1.《公安机关网络空间安全监督检查办法》公开征求意见
为规范公安机关对网络空间安全的监督检查工作,根据网络安全法、数据安全法、个人信息保护法等法律法规,经充分调研论证,公安部对2018年制定的《公安机关互联网安全监督检查规定》(公安部令第151号)进行修订,起草了《公安机关网络空间安全监督检查办法(征求意见稿)》,现向社会公开征求意见。
安全产品供应商(如防火墙、日志审计、EDR、数据防泄漏DLP、API安全、算法审计工具等厂商)需关注监管驱动下的技术需求变迁:
(1).技术措施要求从“防攻击”扩展到“全生命周期风险管控”
1.第七条第(七)项要求“对漏洞隐患采取整改措施,消除风险隐患”;
2.第八条要求“开展应急演练,设施完备有效”。
→产品需支持漏洞闭环管理、自动化响应、攻防演练集成,而不仅是检测。
3.数据安全与个人信息保护成为硬性技术需求
4.第七条第(十)项明确要求履行数据安全与个人信息保护义务。
→DLP、数据库审计、隐私计算、匿名化工具、数据地图等产品需求激增;
→产品自身需通过个人信息安全影响评估(PIA),避免成为“违规源”。
5.算法安全催生新型技术工具市场
1.第七条第(九)项要求“落实算法安全主体责任,建立健全算法推荐管理制度和技术措施”。
→需开发算法备案辅助系统、算法透明度工具、偏见检测模块、用户关闭推荐接口等。
(2).关基与等保三级以上单位面临年度强制检查
(3).第九条要求对等保三级以上、关基运营者每年现场检查。
→安全产品需具备:
1.符合等保2.0/3.0技术标准;
2.日志留存6个月以上且不可篡改(满足第十条第(三)项)。
3.支持公安远程调取证据接口(满足第六条第(十一)项)。
(4).渗透测试与漏洞探测常态化,倒逼产品健壮性
(5).第四条、第十二条允许公安机关开展漏洞探测、渗透测试。
→产品自身必须通过第三方渗透测试,并在设计上遵循零信任、最小权限原则;
→提供红蓝对抗演练支持能力将成为竞争优势。
(6).第三方技术服务受严格监管,产品交付需合规留痕
(7).第十三条要求对技术服务机构备案+背景审查+全流程管理;
(8).第二十条要求检查结束后删除或交回数据。
→ 产品部署过程需支持:
(9).操作日志全程审计;
(10).临时访问权限自动回收;
(11).数据残留自动清理机制。
https://www.secrss.com/articles/85569
2.《数据安全技术 电子产品信息清除技术要求》等2项强制国标获批发布
国家标准《数据安全技术 电子产品信息清除技术要求》 由中央网络安全和信息化委员会办公室归口,委托全国网络安全标准化技术委员会执行 。标准编号:GB 46864-2025,发布时间:2025年12月2日,实施时期:2027年1月1日。
清除技术:电子产品应采用数据覆写与指令清除技术;消费电子产品(如手机、平板)应支持用户至少进行两次数据覆写;回收经营者在回收时应进行信息清除。
清除范围:覆盖用户可寻址存储空间中的应用/私有数据/共享数据、媒体文件、缓存、备份数据、系统配置与绑定信息,以及相关加密密钥等。
效果验证:需通过访问多区域检查残留、使用存储编辑工具读取等方式验证无法恢复;并应留存操作记录不少于六个月。
1.上海网信办发布5起不履行个人信息保护义务的典型案例!
在“亮剑浦江·2025”个人信息保护专项执法行动总结会上,上海网信办与市场监管局联合公布5起典型违法案例。前三起均为数据安全防护缺失导致的泄露事件:某新能源企业将含用户换电日志的测试库暴露于公网;某医疗科技公司未加密存储患者诊疗数据且数据库开放互联网访问;某装修公司因员工擅自将客户合同、联系方式等数据库对外开放。三家企业均因未落实加密、等保测评、日志留存等基本安全措施,被依法警告并罚款。第四起为变相强制收集:一餐饮企业扫码点餐强制索取手机号,否则无法点餐,构成超范围收集,被责令改正并警告。第五起属非法使用个人信息:某药店冒用消费者信息在外卖平台申请虚假处方购药并转售,被处以警告、罚款及没收违法所得。五案覆盖数据全生命周期主要风险,彰显上海对个人信息“从严治理、精准执法”的监管导向。
2.西班牙Aena机场因集中式生物识别登机系统被罚1000万欧元,“必要性”与“比例性”成合规关键!
