数据安全每周观察|三部门联合印发《制造业企业数字化转型实施指南》

      近日，中共中央办公厅、国务院办公厅发布《关于加快建设统一开放的交通运输市场的意见》，旨在深化综合交通运输体系改革，加快建设统一开放的交通运输市场，更好服务经济社会高质量发展。

      《意见》明确推进数据和技术赋能交通运输发展。依托全国一体化大数据中心协同创新体系布局，构建综合交通大数据中心体系。加快推进国家综合交通运输信息平台建设。依托全国一体化政务大数据体系，推动区域间、部门间、部省间综合交通运输政务数据共享交换，强化数据分析应用，深化数据资源综合开发和智能应用。完善各种运输方式数据采集、交换、加工、共享等标准规范，推进数据分类分级管理，编制行业重要数据目录。建立健全全流程数据安全管理制度，加强交通运输系统平台网络安全、数据安全和个人信息保护管理，定期开展安全排查和风险评估。完善交通运输科技资源共享服务体系。

      为深入贯彻习近平总书记关于信息化和工业化深度融合的重要指示批示精神，落实党中央、国务院决策部署，工业和信息化部、国务院国有资产监督管理委员会、中华全国工商业联合会等三部门近日联合印发《制造业企业数字化转型实施指南》，加快新一代信息技术全方位全链条普及应用，加速产业模式和企业组织形态变革，系统提升企业数字化水平，不断培育新质生产力发展新动能。

      《指南》指出，加强安全保障，一要健全工业企业网络安全管理制度，深入实施工业互联网安全分类分级管理，建立健全定级防护、评估评测、监测预警、信息通报、成效评价等工作机制，指导企业落实《工业控制系统网络安全防护指南》相关要求，开展重要工业控制系统识别认定，构建工控安全评估体系。二要督促企业落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》等法律政策要求，加强重要数据识别与备案，做好数据分类分级保护和安全风险评估，强化风险监测预警和应急处置能力，切实提升工业数据安全防护水平。

      近日，国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委印发了《关于促进企业数据资源开发利用的意见》，以充分释放企业数据资源价值，构建以数据为关键要素的数字经济。

      在培育企业数字化竞争力方面，《意见》指出，提高数据治理能力。鼓励企业建立首席数据官制度，健全数据资源管理机制。推动数据管理相关国家标准贯标，规范开展数据治理能力评估，强化企业数据治理和质量管理能力建设，促进企业创新发展。引导企业加快向数据驱动的经营模式转型，用数据管理、用数据决策，推动实现流程优化、组织重塑、效率提升。鼓励企业强化多源数据整合分析，准确把握供需结构、客户偏好、价格变化趋势，提升企业洞察市场和适应市场的能力。

      在赋能产业转型升级方面，《意见》提出，推进产业链协同创新。支持企业开放数据服务能力。鼓励互联网平台企业等创新数据运营模式，开发决策参考、市场营销、需求定制、风险管理等数据产品和服务，更好服务各类经营主体。助力中小企业用数创新。引导行业龙头企业、互联网平台企业等提供普惠性数据产品和技术工具，助力中小企业创新发展等。

      近日，财政部根据《财政部关于印发〈关于加强数据资产管理的指导意见〉的通知》（财资〔2023〕141号）等文件精神，研究制定了《数据资产全过程管理试点方案》，旨在贯彻落实党中央、国务院关于数字经济的决策部署，充分激发数据资产潜能，防范数据资产价值应用风险，推动数字经济高质量发展。

      《方案》将围绕数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节，试点探索有效的数据资产管理模式，完善数据资产管理制度标准体系和运行机制。

      《方案》强调严格防控风险，要求试点单位严格遵守《中华人民共和国数据安全法》等法律制度规定，压实数据资产安全主体责任，制定数据资产安全管理制度和应急预案。试点单位开展数据资产管理工作，应秉持谨慎性原则开展可研论证和尽职调查，对外授权使用数据资产应当按照国家有关规定进行评估，严防数据资产价值应用风险。严禁利用行政事业单位数据资产进行担保，新增政府隐性债务。严禁行政事业单位借授权有偿使用数据资产的名义，变相虚增财政收入。在推进数据资产有条件有偿使用过程中，不得向社会公众转嫁不合理成本。

