数据安全早知道｜国家邮政局：加强邮件快件隐私面单推广应用；2023年APT攻击或将转移重点攻击行业

本期看点

热点资讯

· 因泄露5.33亿用户隐私，Facebook被罚2.65亿欧元

· 推特540万用户数据在暗网公开，并免费分享

· 英国破获大型跨国网络诈骗案，120名嫌疑人被捕

· 上海警方侦破某网络公司爬取直播信息贩卖牟利

· 印度最大公立医院之一遭到疑似勒索软件攻击

· 加拿大主要加密货币交易所称客户数据遭到泄露

· 英国与韩国完成脱欧后首个独立数据传输协议

技术看点

· 针对电子邮件发件人欺骗攻击的大规模分析

安全研究

· 2023年APT攻击或将转移重点攻击行业

· 攻击者眼中的完美目标医疗机构需加强安全投入

· IDC：中国网络安全市场投资规模将在2026年达到319亿美元

· 基于密码的数据安全防护体系研究

· 警惕那些常见却又容易被忽视的网络安全威胁

· 论个人信息侵权责任中的违法性与过错

· 数字经济风口下，中国数据开放共享如何向纵深迈进

· 工业互联网安全下的数据分类分级研究

行业法规

· 《中华人民共和国反电信网络诈骗法》正式施行

· 《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》

· 北京发布《数字经济促进条例》，涉及企业数据处理活动规范

监管动态

· 国家邮政局：加强邮件快件隐私面单推广应用

· 我国推动数据知识产权规则构建多地开展试点工作

· 关于征集ISO/IEC JTC1/SC27网络安全国际标准提案的通知

会议活动

· 预告 | BSI&安在系列专题研讨：数据安全

· 第五届数据资产管理大会 1.4 邀您云上相见

· “之江数据安全治理论坛”系列技术沙龙--“分类分级和数据泄露”在杭举行

因泄露5.33亿用户隐私，Facebook被罚2.65亿欧元

11月28日消息，近日，爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件，向其母公司Meta开出 2.65 亿欧元（约20亿人民币）巨额罚单。2021年4月，黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛，其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。

（来源：freebuf）

推特540万用户数据在暗网公开，并免费分享

近日，Twitter传来一个重磅消息，超过540万条用户数据已经在暗网公开，并且免费共享给所有人。此外，安全人员还披露了另外一个可能泄露的，规模更大的数据库，其中包含了上千万条Twitter数据。这些数据包含了大多数的公共信息，包括包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL；以及较为私密的用户的电子邮件和电话号码等信息。

（来源：freebuf）

英国破获大型跨国网络诈骗案，120名嫌疑人被捕

英国警方破获该国有史以来最大的跨国网络诈骗案，取缔该国“最大的犯罪网站”，截至发稿时共120名嫌疑人被捕，其中包括网站管理员在内的103人在英国首都伦敦，其余17人分散在英国其他地区或海外。犯罪者利用犯罪网站将自己的来电显示伪装成银行或税务局等的官方号码，直接骗取钱财或者套取对方的银行账号等信息。

（来源：安全客）

上海警方侦破某网络公司爬取直播信息贩卖牟利

近日，上海警方发现一互联网站售卖知名直播平台主播数据，经过网络巡查，很快发现一家网站在网络公开售卖多个直播平台的直播数据，包括主播信息、用户收入明细、打赏记录等。经过对该网站数据的溯源分析，专案组迅速锁定了向该网站提供数据的一家信息技术有限公司，该公司涉嫌非法获取计算机信息系统数据。

（来源：安全客）

印度最大公立医院之一遭到疑似勒索软件攻击

11月28日消息，印度主要公共医疗机构之一，全印度医学科学研究所（AIIMS）遭遇网络攻击，出现业务中断。此次中断影响到数百位使用基础医疗保健服务的患者和医生，波及患者入院、出院和计费等系统。

（来源：安全内参）

加拿大主要加密货币交易所称客户数据遭到泄露

Coinsquare是加拿大最大的加密货币交易所之一，该交易所通过电子邮件向客户报告了一起“数据事件”，其中未经授权的第三方访问了包含个人信息的客户数据库。根据这封电子邮件，该漏洞暴露了“客户姓名、电子邮件地址、住址、电话号码、出生日期、设备 ID、公共钱包地址、交易历史和账户余额”。

（来源：安全圈）

英国与韩国完成脱欧后首个独立数据传输协议

英国已经完成脱欧后的第一个独立数据保护决议，这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示，在7月首次达成原则性协议的新立法，将使两国的企业更容易分享数据，增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的，就评估结果而言，韩国拥有强大的隐私法，将保护数据传输，同时维护英国公民的权利。

