数据安全新动态（2025年1月）

1、数据安全政策与法律法规动态

1.1.国内数据安全政策与法律法规动态

1.1.1.国家发展改革委、国家数据局、工业和信息化部印发《国家数据基础设施建设指引》

为贯彻落实党的二十届三中全会关于建设和运营国家数据基础设施，促进数据共享的部署要求，国家发展改革委、国家数据局、工业和信息化部组织制定了《国家数据基础设施建设指引》，旨在构建高效、安全的数据流通机制，促进数据大规模低成本安全自由流通。《指引》包括概念内涵、发展愿景、总体功能、总体架构、重点方向等主要内容。《指引》强调动态全面的安全保障，提出建立多层次、全方位的安全防护框架，确保数据从采集到销毁的全生命周期安全，利用隐私保护计算、区块链等技术保障数据可信流通，打造一体化安全保障服务平台。

来源：https://www.gov.cn/zhengce/zhengceku/202501/content_6996487.htm

1.1.2.国家发展改革委等部门印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》

为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》。方案明确了总体要求和主要任务，具体包括明晰企业数据流通安全规则。明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障、完善数据流通安全责任界定机制、加强数据流通安全技术应用、丰富数据流通安全服务供给、防范数据滥用风险等，提出到2027年底，构建规则明晰、产业繁荣、多方协同的数据流通安全治理体系，提升数据合规高效流通机制，显著提高治理效能。

来源：https://www.gov.cn/zhengce/zhengceku/202501/content_6996487.htm

1.1.3.工业和信息化部办公厅发布关于加强互联网数据中心客户数据安全保护的通知

互联网数据中心（以下简称IDC）作为新一代信息基础设施，承载着千行百业的海量客户数据，是关系国民经济命脉的重要战略资源。提升IDC客户数据安全保障能力，对于维护经济社会稳定乃至国家安全至关重要。为指导IDC业务经营者加强客户数据安全保护，工业和信息化部办公厅发布关于加强互联网数据中心客户数据安全保护的通知，主要包括基本要求、加强服务器托管业务场景保障能力、加强数据存储与计算业务场景保障能力、加强数据安全供给支撑、工作实施等五方面内容，并以附件形式给出互联网数据中心客户数据安全保护实施指引。

来源：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_1bbf7c744c994183abb3ad6148658960.html

1.2.国外数据安全政策与法律法规动态

1.2.1.俄罗斯拟批准国家数据合成标准草案

俄罗斯计划批准一项新的国家数据合成标准草案，旨在促进人工智能的发展。该标准草案由大数据协会和俄罗斯联邦储蓄银行Sber等机构共同制定，旨在提高数据的可访问性、安全性和质量，通过差分隐私技术来创建用于人工智能发展的机密合成数据的方法。据Sber介绍，遵循该标准可以在确保数据隐私的同时，优化数据集的质量。大数据协会主席安娜·谢尔比尼克娃指出，实施这一标准将增加数据合成过程的透明度，并为数据质量设定基准。这使得合成数据有望成为匿名化数据的有效替代方案，为人工智能训练提供安全可靠的数据来源。按照规划，2025年该草案将提交标准化技术委员会 “人工智能”（TC 164）审批。

来源：https://www.ixbt.com/news/2025/01/14/novye-vozmozhnosti-razvitija-iskusstvennogo-intellekta-v-rossii-razrabatyvajut-nacionalnyj-standart-sinteza-dannyh.html?continueFlag=a2e61ecb187c09c3f22a33008dee39ed

1.2.2.美国OMB发布新的数据中心指南

2025年1月14日，美国管理和预算办公室（OMB）发布了针对政府机构的新的数据中心指南。这份指南源于2024年《国防授权法案》中的一项法律，并由联邦首席信息官Clare Martorana签署发布。它要求各机构使用自动化监控工具、实施信息和物理安全措施，并通过内部管控流程降低数据中心不可用的风险。该指南旨在确保在数字服务的日益普及的背景下，政府能够维持可靠且安全的数据中心运作。对于新建立或现有的数据中心，各机构有一年时间来满足这些要求。

来源：https://www.nextgov.com/policy/2025/01/omb-releases-last-minute-data-center-guidance/402178/?oref=ng-homepage-river

2、个人信息保护政策与法律法规动态

2.1.国内个人信息保护政策与法律法规动态

2.1.1.《个人信息出境个人信息保护认证办法》公开征求意见

国家网信办发布《个人信息出境个人信息保护认证办法（征求意见稿）》，旨在规范个人信息出境活动，促进个人信息高效、便利、安全的跨境流动。办法明确了个人信息出境的条件、认证机构的职责以及违规处理的法律责任，并面向社会公开征求意见，截止时间为2025年2月3日。