      近日，国家税务总局发布《互联网平台企业涉税信息报送规定(征求意见稿)》。

      《规定》在信息保存及安全方面强调，互联网平台企业应当按规定保存平台内的经营者和从业人员的涉税信息，并对报送信息的真实性、准确性、完整性负责。税务机关应当对获取的涉税信息依法保密，按规定建立涉税信息数据安全管理制度，保障数据安全。关于信息保密问题，涉税信息是互联网平台企业的重要数据，互联网平台企业、平台内的经营者和从业人员等各方高度关注，数据安全问题是信息报送工作的重要方面。

      《规定》既明确互联网平台企业对涉税信息的报送和保存义务，也要求税务机关对获取的涉税信息依法保密。税务机关将按照个人信息保护法、数据安全法、网络数据安全管理条例等法律法规和国家有关规定建立健全涉税信息数据安全管理制度，切实保障涉税信息数据安全。

      近日，海南省人民政府办公厅发布《海南省国土空间基础数据管理办法》。

      《办法》明确国土空间基础数据分类为基础测绘数据、基础地质数据、基础调查数据，以及各政务部门和公共服务组织的行业专题国土空间基础数据，实现分类管理。鼓励高等院校、科研机构和市场主体开展国土空间基础数据分析挖掘与加工、数据安全等技术研发活动，增加数据产品供给，提高数据开发利用和安全管理水平。

      《办法》要求，在确保数据安全保密和产权清晰的前提下，鼓励社会资本依法依规投资开展国土空间基础数据采集并将数据成果统一汇集到“空间基础数据库”。

      依法应当予以保密的国土空间基础数据的采集、传输、处理、提供、应用和管理，应当遵守保护国家秘密相关法律法规。获取国土空间基础数据的各单位，应当具备与所获取数据密级相应的保管条件，按照网络安全和数据安全管理规定使用所获取的数据。

      针对重要数据进行加密存储及完整性保护，建立完备的数据备份机制，严格控制数据库及应用数据访问权限，采取身份鉴别、安全审计、统一授权认证等安全手段，并定期开展网络数据安全风险评估和网络安全等级保护测评。

      近日，北京市委理论学习中心组召开学习（扩大）会议。会议强调，数字化转型是超大城市治理体系和治理能力现代化的必然要求。北京教育、科技、人才资源丰富，拥有数据基础制度先行区的政策优势，有条件打造数字治理“北京样板”。要结合全球数字经济标杆城市建设，充分运用数字技术赋能产业、赋能城市、赋能生活，推进全域数字化转型，推动首都高质量发展。

      会议强调，要注重产业发展和安全管理相统筹。进一步做强数字经济，打造信息服务业、智能网联汽车等有国际竞争力的数字产业集群。推动平台经济健康发展，支持平台企业向硬科技转型。促进数字经济与实体经济深度融合，实施“人工智能+”行动，催生新业态、新模式、新动能。健全数据安全工作协调机制，增强网络安全防护能力，确保城市数字化进程依法依规、风险可控。

      近日，天津市数据局起草发布了《天津市公共数据资源登记管理实施细则（试行）》，并公开征求意见。

      《细则》根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《公共数据资源登记管理暂行办法》（公开征求意见稿）等有关法律、法规、规章规定，结合天津市实际制定，旨在促进本市公共数据资源合规高效开发利用，规范公共数据资源登记行为，服务全国一体化公共数据资源登记体系构建。

      《细则强调》，公共数据资源登记应当维护国家安全和公共利益，保护国家秘密、商业秘密、个人隐私和个人信息权益，遵循依法合规、公开透明、标准规范、安全高效的原则。登记机构应该建立健全数据资源登记管理责任机制，履行数据安全保护义务，妥善保管登记信息；登记机构、登记主体和第三方服务机构应严格履行网络和数据安全保障义务，严防登记信息泄露。

      为了保护个人信息权益，促进数据依法有序自由流动，指导和帮助个人信息处理者规范备案个人信息出境标准合同，福建省根据《中华人民共和国个人信息保护法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《个人信息出境标准合同备案指南（第二版）》等，制定本实施办法。

