Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似
因长期不满足网安合规要求,这家国防科技公司被罚超3300万元
macOS 新威胁:恶意软件绕过端点安全防护,部署Shellcode
客户遭勒索攻击,软件供应商被罚超2800万元
外包保洁员泄露3项国家机密!国安部披露细节
黑客利用 DNS MX 记录动态创建超 100 品牌虚假登录页面
Dell企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
国内某快递巨头遭数据泄露 19.8GB客户信息疑流入暗网
疑深圳某知名控股企业遭HellCat勒索攻击,70GB核心数据或被窃
国内某银行客户数据疑似泄露,客户敏感信息流入黑市
彩虹体育3万用户支付数据疑似泄露
《中华人民共和国网络安全法》修正草案再次征求意见
网信办等四部委关于开展2025年个人信息保护系列专项行动的公告
如何规避人工智能带来的政务服务风险
中银研究院:DeepSeek赋能银行业数字化转型专题研究
Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似
在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞(zero-day)数日后,Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。
图:Mozilla Firefox
漏洞详情与修复版本
该安全漏洞编号为CVE-2025-2857,被描述为"错误句柄导致沙箱逃逸"问题。Mozilla在公告中表示:"在Chrome沙箱逃逸漏洞(CVE-2025-2783)曝光后,多位Firefox开发人员在我们浏览器的进程间通信(IPC)代码中发现了类似问题。"
"受攻击的子进程可能导致父进程返回一个意外获得的高权限句柄,最终造成沙箱逃逸。"该漏洞影响Firefox及Firefox ESR(延长支持版),已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1版本中修复。目前尚无证据表明CVE-2025-2857已被野外利用。
关联漏洞攻击事件
此次更新恰逢谷歌发布Chrome 134.0.6998.177/.178版本修复CVE-2025-2783漏洞。该漏洞已被用于针对俄罗斯媒体机构、教育单位和政府组织的攻击活动中。
卡巴斯基(Kaspersky)在2025年3月中旬检测到相关攻击行为,受害者通过点击钓鱼邮件中的特制链接,使用Chrome浏览器访问攻击者控制的网站后遭到感染。
漏洞利用链分析
据分析,攻击者将CVE-2025-2783与浏览器中另一个未知漏洞串联使用,突破了沙箱限制实现远程代码执行。及时修补该漏洞可有效阻断整个攻击链条。
美国网络安全和基础设施安全局(CISA)已将CVE-2025-2783列入已知被利用漏洞(KEV)目录,要求联邦机构在2025年4月17日前完成修复。建议所有用户及时更新浏览器至最新版本以防范潜在风险。
因长期不满足网安合规要求,这家国防科技公司被罚超3300万元
3月27日消息,又一家国防承包商未能满足美国联邦政府的网络安全要求,宣布与政府达成和解协议。MORSE公司同意支付460万美元(约合人民币3340万元),以解决其涉嫌违反《虚假申报法》的指控。这部法律于1863年颁布,对向政府提供服务时作出虚假陈述的行为设定了民事处罚。
图:外网截图
MORSE是一家国防科技公司,总部位于美国马萨诸塞州。公司由麻省理工学院校友创立,与美国陆军和空军有合同关系,专注于国家安全领域的软件和硬件开发。
据美国司法部称,MORSE使用第三方供应商托管电子邮件服务,但未能确保该供应商符合国家标准技术研究院(NIST)规定的安全要求。
和解协议指出,MORSE未能实施必要的网络安全措施,“可能导致网络被大规模利用,或受控国防信息被窃取。”该公司还未能为其所有信息系统制定书面安全计划,包括详细说明系统边界、运行环境、安全要求的执行方式,以及与其他系统的关系或连接情况。根据和解协议,MORSE在2021年进行了一次网络态势评估,夸大了自身的防护水准。在-210至110的评分范围内,该公司自评得分高达104。然而,次年受聘的审计员给出的评分却是-142,并指出该公司未能遵守78%的NIST标准要求。MORSE在近一年时间内未向监管机构提交修订后的评分,直到调查人员向其发出传票后才提交。作为和解的一部分,MORSE承认未能达到联邦网络安全标准。
近年来,涉及网络安全的《反虚假申报法》执法行动有所加快。今年2月,一家为美国军方医疗系统提供支持的联邦承包商同意支付1100万美元罚款。而在去年,宾夕法尼亚州立大学和佐治亚理工学院因未能遵守安全标准,也分别被处以罚款。2024年6月,美国司法部与联邦承包商Guidehouse和Nan McKay & Associates公司达成1130万美元的和解协议,原因是这两家公司在新冠疫情期间未能对纽约的财政援助系统进行适当的网络安全测试。
