欢迎您访问河南省工业信息安全产业发展联盟网站!
联盟公众号
数据安全新动态(2023年9月)

1. 国内外数据安全政策动态

1.1.国内数据安全政策动态

1.1.1.中评协印发《数据资产评估指导意见》

9月8日,为规范数据资产评估行为,保护资产评估当事人合法权益和公共利益,在财政部指导下,根据《资产评估基本准则》及其他相关资产评估准则中国资产评估协会制定了《数据资产评估指导意见》,自2023年10月1日起施行。意见共七章二十八条,主要包括总则、基本遵循、评估对象、操作要求、评估方法、披露要求、附则及相关附件等。

来源:https://mp.weixin.qq.com/s/91DsuwgxbBaxYX8oXUwb9Q

1.1.2.杭州发布《公共数据授权运营实施方案(试行)》

9月1日,为规范公共数据授权运营管理,加快公共数据有序开发利用,培育数据要素市场,根据《浙江省人民政府办公厅关于印发浙江省公共数据授权运营管理办法(试行)的通知》(浙政办发〔2023〕44号,以下简称省管理办法)等文件精神,杭州市沈敏政府结合本市实际,制定《公共数据授权运营实施方案(试行)》,自2023年10月5日起施行,由市数据资源局负责牵头组织实施。方案主要包括总体要求、工作目标、主要任务、授权运营重点领域、组织实施等内容。

来源:https://www.hangzhou.gov.cn/art/2023/9/28/art_1229747332_7733.html

1.1.3.工业和信息化部组织开展2023年工业和信息化领域数据安全典型案例遴选工作

9月27日,为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,充分发挥典型案例在数据安全产业发展中的示范引领作用,切实增强工业和信息化领域数据安全保障水平,工业和信息化部组织开展2023年工业和信息化领域数据安全典型案例遴选工作,发布工作通知。遴选工作针对“工业领域”“电信和互联网领域”进行案例征集,每域遴选“四方向、十类型”数据安全典型案例,包括基础共性、监测分析、整体设计实施、其他等方向。

来源:https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_ca0366db4760460e957ad6c07d772209.html

1.2.国外数据安全政策动态

1.2.1.ITIF发布《克服美国数据共享的障碍》报告

9月25日,美国信息技术与创新基金会(ITIF)发布《克服美国数据共享的障碍》报告。报告指出,美国在更广泛地共享数据方面面临法律、社会、技术和经济障碍。报告建议:一是改革现有数据保护法,减少数据共享的法律障碍;二是指导主要联邦机构创建数据共享合同模型以简化法律协议;制定数据素养计划,帮助社区了解数据的好处以及如何安全共享数据;四是使消费者能简单贡献其数据;五是制定高影响领域的数据标准;六是确定并解决数据所有权分散导致无法编译有价值数据集的情况。

来源:https://itif.org/publications/2023/09/25/overcoming-barriers-to-data-sharing-in-the-united-states/

1.2.2.美国与韩国举行2023年信息通信技术政策论坛

美国务院9月26消息,美国与韩国举行2023年信息通信技术政策论坛。本次论坛内容包括与两国私营部门代表就促进开放、可互操作和安全的5G无线技术、网络和服务进行讨论;支持第三国数字经济发展的公私伙伴关系;人工智能、云以及安全可信的数据流等领域的国际协调。双方决定在以下领域开展合作:基于《关于电信供应商多元化的布拉格提案》,促进印太地区运营商合作;探索5G和6G研发合作;发展人工智能治理等。

来源:https://www.state.gov/u-s-rok-information-and-communications-technology-policy-forum-2023/

1.2.3.ITIF美国信息技术与创新基金会发布《比较世界各地的数据政策优先事项》报告

9月5日,美国信息技术与创新基金会(ITIF)发布《比较世界各地的数据政策优先事项》报告报告从数据保护、数据共享、数据访问和数据生产四个维度对欧盟、英国、新加坡、印度和中国的数据政策进行了对比分析。报告建议:各国政策制定者应采取制定协调一致的数据政策,减少数据跨境流动障碍,最大限度的提高数据驱动能力。美国政策制定者应考虑多重因素制定有凝聚力、有利于创新的本国数据战略,而非复制他国方案。

来源:https://itif.org/publications/2023/09/05/comparing-data-policy-priorities-around-the-world/

