1、国内外数据安全政策动态
▎1.1.国内数据安全政策动态
1.1.1.工信部就《工业互联网安全分类分级管理办法》公开征求意见
10月24日,为加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理,工信部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见。意见稿指出,工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。
来源:https://wap.miit.gov.cn/gzcy/yjzj/art/2023/art_cce18e45a43f4cf6818f0b98ee39c2b4.html
1.1.2.工信部公开征求对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》的意见
10月9日,工业和信息化部网络安全管理局发布《公开征求对<工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)>的意见》,截止至2023年11月8日前,向社会公开征求意见。起草说明指出,数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。《工业和信息化领域数据安全管理办法(试行)》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的具体细化要求。
来源:https://wap.miit.gov.cn/gzcy/yjzj/art/2023/art_b79941ed6485425790bfaf257dc6e4d3.html
▎1.2.国外数据安全政策动态
1.2.1.美国联邦贸易委员会修改报告数据安全漏洞的规则
10月27日,美国联邦贸易委员会(Federal Trade Commission)批准了一项《保障规则》(Safeguards Rule)修正案,要求非银行机构向该机构报告某些数据泄露和其他安全事件。FTC的保障规则要求非银行金融机构,如抵押贷款经纪人、汽车经销商和发薪日贷款机构,制定、实施和维护一个全面的安全计划,以保护其客户的信息安全。公布的修正案要求金融机构在发现涉及至少500名消费者信息的安全漏洞后的30天内尽快通知FTC。
来源:https://www.ftc.gov/news-events/news/press-releases/2023/10/ftc-amends-safeguards-rule-require-non-banking-financial-institutions-report-data-security-breaches
1.2.2.经合组织发布《智慧城市的数据治理:挑战与前进之路》报告
10月13日,经合组织发布《智慧城市的数据治理:挑战与前进之路》报告。报告指出,智慧城市通过数字技术和数据利用提高公民福祉、促进可持续发展、优化公共服务。创建有效的数据治理战略、政策和框架,提高数据质量和应用数量,同时在透明框架中保持安全和隐私,是发展智慧城市的关键。报告就老龄化、人口流动、气候变化、循环经济、都市治理和智慧城市投资等城市发展的主要议题提供跨领域数据和政策建议。一是明确智慧城市数据治理的目标、战略和分工;二是改善数据管理实践,提升公职人员和公民的数字素养;三是优先考虑数据和隐私保护,强调数据使用、存储和共享的透明度;四是完善合作机制、数据标准和基础设施,实现互操作;五是加强共创实践,鼓励利益相关者广泛参与。
来源:https://www.oecd.org/regional/smart-city-data-governance-e57ce301-en.htm
1.2.3.美国德国马歇尔基金会发布《跨境数据流动的可信框架》报告
美国德国马歇尔基金会发布《跨境数据流动的可信框架》报告,报告提出了新的数据跨境流动的全球框架,包含法治、权利保护、实践性、可扩展性四项关键要素,以实现数据权益保护及数据在民主法治国家内自由流动的目标。报告呼吁启动有关数据跨境流动的多边程序,关注数据跨境流动中个人隐私、商业秘密、国家安全风险,为当前经济合作与发展组织(OECD)、七国集团(G7)以及欧美之间的数据流动实践提供了具体指引。
来源:https://www.gmfus.org/sites/default/files/2023-10/A%20Trusted%20Framework%20for%20Cross-Border%20Data%20Flows%20Report.pdf
2、人信息保护政策与法律法规动态