macOS 新威胁:恶意软件绕过端点安全防护,部署Shellcode
网络安全研究人员发现了一种针对 macOS 系统的复杂新型恶意软件,名为 CoffeeLoader。它运用先进技术绕过端点安全防护解决方案,并植入 Rhadamanthys shellcode( shell 代码)有效载荷。
图:macOS
这种恶意软件标志着针对 Apple 生态系统的威胁有了重大演变,显示出其躲避检测策略的复杂性日益增加。
初步分析表明,CoffeeLoader 利用合法的系统进程来保持其在系统中的持久性,并避开传统安全防护措施的检测。
该恶意软件主要通过受感染的软件下载,以及包含伪装成合法 PDF 文档或应用安装程序的恶意附件的网络钓鱼电子邮件进行传播。
一旦被执行,CoffeeLoader 就会通过修改系统文件和创建隐藏目录来存储其组件,从而在系统中立足,同时还会禁用 macOS 系统的某些原生安全功能。
Zscaler 公司的研究人员在观察到受感染系统与主要托管在东欧的命令与控制服务器之间的异常网络流量模式后,发现了这一威胁。
他们的分析显示,该恶意软件采用了一个多阶段的感染过程,旨在在执行的每个阶段都躲避检测,这给安全团队的修复工作带来了极大挑战。
CoffeeLoader 的攻击途径依赖于利用用户权限,最初它会伪装成一个需要安装权限的良性应用程序。
在获得这些权限后,它会部署一系列经过混淆处理的脚本,这些脚本能够在系统重启后依然保持其在系统中的存在,并且能避开标准的安全扫描。
其影响不仅限于数据盗窃,因为受感染的系统会成为更大的僵尸网络基础设施的一部分,能够利用系统资源发起分布式攻击或进行加密货币挖矿,这会显著降低系统性能,并有可能导致业务中断。
感染机制分析:
该恶意软件的感染过程始于一个看似无害的可执行文件,它利用一种称为动态链接库劫持(dylib hijacking)的技术,将恶意代码加载到合法进程中。
这个过程涉及类似以下的代码:
void inject_payload(void) {
mach_vm_address_t addr;
mach_vm_allocate(task, &addr, payload_size, VM_FLAGS_ANYWHERE);
mach_vm_write(task, addr, (vm_offset_t)payload, payload_size);
thread_act_t thread;
thread_create_running(task, x86_THREAD_STATE64, (thread_state_t)&state, x86_THREAD_STATE64_COUNT, &thread);
}
分析人员建议各组织机构立即更新端点防护解决方案,实施应用程序白名单制度,并扫描可疑的启动代理或守护进程,以应对这一新兴威胁。
客户遭勒索攻击,软件供应商被罚超2800万元
3月28日消息,英国信息专员办公室(ICO)对英国国家医疗服务体系(NHS)的一家软件供应商处以300万英镑(约合人民币2821万元)罚款,原因是该供应商出现安全漏洞,导致NHS遭受勒索软件攻击,79404名患者的个人信息面临风险。
图:外网截图
作为英国数据保护监管机构,ICO表示此次罚款针对的是高级计算机软件集团(Advanced Computer Software,简称OneAdvanced)。OneAdvanced是一家向英国各地组织提供IT和软件服务的公司,客户包括NHS和其他医疗机构等,其职责涉及数据管理与信息处理。
此次数据泄露事件发生于2022年8月,黑客窃取了患者的电话号码、医疗记录,以及如何进入890名接受居家护理患者住所的信息。
攻击者利用了一个未启用多因素认证的客户账号,从而成功获取这些敏感数据。
监管机构的调查结果显示,OneAdvanced在事件发生前未能采取适当的安全防护措施,导致此次数据泄露。
这次事件严重影响了NHS非紧急医疗求助电话111等关键服务,部分医护人员无法访问患者病历,患者登记系统也受到了干扰。
监管机构去年曾对OneAdvanced提出批评,认为该事件给“本已承受巨大压力的医疗行业”带来了“额外负担”。
尽管OneAdvanced在部分系统中实施了多因素认证,但信息专员John Edwards批评其“覆盖范围仍然不够全面”。
Edwards表示:“OneAdvanced子公司的安全措施远未达到我们对处理如此大规模敏感信息的机构所期望的标准。”
Edwards认为,这次罚款应成为“一个严厉的警示”,提醒所有机构确保“建立完善的安全机制”。
“任何系统的任何部分都不应处于脆弱状态,没有任何借口。”
2024年8月,ICO最初提议对OneAdvanced处以609万英镑的罚款。然而,在OneAdvanced提交申辩后,ICO对案件进行了全面审查,最终决定将罚款金额减半。监管机构表示,OneAdvanced在攻击发生后,积极与国家网络安全中心、国家打击犯罪局和NHS合作,并采取了相关风险缓解措施。
