数据安全新动态（2025年6月）

1.1.国内数据安全政策与法律法规动态

1.1.1.工业和信息化部等八部门公开征求对《汽车数据出境安全指引（2025版）》的意见

为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，推动建立高效便利安全的汽车数据跨境流动机制，为产业发展营造良好环境，在国家数据安全工作协调机制统筹指导下，工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引（2025版）（征求意见稿）》，拟以规范性文件印发。该指引明确了适用范围、出境路径、重要数据出境、出境实施流程等重点内容，现面向社会公开征求意见。

来源：https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_181a52f57d14451ba4c8517b79c05177.html

1.1.2.国家互联网信息办公室发布《数据出境安全评估申报指南（第三版）》

为了指导和帮助数据处理者规范有序申报数据出境安全评估，国家互联网信息办公室编制了《数据出境安全评估申报指南（第三版）》，对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化，明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。数据处理者因业务需要向境外提供重要数据和个人信息，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》，按照申报指南申报数据出境安全评估。评估结果有效期届满，符合申请延长评估结果有效期条件的，数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。数据处理者可以通过线上方式申报。请直接访问“数据出境申报系统”（网址：https://sjcj.cac.gov.cn），也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“数据出境申报系统”。

来源：https://mp.weixin.qq.com/s/aZ54K-1_vI7U8E5bnNFiSw

1.2.国外数据安全政策与法律法规动态

1.2.1.NIST发布新版安全、隐私与供应链风险管理指南征询公众意见

美国国家标准与技术研究院（NIST）近日发布《特别出版物800-18r2》修订草案，对安全、隐私及网络安全供应链风险管理（CSRM）系统规划指南进行全面更新。该草案将安全、隐私和供应链风险管理要求整合为统一框架，系统规划文件将作为核心参考，涵盖授权边界内受保护的资产与人员信息、风险管理决策记录及责任人等关键内容，具体包括数据全生命周期管理、系统内外运行环境、组件架构、数据流及风险控制措施等要素。此次修订重点包括：优化系统规划开发指引、新增针对安全/隐私/供应链风险的要素说明，以及利用信息化工具实现系统规划自动化生成与维护的实践建议。

来源：https://executivegov.com/2025/06/nist-security-privacy-cyber-scrm-plan-special-publication/

1.2.2.欧盟通过后量子密码学加强其网络安全

欧盟成员国在欧盟委员会支持下发布后量子密码学（PQC）路线图，计划最迟于2026年开始向这一新型加密技术过渡，并要求关键基础设施领域务必不晚于2030年完成转换。该举措旨在应对未来量子计算机对现有加密体系构成的安全威胁。

来源：https://digital-strategy.ec.europa.eu/en/news/eu-reinforces-its-cybersecurity-post-quantum-cryptography

1.2.3.美国国会提出加强医疗网络安全的法案

美国立法者向国会提交了一项新的《医疗保健网络安全法案》，该法案旨在扩大联邦政府在防止和应对美国人医疗数据泄露方面的作用。法案明确要求网络安全和基础设施安全局（CISA）与美国卫生与公众服务部（HHS）合作，以改善医疗保健和公共卫生领域的网络安全。合作内容包括：促进机构和部门之间网络威胁情报的共享，以增进对医疗保健领域网络风险的理解。 CISA为医疗保健机构的所有者和运营者提供如何降低风险的培训。 HHS和CISA制定医疗保健领域特定的风险管理计划，包括评估政府在数据泄露之前、期间和之后如何支持受保护技术、服务和公用事业安全的最佳实践。建立确定医疗保健领域高风险资产的客观标准，并通知这些资产的所有者和运营者。 CISA向国会提交有关其为医疗保健和公共卫生部门提供的支持和活动的报告，以积极准备应对网络威胁。

来源：https://www.infosecurity-magazine.com/news/congress-bill-healthcare/

2.个人信息保护政策与法律法规动态

2.1.国内个人信息保护政策与法律法规动态

2.1.1.上海市升级生物识别技术安全治理

上海市委网信办近日牵头多个部门召开会议，针对近期违法违规收集使用人脸识别等个人信息重点治理领域和具体治理要求作进一步提示，并对开展的“亮剑浦江·2025”个人信息权益保护专项执法行动将人脸识别升级扩容为生物识别安全治理工作进行部署。

来源：https://www.toutiao.com/article/7519296428657639975/?channel=&source=search_tab

2.2.国外个人信息保护政策与法律法规动态

2.2.1.德国以数据安全为由下架中国 AI 应用 DeepSeek

德国数据保护专员要求苹果和谷歌下架中国 AI 公司深度求索（DeepSeek）的应用程序，指控其 “非法将用户数据传输至中国”，且未证明符合欧盟 GDPR 标准。此前意大利、荷兰等国已采取类似措施，凸显中企在欧合规挑战。

来源：https://www.toutiao.com/article/7521149688679875112/?&source=m_redirect

2.2.2.Synchronoss获欧盟—美国数据隐私框架认证

美国云服务提供商Synchronoss 宣布通过欧盟 - 美国数据隐私框架（DPF）认证，成为首批符合 GDPR 跨境数据传输要求的企业之一。该认证强化了其在欧洲市场的合规能力，涉及人力资源和非人力资源数据的安全管理。

来源：https://www.toutiao.com/article/7520136320765723136/?&source=m_redirect

2.2.3.日本发布《关于学校发生的个人信息泄露等事件的处理注意事项》

日本个人情报委员会正式发布《关于学校发生的个人信息泄露等事件的处理注意事项》，梳理学校易发生个人信息泄露事件的原因及防止措施，并要求教职员、教育委员等相关方加深对个人信息泄露等事件理解，将相关措施运用到日常业务之中，完善学生个人信息的处理活动及相关规则。