2. 个人信息保护政策与法律法规动态

2.1.国内个人信息保护政策与法律法规动态

2.1.1.国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚

9月1日,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

来源:https://mp.weixin.qq.com/s/a-d8FXNnT6Hap-eTBZH5JA

2.1.2.国家邮政局等三部门联合召开邮政快递领域隐私运单应用工作推进会

9月8日,国家邮政局、中央网信办、公安部三部门联合召开邮政快递领域隐私运单应用工作推进会。

会议强调,推广应用隐私运单是贯彻落实个人信息保护法、保障寄递用户个人信息安全的有效举措,是回应人民群众期待和社会关注的热点问题。各部门各企业要增强风险意识,不断升级技术手段,持续完善用户个人信息安全保障措施,加强对从业人员的教育培训,提升从业人员保护用户信息的能力。要坚持问题导向,在不影响寄递服务的前提下,多措并举,有效解决影响末端投递时效、用户体验度打折扣等问题。同时,上下游企业要通力合作,探索实现寄递数据的互联互通,更好满足寄递用户个人信息保护需求。

会议指出,国家邮政局将和中央网信办、公安部密切部际联系,强化协同配合和信息共享,加大邮政快递领域涉个人信息安全违法违规行为的查处力度,集中治理信息安全风险管控方面存在的隐患和薄弱环节,从技术、制度、管理层面加强信息安全风险管控。各电商平台和寄递企业要配合打好邮政快递领域个人信息保护攻坚战,联合打击涉邮信息违法犯罪行为。

来源:https://mp.weixin.qq.com/s/5CAHyc8FQYqY1lY55ZnnsA?scene=25#wechat_redirect

2.1.3.国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》

9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动规定(征求意见稿)》,面向社会公开征求意见,重点就《数据出境安全评估办法》《个人信息出境标准合同办法》等数据出境规定的施行作出相应规定,集中明确了不同数据出境路径适用必要性的判定问题。

就个人数据出境,《办法》第四点明确了无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形,包括:(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。

就不同数量个人信息出境所适用的数据出境路径,《办法》第五点、第六点明确:预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。

此外,《办法》还规定了自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经省级网络安全和信息化委员会批准后,报国家网信部门备案。

来源:http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm

2.2.国外个人信息保护政策与法律法规动态

2.2.1.瑞士联邦数据保护法及条例生效,并发布数据保护影响评估清单

9月1日,瑞士《2020年联邦数据保护法》(FADP)和《联邦数据保护法条例》(FODP)正式生效,前者适用于自然人、私营和联邦机构的个人数据处理活动,后者适用于对发生在国外但对瑞士产生影响的情形。

同期,瑞士数据联邦数据保护和信息专员发布了《数据保护影响评估清单》,明确应当进行数据保护影响评估(DPIA)的三类情形:(一)是根据FADP第22条规定应当进行DPIA的两种情形,包括大规模敏感个人信息处理、公共场所大规模系统性监控;(二)是根据FADP第22条规定,存在可能导致高风险的通常因素,包括高风险画像、进行自动化决策、适用新技术(如人工智能)、个人不知情的个人信息获取行为、大量个人信息处理、长时间个人信息处理、个人信息数据集的关联或比较、向第三方披露个人信息、可能引发对个人信息主体的监控、可能会影响个人信息主体行使权利或使用服务或履行合同等 ;(三)基于整体情况考量,可能对个人基本权利和自由引发高风险。

对于显示为高风险的DPIA,数据控制者应当向联邦数据保护和信息专员提交,后者将在两个月内通知数据处理者相应的反对意见和改进建议。虽然联邦数据保护和信息专员提出的意见和建议仅为参考性,但如果数据控制者未采纳其重大反对意见或建议,后者将可能启动调查,并在必要时可要求数据控制者进行改正甚至禁止数据处理。

来源:https://www.edoeb.admin.ch/dam/edoeb/en/Dokumente/datenschutz/merkblatt_dsfa.pdf.download.pdf/Merkblatt_DSFA_EN.pdf

2.2.2.TikTok因非法处理儿童数据获罚 3.45亿欧元

9月15日,爱尔兰数据保护专员(DPC)宣布因非法处理儿童个人数据,对TikTok进行警告,要求其在三个月采取指定行动改正,并处以3.45亿欧元罚款。

DPC认为TikTok处理儿童数据的行为,如儿童个人资料的默认设置为公开,允许任何人查看儿童用户社交媒体内容,以及在适用“暗黑模式”设计注册和发布视频等弹窗中,鼓励儿童用户选择违反数据保护的选项,构成对GDPR第5(1)(c)、5(1)(f)、12(1)、13(1)(e)、24(1)、25(1)和25(2)条的违反,具体包括违反默认和设计的数据保护、透明度、公平、完整性和机密性等原则。