这是近两年来ICO发出的最大罚单。事实上,自2023年4月因滥用儿童数据对TikTok处以罚款以来,ICO尚未对任何机构开出超过七位数的罚款。
纵观ICO历史上的所有罚单,OneAdvanced此次罚款金额排名第六,低于以下公司(按金额从高到低排序):英国航空、万豪酒店、TikTok、人脸识别公司Clearview、建筑公司Interserve。
外包保洁员泄露3项国家机密!国安部披露细节
保密无小事,事事需谨慎。在日常工作中,我们一些机关工作人员习惯把涉密文件资料摆放在桌子上,有的同志外出办事或下班不锁门,文件资料不入柜,给别有用心之人提供了可乘之机。
图:新闻截图
案例一:某重要涉密单位将办公大楼物业长期外包给某物业单位,该公司保洁人员段某出于个人原因主动联系境外间谍情报机构,后被间谍利诱、策反。段某利用在该单位从事保洁服务之机,通过盗取、偷拍等方式,为境外提供1项机密级、2项秘密级国家秘密及其他6项情报。案件发生后,段某被依法追究刑事责任,其所在物业服务公司承包合同被终止,该单位有关领导责任人员、监管责任人员被给予党纪政务处分。
案例二:某单位办公室工作人员王某,下班后没有把涉密文件清理入柜,随意放在桌面上,而且没有锁门便离开办公场所。之后有一名办事群众误以为王某还在办公室办公,便直接打开房门,见王某不在,桌上放有与自己利益相关的秘密级文件,便使用手机进行拍照,并发布在社交媒体上,造成泄密和不良影响。案件发生后,王某及该单位有关领导责任人员被组织处理。
国家安全机关提示
服务外包中的失泄密隐患不容忽视,涉密机关、单位必须时刻保持警惕,加强管理和防范,确保国家秘密安全。
——夯实责任防风险。涉密机关、单位应夯实保密管理主体责任,明确“发包”部门监管责任,签署协议时应在外包协议中明确自身的保密监管权力和承包方的保密管理义务。应从严审查承包单位资质条件,特别是购买服务涉及国家秘密的,应把好资质关口、签订保密协议、提出保密要求。
——强化监督堵漏洞。涉密机关、单位应会同承包方建立健全各项规章制度和安全操作规范,并采取切实有效的措施确保落实到位。应积极构建人防、物防、技防“三位一体”安全防护体系,多措并举,筑牢安全保密防线。应对承包单位提供服务的过程、保密制度的执行情况、服务人员的保密行为等进行监督审计,定期排查问题隐患,防范出现偏差和风险。
——加强教育保安全。涉密机关、单位应落实上岗审查要求,加强对服务外包人员的背景审查,确保其具备相应的专业技能和从业资格。应关注外包服务公司对员工的管理情况,定期对外包服务人员开展保密教育培训,提出具体保密要求,切实提升服务人员保密意识和防泄密能力,共同织密织牢安全保密防护网。
Telegram560亿条公开群聊记录被索引,涉8.6亿用户
即时通讯平台 Telegram 上出现一个名为 Funstatgrtbot 的机器人,引发了广泛关注和用户对隐私的担忧。据报告,该机器人已成功抓取并索引了 Telegram 公开群组和频道中高达 560 亿条的用户发言记录,时间跨度至少六年,涉及约 8.6 亿 Telegram 用户和 3600 万个公开群组及频道。
Funstatgrtbot 通过爬虫技术,专门针对 Telegram 上用户在公开群组、公共频道及其附属评论区的发言进行收集。虽然这些信息本身是公开发布的,但该机器人的能力在于将海量分散的数据进行集中化索引和分析。
根据目前披露的功能,该机器人允许用户查询:
·特定用户在公开群组中的活跃统计数据(如发言数量、活跃时段),最早可追溯至 2019 年甚至更早。
·特定用户加入的公开群组和订阅的公共频道列表。
·分析不同用户之间共同加入的公开群组,从而可能推断用户间的联系。
·监控特定用户加入或退出公开群组的动态。
需要强调的是,目前该机器人主要提供的是元数据分析,暂时无法直接查询用户发言的具体内容。 用户可以看到某人在公开场合发送了多少条消息,但看不到消息本身是什么。
尽管如此,这一事件仍然敲响了警钟。首先,虽然数据来源是公开的,但用户可能并未预料到自己分散在各个公开群组的发言和活动会被如此大规模地聚合、索引并用于分析,这种行为被一些用户形容为“恶心人”。
其次,这暴露了 Telegram 平台在防止大规模数据抓取方面可能存在的“安全缺陷”。如此庞大的数据量被长时间抓取而未被有效拦截,引发了对其平台防护能力的质疑。此前,类似的大规模公开数据抓取事件也曾在 Discord 平台上发生,促使 Discord 采取技术措施加以阻止。目前尚不清楚 Telegram 是否会采取类似行动。
更令人担忧的是,既然机器人已经抓取了包含发言内容在内的原始数据,未来存在这些数据被用于商业目的(如精准广告投放)甚至被直接销售的可能性。
图:Telegram
黑客利用 DNS MX 记录动态创建超 100 品牌虚假登录页面
一种复杂的网络钓鱼活动已经出现,它创造性地利用了域名系统(DNS)的邮件交换(MX)记录,能够根据受害者的电子邮件提供商,动态地展示量身定制的虚假登录页面。
这种攻击可以模仿超过 100 个品牌,代表了网络钓鱼技术的重大演进,创建出了极具说服力的仿冒页面,用户很难将其与合法的登录页面区分开来。