▎2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家金融监管总局打击金融机构非法获取或使用消费者个人信息
2023年10月10日,为提升金融消费者教育宣传工作质效,充分发挥正面案例的示范效应和负面案例的警示作用,国家金融监督管理总局联合中国人民银行、中国证监会发布了28例金融消费者权益保护典型案例,其中包括非法获取或使用消费者个人信息的情形。在该案中,某商业银行员工曾通过虚构业务办理需求,查询公民个人征信报告信息,并出售牟利约20余万元。另外,某保险公司代理人也曾利用客户姓名、身份证号违规查询大量客户理赔信息,涉及个人家庭住址、工作单位、手机号码等敏感信息。国家金融监督管理总局表示,他们去年以来对违法违规处理消费者个人信息的行为进行了专项整治,并加大了打击力度。他们指导和督促银行保险机构在充分利用数据价值的同时,切实保护消费者个人信息的安全。
来源:http://finance.people.com.cn/n1/2023/1010/c1004-40092515.html
2.1.2.国务院公布《未成年人网络保护条例》
国务院总理李强日前签署国务院令,公布《未成年人网络保护条例》,并于2024年1月1日起施行。互联网的飞速发展拓展了未成年人学习、生活空间,同时也引发了全社会对未成年人网络保护问题的关注。《条例》旨在营造有利于未成年人身心健康的网络环境,保障未成年人合法权益,为未成年人网络保护提供有力的法治保障。
来源:https://www.gov.cn/zhengce/content/202310/content_6911288.htm
2.1.3.上海市推出汽车销售行业个人信息保护合规指引
2023年10月24日,为引导上海市汽车销售行业加强保护消费者个人信息,维护汽车销售企业和消费者双方的合法权益,在上海市互联网信息办公室、上海市商务委员会和上海市市场监督管理局的支持下,上海市消费者权益保护委员会和上海市汽车销售行业协会共同制定并印发《上海市汽车销售行业个人信息保护合规指引》(以下简称《指引》)。该指引共六条内容,主要涉及汽车行业销售行业内个人信息的定义;收集、使用、处理和存储个人信息的基本原则与规范;设置专门的投诉监督机制等内容。
来源:https://www.shsasta.cn/article/13_1302_0_1518224.html
▎2.2.国外个人信息保护政策与法律法规动态
2.2.1.美国加州州长签署《数据删除法案》
2023年10月11日,加州州长签署《删除法案》使其成为法律。新法律将允许加州居民要求数据经纪人删除他们的个人数据和/或禁止他们出售或分享他们的个人数据。自2018年以来,加州人已经拥有了类似的权利,但为了行使这些权利,他们需要向每个个人数据经纪人提出请求。由于加州有近500家数据经纪人,行使这些权利十分耗时。《删除法案》简化了这一过程,因为它要求加州隐私保护局(CPPA)制定一项机制,允许加州居民行使他们的权利,并应在其网站上的一个单独页面上提供。消费者仅需提交一个单独的请求,要求所有数据经纪人删除他们的个人信息,并禁止他们出售或分享这些信息。CPPA被要求在2026年1月1日之前在其网站上实现这一功能。到2026年8月1日,数据经纪人需要至少每45天检查一次新的删除请求,并处理这些请求。
来源:https://iapp.org/news/a/california-governor-signs-ca-delete-act-into-law/
2.2.2.韩国个人信息保护委员会公布违反个人信息保护法的惩戒标准
2023年10月16日,韩国个人信息保护委员会(PIPC)宣布公布关于违反个人信息保护法的惩戒标准的指导原则。该指南根据《个人信息保护法》(PIPA)第 65(2)条和《个人信息保护法实施令》第58条,确定了对违反法律法规行为的惩戒对象和标准。根据指导原则第八条,PIPC强调在对个人信息处理者做出惩戒决定时,需要全面考虑以下因素:违法行为的故意程度、个人信息被侵犯的程度和规模、信息处理者遵守法律的可预期性(包括企业规模、过去的违法历史等)、违法者是否配合调查以及为消除违法行为的后果所做的努力(如采取措施防止进一步的损害和对受害者的赔偿等)。综合考量这些因素,以确定是否需要实施惩戒措施,并决定采取何种具体的惩戒措施。
来源:https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9222#LINK
2.2.3.欧洲数据保护委员会就Meta处理个人信息用于广告投放而发布紧急禁令