EDPB在就该案的约束力决定中也指出TiKTok相关弹窗违反了公平原则,并对TikTok所采取的年龄验证措施的有效性提出质疑。

来源:https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok

2.2.3.英国ICO就保护儿童目的个人信息分享发布指南

9月14日,英国信息专员办公室(ICO)就基于保护儿童目的分享个人信息的数据保护问题发布指南,给出十步实操建议,便利组织为识别并保护儿童免受伤害而基于公平、适当和方法的方式分享个人信息。

该指南概述了分享儿童个人信息的建议步骤,包括:(1)明确数据保护如何帮助分享信息以保护儿童;(2)确定分享信息的目的(3)为共享信息制定明确和安全的政策和系统;(4)明确透明度和个人权利;(5)评估风险并根据需要分享;(6)签订数据共享协议;(7):遵循数据保护原则;(8)基于恰当的合法性基础分享信息;(9)在紧急情况下分享信息;(10)阅读ICO的数据共享行为准则等。

来源:https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/a-10-step-guide-to-sharing-information-to-safeguard-children

3. 国内外数据安全相关事件

3.1.国内数据安全相关事件

3.1.1.香港数码港400GB数据泄露,科技中心受打击

9月8日消息,香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称,已从数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。窃取的数据包括身份证复印件、简历、银行账户详细信息和结婚证等。

来源:https://www.thestar.com.my/tech/tech-news/2023/09/07/hong-kong-tech-hub-cyberport-alerts-police-privacy-watchdog-after-reports-of-ransomware-attack-exposing-400gb-of-data

3.2.国外数据安全相关事件

3.2.1.美国家安全委员会近万个登录凭据曝光

据媒体报道,国家安全委员会(NSC)泄露了其成员的近万个邮箱和密码。NSC是美国的一个非营利机构,提供工作场所和驾驶安全培训。研究人员在3月7日发现了NSC网站的一个子域,公开了其Web目录列表。在可访问的文件中,研究人员发现了存储用户邮件和密码的数据库备份,包括约9500个帐户及其凭据。影响了约2000家大型公司和政府机构,包括壳牌、英特尔、波音公司、辉瑞、特斯拉、美国国家航空航天局等。

来源:https://securityaffairs.com/150138/security/nasa-tesla-doj-verizon-2k-leaks.html

3.2.2.超过200万名巴基斯坦公民的个人信息被黑客出售

9月21日报道称,黑客入侵了巴基斯坦数百家餐厅使用的私人公司制造的数据库,导致超过200万公民面临个人信息泄露的风险。该事件影响了餐厅的客户,泄露了信用卡、地址和银行详细信息等数据。

来源:https://en.dailypakistan.com.pk/21-Sep-2023/hackers-put-over-2-million-pakistanis-private-data-for-sale-after-restaurant-software-breach

3.2.3.Callaway公司公开涉及超过110万用户的数据泄露事件

9月1日报道称,美国高尔夫球装备制造商和销售商Callaway公开了近期发生的数据泄露事件。Callaway在8月29日发布通知,称8月1日发生的IT系统事件影响了其电商服务的可用性,并将部分客户信息泄露给未经授权的第三方。该事件影响了Callaway及其子品牌Odyssey、Ogio和Callaway Gold Preowned网站的客户,泄露信息包括姓名、地址、订单历史记录、安全问题和账户密码等,涉及了1114954人。由于密码和安全问题等帐户信息泄露,Callaway已强制所有客户重置密码。

来源:https://therecord.media/topgolf-callaway-says-one-million-affected-by-breach

3.2.4.Freecycle透露影响超过700万用户的数据泄露事件

媒体9月4日称,美国二手物品交换平台Freecycle披露了影响超过700万用户的大规模数据泄露事件。5月30日,黑客在一个论坛上出售被盗数据。Freecycle在8月30日意识到此次泄露事件,并提醒受影响的用户立即更换密码。据悉,泄露信息包括用户名、用户ID、邮件地址和MD5哈希密码。从攻击者发布的截图来看,Freecycle创始人兼执行董事的凭据被盗,导致攻击者能够完全访问会员信息和论坛帖子。

来源:https://www.bleepingcomputer.com/news/security/freecycle-confirms-massive-data-breach-impacting-7-million-users/