这种威胁始于包含恶意链接的垃圾邮件,这些邮件会通过一系列步骤将受害者重定向到网络钓鱼的着陆页面。
这些邮件通常会围绕账户停用或文件交付等事宜使用紧急措辞,诱使用户点击嵌入的超链接。
这些链接通常指向已被攻陷的 WordPress 网站、免费网络托管服务上的欺诈账户,或者利用广告网络上的开放式重定向来绕过电子邮件安全系统。
Infoblox 的研究人员确定了此次活动背后的威胁行为者为 “Morphing Meerkat”,它似乎运营着一个复杂的网络钓鱼即服务(PhaaS)平台。
这一评估是基于自 2020 年 1 月以来在多个活动中观察到的一致的策略、技术和流程得出的。该活动在保持核心基础设施的同时,不断发展其攻击能力。
此次网络钓鱼活动特别危险的地方在于,它能够根据受害者的电子邮件域名,从 114 种不同的特定品牌网络钓鱼模板中选择一个来展示。
网络钓鱼工具包使用来自 Google 或 Cloudflare 的基于 HTTPS 的 DNS(DoH)服务进行 DNS MX 记录查找,这样它无需维护一个庞大的域名映射数据库,就能精确识别受害者的电子邮件服务提供商。
其技术实现依赖于查询公共 DNS 服务的 JavaScript 函数,如下面这个来自网络钓鱼工具包的代码片段所示:
图:代码片段
然后,网络钓鱼工具包会将返回的 MX 记录映射到匹配的网络钓鱼模板上,并自动用受害者的电子邮件地址填充用户名字段。
如果受害者提交了他们的凭据,这些数据将通过电子邮件、PHP 脚本、AJAX 请求或像 Telegram 这样的消息平台泄露给攻击者。
为了逃避检测,该工具包采用了多种安全技术,包括代码混淆、键盘监控以防止检查,以及在窃取凭据后智能重定向到合法网站。
Dell企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。
图:Dell发布安全更新
安全研究人员发现了 16 个不同的漏洞,这些漏洞影响运行 5.4 版本及更早版本的 Dell Unity、Dell UnityVSA 和 Dell Unity XT 存储系统,其中最严重的漏洞在通用漏洞评分系统(CVSS)中的评分为 9.8 分。
Dell Unity 存储系统的严重漏洞 CVE-2025-22398:远程 root 命令执行
CVE-2025-22398(CVSS 评分为 9.8)漏洞使得攻击者可以通过未经身份验证的远程命令执行以 root 权限完全接管系统。
攻击者可以构造针对 Unity API 的恶意网络请求,注入能以完全管理员权限执行的操作系统命令。
这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。
Dell 发布的安全公告明确指出,对该漏洞的利用 “可能会导致系统被攻击者接管”,其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。
CVE-2025-24383:特权文件删除
CVE-2025-24383(CVSS 评分为 9.1)漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件,从而对文件系统造成同样危险的破坏。
攻击者可以删除关键的系统二进制文件、配置文件或数据存储,这有可能会使存储操作陷入瘫痪,或者为后续攻击创造条件。
虽然由于该漏洞对机密性的影响较小(无影响对比高影响),其评分略低,但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。
其他安全漏洞
该安全公告还详细说明了 CVE-2025-24381 漏洞,这是一个开放重定向漏洞,评分为 8.8 分,攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。
进一步加剧风险的是多个本地特权提升漏洞(CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386),CVSS 评分为 7.8 分,这些漏洞使得低权限的本地用户能够以 root 权限执行命令。
另外还有两个命令注入漏洞(CVE-2024-49601 和 CVE-2025-24382),CVSS 评分为 7.3 分,使得未经身份验证的远程攻击者能够执行影响程度较低的命令。
Dell 对负责任地披露这些漏洞的安全研究人员表示感谢:“prowser” 发现了关键的远程命令注入漏洞,而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。
受影响产品及修复措施
这些漏洞影响了 Dell 广受欢迎的企业存储系统,包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。
Dell 已发布了 Dell Unity 操作环境(OE)5.5.0.0.5.259 版本作为修复方案,并强烈建议所有客户立即进行升级。