来源：https://www.cac.gov.cn/2025-01/03/c_1737600915141373.htm

2.1.2.《网络数据安全管理条例》于2025年1月1日起正式施行

2025年1月1日起，《网络数据安全管理条例》正式施行。条例以《网络安全法》《数据安全法》《个人信息保护法》为依据，细化了网络数据安全规则，特别是在个人信息保护、数据跨境流动等方面提供了更具操作性的法治保障。条例还明确了重要数据的定义和保护要求，要求网络数据处理者识别、申报重要数据，并定期开展风险评估。

来源：http://news.china.com.cn/2025-01/02/content_117640961.shtml

2.1.3.18部门联合印发《困境儿童个人信息保护工作办法》

2025年1月，民政部等18部门联合发布了《困境儿童个人信息保护工作办法》，针对特定儿童群体个人信息处理活动予以规范，切实保护因自身和家庭原因而陷入生存、发展和安全困境，需要政府和社会予以关心帮助的困境儿童的合法权益。办法明确要求不得将困境儿童标签化，不得利用困境儿童个人信息博眼球、赚流量，不得利用困境儿童个人信息进行募捐、直播带货等。

来源：https://www.gov.cn/zhengce/zhengceku/202501/content_7000927.htm

2.2.国外个人信息保护政策与法律法规

2.2.1.加密聊天工具Telegram隐私政策转变引发关注

Telegram调整其隐私政策，开始在犯罪案件中与执法部门共享用户数据。2025年1月，Telegram透露其已向美国政府提供了2253名用户的电话号码或IP地址，这一政策转变引发了广泛关注和争议，尤其是对其用户隐私保护的质疑。

来源：https://www.bleepingcomputer.com/news/legal/telegram-hands-over-data-on-thousands-of-users-to-us-law-enforcement

2.2.2.美电信运营商T-Mobile因个人信息泄露被起诉

美国华盛顿州对电信运营商T-Mobile提起诉讼，指控其在2021年8月的数据泄露事件中未能保护客户数据，导致7900万客户的个人信息外泄。诉讼指出，T-Mobile在事件后未能充分通知客户，且其网络安全措施存在严重缺陷。

来源：https://ediscoverytoday.com/2025/01/07/washington-sues-t-mobile-over-2021-data-breach-cybersecurity-trends

3、国内外数据安全相关事件

3.1.国外数据安全相关事件

3.1.1.美国超千万中小学生个人数据疑似泄露

美国教育科技巨头PowerSchool旗下客户支持系统、学校信息系统等产品遭到未授权访问，攻击者使用泄露凭证成功访问系统，并通过“数据导出”支持工具窃取了美国和加拿大巨量学生和老师的个人数据。黑客声称已窃取了大约6240万名学生和950万名教育工作者的个人数据，包括姓名、地址、社会安全号码（SSNs）、医疗信息和学术记录等。

来源：https://cybersecuritynews.com/powerschool-massive-data-breach/

3.1.2.外卖平台GrubHub披露重大数据泄露事件

据Cybersecuritynews消息，知名外卖平台 GrubHub 披露重大数据泄露事件，涉及客户、商家和司机信息。此次泄露事件是由第三方承包商账户被攻破引起的。被曝光数据包括姓名、邮箱、电话号码、部分校园用餐者的部分支付卡信息以及某些旧系统的哈希密码，敏感数据未被访问。

来源：https://cybersecuritynews.com/grubhub-data-breach/

3.1.3.Belsen 集团泄露超 1.5 万份 FortiGate 防火墙配置信息

据Hackread消息，名为Belsen_Group的威胁组织泄露了超1.5万份 FortiGate 防火墙配置。泄露信息包括用户名、密码、数字证书及防火墙规则等。攻击者可能利用这些信息绕过防护措施并访问敏感系统，因此此次泄露事件将对使用这些设备的组织构成威胁，美国、英国、波兰和比利时是受害者数量最多的国家，法国、西班牙、马来西亚、荷兰、泰国和沙特阿拉伯其次。

来源：https://hackread.com/belsen-group-leaks-fortigate-firewall-configurations/

4、移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.海南发布商超消费领域个人信息保护合规指引，涉及门店APP、小程序运行规范

《海南省商场超市消费领域个人信息保护合规指引》于2025年1月9日发布，旨在增强商场超市对消费者隐私信息的保护。《指引》要求商场超市经营者在使用APP和小程序时，必须明确提示消费者隐私政策并取得明确同意，确保个人信息的收集和使用符合授权范围。此外，经营者不得随意共享消费者的个人信息或发送个性化商业信息，需保障消费者在信息保护中的自主权。

来源：http://www.hkwb.net/news/content/2025-01/10/content_4312159.htm

4.1.2.国家计算机病毒应急处理中心监测发现16款违规移动应用

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在隐私不合规行为。

国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App，注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