来源：https://www.ppc.go.jp/news/press/2025/250625_houdo/

3.国内外数据安全相关事件

3.1.国外数据安全相关事件

3.1.1.GonnaOrder平台因配置错误导致数据泄露

欧洲食品配送平台GonnaOrder因Kafka Broker实例配置错误，导致该平台一个不受保护的实例将实时订单信息暴露给公众。泄露的数据包括客户订单、餐厅和酒店订单、电话号码、电子邮件地址、家庭住址、交货单及使用的付款方式等。

来源：https://cybernews.com/security/gonnaorder-food-delivery-data-leak/

3.1.2.Gargle公司数据库存隐患致270万患者信息暴露

Cybernews研究人员发现美国牙科诊所服务提供商Gargle因未加密的MongoDB数据库配置错误，导致270万名患者资料和880万条预约记录泄露。泄露的数据包括患者姓名、出生日期、电子邮件地址、住址、电话号码、性别、病历ID、语言偏好、账单详情及预约记录等敏感信息。

来源：https://cybernews.com/security/dental-marketing-gargle-data-leak/

3.1.3.Cock.li确认数据泄露，超百万用户信息遭窃

电子邮件托管提供商Cock.li因已退役的Roundcube网络邮件平台漏洞，导致超过100万用户记录泄露。泄露的数据包括用户电子邮件地址和登录时间戳，但密码和邮件内容未受影响。

来源：https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/

3.1.4.合规自动化商Vanta软件漏洞致客户数据泄露

合规自动化提供商Vanta由于产品变更引起的代码错误，致敏感员工数据、账户设置方式、双因素身份验证（MFA）使用详情及工具设置信息等被“错误地导入”到其他客户账户，事件影响数百名客户。

来源：https://hackread.com/code-bug-compliance-vanta-data-leak-customer-clients/

4.移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.工信部通报57款侵害用户权益行为的APP（SDK）

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，工信部组织第三方检测机构进行抽查，共发现57款APP及SDK存在侵害用户权益行为并予以通报。

来源：https://wap.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_1b941e8dd0a64d5ba163cc4606c63b9b.html

4.1.2.公安部计算机信息系统安全产品质量监督检验中心发现45款违法违规收集使用个人信息移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，45款移动应用存在违法违规收集使用个人信息情况并予以通报。

来源：https://mp.weixin.qq.com/s/1aCQ8SaOfP1GuVUTDEVYVA?scene=25&sessionid=-1333887364#wechat_redirect

4.1.3.国家计算机病毒应急处理中心发现64款违法违规收集使用个人信息移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，64款移动应用存在违法违规收集使用个人信息情况并予以通报。

来源：https://www.cverc.org.cn/zxdt/report20250619.htm

4.1.4.北京开展民生消费领域数据安全和个人信息保护专项整治

移动互联网应用程序（包含App和小程序）广泛普及，在促进经济社会发展、服务便利民生等方面发挥了积极作用，但应用程序使用过程中，用户个人信息被商家过度强制收集、存储管理不当、违规使用加工、传输防护不足、擅自提供公开、删除注销设限的情况愈发突出。北京市互联网信息办公室会同有关部门组织开展了数据安全和个人信息保护专项整治行动，在随机抽取的197款应用程序中，发现并督导整改问题388个。

来源：https://www.beijing.gov.cn/ywdt/gzdt/202506/t20250616_4113716.html?sessionid=-1333622571

4.2.国外移动互联网安全热点

4.2.1.SparkKitty间谍软件攻击iOS和Android设备

复杂间谍软件活动SparkKitty近日已成为iOS和Android用户的重大威胁。SparkKitty不仅通过非官方渠道传播，更成功渗透了Google Play和App Store等官方应用商店，主要窃取设备图库中的敏感图像数据。该恶意软件通常请求访问设备图库，窃取所有图像或选择性地使用OCR技术定位特定内容。分发方式同样具有欺骗性，涉及TikToki Mall等可疑在线商店、伪造的应用下载页面以及币coin和SOEX等加密主题应用。

来源：https://gbhackers.com/sparkkitty-targets-ios-and-android-devices

4.2.2.GodFather恶意软件采用设备虚拟化技术劫持合法银行应用

银行恶意软件GodFather的高级变种出现。该变种引入了突破性的攻击方法，利用设备虚拟化技术来入侵合法移动应用程序。这种先进威胁不再使用传统的覆盖攻击，而是在受害设备上创建完全隔离的虚拟环境，执行更具欺骗性和有效性的金融欺诈操作。

来源：https://cybersecuritynews.com/godfather-android-malware-leverages-on-device-virtualization-technique/

4.2.3.Google Play20多款恶意安卓应用窃取加密货币助记词

威胁情报公司Cyble发现Google Play商店上存在超过20款针对加密货币用户的恶意安卓应用。这些应用伪装成SushiSwap、PancakeSwap、Hyperliquid和Raydium等知名加密货币钱包，实际目的是窃取用户的12字助记词，从而获取对用户加密资金的控制权。尽管Google已移除多款应用，但仍有少数应用活跃在Play商店中。

来源：https://hackread.com/malicious-apps-google-play-users-for-seed-phrases/

资料来源：

https://mp.weixin.qq.com/s/RRmhqdCIxUJCVmliGirLVg

https://mp.weixin.qq.com/s/B119fwBUe9ICcLlF8c0iJQ