使用受影响的 Dell Unity 系统的组织应评估自身面临的风险,实施推荐的更新,并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。
图:DELL
国内某快递巨头遭数据泄露 19.8GB客户信息疑流入暗网
2025年4月1日监测发现,一名用户名为“lizzyczy”的用户在某知名黑客论坛发布帖子,声称掌握了中国某知名快递公司的数据库,并附上了部分SQL数据截图。
从样本截图来看,数据库包含了姓名、电话、省市区、详细地址等信息,疑似为快递用户的订单数据。数据以SQL格式展示,表明攻击者可能直接获取到了数据库文件,而非简单的爬取或数据整理。该用户表示,这份数据库的总大小为19.8GB,目前存储在其个人计算机上,并希望以论坛积分的形式进行交换。在后续的对话中,该用户自称英语不是母语,暗示其可能是非英语国家的网络黑客,由于语言障碍,其甚至提出通过Telegram免费分享数据。
图:黑客在论坛的发帖
大数据时代,用户个人隐私信息保护,事关快递行业健康持续发展,无论此数据集是否真实,这都提醒国内快递行业完善快递运单数据管理制度,确保用户信息绝对安全。
疑深圳某知名控股企业遭HellCat勒索攻击,70GB核心数据或被窃
2025年3月31日监测发现,深圳某知名控股企业登上了勒索软件组织 HellCat 的受害者名单。勒索者放出了样本数据,并称有大量数据被窃取,数据包括电子邮件、内部通信、源代码、项目规划文档和机密文件,数据量高达 70GB。
勒索者称:“该企业必须使用其系统中提供的唯一受害者 ID 与我们联系,以协商条款。任何延迟都将导致数据完全公开发布,这可能会对公司及其合作伙伴产生严重影响。”
图:Hellcat组织暗网截图
Hellcat是一个新的黑客组织,自 2024 年 11 月以来,突然发起了一系列引人注目的攻击,迅速成为勒索软件即服务 (RaaS) 业务中的恶意行为者。Hellcat 优先攻击高价值目标,包括政府、企业和关键基础设施。其活动范围遍布全球,重点是窃取敏感数据,以获得最大优势。其目标行业也多种多样。
此次事件无疑给企业带来了巨大的挑战和风险,其客户信息、商业机密等敏感数据都可能面临泄露,后续影响有待进一步观察和评估,相关各方应密切关注事件发展,提前做好防范措施,避免遭受更大的损失。
国内某银行客户数据疑似泄露,客户敏感信息流入黑市
在日常巡检中发现,3月30日,某论坛曝出一份名为"China Banks Customers"的数据库,声称包含2300万条国内银行客户信息。
从泄露样本来看,数据涵盖姓名、手机号、银行名称、银行账号、身份证号、省市地址、性别、年龄及出生日期等核心敏感字段,所有记录均指向同一家大型商业银行,信息详细程度令人担忧。
图:黑客在论坛的发贴
此类数据一旦被不法分子利用,可能引发精准电信诈骗、账户盗刷等安全事件。特别是中老年群体往往对新型诈骗手段防范意识较弱,更容易成为犯罪分子的目标。
建议相关银行客户密切关注账户异常情况,及时修改密码并开通账户变动提醒。金融机构也应加强内部数据管控,定期审计敏感信息的访问日志,防范内部泄露风险。目前该数据的真实性尚未得到官方证实,但此类事件再次提醒我们,在数字经济时代,个人金融信息的保护任重道远。
彩虹体育3万用户支付数据疑似泄露
在日常巡检中发现,4月1日,一名ID为Kaught的泄露者在暗网论坛发布了一则名为“China Caihong Sport & Payment Leak - 30K Phones w/ E-Commerce & Pay Links”的数据泄露帖,声称其获取了彩虹体育平台泄露的30,000 条记录,有2.94 MB 的原始数据。
泄露者提供的样本显示,数据字段包含电话号码、支付链接等信息。
图:黑客在论坛的发贴
彩虹体育是山河体育公司推出的一款关于体育赛事APP,为广大体育爱好者提供足球、篮球方面的体育赛事的数据服务平台。此次泄露的用户数据,可能被用于进一步网络攻击或诈骗活动。事件凸显了企业数据保护的重要性,提醒企业端加强网络安全措施,定期审查系统漏洞,防止类似事件发生。对于公众用户来说,警惕陌生来电、及时修改支付密码, 防患于未然。
《中华人民共和国网络安全法》修正草案再次征求意见
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据《十四届全国人大常委会立法规划》,我办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,现向社会公开征求意见。
党中央高度重视维护国家网络安全。习近平总书记多次作出重要指示,强调“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。党的二十大和二十届三中全会对加强重点领域、新兴领域、涉外领域立法和增强立法系统性、整体性、协同性、时效性等作出了重要部署。为贯彻党中央决策部署,落实《十四届全国人大常委会立法规划》,适应网络安全新形势,我办会同相关部门起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下简称《网络安全法(修正草案再次征求意见稿)》)。有关情况说明如下:
