数据安全新动态（2024年10月）

1.1.1.工业和信息化部印发《工业和信息化领域数据安全事件应急预案（试行）》

来源：https://www.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_b051a6efc2ac4f3c94123c5bb8cb9b22.html

1.1.2.国家发展改革委向社会公开征求《公共数据资源登记管理暂行办法（公开征求意见稿）》的意见

来源：https://mp.weixin.qq.com/s/qLpRX_Idq00ncTdkZP68rA

1.2.1.NIST推进14个数字签名以防范量子网络威胁

美国国家标准与技术研究院（NIST）已选择14种后量子密码学（PQC）签名算法，以应对量子计算带来的网络安全威胁。NIST表示从40个数字签名提案中筛选出14个后量子密码学（PQC）签名公开发布，这些算法旨在抵御量子计算机的网络攻击，后者的计算速度比传统计算机快得多，能破解许多当前使用的加密技术。尽管不确定量子网络攻击何时开始，但NIST预计可能在下一个十年内出现，联邦政府正在寻求行业将PQC标准纳入产品与服务中。

来源：https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8528.pdf

1.2.2.英国将《数据使用和访问法案》提交议会

10月23日，英国《数据使用和访问法案》已提交议会，旨在发挥数据的巨大力量，助力英国经济增长100亿英镑。该法案由英国科学、创新和技术部提出，有三个核心目标：发展经济、改善英国公共服务、为人民生活提供便利。该法案还将通过建立研究人员数据访问制度来帮助英国探索应对网络威胁的方法。

来源：https://bills.parliament.uk/bills/3825

1.2.3.日本政府希望到2030年实现“牢不可破”的量子加密

Telecompaper 10月8日消息，日本政府计划在2030年之前开发出“牢不可破”的量子加密技术，以应对量子计算机可能带来的网络安全威胁，潜在的合作伙伴包括NEC和东芝。日本内务和通信省将从2025财年开始，在未来五年内投入数千亿日元的公私投资，用于量子加密技术的开发。日本信息通信研究机构（NICT）已经在东京启动了一个量子测试网络，连接了政府机构和金融机构，并计划在2024年开始评估量子加密方法，并招募公司参与政府的量子加密研发项目。

来源：https://www.telecompaper.com/news/japan-wants-unbreakable-quantum-encryption-by-2030-report--1514825

2.1.1.上海市网信办整治地铁站内滥用人脸识别技术违规收集个人信息现象

10月14日，上海市网信办官微“网信上海”发布全面整治地铁站内自动售货机人脸识别技术滥用问题的情况。前期，上海市网信办以地铁站内自动售货机为突破口，会同市市场监管局、市国资委联合约谈申通地铁及三家涉事自动售货机运营企业，要求企业立整立改，对个别重点头部企业开展了延伸检查，并指导申通地铁对全市范围地铁站内自动售货机人脸识别技术滥用问题进行全面整治。目前共有14家企业运营地铁站1462台自动售货机，已对其中存在问题的829台暂停人脸支付功能，待整改完成后重新上线。

上海市网信办相关负责人指出，人脸信息依法属于敏感个人生物信息，应在确保合规、安全，并取得消费者单独同意的前提下审慎使用。企业在不具有特定目的及充分必要性的场景，强制、诱导消费者使用人脸识别技术进行验证，属于过度收集消费者个人敏感信息的违法行为，因此，对于人脸信息的收集、存储、使用、传输、删除等各环节，企业都应该依法采取严格的保护措施。

来源：https://mp.weixin.qq.com/s/h0LJiqtPd0jPT5fjIiga5w

2.1.2.北京市互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会

10月30日，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，会上发布了八起典型案例，涉及个人信息保护纠纷、隐私权、人格权纠纷、网络服务合同纠纷、网络侵权责任纠纷等案由。

八起典型案例裁判要旨分别涉及：必要个人信息范围应结合相关规范性文件、服务性质、处理必要性等因素进行认定；未经消费者同意，线下商店的线上小程序无权获取消费者的线下交易信息；企业对经过去标识化处理后的个人信息进行访问所形成的访问记录，依法受法律保护；信息处理者未尽到个人信息安全保障义务致他人个人信息权益被侵害的，应与侵权用户承担连带责任；免费邮箱服务提供者可以对免费邮箱用户的权利进行一定程度的限制，但“清空邮箱”条款的内容与免费邮箱用户有重大利害关系，作为提供格式条款的一方应当采取合理的方式提示用户注意；未经授权对包含他人肖像的视频进行AI换脸处理，构成对他人个人信息权益的侵害；个人明确拒绝他人处理已公开个人信息的，个人信息处理者不得继续处理；个人应当妥善保管已注册的社交平台账号及注册信息。

来源：https://mp.weixin.qq.com/s/500PiHzTpl3VZ9Vg75lbwg

2.2.1.韩国监管机构将调查TikTok是否违反该国数据保护法规 

10月7日，韩国通信委员会宣布就TikTok是否违反《个人信息保护法》和《信息通信法》展开调查。根据初步调查结果，TikTok可能因违反《信息通信网法》而面临罚款。韩方认为，TikTok在处理用户个人信息时，本应把有关营销和广告接收同意的部分设置为“选择同意”而非“必须同意”，但用户在注册时遭到强制同意接收广告，这一做法引发问题。韩国《关于促进信息通信网利用与信息保护法》规定，任何通过电子传输媒体发送的营利目的的广告信息，必须事先获得接收者的明确同意。如果违反可处以最高3000万韩元（约合人民币15.77万元）的罚款。此外，韩国个人信息保护委员会也开始审查TikTok是否违反《个人信息保护法》。

来源：http://www.koreaherald.com/view.php?ud=20241007050398

2.2.2.美国司法部拟发布新规，计划阻止我国等六国获取大量美国数据

10月21日，为落实拜登政府《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》，美国司法部国家安全司发布拟议规则制定通知（NPRM），计划通过限制特定交易，防止中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉等六个受关注国家获取美国敏感数据。

NPRM确定了禁止和限制交易的类型、适用的受关注国家和相关人员范围、豁免情况，提供了司法部对经济和其他监管影响的初步评估，建立了授权某些禁止或限制交易、发布咨询意见、指定相关人员的程序，并规定了相关交易的记录保存、报告和其他尽职调查义务。NPRM并没有授权实施普遍的数据本地化要求，也未广泛禁止美国人从事商业交易。NPRM将几类数据交易从禁止和限制范围中排除，包括金融服务、电信服务、生物产品和医疗器械授权、临床调查等。

来源：https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks

2.2.3.澳大利亚信息专员办公室发布《有关隐私和使用商用人工智能产品的指南》

10月21日，澳大利亚信息专员办公室（OAIC）发布指南，旨在帮助企业在使用商用人工智能（AI）产品时更好地履行隐私保护义务。指南提出了多项要点：一是隐私义务适用于任何输入AI系统的个人信息，以及AI生成的包含个人信息的输出数据；二是企业需要更新隐私政策和通知，提供清晰的AI使用信息，包括确保面向公众的AI工具向外部用户清楚地标识出来；三是如果AI系统用于生成或推断个人信息，则属于收集个人信息，必须遵守澳大利亚隐私原则第3条的规定；四是OAIC建议企业不要将个人信息输入到公开的生成式AI工具中，以避免潜在的隐私风险。

来源：https://www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/guidance-on-privacy-and-the-use-of-commercially-available-ai-products

4.2.6.TrickMo安卓银行木马新变种利用虚假锁屏窃取密码

近期，研究人员在野外发现了TrickMo Android银行木马的40个新变种，它们与16个下载器和22个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。

来源：https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/