      《办法》规定，中国（福建）自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省委网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

      数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。各地网信部门应当加强对数据处理者数据出境活动的指导监督，强化安全监管，发现数据安全风险或者发生数据安全事件的，按照有关规定处置。

      近日，根据上级部门移交线索，重庆市网信办依法对属地存在网络数据安全违法行为的公司作出行政处罚。

      经查，重庆某网络科技有限公司未履行网络安全、数据安全保护义务，存在未建立完善相关制度规范，未明确相应管理机构，未采取相应的技术措施和其他必要措施保障数据安全，存在网络数据泄露风险，同时存在未经授权的访问和未按法规要求留存相关网络日志等违法情形，违反了《中华人民共和国网络安全法》和《中华人民共和国数据安全法》。重庆市网信办依据《中华人民共和国数据安全法》，对该公司作出责令改正，给予警告，并处五万元罚款的行政处罚，对直接主管人员和其他责任人员分别处以一万元罚款处罚。

      浙江省通信管理局高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益治理工作。

      近期，浙江省通信管理局组织第三方检测机构对群众关注的即时通信、婚恋相亲、网络游戏等类型APP进行检查，并书面要求违规APP开发运营者限期整改。对截至目前，尚未按要求完成整改的6款APP予以通报。

      近日，上海黄浦网警成功破获一起针对某互联网社交平台的非法获取计算机信息系统数据案件。犯罪分子利用黑客技术手段盗取账号，通过售卖账号获利7万余元。警方深挖细查交易背后的黑灰产线索，抓获违法犯罪嫌疑人5人，其中，刑事立案1人，行政处罚4人，教育63人。

      上海警方接到某互联网企业报案称，旗下一款社交平台在进行安全检查的过程中，发现大量账号近期发布涉诈、涉赌、色情等信息。与此同时，平台接到大量相关账号登录异常的投诉举报。上海警方迅速开展工作，成功锁定犯罪嫌疑人蒋某鹏。经查，蒋某鹏使用自制的黑客软件伪造用户的“登录凭证”，从而获取登录权限，并搭建网站出售账号。截至案发，通过售卖账号累计获利7万余元。

      近期，闲鱼平台因在处理交易纠纷时存在严重的信息安全管理漏洞，连续爆出多起用户隐私信息泄露事件。

      一位福建网友在闲鱼平台售卖商品时，因买家投诉购买到假货，平台将其身份证号、手机号、门牌号等敏感信息直接泄露给买家，导致买家通过这些信息添加其微信进行骚扰。此外在2023年3月，北京市民小圆女士因二手汉服退货纠纷，其个人信息被平台泄露给买家，导致遭受骚扰和言语威胁。同月，用户陈先生在出售固态硬盘时也遭遇类似情况。这些事件暴露出闲鱼平台在用户隐私保护方面存在重大缺陷，平台对用户信息的处理方式令人担忧。

      值得注意的是，在用户隐私安全问题尚未得到有效解决的情况下，闲鱼平台却在2023年7月底宣布对全体卖家收取基础软件服务费。根据相关法律规定，闲鱼平台擅自泄露用户个人信息的行为已构成侵权，用户有权通过法律途径维护自身权益。

      近日，浙江台州公安机关工作中发现，浙江某软件科技公司受托搭建的数据库存在安全漏洞，数据库中承载的大量电子政务数据存在泄露风险。

      经查，该公司主要为政府部门提供软件开发、信息系统建设和运维等服务。在与台州当地部分政府部门合作期间，该公司未对受托维护、处理的电子政务数据履行应尽的数据安全保护义务，未依法建立全流程数据安全管理制度，导致电子政务数据存在严重泄露风险，相关行为违反了《中华人民共和国数据安全法》。

      台州公安机关依法对该公司和该公司负责人进行了行政罚款，并责令其依法依规履行数据安全保护义务。同时，依法约谈涉事政府部门相关负责人，通报委托处理电子政务数据活动中存在的安全问题，责令进一步加强数据安全管理和保护，严防数据泄露。