一、修改背景
《网络安全法》自2017年施行以来,为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了有力的法律保障。随着网络和信息技术日益融入社会生产生活,网络安全风险进一步凸显。2021年以来,《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等网络安全相关立法相继制定实施,《中华人民共和国行政处罚法》(以下简称《行政处罚法》)修订出台,《网络安全法》需要适应形势加强与新出台法律的衔接协调,对相关法律责任制度作出科学优化,进一步保障网络安全。
2023年9月,《十四届全国人大常委会立法规划》发布,明确将“网络安全法(修改)”列入了“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”。2025年3月,《全国人民代表大会常务委员会工作报告》将修改网络安全法列入2025年的立法工作任务。修改工作启动以来,我办会同相关部门密切沟通,共同推进修改《网络安全法》工作,先后开展了调查研究、修正草案起草、征求中央和国家机关有关单位、面向社会公开征求意见等工作。在认真听取有关方面意见的基础上,形成了《网络安全法(修正草案再次征求意见稿)》。
二、修改思路
在《网络安全法(修正草案再次征求意见稿)》起草过程中,着重把握以下几点:一是坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想。二是坚持问题导向,重点强化网络安全法律责任,加大对违法行为处罚力度。三是坚持体系化衔接,加强与《数据安全法》《个人信息保护法》《行政处罚法》等相关法律有机衔接,在行政处罚的种类、范围、幅度等方面作出合理安排。四是坚持分类施策,科学设置网络运行安全、网络信息安全等不同类型违法行为的法律责任。
三、修改的主要内容
(一)关于网络运行安全的法律责任。结合实践中危害网络安全后果的情况,增加造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的和造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的情形,并参照《数据安全法》调整了现行《网络安全法》第五十九条罚款幅度,增加相应处罚规定;新增销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任;明确关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施。
(二)关于网络信息安全的法律责任。为防范新形势下网络信息内容安全风险对国家安全、政治安全带来的风险挑战,结合近年来网络信息内容执法实践,借鉴国外相关立法法律责任制度的新调整,完善现行《网络安全法》第六十八条、第六十九条针对的违法情形,调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任,明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施。
(三)关于个人信息和重要数据安全的法律责任。鉴于《数据安全法》《个人信息保护法》等有关法律、行政法规对现行《网络安全法》第六十四条第一款、第六十六条涉及的个人信息和重要数据违法行为的处罚作出了新的专门规定,明确转致适用的规定。
(四)关于从轻、减轻或者不予行政处罚的情形。统筹考虑《网络安全法》和《行政处罚法》的适用关系,专门新增一条衔接规定,明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依法从轻、减轻或者不予处罚;明确有关主管部门依据职责制定相应的行政处罚裁量基准。
图:官网截图
网信办等四部委关于开展2025年个人信息保护系列专项行动的公告
《中华人民共和国个人信息保护法》施行以来,中央网信办会同有关部门持续组织开展个人信息保护相关工作,建立健全工作机制,研究制定标准规范,依法依规查处各类违法违规行为,加强正面典型示范引领,督促指导个人信息处理者不断提升合规水平,取得了积极治理成效。
2025年,中央网信办将会同工业和信息化部、公安部、市场监管总局等部门,进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题,切实维护人民群众在网络空间合法权益,着力提升人民群众满意度、获得感。相关部门将围绕以下重点问题开展系列专项行动:
1.App(含小程序、公众号、快应用)违法违规收集使用个人信息。聚焦App(含小程序、公众号、快应用)未提供个人信息收集使用规则,未按照个人信息收集使用规则处理个人信息,无相关功能或未使用相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息,未提供个人信息相关投诉渠道,未提供有效的更正删除个人信息及注销账号功能,提供个性化信息推送等功能但未提供便捷的拒绝方式,以及开屏等场景频繁“意外”跳转广告页面等问题开展治理。