3.2.5.印度贾坎德邦AYUSH部32万多患者的信息被发布在暗网

媒体9月4日报道,黑客Tanaka在暗网发布了一个名为bitsphere[.]in的数据库。该数据库大小为7.3MB,包含超过32万条患者的PII和医疗诊断信息,500个登录凭据和明文密码,以及472条医生PII信息等记录。调查发现,这些数据取自bitsphere.in开发的ayush.jharkhand.gov.in服务器。Ayush.jharkhand.gov.in是印度贾坎德邦的政府部门AYUSH的官方网站。

来源:https://www.cloudsek.com/threatintelligence/3-20-000-patient-records-from-ayush-jharkhand-gov-in-shared-on-dark-web-hacking-forums

3.2.6.澳大利亚最大书店Dymocks Booksellers数据泄露影响约83.6万个客户

媒体9月8日称,Dymocks Booksellers发生数据泄露,影响了超过83.6万个客户。9月6日,该公司被Have I Been Pwned(HIBP)通知其客户数据已经泄露,此前有攻击者在黑客论坛上发布了这些数据。Dymocks称他们没有发现系统遭到攻击的证据,因此数据泄露的原因、持续时间以及影响范围仍不清楚。HIBP确认,泄露的数据包括836120个Dymocks客户的120万条记录。

来源:https://www.bleepingcomputer.com/news/security/dymocks-booksellers-suffers-data-breach-impacting-836k-customers/

3.2.7.微软AI部门研究人员意外泄露38 TB私钥和密码等数据

据9月18日报道,安全公司Wiz发现,微软AI研究部门在向公共GitHub存储库贡献开源人工智能学习模型时意外泄露了38 TB的敏感数据。泄露的数据包括微软服务的密码、密钥以及来自359名微软员工的30000多条内部Teams消息的存档。微软将数据泄露与使用过于宽松的共享访问签名(SAS)令牌联系起来,该令牌可对共享文件进行完全控制。数据自2020年7月开始泄露,于今年6月24日解决。

来源:https://securityaffairs.com/151004/data-breach/microsoft-ai-data-leak.html

4. 移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.国务院审议通过《未成年人网络保护条例》

9月20日,国务院总理李强主持召开国务院常务会议,审议通过《未成年人网络保护条例(草案)》。会议指出,要筑牢未成年人网络保护的法治支撑,推动各有关方面严格落实未成年人网络保护责任,引导支持相关企业积极落实条例、做到合规经营,促进未成年人健康成长。国家网信办发布的《未成年人网络保护条例(征求意见稿)》于去年3月公开征求意见,其对加强未成年人网络素养促进、网络信息内容规范、未成年人个人信息网络保护、未成年人网络沉迷防治等方面作出规定。

来源:https://www.163.com/dy/article/IF5HNDR505346KF7.html

4.1.2.网信部门依法查处腾讯QQ危害未成年人身心健康违法案件

近日,针对腾讯QQ平台“小世界”版块存在大量色情等违法信息,危害未成年人身心健康问题,国家网信办指导广东省网信办,依法约谈腾讯公司相关负责人,依据《未成年人保护法》第一百二十七条,实施行政处罚,责令暂停“小世界”版块信息更新30日,没收违法所得并处100万元罚款。

来源:http://www.cac.gov.cn/2023-09/13/c_1696259439302507.htm

4.1.3.形成预防网络游戏沉迷合力

近年来,随着互联网技术发展,网络游戏互动性、沉浸性、仿真性更强,对未成年人具有很强吸引力。未成年人身心发育尚不成熟,自控能力相对较弱,容易沉迷网络游戏、产生依赖,防止未成年人沉迷网游的工作一直备受关注。推动防沉迷工作不断取得新成效,还需站在塑造网络新风、净化网络空间的高度,为未成年人学习、社交、娱乐提供丰富而安全的网络场景,共建网上美好精神家园。

来源:http://paper.people.com.cn/rmrb/html/2023-09/06/nw.D110000renmrb_20230906_2-06.htm

4.1.4.履行备案手续,促APP规范发展

网上转账缴费、处理罚单、买火车票……随着移动互联网的发展,越来越多的人习惯用手机APP处理各种事务。同时,也有不法分子利用APP进行网络诈骗。近日,工业和信息化部印发《工业和信息化部关于开展移动互联网应用程序备案工作的通知》,要求APP主办者应当依照规定履行备案手续。新规为APP诈骗等问题提出解决方案,有利于促进移动互联网行业规范健康发展。

