设置国际政策圆桌会议、企业高层圆桌会议、跨区域协同发展专题论坛3场特色活动,举办协同治理—完善全球产业监管体系、共享共创—打造国际互利共赢朋友圈、创新驱动—深化全球科技交流合作、生态融合—重塑产业发展新格局、试点示范—探索发展路径、稳健护航—筑牢网络和数据安全基石等多场主题活动。
会议指出,经过多年发展,我国智能网联新能源汽车产业发展取得巨大成就。面向未来,要集聚国家战略科技力量和市场创新主体,培育壮大新型零部件、新型基础设施等新质生产力,加强产业协同融合,构建产业发展新生态;要坚持走符合市场需求的发展道路,持续提升智能化水平,促进跨区域示范与多领域应用,破解发展中存在的区域发展不均衡不充分、技术堵卡点等问题;推进绿色、低碳、智能制造等前沿技术创新和产业化应用,加强人工智能、大数据、数字孪生、边缘计算等技术研发,推进在汽车领域全面应用;推动全球汽车产业深化交流合作,进一步完善多双边合作平台建设,为全球提供适应于多元化清洁能源、多样化环境保护需求的高质量智能网联汽车产品,实现绿色、低碳、安全、智能的共同愿景。
汽车产业加速电动化、网联化、智能化转型,已成为推进新型工业化、发展新质生产力的重要力量。工业和信息化部将深入贯彻落实党中央、国务院决策部署,统筹高质量发展和高水平安全,编制新时期智能网联汽车产业发展规划,坚持车路协同、软硬结合发展路线,加快建设汽车强国。加强融合创新,支持汽车、电子、软件领域联合攻关,鼓励共建自动驾驶数据共享和模型训练平台。拓展应用场景,深入开展“车路云一体化”试点,构建“架构相同、标准统一”的网联设施,提高车载网联终端安装比例。完善标准法规,推动修订道路交通安全、保险等法律法规,建立健全高级别自动驾驶监管制度,加快功能安全、网络安全、数据安全等标准制定。深化开放合作,积极融入全球产业体系,加强全球标准法规合作,为产业全球化发展营造良好环境。
业界之声
三、工业和信息化部“铸网2024”暨上海市“铸盾2024”车联网网络安全实战攻防活动正式启动
近日,由上海市通信管理局联合市委网信办、市经信委、市交通委、嘉定区政府、临港新片区管委会共同主办的工业和信息化部“铸网2024”暨上海市“铸盾2024”车联网网络安全实战攻防活动在上海汽车会展中心举行启动仪式。
会议指出,随着车联网基础设施建设提速,汽车电动化、网联化、智能化交融发展,车辆运行安全、网络安全和数据安全风险交织叠加,安全形势愈发复杂严峻。筑牢车联网网络和数据安全底座,是保障智能网联汽车产业健康发展、推动智能交通体系构建不可或缺的一环。为更好的掌握车联网行业安全形势,进一步提升车联网安全管理水平,上海市通信管理局指导建设了上海车联网网络和数据安全治理公共服务平台和上海车联网网络安全实战检测平台。启动会上,与会领导共同启动上海车联网网络和数据安全治理公共服务平台,并为上海车联网网络安全实战检测平台授牌。市车联网协会秘书长阮大治发布了“铸盾车联”专项行动标杆企业征集。并通过技术演示,直观展示了现阶段车联网网络和数据安全面临的严峻挑战,充分体现车联网安全对生命安全和国家安全的重要性。
业界之声
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
相关阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...