2.SDK违法违规收集使用个人信息。聚焦SDK未提供个人信息收集使用规则,未按照个人信息收集使用规则或与App明确的规则处理个人信息,未使用SDK相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息,未提供个人信息相关投诉渠道,提供个性化信息推送等功能但未向App提供停止收集个人信息或关闭该功能的选项等问题开展治理。
3.智能终端违法违规收集使用个人信息。聚焦智能手表、智能手环等穿戴产品,智能音箱、智能门锁、智能摄像头等家居产品,智能平板、智能学习机等学习终端,未提供个人信息收集使用规则,高频次、高精度、长时段超范围收集非必要个人信息,以及相关功能开启后需在后台持续收集个人信息或者需在云端计算和分析的,但未向用户进行显著提示等问题开展治理。
4.公共场所违法违规收集使用人脸识别信息。聚焦交通运输、住宿旅游、教育培训、文化体育、物流商贸、休闲娱乐等公共场所使用人脸识别技术处理人脸信息,但未履行单独或书面告知同意等法律义务,未设置显著提示标识,未采取加密等严格保护措施,以及未依法开展个人信息保护影响评估等问题开展治理。
5.线下消费场景违法违规收集使用个人信息。聚焦自动售卖、扫码点餐、出行乘车、入场停车、商超支付、扫码充电、房屋租赁等线下消费场景中,强制关注公众号、强制注册会员,强制收集非必要的手机号、生日、性别等信息,物业前台收集个人信息用于用户授权以外的目的,未经同意向第三方提供用户个人信息,以及上述场景中个人信息处理者未尽有效保护义务造成泄露等问题开展治理。
6.个人信息相关违法犯罪案件。聚焦网络借贷、求职招聘、出行购票、教育、医疗、旅游住宿等领域个人信息违法犯罪活动,通过暗网电报等境外渠道以及境内渠道违规售卖公民个人信息,以及个人信息泄露或被攻击窃取等违法犯罪案件开展治理。
中央网信办、工业和信息化部、公安部、市场监管总局等有关部门将有序推进系列专项行动中的各项任务,集中治理各类典型违法违规问题,对拒不整改的依法从严处理;同时,有关部门将根据实际工作需要及时调整重点治理问题,确保专项行动取得实效,切实保护公民个人信息安全。
图:官网截图
如何规避人工智能带来的政务服务风险
大模型在政务服务领域的应用已成为政府提升服务水平的重要抓手。尤其是随着“DeepSeek”的横空出世,一批“数智员工”也应用到政务场景。
作为一款开源大模型,DeepSeek凭借其在成本和性能上的优势,在政务服务、公共管理和城市治理等多个领域展现出巨大的应用潜力。从智能应答到自动化审批,人工智能通过快速处理海量数据和实时优化服务流程,显著提升了政务办理效率。但是,我们应该看到人工智能技术下的政务应用在提升效能的同时,其所带来的政务员工失业风险、政务算法黑箱、政务数据安全泄露风险等也亟待防范。如何在拥抱技术红利的同时规避潜在政务服务风险,是数字政府建设面临的关键课题。
破解技术风险、构建良性的数字政府治理生态要求突破传统治理范式的单向度改革思维,需要形成“技术向善、制度护航、生态共建”的治理格局。
公务员数字能力是关键。“人是生产力中最活跃的因素”。公务员是政务服务中的关键要素。推动数字政府建设、发挥好人工智能政务服务价值功能关键就在于人,即有数字能力的公务员。因此,推动公务员数字能力发展,加速培育既能驾驭技术逻辑又深谙治理规律的人员队伍,成为破解公务员结构性职业危机、建设有人文关怀数字政府的关键路径。地方政府可通过开展数字技能培训,将基层人员转型为系统运维专员和服务流程设计师,既保留人力资源价值,又提升政务服务体系的整体效能。同时,注重加强构建人机协作服务模式,让人工智能承担标准化工作,使政务人员更专注于政策解读、复杂案例处置等需人性化判断的领域。此外,重塑公务员数字能力,还要重点培养其监督算法的能力,探索建立责任追溯机制等。
算法规范化是制度框架。算法治理规范是数字政府的运行轨道,为数字政府建设提供刚性框架。建立算法备案追溯制度和伦理审查强制标准,遏制技术权力异化,在提升行政效率的同时守护程序正义底线。建立政务数据沙箱机制,实行数据的分级分类动态授权。探索人工智能行政行为备案追溯制度,与第三方算法审计机制相配套,理清技术开发商、运营方、政府部门的责任归属问题。在治理架构上形成政府主导的跨部门审查委员会、企业设立的算法伦理官、公众参与的全国投诉平台三方协同机制,将伦理审查嵌入算法研发应用全流程。同时完善数字权利渠道,开通个人算法异议通道及公益诉讼机制,避免算法不公现象的产生。
数据安全防护体系建设是基石。政务数据安全是智能治理的生命线,是系统稳定的技术基石。减少信息泄露风险,加强数据安全防护体系建设,要从事前、事中、事后进行多维度管理。首先要加强事前防范,制定各行业数据分类分级指南,明确不同敏感级别数据的存储使用规则,搭建实时追踪数据流动的智能监测平台。其次要从事中控制,在政务服务平台开设数据安全专栏,通过典型案例动画演示常见泄露途径。联合学校、社区等人群密集地区开设数字安全课程,培养公民基础防护意识。最后要进行事后修复,对违规企业实施罚款、行业限制、信用降级等分级惩罚标准,增加企业违法违规成本。同时,设立专项基金重点扶持数据安全技术创新,构建起“政府定规则、全民共防护、企业担主责”的数字安全防护网络。