2023年10月27日,欧洲数据保护委员会(EDPB)通过了一项紧急的具有约束力的决定,指示爱尔兰数据保护局(IE DPA)作为主管监管机构,在两周内对Meta Ireland Limited(Meta IE)采取最终措施,并在整个欧洲经济区(EEA)范围内禁止基于合同和合法利益的行为广告个人数据处理。紧急具有约束力的决定是响应挪威数据保护局(NO DPA)要求在整个欧洲经济区(EEA)范围内采取最终措施的请求而作出的。处理禁令将在IE SA通知控制器的最终措施一周后生效。爱尔兰数据保护委员会(Irish DPC)已于10月31日通知Meta有关EDPB紧急具有约束力的决定,目前正在与相关监管机构一起评估这一建议。
来源:https://edpb.europa.eu/news/news/2023/edpb-urgent-binding-decision-processing-personal-data-behavioural-advertising-meta_en
3、国内外数据安全相关事件
▎3.1.国外数据安全相关事件
3.1.1.日本最大通信运营商九百万条数据被盗,泄露时间长达十年
10月17日,日本最大通信网络运营商NTT WEST两家子公司宣布,一位负责系统维护的前外包临时工非法获取了约900万条用户信息,并将部分信息发给其他公司,其中包括用户姓名、地址、电话号码以及信用卡信息等。
来源:http://cjrb.cjn.cn/html/2023-09/03/content_268887.htm
3.1.2.Redcliffe Labs的7TB数据泄露影响约1200万患者
媒体10月25日称,印度北方邦诺伊达的医疗公司Redcliffe Labs的7TB医疗数据泄露,影响了约1200万患者。最初,研究人员发现了一个不受密码保护的数据库,总大小为7TB,包含约12347297条记录,经调查这些数据集属于Redcliffe Labs。其中,除了有大量患者个人和医疗数据之外,还包含该公司移动应用程序的开发文件。目前,该数据库已被保护起来,尚不清楚公开了多久。
来源:https://www.hackread.com/database-mess-up-7tb-healthcare-data-leak/
3.1.3.爱尔兰国家警局的承包商泄露50万条扣押车辆的记录
据10月23日报道,研究人员发现了一个公开的数据库,包含超过50万条与爱尔兰国家警局Garda Síochána扣押车辆相关的记录。文档总数为521043个,大小为271.8 GB。根据爱尔兰法律,当车辆被扣押时,车主须出示身份证明和保险文件等多份文件,因此泄露的50万份文档可能影响了约15万名车主。进一步调查显示,该数据库属于爱尔兰利默里克的一家私人技术承包商。
来源:https://www.hackread.com/contractor-data-breach-irish-national-police-vehicle-seizure/
3.1.4.IT公司DNA Micro系统配置错误82万客户的信息泄露
媒体10月18日称,美国加州的IT公司DNA Micro由于系统配置错误,泄露了超过820000名客户的数据。8月16日,研究团队发现了3个开放的Kibana实例,包含属于DNA Micro的数据,其中最大的数据存储高达81GB。泄露信息涉及姓名、电话、保修索赔状态、手机型号和国际移动设备识别码(IMEI)号码等。
来源:https://securityaffairs.com/152673/data-breach/dna-micro-data-leak.html
3.1.5.Really Simple Systems配置错误泄露300万客户记录
媒体10月5日称,研究人员发现了B2B CRM 提供商Really Simple Systems包含300多万条记录的无密码保护数据库。该公司拥有超过18000个客户,包括皇家学院、红十字会、NHS和IBM等。泄露信息涉及医疗记录、信用报告、身份证件、税务文件和法律文件等,主要影响了位于英国、美国、欧洲和澳大利亚的企业。目前,不安全的数据库已被保护起来,尚不清楚该数据库暴露的时间,以及是否有人访问过它。
来源:https://www.hackread.com/crm-provider-really-simple-systems-data-leak/
3.1.6.迪卡侬遭遇数据泄露事件 疑似8000名员工个人信息被暴露
据外媒10月18日报道,知名体育用品零售商迪卡侬近日遭遇一起数据泄露事件,该事件影响了迪卡侬的全球员工和客户。暗网论坛某用户上传了一个据称与迪卡侬有关的 61MB 数据库,称该数据库包含约 8000 名迪卡侬员工的个人身份信息,并且这些信息目前已在暗网上“共享”。数据泄露还包括来自技术咨询公司 Bluenove 的信息。