来源：https://mp.weixin.qq.com/s/7V6FHFZ8s53AtYePIlSiaw

4.2.国外移动互联网安全热点

4.2.1.新型Android恶意软件模仿聊天应用窃取敏感数据

据Cyber Security News消息，Cyfirma 的网络安全研究人员最近发现了一个针对南亚用户，尤其是印度克什米尔地区用户的复杂 Android 恶意软件活动，通过伪装成一款名为“Tanzeem” 的聊天应用程序以窃取目标设备中的敏感数据。该恶意软件利用了流行的客户参与平台 OneSignal，通过推送网络钓鱼链接进行传播。技术分析显示，伪装成“Tanzeem”的恶意软件在安装后就停止运行，但背后已经请求了多项敏感权限，包括访问通话记录、联系人、短信、文件存储和精确位置数据。它还试图提取用于登录各种互联网平台的电子邮件和用户名权限。

来源：https://thehackernews.com/2025/01/donot-team-linked-to-new-tanzeem.html

4.2.2.用户集体起诉Siri“偷听”，苹果花9500万美元和解

2025年1月3日消息，科技巨头苹果公司同意支付9500万美元现金，以和解一项拟议的集体诉讼，该诉讼声称其Siri语音助手侵犯了用户的隐私。此次诉讼的起因源于有美国用户反映，Siri在未被明确唤醒时，似乎会自动激活并记录周边声音信息。例如，一些用户在家中私下交谈时，Siri指示灯突然亮起，他们担心自己的私人对话被收集上传。随着类似反馈越来越多，消费者权益保护组织代表广大用户向苹果公司提起集体诉讼，指控苹果侵犯用户隐私，通过Siri收集用户日常对话，用于改善服务或其他未公开用途，且未充分征得用户同意。这份和解协议涵盖了2014年9月17日至2024年12月31日期间使用Siri的美国用户，涉及数千万人。每位参与诉讼的用户最多可为5台Siri设备申请赔偿，每台设备最高可获得20美元。此外，苹果公司需在六个月内永久删除2019年10月前收集的Siri个人音频记录。

来源：https://h5.stcn.com/pages/detail/detail?id=1478210&jump_type=reported_info

4.2.3.安卓推出"身份验证"新功能，增强设备防盗保护

近日，谷歌宣布在安卓系统中推出一项新的"身份验证"安全功能，当用户离开受信任的位置时，该功能将要求使用生物识别认证来访问敏感的设备设置。这一新功能是安卓防盗保护套件的一部分。"身份验证"功能旨在通过要求用户在离开受信任位置时使用生物识别认证，来增强安卓系统对关键账户和设备设置的保护。需要生物识别认证的敏感操作包括:执行恢复出厂设置、更改屏幕锁定、注册新指纹、关闭"查找我的设备"功能、添加谷歌账户、访问开发者选项以及打开谷歌密码管理器等。该功能还为谷歌账户启用了"增强保护"，并在符合条件的设备上为三星账户提供了额外的安全保护。

来源：https://www.bleepingcomputer.com/news/security/new-android-identity-check-locks-settings-outside-trusted-locations/

4.2.4.三星修复手机上的零点击漏洞，可导致系统进程崩溃

近日，三星发布安全更新，修复了其旗舰手机 Galaxy S23 和S24 中的一个严重的零点击安全漏洞（CVE-2024-49415），涉及 Monkey’s Audio (APE)解码器，影响 Android 12 、13 和14 版本，允许攻击者在不需要用户操作的情况下攻击设备。谷歌建议用户在补丁发布之前采取以下措施：如不必要，禁用 RCS 消息；避免通过消息应用或文件浏览器打开或播放不可信的音频文件；尽快应用三星提供的安全更新。

来源：https://cybersecuritynews.com/samsung-0-click-vulnerability-fixed/

4.2.5.新型安卓恶意软件FireScam来袭，实时窃取用户敏感信息

新型安卓恶意软件FireScam正在通过模仿俄罗斯移动应用市场 RuStore 的钓鱼网站，以Telegram应用的高级版本进行传播。根据威胁管理公司Cyfirma的研究，伪装成 RuStore 的恶意 GitHub 页面首先提供一个名为 GetAppsRu.apk的投放模块。该模块使用DexGuard进行混淆以避免检测，并获取权限以识别已安装的应用程序、访问设备存储并安装其他包。随后，它提取并安装主要的恶意软件载荷“Telegram Premium.apk”，该应用请求监控通知、剪贴板数据、短信和电话服务等权限。

来源：https://www.bleepingcomputer.com/news/security/new-firescam-android-data-theft-malware-poses-as-telegram-premium-app/

文章来源：数据安全共同体计划