来源:http://paper.people.com.cn/rmrbhwb/html/2023-09/01/content_26014486.htm  

4.1.5.亮剑浦江|上海市网信办会同相关部门召开部分商超企业个人信息保护合规工作座谈会

9月19日,上海市网信办会同市市场监督局、市国资委、市商务委召集本市部分商超企业,组织召开个人信息保护合规工作座谈会。根据线索,部分商超企业运营的APP和微信小程序在为消费者提供服务时,普遍存在过度、诱导或强制收集个人信息等违规问题。针对相关问题,上海市网信办会同相关行业监管和主管部门围绕贯彻落实《个人信息保护法》,面向本市部分商超企业开展普法释法,提出整改意见,加强合规指导。参会企业表示将进一步完善相关制度措施,带头履行好个人信息保护义务,确保消费者个人信息安全。

来源:https://www.thepaper.cn/newsDetail_forward_24677863 

 4.1.6.国内超1400万部手机被植入木马

近日,家住攀枝花的张先生发现,家中的老年机无缘无故产生了不少“手机报”“平安天气”“开机提醒”等小额增值收费业务,怀疑老年机中了病毒,于是到公安机关报案。警方调查后,竟查出一起上千万部老年机被植入木马病毒,通过“短信吸血”非法牟利上亿元的涉网络黑灰产特大案件。目前,该案已移送起诉12人,取保候审11人,案件仍在侦办中。

来源:https://www.freebuf.com/news/378608.html

4.1.7.违规收集信息、过度索权 银行App侵害用户权益乱象何时停

一直以来,金融类App、小程序都是不规范使用用户隐私信息的“重灾区”。开年至今,已有重庆银行、山西银行、晋商银行、兰州银行、珠海农商行、广东揭阳农商行在内的多家银行旗下App或小程序因违规收集个人信息被通报。分析人士指出,金融类App应当从数据采集、存储、加工、传输、披露等环节规范用户个人信息管理,遵循“用户授权、最小够用、专事专用、全程防护”原则,建立健全个人信息保护的全流程防控机制。

来源:http://finance.ce.cn/stock/gsgdbd/202309/21/t20230921_38724865.shtml?ivk_sa=1023197a

4.2.国外移动互联网安全热点

4.2.1.苹果被曝2大安全漏洞,无需交互就可被植入间谍软件

近日,安全组织发现了苹果设备的两个最新漏洞,对于使用iOS16.6版本的iPhone手机以及新版本的iPad平板、Mac电脑和AppleWatch苹果手表的用户来说,是一个巨大的隐患。这两个漏洞能够被黑客利用,窃取个人隐私信息,窃听对话,并在用户充电时偷窃数据且完全无需用户进行任何操作。目前苹果官方已经发布了修复补丁,并发布了更新版本。

来源:https://baijiahao.baidu.com/s?id=1776447787397501017&wfr=spider&for=pc

4.2.2.电磁辐射超标,法国要求iPhone12手机暂停销售

法国国家频率管理局12日发布公告称,检测结果显示苹果iPhone12手机的电磁波辐射值超出欧盟标准,已要求苹果公司自当日起从法国市场暂时下架这款手机。

来源:https://news.bjd.com.cn/2023/09/15/10563906.shtml

4.2.3.法国推出奥运反诈APP便于消费者维权

为了给明年巴黎奥运会期间赴法旅游的外国人留下一个好印象,法国政府近日专门推出一款反诈App,以防止当地出租车司机、酒店、餐厅等过度向游客收费或诈骗。它是法国政府专门为消费者提供的一个平台,旨在解决消费者在消费过程中遇到的多种问题。消费者可以在Signal Conso网站上举报多种类型的消费问题,网站提供了详细的投诉步骤,以帮助消费者更有效地解决问题,并在得不到满意的和解方案时,请求政府有关部门的专员介入解决。

来源:http://www.legaldaily.com.cn/international/content/2023-09/19/content_8903795.html

4.2.4.TikTok被爱尔兰DPC处以3.45亿欧元罚款,涉嫌未有效保护儿童隐私

当地时间2023年9月15日,爱尔兰数据保护委员会 (DPC) 宣布,对 TikTok 的调查已达成最终决定,并处以 3.45 亿欧元的罚款,以解决涉嫌违反欧盟《通用数据保护条例》(GDPR)的问题,同时还命令TikTok在三个月内将其违规数据处理行为合规。TikTok 发言人表示:“我们不同意这一决定,尤其是罚款的数额。” “EDPB的批评主要集中在三年前的功能和设置上,而我们在调查开始之前就对其进行了更改。”

来源:https://baijiahao.baidu.com/s?id=1777352816097461896&wfr=spider&for=pc

文章来源:数据安全共同体计划