数据安全早知道｜六部门发文：网约车平台采集的个人信息应在中国内地存储和使用；《十四五中医药信息化发展规划》印发

本期看点

热点资讯

· 全国首例！云南破获域名黑产大案，抓获630人

· 在被罚9亿欧元后，Meta仍面临20亿罚款和13项公开调查

· 遭遇史上最大规模网络攻击，俄罗斯第二大银行被迫下线

· 勒索软件凶猛！比利时最大城市数字服务被迫中断

· 家居巨头宜家遭遇勒索软件攻击

· 谷歌披露威胁数百万安卓设备的高危漏洞

· 美国警方采购汽车取证工具，可破解万款车型信息娱乐系统提取数据

· Medibank数据大规模泄露后，澳紧急将罚款提高至5000万

技术看点

· 针对智能家居中语音验证系统的声纹模拟攻击

· 通过Encoder-Decoder RNN检测0-day网络攻击

安全研究

· 金融服务行业正成为API攻击的主要目标

· 工业互联网数据安全治理实践

· 澳大利亚数据保护要求

· 电诈治理关键在于标本兼治重点在于个人信息保护

· 军工企业数据治理体系建设

· 风险与焦虑：关于数据泄露损害的理论

· 数据要素对经济发展贡献率持续上升

行业法规

· 《江西省数据应用条例（草案）》公开征求意见

· 《“十四五”中医药信息化发展规划》印发

监管动态

· 六部门发文：网约车平台采集的个人信息应在中国内地存储和使用

· 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

会议活动

· 第二届数据安全治理峰会1.5邀您云上相见

全国首例！云南破获域名黑产大案，抓获630人

2021年5月以来，在公安部的组织指挥下，云南公安机关历时8个多月，成功破获全国首例域名黑产犯罪案件。昆明市公安机关成功捣毁了2个为境外“黄赌诈”网站及APP提供“域名防封堵”服务的网络黑产犯罪团伙，查明其共为2400余个境外“黄赌诈”网站提供“域名防封”技术服务非法牟利的犯罪事实，一条网络黑灰产业被“起底揭盖”。

（来源：freebuf）

在被罚9亿欧元后，Meta仍面临20亿罚款和13项公开调查

11月28日，爱尔兰数据保护委员会(DPC)对Facebook、Instagram和WhatsApp的母公司Meta处以2.5亿罚款之后，DPC目前又对Meta展开了13项公开调查。Meta的财务报表显示，罚款的细节和可能的金额在此之前仍将保密，但三项罚款的总和可能超过20亿欧元——创下欧盟GDPR实施以来单家公司一次性罚款的最高额纪录。

（来源：数据合规公社）

遭遇史上最大规模网络攻击，俄罗斯第二大银行被迫下线

俄罗斯第二大金融机构VTB银行表示，在其网站和移动应用程序因持续的DDoS（分布式拒绝服务）攻击而下线后，他们正面临着其历史上最严重的网络攻击。该银行表示，其内部分析表明，此次DDoS攻击是有计划的，其具体目的是通过扰乱银行服务给客户带来不便。

目前，VTB的在线门户网站处于离线状态，但该机构表示，所有的核心银行服务都运作正常。此外，VTB还表示客户数据目前处于受到保护状态，因为这些数据存储在其基础设施的内部边界，而攻击者并没有攻破这些边界。

（来源：freebuf ）

勒索软件凶猛！比利时最大城市数字服务被迫中断

12月7日消息，由于合作的数字供应商日前遭受网络攻击，西欧国家比利时的安特卫普市的数字服务被迫中断，目前正努力恢复。服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前，各项服务仍处于时断时续的不稳定状态。针对这起事件的调查正在进行中。从已公布的少量信息来看，造成服务中断的应该是勒索软件攻击，但幕后黑手是谁尚不明确。

（来源：安全内参）

家居巨头宜家遭遇勒索软件攻击

勒索软件组织Vice Society 将从宜家摩洛哥和宜家科威特分公司窃取的数据添加到该团伙的网站。Vice Society发布了从宜家摩洛哥和科威特商店窃取的数据。来自勒索软件团伙泄密网站的片段表明，攻击者掌握了机密业务数据。黑客泄露站点上的文件表明攻击者也从宜家约旦商店获取数据。公开的文件表明，其敏感的员工数据（例如护照）可能已经泄露。