全民参与实现数据监管是保障。开展全民监督是持续优化数字政务系统的制衡保障。一是建立双向透明的信息交互通道,确保公众可实时获取政务数据流转路径;二是构建低门槛的反馈响应体系,通过问题自动分类和系统自动响应,降低公众参与成本;三是形成政策改进的闭环回路,使公众建议能直接触发系统更新并使改进成效可视化。全民参与实质上将传统的外部监督转化为系统内生的纠错力量,通过持续输入用户真实体验数据,从单项服务转向价值共创,推动政务系统优化升级。
数字政府建设需在技术创新与风险防范间寻求动态平衡,唯有在技术创新与制度规范之间找到平衡点,才能让智能政务服务既跑出“加速度”,又始终行驶在“惠民生、守底线”的正确轨道上。技术治理与社会治理的有机融合,既保持创新活力,又守住风险底线,形成更具韧性的人工智能政务服务生态。
图:人工智能
中银研究院:DeepSeek赋能银行业数字化转型专题研究
中国银行研究院就DeepSeek赋能银行业数字化转型进行了专题研究。DeepSeek-R1性能优、成本低,已在银行精准营销等多领域提升效率。但也面临监管、模型幻觉及基础设施压力等挑战,研究院提出对应建议。
3月27日,中国银行研究院发布2025年第二季度经济金融展望报告。其中就DeepSeek赋能银行业数字化转型进行了专题研究。
长期以来,以银行为代表的金融部门以其大规模、高质量的数据资源和多维度、多元化的应用场景,被视为最适合大模型应用的行业之一。2025年1月,中国人工智能公司深度求索(DeepSeek)发布推理模型DeepSeek-R1,不仅在性能上逼近甚至超越了OpenAI的o1系列产品,并且推理成本仅需o1的3%左右。这一里程碑式进展被硅谷科技媒体、德意志银行等誉为中国人工智能领域的“斯普特尼克时刻”(SputnikMoment)。当前,以DeepSeek为代表的人工智能大模型持续赋能银行等金融相关领域,有望为金融行业数字化转型提供关键助力。
DeepSeek通过应用于精准营销、理财顾问、贷前风控、信用评估等核心领域,带动银行各类业务效率明显提升。例如,在精准营销环节,DeepSeek构建的对话式AI引擎,采用意图识别(NLU)与对话状态跟踪(DST)双引擎架构,多轮对话管理系统支持上下文感知的个性化服务,结合情感计算模块实现客户体验的量化评估。基于DeepSeek的智能客服系统,能够实现全天候不间断服务,快速响应客户的咨询和问题。通过自然语言处理技术,智能客服可以理解客户的意图,根据客户的历史记录和偏好,为客户提供个性化的服务推荐,提升客户满意度。此外,DeepSeek基于客户消费习惯和金融资源应用状态、所处行业特征、产品特性等生成的各类营销方案,也将为客户经理提供多维度的参考。
在投资决策环节,DeepSeek可以通过对客户的资产状况、风险偏好、投资目标等信息的分析,为客户制定个性化的投资组合方案。同时,DeepSeek也可以实时监测全球金融市场动态,包括股票、债券、外汇等各类金融市场的价格波动、交易量变化等,通过对历史数据和实时数据的分析,捕捉到市场趋势的细微变化,提前发出风险预警。在智能风控环节,DeepSeek基于实时风险决策引擎和整合流式计算框架与复杂事件处理(CEP)技术,能够实现毫秒级风险决策响应。从目前已完成或计划完成DeepSeek本地化部署的商业银行来看,其多元化业务为DeepSeek赋能提供了丰富场景。
报告指出,DeepSeek在赋能银行业数字化转型中面临一系列挑战。如DeepSeek引起的颠覆式创新对行业监管体系跟进完善提出较高要求;大模型幻觉问题无法根治,影响相关业务生产力潜能释放;商业银行部署过程中对算力、数据、IT基础设施要求不断提升,转型压力依然较大等。
对于上述问题,中银研究院提出三点建议:首先,推动完善银行业AI大模型监管体系。商业银行应积极参与监管政策的研讨与制定,与监管机构保持密切沟通,及时了解监管动态。同时,建立内部合规审查机制,对DeepSeek模型的开发、训练和应用进行全流程合规审查。
其次,加强系统性优化,缓解大模型幻觉问题。商业银行应加强数据治理,整合内部数据资源,建立统一的数据平台。通过数据清洗、标注、建模等工作,提高数据质量和可用性。加强外部数据的获取和整合,通过推进可信数据空间建设,打通公共数据空间、城市数据空间与金融数据空间互联互通,激发公共数据在金融可信数据空间中的带动效应。
最后,多维度制定优化策略,为AI持续赋能筑牢基础。如,在机构内部构建“AI+业务”的思维体系,鼓励职工以数据沟通业务和技术,加快形成人机协同工作新模式;加大对云计算、大数据等基础设施的投入,提高算力水平等。
图: DeepSeek
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...