全球数安资讯[1018-1024]-《网络安全法》修正草案将二审/国安部通报3起存储设备泄密案例

1、《网络安全法》修正草案将二审 拟规定促进人工智能安全与发展

十四届全国人大常委会第十八次会议将于10月24日至28日在北京举行。届时，网络安全法修正草案将提请大会二次审议。

草案二审稿回应人工智能治理和促进发展的需要，人工智能作为战略性技术，正引领新一轮科技革命和产业变革，深刻改变人类生产生活方式。将人工智能深度融入经济社会发展，将为推进中国式现代化注入新动力。需要重视的是，人工智能既带来前所未有的发展机遇，也带来前所未遇的风险挑战。全国人大代表和有关方面都建议要切实落实习近平总书记重要讲话精神，牢牢把握人工智能发展和治理主动权，推动我国人工智能朝着有益、安全、公平方向健康有序发展。为此，草案二审稿拟增加一条关于人工智能安全与发展的框架性规定，主要内容包括：支持人工智能基础理论研究和算法等关键技术研发，推进人工智能基础设施建设，完善人工智能伦理规范，加强安全风险监测评估，创新并加强人工智能安全监管，促进人工智能健康发展。

同时，草案二审稿进一步完善法律责任，数据安全法、个人信息保护法已实施，在深入总结网络安全法实施经验的基础上，草案二审稿完善了不依法履行网络安全义务行为的法律责任，根据全国人大常委会审议意见和各方面意见，拟对部分违法行为处罚规定作进一步完善，在个人信息保护方面进一步加强与民法典和个人信息保护法的衔接。

重点修改内容及影响：

1.纳入AI监管：首次增加人工智能安全与发展的框架性规定，要求完善伦理规范、加强风险监测与监管。

2.强化指导原则：明确网络安全工作坚持党的领导，贯彻总体国家安全观。

3.衔接相关法：在个人信息保护方面加强与《民法典》、《个人信息保护法》的衔接，并完善相关法律责任。

http://www.legaldaily.com.cn/index/content/2025-10/23/content_9275718.html

2、两部门联合公布《个人信息出境认证办法》

近日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》（以下简称《办法》），自2026年1月1日起施行。

《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。规定个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。

《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年。

http://www.nxzfw.gov.cn/gnyw/202510/t20251020_1048816.html

1、国家安全部通报3起存储设备泄密典型案例

近年来，随着信息化建设的快速发展，存储设备泄密案件频发。涉密硬盘作为承载国家秘密信息的关键载体之一，一旦出现使用或管理漏洞，将给国家秘密安全带来重大隐患。10月23日，国家安全部通报3起存储设备泄密典型案例。

1.违规捐赠

某单位办公室主任张某因设备兼容性不足，擅自将涉密计算机捐赠给对口扶贫村学校。张某错误地认为将涉密计算机中的硬盘“格式化就安全”，经保密教育后才认识到问题的严重性，紧急追回并更换硬盘。

2.盗用密盘

某涉密信息系统运维企业派驻至某省直单位的运维人员，在运维时发现某设备硬盘为固态硬盘，便起了私心，私自拆卸带回家并安装在个人电脑中。由于该硬盘上“三合一”程序运行正常，开机后启动违规外联告警。

3.送修失管

某单位一台涉密复印机发生故障，请售后服务商派人维修。维修人员断定是复印机硬盘出了问题，须将其返厂维修。该单位有关工作人员毫无保密意识，让其将涉密硬盘带离且全程无监督。几天后才发现该硬盘已被送往境外，涉密数据严重失控。

上述事件发生后，相关责任人员均被依法依规严肃处理。

https://m.gmw.cn/2025-10/24/content_1304197373.htm

2、Experian违规收集数据被罚

近日，全球领先信贷报告机构Experian荷兰分公司因严重违反欧盟《通用数据保护条例》(GDPR)，被荷兰数据保护局处以270万欧元罚款。该事件凸显了大型数据服务商在个人隐私保护方面的系统性失职，其未经授权收集和使用海量公民敏感信息的行为，对荷兰民众的金融活动造成了实质性影响。

荷兰数据保护局(AP)调查发现，Experian通过公私多元渠道非法获取个人数据，包括商会商业登记系统及电信能源公司的客户信息，构建了覆盖荷兰大量人口的详细数据库。其核心违规在于未履行告知义务，既未明确告知数据主体信息收集行为，也未获得有效授权，更未能合理解释数据收集的必要性。

技术层面，Experian的数据聚合架构存在设计缺陷，其跨源数据融合处理机制未能嵌入合规验证环节。虽然公司提供数据保护服务，但自身却通过数据湖技术违规存储和处理非授权信息，这种双重标准暴露出企业数据治理体系的系统性漏洞。

在监管介入后，Experian已承认违法事实并放弃上诉，承诺年底前彻底删除所有荷兰用户数据并终止当地业务。该案例为跨国数据服务商敲响警钟，表明GDPR框架下违规收集个人数据的代价正在持续升级。

http://starmap.dbappsecurity.com.cn/info/12782

3、日本电商巨头爱速客乐（ASKUL）遭遇勒索软件攻击

日本电商巨头「爱速客乐」（ASKUL）19日宣布，因遭到网络攻击导致系统故障，已暂停商品的订单受理及出货业务。据称，此次故障的原因是感染了电脑「勒索病毒」。运营「无印良品」的良品计划公司也于20日透露，19日夜间暂停了网店销售等业务。良品计划将部分配送业务委托给爱速客乐子公司，物流出现了障碍。

爱速客乐暂停订单受理等业务的对象包括面向法人的办公用品网购平台「ASKUL」及面向个人的网购平台「LOHACO」。据悉，对于此前已受理的订单也将进行取消处理。爱速客乐19日上午发现感染病毒，目前尚无修复的头绪。包括是否有个人信息和顾客数据外泄，公司正在调查影响范围。

勒索病毒侵入企业的电脑或服务器，将机密文件和顾客信息的数据加密，使其无法使用。实施网络攻击的黑客方以复原数据为交换条件索要赎金的例子不在少数。

https://tchina.kyodonews.net/news/2025/10/8591c068b668--.html

新加坡电信推出混合量子安全网络

近日，新加坡电信（Singtel）推出了一张结合了量子密钥分发和后量子密码技术的混合量子安全网络，旨在将企业核心数据中心的保护扩展到其漫游、云服务和国际业务领域。

其关键内容可概括为：结合量子密钥分发 (QKD)与后量子密码 (PQC)，为数据中心、云服务和国际业务提供面向未来的安全传输机制。

新加坡电信的举措表明，为应对量子计算对传统加密算法的潜在威胁，业界正在积极部署混合量子安全解决方案。这种将不同技术路径相结合的策略，为企业向未来密码体系平滑过渡提供了可行方案。

https://www.c114.com.cn/4app/3542/a1299238.html