      美国联邦法官日前裁定，以色列间谍软件制造商NSO Group因利用WhatsApp的零日漏洞在至少1400台设备上部署Pegasus间谍软件而违反了美国黑客法律。NSO Group将Pegasus作为政府监控软件进行销售，允许客户监控受害者的活动并从被攻陷的设备中提取数据。

      WhatsApp公司在五年前提起诉讼，指控NSO Group违反了《计算机欺诈和滥用法》（CFAA）以及加利福尼亚州的《计算机数据访问与欺诈法》（CDAFA）。法庭文件显示，NSO在提起诉讼后仍继续利用WhatsApp的漏洞，使用多种零日漏洞，包括一个名为“Erised”的未知漏洞，进行零点击攻击以部署Pegasus。文件还指出，NSO的开发人员逆向工程WhatsApp的代码，创建能够发送恶意消息的工具，从而安装间谍软件。

      WhatsApp公司发言人强调了对间谍软件公司的问责重要性，称“监控公司应当意识到，非法监视将不被容忍。”Meta首席执行官马克·扎克伯格也表示：“我们为此感到自豪，WhatsApp在隐私和加密方面继续引领潮流。”

      近日报道，一名《战争雷霆》游戏玩家为了在与其他玩家关于游戏载具性能的争论中获胜，将现实中有关欧洲“台风”战斗机的秘密文件上传到了网上。《战争雷霆》是一款由Gaijin Entertainment游戏公司开发和发行的专业载具类战争网络游戏。

      报道称，在分享文件之前，该用户已收到警告，但仍然选择继续上传，他上传的文件争论涉及“台风”战斗机使用过的Captor-M机械扫描雷达与Captor-E有源相控阵雷达之间性能的比较，以及后者在性能上的显著提升。

      在与意大利国防部确认后，《战争雷霆》游戏论坛的管理人员发现这些文件属于秘密文件，因此迅速删除了这些材料，并封禁了上传秘密军事文件的用户账号。意大利国防部表示正在调查此事，并称将在适当的情况下展开调查。

      CloudSEK的TRIAD团队近日发布报告指出，广受欢迎的基于云的API开发和测试平台Postman Workspaces的严重安全漏洞和风险，超过3万个公开可访问的工作区泄露了关于第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥等，可能给受影响的组织带来财务和声誉损失。

      报告显示，泄露的数据涵盖了各个行业从小型企业到大型企业，影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务，使组织面临众多威胁和安全风险。

      研究人员指出，导致这些数据泄露的常见原因包括不小心共享Postman集合、访问控制配置错误、与公共可访问的代码库同步，以及以明文形式存储敏感数据而未进行加密。

      日前，美国纽约监管机构对GEICO保险公司和Travelers Indemnity Company公司两家汽车保险公司处以 1130万美元（约合人民币8200万元）罚款，因其未能防止数据泄露，导致12万居民个人敏感信息被泄露。

      2020年11月，GEICO 遭遇数据泄露，其汽车保险报价工具受影响，攻击者得以从面向公众的网站窃取敏感个人信息。2021年4月，Traveler 也遭遇数据泄露，并收到大量警报，显示攻击者通过利用其保险报价工具访问客户的驾照号码并生成报告。攻击者使用被盗凭证入侵该公司未采用多因素身份验证保护的保险代理门户。

      这两家公司因未能预防和妥善应对网络攻击，致使黑客窃取了这些居民包括驾照号码在内的敏感信息，并进行欺诈性就业索赔。GEICO 将支付975万美元，Traveler则支付剩余的155万美元。除了罚款，纽约当局要求相关汽车保险公司实施强有力的网络安全措施，以防止未来发生类似的数据泄露。