（来源：freebuf）

针对电子邮件发件人欺骗攻击的大规模分析

作为一种基本的通信服务，电子邮件在个人和公司通信中都扮演着重要角色，这也使其成为最常见的攻击媒介之一。多个协议、角色和服务的身份验证链确保了电子邮件的真实性，任何失效的部分都可能破坏整个基于链的防御。本文系统地分析了电子邮件的传输，并确定了一系列能够绕过SPF，DKIM，DMARC和用户界面保护的新攻击。特别是通过进行cocktail组合攻击，可以伪造更真实的虚假电子邮件来渗透电子邮件。

详情请看：

2023年APT攻击或将转移重点攻击行业

近日，安全厂商卡巴斯基发布了关于2023年ICS网络威胁态势的预测报告。报告指出，2022 年频发的网络安全事件，给工业基础设施所有者和运营商带来了诸多问题。但幸运的是，整体威胁格局并没有发生灾难性的变化——从技术的角度上这些安全问题仍然能够得到解决。

详情请看：

攻击者眼中的完美目标医疗机构需加强安全投入

自新冠疫情流行以来，医疗机构的安全事件变得越来越普遍。其中的危险一方面是医疗机构的安全成本正不断增加，同时安全事件频发更带来严重的数据泄露负担。与其他机构不同，医疗机构在许多方面都被认为是攻击者的完美目标，一方面是其直接为生命安全负责，另一方面其医疗科研数据和患者敏感信息更具价值，如IBM发布的最新数据泄露成本报告就指出医疗机构是全行业数据泄露成本最高的行业。所以其业务系统的连续性和数据安全的重要性不容有失。

详情请看：

IDC：中国网络安全市场投资规模将在2026年达到319亿美元

近日，IDC咨询发布《IDC Market Forecast：中国网络安全市场预测，2022-2026》报告，对未来五年的中国网络安全市场发展走向做出分析预测。报告认为，中国IT安全市场投资规模逐年攀升，到2026年将达到319亿美元，其中安全软件的市场占比达到41%，超过安全硬件和安全服务。

详情请看：

基于密码的数据安全防护体系研究

密码是保护数据安全的关键技术手段，在建立网络主体身份体系，确保数据机密性、完整性，促进数据流通等方面起到核心支撑作用。梳理了近期发布的数据安全相关法律法规中的密码要求，重点分析了数据全生命周期中密码发挥的核心作用，提出了基于密码的数据安全防护体系，并探讨了未来的研究方向和面临的挑战。

详情请看：

警惕那些常见却又容易被忽视的网络安全威胁

勒索软件、恶意软件、网络钓鱼攻击......这些都是现代企业在数字化转型发展中面临的诸多网络安全威胁与挑战，由此造成的危害也时有报道。然而当企业投入了巨大资源启动网络安全防护计划时，一些常见的高危风险容易被安全团队所忽视。其原因可能是安全人员陷入了“安全警报疲劳”状态，或是认知不足而放松了警惕心，然而，这些没有得到足够重视的常见威胁正在企业数字化环境中到处肆虐，并随时可能引发灾难性的影响。

详情请看：

论个人信息侵权责任中的违法性与过错

个人信息保护法律中的保护性规范包括：关于个人信息处理规则的法律规范、关于个人在个人信息处理中的权利的法律规范、关于保护个人信息安全的义务的法律规范以及关于个人信息保护影响评估义务的法律规范。其中，处理者违反个人信息处理规则的行为就是过失行为，即违法等于过失，不存在被推翻的可能；若处理者违反其他三类保护性规范，则可以对其适用违法推定过失，推定的结果可以被推翻。但是推翻违法推定过失不等于推翻了过错推定责任。

详情请看：

数字经济风口下，中国数据开放共享如何向纵深迈进

随着数字化进程加速，中国数据存储正在经历从量变到质变的过程，数据也正和土地、劳动力、资本和技术等生产要素一样，成为促进经济稳定增长的基本要素。数据只有经过开放、共享才能充分释放数据价值，因此数据的开放共享是数据全生命周期中发挥价值的关键基础一环。

详情请看：

工业互联网安全下的数据分类分级研究

随着工业经济的快速发展，工业数据安全性日益凸显，如何做好工业数据的整体治理、安全管理、价值挖掘、共享流通等工作，是亟待解决的重要问题，而工业数据分类分级是以上工作的基础，因此做好分类分级工作是一项极其重要的任务。基于此，研究了工业数据分类分级的现状，梳理了工业数据分类分级的总体要求、一般流程和实践情况，为工业数据分类分级工作的开展提供了一定的思路和方法，助力工业数据应用融合发展。

详情请看：

《中华人民共和国反电信网络诈骗法》正式施行

2022年12月1日，由中华人民共和国第十三届全国人民代表大会常务委员会第三十六次会议审议通过的《中华人民共和国反电信网络诈骗法》（以下简称《反电信网络诈骗法》）正式施行。