2025年12月3日,西班牙数据保护局(AEPD)对国有机场运营商Aena处以1000万欧元罚款,并责令其暂停基于人脸识别的生物识别登机系统。AEPD认定,Aena提交的数据保护影响评估(DPIA)不完整,且未能证明使用生物识别技术相比二维码、电子登机牌等低侵扰替代方案具有“必要性”和“比例性”,违反GDPR。该系统自2019年起在巴塞罗那、马德里等三大机场试点,注册用户超6.2万,采用集中式存储1:N识别模板,引发隐私风险担忧。尽管Aena强调从未发生数据泄露、用户均为自愿参与并提供“知情同意”,但监管机构指出:同意机制记录不足、数据保留期限不透明、旅客对自身数据控制权被削弱。
https://www.secrss.com/articles/85675
3. 韩国电商巨头Coupang 3370万用户数据泄露,前员工疑为“内鬼”,总统室怒批企业防护形同虚设
2025年11月30日,韩国最大电商平台Coupang(酷澎)确认约3370万用户个人信息遭泄露,占全国人口65%,创该国史上最大规模数据泄露纪录。泄露内容包括姓名、电话、邮箱、住址及订单记录,虽支付信息与密码未外泄,但部分用户连公寓门禁密码亦被曝光。事件始于2025年6月24日,一名疑似已离职的前员工利用仍有效的身份验证密钥,通过境外服务器长期潜伏窃取数据,直至11月因异常账户活动被发现。Coupang初期仅报告4500账户受影响,后经调查大幅上调数字。韩国政府紧急召开高层会议,总统室严厉批评企业“内部管理形同敞开后门”,并要求加快落实惩罚性赔偿制度。此前SK电讯、乐天信用卡等也接连发生大规模泄露,暴露韩国数据保护体系结构性脆弱。目前警方正追查嫌疑人IP,Coupang面临天价罚款与集体诉讼。
https://www.secrss.com/articles/85632
4.AI换脸篡改企业法人信息!武汉破获首起“人脸代过”黑产案,4人落网
湖北武汉网警成功侦破一起利用AI换脸技术非法侵入计算机信息系统的案件。某MCN机构工作人员发现其公司公众号被篡改为推广投资理财App,且后台登录密码及企业法定代表人信息均遭恶意修改。警方调查发现,犯罪团伙通过AI换脸视频绕过平台人脸识别验证,在受害人毫不知情的情况下完成身份冒用,进而非法控制企业账号与工商信息。主犯阿成(化名)原为美术从业者,后加入“人脸代过”灰产群组,专门制作高仿真动态换脸视频用于破解人脸验证;其上线阿明、阿斌、阿华三人负责接单、传递信息并牟利。警方在其住所查获大量AI换脸素材,并查实其非法获利超40万元。目前4名嫌疑人已被采取刑事强制措施。警方同步发布四大安全警示:平台需升级活体检测技术;用户应启用多因素认证;技术人员须守住法律底线;公众应谨慎公开正脸影像以防被滥用。。
https://www.secrss.com/articles/85615
5.法国足协因凭证泄露致220万会员数据被盗,体育行业成网络攻击新靶场
法国足球联合会(FFF)近日确认其全国俱乐部通用的中央行政管理软件遭黑客入侵,导致大量会员及持证人个人信息泄露。攻击者并未利用系统漏洞,而是通过窃取一名拥有管理员权限的用户凭证,获得未授权访问权,并在被发现前窃取多个敏感数据库。泄露信息包括姓名、出生日期与地点、性别、国籍、地址、电话、邮箱及会员许可证编号等,虽不含银行卡或身份证号,但足以构建完整“数字身份画像”,显著提升身份盗用与精准钓鱼风险。事件发生后,FFF立即禁用涉事账户、强制全平台密码重置、向警方报案,并依GDPR向法国国家网络安全局(ANSSI)和数据保护机构(CNIL)通报。目前正通过邮件通知受影响用户,并警告警惕冒充官方的诈骗信息。FFF表示将全面加强安全防护,应对体育领域日益严峻的网络威胁。
https://cybersecuritynews.com/french-football-federation-reports-data-breach/
1.国家数据局局长刘烈宏:聚焦建设开放共享安全的全国一体化数据市场
在2025年“数据要素×”大赛全国总决赛上,国家数据局局长刘烈宏明确指出,建设开放、共享、安全的全国一体化数据市场是下一阶段核心任务,并提出三大支持方向以繁荣数据产业生态、释放数据要素价值:
1.强化数据交易所功能
定位为我国首创的数据流通基础设施;
当前仍处“爬坡过坎”阶段,交易规模有限;
需提升全链条服务能力,完善价格发现机制,推动公共数据产品进场交易。
2.培育行业级数据流通服务平台
聚焦产业链/生态链内的数据融合与价值共创;
包括互联网平台、产业互联网、云服务商、数据基础设施运营商等; 以“数据交换为主、交易为辅”的模式推动行业数据高效流通。
3.壮大专业化数据商队伍
数据商是以数据为核心生产要素的企业(如数据集团、标注企业、高质量 数据集生产商);
通过开发数据产品(如DaaS、精准服务模型)参与市场化配置;
需拓展数据来源、提升产品化能力,深度融入数据要素市场。
总体目标:构建“多元主体协同、多层次市场联动、全链条服务支撑”的 数据要素生态体系。。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...