（来源：安全圈）

谷歌披露威胁数百万安卓设备的高危漏洞

谷歌安卓合作伙伴漏洞计划（APVI）网站上的一个新帖子中，曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞，就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

（来源：安全圈）

美国警方采购汽车取证工具，可破解万款车型信息娱乐系统提取数据

日前，有安全研究人员详细介绍了一个新漏洞，据称攻击者可使用该漏洞，远程解锁全球任意位置的本田、日产等品牌汽车。此次漏洞披露凸显出现代汽车联网系统的又一缺陷，特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上，这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度，希望借此从上万种不同车型中提取大量数据，比如密码、地理位置等。

（来源：安全内参）

Medibank数据大规模泄露后，澳紧急将罚款提高至5000万

12月2日，据The Hacker News报道，黑客再次在暗网公布Medibank用户敏感数据，这已经是黑客连续数次公布盗窃数据。作为澳大利亚最大的个人医保基金公司，Medibank在10月遭遇重大勒索攻击，970万用户敏感信息遭窃取。在连续数起大规模勒索攻击事件发生后，澳大利亚政府通过了一项法案，将对数据泄露公司的处罚提高到5000万澳元。

（来源：freebuf）

针对智能家居中语音验证系统的声纹模拟攻击

语音控制系统（VCS，voice controllable systems）的发展极大地影响了我们的日常生活，并促进了智能家居的应用。当前，大多数VCS利用自动语音验证（ASV，automatic speaker verifification）来防止各种语音攻击（例如，重放攻击）。在这项研究中提出了VMask，这是一种新颖实用的声纹模拟攻击，可以欺骗ASV智能家庭，并以伪装成合法用户的身份注入恶意语音命令。

详情请看：

通过Encoder-Decoder RNN检测0-day网络攻击

0-day Web攻击可以说是对Web安全的最严重威胁，但要检测起来非常具有挑战性，因为以前没有看到或知道它们，因此，广泛部署基于签名的Web应用程序防火墙（WAF）无法检测到它们。本文提出了一种无监督工具ZeroWall，该工具可以与现有WAF一起使用，有效地检测0-day Web攻击。

详情请看：

金融服务行业正成为API攻击的主要目标

根据Akamai近日发布的一份研究报告显示，金融服务行业正日益成为广泛网络攻击的热门目标，针对这一垂直行业的应用程序和API攻击在过去的一年中增加了两倍以上。伴随数字化时代的来临，用户的消费和使用习惯也发生了巨大的改变，金融服务行业的组织、企业为了满足用户群体日益增长的便捷需求，也配套推出了众多基于各种终端的应用程序，而相关业务的运营方式相比此前也有所改变，API则成为这一改变过程中的核心。

详情请看：

工业互联网数据安全治理实践

伴随工业互联网积累的海量数据带来了前所未有的数据安全挑战，基于数据治理研究，结合工业互联网数据安全实践，围绕可用性、完整性和保密性，论述了工业互联网数据安全治理所采取的各种策略、技术和活动，从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等方面介绍了提升数据安全风险应对能力的过程，以期在控制数据安全风险基础上最大限度地促进释放工业数据价值。

详情请看：

澳大利亚数据保护要求

澳大利亚政府宣布修订1988年《隐私法》以增加罚款。严重侵犯或反复侵犯隐私（即违反隐私法）的最高罚款将增加到1000万澳元（约合630万欧元）的上限，处以违法所得的三倍，或澳大利亚年收入的10%，较高者为准。澳大利亚政府总检察长部目前正在对《隐私法》进行全面审查，包括同意要求、例外和行动权。审查可能会导致《隐私法》的重大变化。

详情请看：

电诈治理关键在于标本兼治重点在于个人信息保护

电信网络诈骗犯罪已经成为当前高发的犯罪类型，其造成的危害和影响大。12月1日，《反电信网络诈骗法》正式施行，这部强调预防为先、全链条综合治理的“小切口”法律，为电信网络诈骗治理提供了法律保障。其中明确检察机关要发挥检察职能，依法防范、惩治电信网络诈骗活动。

最高检第四检察厅负责人指出，电信网络诈骗犯罪治理其关键在于标本兼治。检察机关将持续推动网络领域诉源治理，特别是把反诈领域治理作为重中之重，做到治罪与治理并重。在公民个人信息保护方面，检察机关也将通过刑事检察职能发挥、公益诉讼职能履行、推动企业数据合规、加强普法宣传等四个方面发力、持续推进。