《反电信网络诈骗法》是一部针对电信网络诈骗活动的专门法律，共分为总则、电信治理、金融治理、互联网治理、综合措施、法律责任和附则等七章，法律条文共计五十条。本法案主要通过加大宣传与惩处力度、增强防控主体的责任、落实多方位法律责任等措施要求，实现对电信诈骗的精准、严厉打击，从源头预防电信网络犯罪行为，守护人民群众的安全感和幸福感。

（来源：网信北京）

《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》

11月28日，上海市人大常委会公布《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》，该规定将于2023年2月1日起施行。《规定》指出：开展无驾驶人智能网联汽车创新应用的企业应当按照数据安全相关法律、法规要求，建立健全全流程数据安全和个人信息保护管理制度，落实数据安全和个人信息保护责任。

（来源：数据法盟）

北京发布《数字经济促进条例》，涉及企业数据处理活动规范

11月25日上午，北京市人大常委会会议表决通过《北京市数字经济促进条例》（以下简称“《条例》”），2023年1月1日起施行。《条例》包括总则、数字基础设施、数据资源、数字产业化、产业数字化、智慧城市建设、数字经济安全、保障措施等9个章节，共58条规定。

针对数字经济发展的“三要素”，即数字基础设施、数据资源和信息技术，《条例》规定了信息网络基础设施、算力基础设施、新技术基础设施等的建设要求，规定了数据汇聚、利用、开放、交易等规则。

（来源：北京市人大常委会）

国家邮政局：加强邮件快件隐私面单推广应用

11月30日消息，据国家邮政局网站，为巩固深化邮政快递领域个人信息安全治理专项行动成果，加快邮件快件隐私面单推广应用，全面提升行业信息安全技防水平，保障寄递用户个人信息安全和人民群众切身利益，近日，国家邮政局印发《关于切实加强邮件快件隐私面单推广应用工作的通知》（以下简称《通知》）。

《通知》强调，要严格监督检查，抓好规范落实。近期，《快递电子运单》国家标准、《寄递用户个人信息保护要求》行业标准以及《寄递服务用户个人信息安全管理规定》等相关标准规范已经或将陆续制定出台，明确了邮件快件隐私面单应用具体标准和要求。

（来源：IT之家）

我国推动数据知识产权规则构建多地开展试点工作

国家知识产权局战略规划司司长葛树在近日中南财经政法大学举行的数据知识产权保护研讨会上透露，国家知识产权局已在浙江、上海、深圳等地开展数据知识产权保护试点工作，力争在推动地方立法、存证、登记等方面取得可复制、可推广的经验做法。

据葛树介绍，为了更好推动数据知识产权规则构建，国家知识产权局还专门成立了数据知识产权工作指导专家组，专家组吸纳了来自经济、法律、产业、技术、安全等领域的22位专家，由十三届全国人大常委会委员江小涓担任组长。

（来源：网信上海）

关于征集ISO/IEC JTC1/SC27网络安全国际标准提案的通知

为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，11月29日，信安标委秘书处组织开展SC27国际标准提案征集工作，提案优先但不限于数据安全、个人信息保护、关键信息基础设施、消费物联网、工业互联网、车联网、量子信息、IPv6等我国具有技术优势和丰富实践应用经验等领域。

（来源：全国信安标委）

预告 | BSI&安在系列专题研讨：数据安全

为了更好地让关注、采纳并贯彻ISO/IEC27001标准的组织及时了解新版全貌、转版要件，特别是在日益重要的包括数据安全、供应链安全、威胁管理、安全运营等技术要求较高的关键控制上，探索可落地的解决方案，安在新媒体携手国际知名的认证机构BSI，联合举办系列专题研讨会。

（来源：安在）

第五届数据资产管理大会 1.4 邀您云上相见

第五届数据资产管理大会将于2023年1月4日在北京举行，期待与各界携手，共话数据资产管理新篇章。大会由中国信息通信研究院、中国通信标准化协会指导，中国通信标准化协会大数据技术标准推进委员会主办。

本次大会以“破局·革新·共治”为主题，带来7大亮点环节，发布包括《大数据白皮书2022》《数据资产管理实践白皮书6.0》、数据中台标准框架体系、DataOps系列标准、可信大数据产品评测观察、《数据治理产业图谱1.0》等重磅成果，公布“星河案例”数据资产、行业应用、数据库等专项评选结果。

（来源：大数据技术标准推进委员会）

“之江数据安全治理论坛”系列技术沙龙--“分类分级和数据泄露”在杭举行

11月26日，“之江数据安全治理论坛”系列技术沙龙--“分类分级和数据泄露”在北航杭州研究院白马湖院区举行。论坛以“数据分类分级和数据泄露”为主题，聚焦浙江省数字化改革与行业数字化转型过程中的真场景、真问题、真需求，重点关注数据分类分级技术以及数据泄露防范的问题与对策，通过构建政产学研用交流合作平台，为数据安全产业发展献智献策。

（来源：网信浙江）