来源:https://www.cloudsek.com/threatintelligence/3-20-000-https://thecyberexpress.com/decathlon-data-leak-explained/
4、移动互联网安全热点
▎4.1.国内移动互联网安全热点
4.1.1.工信部通报22款APP(SDK)存在侵害用户权益的行为
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,工信部组织第三方检测机构对群众关注的在线影音、网上购物等移动互联网应用程序APP及第三方软件开发工具包(SDK)进行检查。发现22款APP、SDK存在侵害用户权益行为,并予以通报。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_3a7f27cdeac44eb791f80970c641dbcf.html
4.1.2.人脸识别进校园,是否可以保护孩子的生物数据
近来,一起发生在广东梅州市梅江区联合中学的“智能人脸识别”应用争议事件引起广泛关注。该事件涉及学校是否应强制或鼓励学生使用人脸识别服务,以及向学生家长收取服务费是否合理等问题,引发众多不同观点。从中也反映出,在学校等关乎未成年人的数字服务场景下,人脸识别应用和数据的治理正面临着更大的挑战。
来源:https://baijiahao.baidu.com/s?id=1779095050416502243&wfr=spider&for=pc
4.1.3. App自动扣费不应“主动侵权”
App自动扣费5年,损失近千元,一些网络平台的手机应用软件,实际上已经沦为“套路用户”的工具。造成这一现象的原因,一方面是一些App平台怀着侥幸心理,希望能够快速从用户身上收取费用;另一方面,不少消费者在被坑之后没有及时拿起法律的武器维权。换言之,App自动扣费,实为“主动侵权”,应严格贯彻落实电子商务法等法律法规,维护网络消费的公平和安全。
来源:http://e.mzyfz.com/paper/2117/paper_56742_11692.html
4.1.4.苹果回应黄色软件套壳学习软件
近日,一名网友在社交媒体上发文吐槽其在苹果商店中发现一款伪装成学习软件的黄色应用。从该网友描述来看,他在苹果商店下载安装一款学习英文的软件后,打开进入却发现这个软件其实是一个黄色视频软件,甚至还会引流用户到赌博网站以及其他黄色网站。目前,苹果已经被下架了该 APP。
来源:https://www.freebuf.com/articles/379782.html
▎4.2.国外移动互联网安全热点
4.2.1.“透明部落”利用假YouTube钓鱼,秘密手机用户隐私信息
近日,研究人员发现 APT 36 黑客组织,正在使用至少三款模仿 YouTube 的安卓应用程序,用其标志性远程访问木马“CapraRAT”感染目标设备,一旦受害者设备被安装了该恶意软件,网络攻击者便可以收集其数据、录制音频和视频或访问敏感的通信信息。
来源:https://cloud.tencent.com/developer/article/2335332
4.2.2.苹果发布新闻稿:iOS 17.1 将修复法国 iPhone 12 辐射问题
苹果公司10月11日发布新闻稿,即将针对法国地区的 iPhone 12 用户,发布 iOS 17.1 系统更新,降低设备已离身并放在静态表面上时的能量传输功率,从而符合法国国家频率管理局(ANFR)的相关测试要求。
来源:https://www.ithome.com/0/724/061.htm
4.2.3.一种新型侧信道攻击方法,影响大部分苹果 A&M 系列芯片
近日,美国佐治亚理工学院的研究人员公布了一种针对苹果 M 系列和 A 系列芯片进行侧信道攻击的方法,并将其命名为 iLeakage,利用该攻击方法可以从 Safari 网页浏览器中提取敏感信息。
来源:https://www.freebuf.com/news/382020.html
4.2.4.Xenomorph银行木马来势汹汹
近日,针对安卓系统的银行木马Xenomorph发布第三个版本,攻击力大增,其全新的自动转账系统(ATS)框架可以窃取全球400多家银行的用户账户。更可怕的是,该木马可以绕过包括身份验证器在内的多因素认证方法。这种银行木马软件,不仅能够在用户不知情的情况下窃取银行账户信息和枚举敏感数据的恶意程序,还能巧妙地隐藏在常见的软件或文件中,在用户不经意间侵入电脑系统,并进行监视、窃取等恶意活动。
来源:https://www.freebuf.com/news/topnews/379984.html
来源: 数据安全共同体计划