      近日，全国工业和信息化工作会议在京召开。

      会议强调，2025年要围绕高质量发展，突出重点、把握关键，扎扎实实做好各项工作。一要推进信息化和工业化深度融合。探索建立工业数据流通和交易机制。坚持“点、线、面”协同，加快规上工业企业、专精特新中小企业数字化转型全覆盖，面向重点行业“一业一策”制定数字化转型指南，用三年时间建设200个高标准数字园区。分行业分区域布局一批制造业数字化转型促进中心。推进工业5G独立专网建设，壮大多层次系统化工业互联网平台体系。实施“人工智能+制造”行动，加强通用大模型和行业大模型研发布局和重点场景应用。全链条推进基础软件、工业软件技术攻关和成果应用，加快建设先进计算产业体系。二要推动信息通信业高质量发展。完善“双千兆”网络发展政策措施，试点部署万兆光网，力争累计建成5G基站450万座以上。有序推进算力中心建设布局优化，加快网络升级“联算成网”。推动5G演进和6G技术创新发展。强化互联网基础资源管理，完善APP全链条治理长效机制。提升无线电频谱技术创新能力和频谱资源开发利用水平。加强细分行业领域数据安全管理，推动网络和数据安全产业创新发展。提升极端场景应急通信保障能力。

      会议要求，岁末年初之际，要扎实做好企业帮扶、重点物资生产供应、通信服务、网络和数据安全保障、无线电管理、值班值守等各项工作。始终绷紧安全这根弦，加强隐患排查处理。扎实推进信访工作法治化，及时化解矛盾纠纷。

      近日，国家数据局官方网站（www.nda.gov.cn）正式上线试运行。该网站旨在提高政务公开透明度，加强与公众互动，推动数据业务高质量发展。

      国家数据局官方网站设有多个栏目，包括机构设置、新闻动态、政务公开、业务频道和互动交流。

      气象数据作为国家战略性、基础性资源，适用场景广、应用潜力大。为贯彻落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《“数据要素×”三年行动计划（2024—2026年）》等政策文件，中国气象局与上海数据交易所深入合作，正式实现双方系统互联互通，共同推进气象数据要素市场化配置，充分发挥气象数据要素乘数效应，赋能经济社会高质量发展。

      此次合作中，双方创新实现了中国气象局的气象数字对象标识符MOID与上海数据交易所的数据产品对象标识符DEID的互联互认机制，为气象数据产品的交易全生命周期构筑了坚实的双码溯源保障体系。双方将共同搭建气象数据众创平台，为创新创业者提供数据资源，促进气象数据在各行业的创新应用，加快培育新型气象服务产品，繁荣气象数据众创生态。

      为加快推进气象科技能力现代化和社会服务现代化，中国气象局气象经济数字化创新重点开放实验室于日前正式启动，重点开展气象金融及衍生品、数据要素流通数字化、气象服务综合效益评估三大领域研究，以推动气象数据要素流通为目标，加快新技术在气象业务和服务领域的深度融合应用。上海数据交易所积极参与中国气象局气象经济数字化创新重点开放实验室的建设，双方将在构建数据可信空间和数据要素流通规则等领域开展合作，应用区块链技术提高公共数据流通的安全性和透明度，为气象数据的共享和交易提供全新的场景赋能。

      近日，国家数据专家咨询委员会成立大会暨第一次全体会议在京召开。

      会议指出，习近平总书记高度重视各界专家在科学决策、民主决策中的重要作用，多次就专家工作作出重要指示批示。成立国家数据专家咨询委员会，是落实党中央、国务院决策部署、应对国内外复杂局势、凝聚数据事业发展合力的需要，是我国数据事业发展历程中的标志性事件，具有里程碑意义。国家数据局组建以来，积极发挥专家作用，在深化数据要素市场化配置改革，充分释放数据价值，加快培育和发展新质生产力，统筹推进数字中国、数字经济、数字社会等方面取得了积极进展，这些成绩的取得离不开专家前瞻性研究、高质量建议。

      会议强调，数据事业是一项全新的事业，统筹数据发展与安全的复杂性、艰巨性前所未有。国家数据专家咨询委员会要深入学习领会习近平总书记关于数据发展和安全的重要论述，认真落实党中央关于加强中国特色新型智库建设的决策部署，聚焦推动数据要素市场化配置改革这条主线，围绕数字中国、数字经济、数字社会规划和建设，开展重大决策咨询，强化重大趋势判断，深化重点问题研究，再接再厉、持续为数据要素赋能经济社会高质量发展提供智力支撑。