详情请看：

军工企业数据治理体系建设

目前，各军工企业已经建立了多种业务应用系统，涉及的数据类型繁多，积累了大量业务数据。但由于数据标准化体系不健全、基础数据质量不佳，导致各系统之间的交互成本高、数据采集难、精益管控难、横向协同弱，从而出现无法发挥基于数据协同的数字化管理效能等问题。

基于数字化的装备制造，即要实现“设计-采购-生产-试验-交付-售后”一体化管理，首先要解决的就是如何确保关键基础信息在跨单位、跨网络、跨系统的情况下唯一识别并贯穿始终。

详情请看：

风险与焦虑：关于数据泄露损害的理论

本文作者研究了法院一直难以将数据泄露造成的损害概念化的原因。这很大程度上是因为数据泄露的损害是无形的、风险导向的和分散的。具有这些特征的损害不应该使法院困惑，司法系统已经认识到其他法律领域中无形的、风险导向的和扩散性的损害。作者认为法院对某些形式的数据泄露损害过于轻视，且法院能够且应该发现可辨识的损害。作者在本文中论证了法院如何利用现有的法律条例，用连续性的方法对风险和焦虑进行评估。

详情请看：

数据要素对经济发展贡献率持续上升

随着数字经济的发展，数据已经成为新时代的重要生产要素，并成为国家基础性战略资源。日前发布的《国务院关于数字经济发展情况的报告》指出，加快出台数据要素基础制度及配套政策，推进公共数据、企业数据、个人数据分类分级确权授权使用，构建数据产权、流通交易、收益分配、安全治理制度规则，统筹推进全国数据要素市场体系。

与此同时，全国数据交易所建设步伐明显加快，今年以来，福建大数据交易所、苏州大数据交易所、广州数据交易所和深圳数据交易所先后揭牌成立，掀起数据交易所建设热潮，数据要素市场体系建设步伐加快。

详情请看：

《江西省数据应用条例（草案）》公开征求意见

近日，江西省人大常委会法制工作委员会发布通知，公开征求《江西省数据应用条例(草案)》意见建议。据悉，《江西省数据应用条例(草案)》坚持突出数据应用与统筹数据全生命周期管理相结合，以促进数据应用为立法主线，立足数据收集、整合、共享、开放、治理、流通全生命周期，规范了各环节的数据管理活动；坚持在满足安全要求的前提下，最大程度促进数据流通应用；明确了有关部门的工作职责和相关平台的功能定位，探索性提出建立公共数据授权运营机制、开展数据资产登记和凭证试点。

（来源：数据保护官）

《“十四五”中医药信息化发展规划》印发

12月5日，国家中医药管理局印发《“十四五”中医药信息化发展规划》，《规划》提出，强化网络安全和数据安全，把安全治理贯穿中医药信息化建设管理应用全过程，全面提升安全保障能力。

《规划》要求，中医医院完善医院信息平台功能，整合医院内部信息系统，推进新一代医院数据中心建设，在保证网络安全与数据安全的前提下，探索医院信息系统云上部署。

（来源：国家中医药管理局）

六部门发文：网约车平台采集的个人信息应在中国内地存储和使用

12月5日，交通运输部、工业和信息化部、公安部、商务部、市场监管总局、国家网信办公布了《关于修改〈网络预约出租汽车经营服务管理暂行办法〉的决定》，自公布之日起施行。

《网络预约出租汽车经营服务管理暂行办法》中对网约车经营过程中涉及个人信息、数据安全等事项做出了相应规定：网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。

（来源：数据合规公社）

最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

近日，最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。记者了解到，该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护，体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。

详情请看：

第二届数据安全治理峰会1.5邀您云上相见

随着数据安全法律政策逐步细化，数据安全发展政策环境不断完善，2022年数据安全进入快速发展新时期。第二届数据安全治理峰会将于2023年1月5日以线上直播方式隆重举行，期待与社会各界携手在数字经济的发展浪潮中乘势而上。

本次峰会围绕“筑牢安全根基促进数据利用”这一主题，发布数据安全治理实践指南（2.0）、2022数据安全行业调研报告、可信数安评估评测观察等重要成果，公布数据安全推进计划各行业工作组研究产出、“星河案例”数据安全专项评选结果、第二批可信数安评测评估通过名单等。峰会将邀请院士、行业专家、一线大咖进行精彩分享，引领数据安全新跨越，推动数据安全新发展。

（来源：大数据技术标准推进委员会）