1 国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.工信部公开征求对《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》的意见
为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展,工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)》,向社会公开征求意见,于2023年12月23日前反馈。《应急预案》共八章三十九条,主要内容包括总则、组织体系、监测与预警、时间应急响应处置、预防措施、保障措施等。
来源:https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html
1.1.2.《香港促进数据流通及保障数据安全的政策宣言》发布
12月8日,香港特区政府创新科技及工业局发布《香港促进数据流通及保障数据安全的政策宣言》,阐述特区政府在数据流通和数据安全两方面的管理理念和重点策略,并提出18项具体行动方案。该局表示,《政策宣言》旨在提出具全局性的数据治理理念和策略,在促进数据整合、应用、开放和共享的同时,加强数据安全保障和设施规划,以更好统筹发展与安全。《政策宣言》提出18项具体行动措施,分别在五大方向优化数据流通和数据安全纲领。
来源:https://baijiahao.baidu.com/s?id=1784714264374957218&wfr=spider&for=pc
1.1.3.国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理
近期,国家安全机关工作发现,我国有关重要行业领域使用的境外地理信息系统软件存在搜集外传地理信息数据的情况,部分数据重要敏感,甚至涉及国家秘密,对我国家安全构成严重威胁。针对上述情况,国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理,指导、协助涉事单位开展清查整改,及时消除重大数据窃密、泄密等安全隐患。
来源:https://mp.weixin.qq.com/s/404yJjpaM7a6anAxE7FuFg
1.2.国外数据安全政策动态
1.2.1.美国卫生与公众服务部发布《数据战略2023-2028》
12月14日,美国卫生与公众服务部(HHS)发布未来五年数据战略。该战略强调增强内部数据处理能力,提出可用、可获取、及时、公平、有意义、可利用和受保护等数据原则,并明确了如下优先事项及相关举措:培育数据人才,促进数据共享,将管理数据整合到项目运营中,通过连通人类服务实现数据全覆盖保护,负责任地利用人工智能。
来源:https://www.hhs.gov/about/news/2023/12/14/hhs-releases-new-data-strategy-enhance-data-capabilities-accelerate-progress-cancer-moonshot-goals.html
1.2.2.布鲁盖尔研究所发表《新的欧盟数据市场法规是否连贯且高效?》文章
12月18日,欧洲独立智库布鲁盖尔研究所发表文章,对《欧洲健康数据空间条例》《数据法》《数字市场法》三部具有代表性的数字市场法规进行分析。文章认为,《欧洲健康数据空间条例》是欧盟在数字市场法规方面的最佳实践,《欧洲健康数据空间条例》在健康数据共享方面几乎不设置任何过分的限制,且同时为个人数据提供了充足保护;《数据法》对数据控制者或产品制造商提供了过度保护;《数字市场法》的数据共享条款将对数字创新产生不利影响。三部法规都各有不足,相对而言《欧洲健康数据空间条例》实现了促进数据流动的理想效果。
来源:https://www.bruegel.org/sites/default/files/2023-12/WP%202023%2021%20181223%20final.pdf
1.2.3.美联邦通信委员会与司法部长就隐私、网络安全展开执法合作
12月7日消息,美国联邦通信委员会与康涅狄格州、伊利诺伊州、纽约州和宾夕法尼亚州的司法部长签署了一项关于隐私、数据保护和网络安全的执法合作协议。这项新举措议旨在开展隐私、数据保护和网络安全相关调查方面分享专业知识、资源并协调努力,以保护消费者。根据协议,联邦通信委员会和州检察长将共同调查,并在适当情况下起诉或采取其他执法行动。
来源:https://www.einpresswire.com/article/673837168/attorney-general-tong-announces-enforcement-partnership-with-fcc-s-privacy-data-protection-task-force#:~:text=As%20part%20of%20the%20work%20of%20the%20FCC%E2%80%99s,data%20protection%2C%20and%20cybersecurity-r
2 个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
12月10日,国家互联网信息办公室与香港创新科技及工业局共同制定并发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称《指引》)。《指引》共15条,涵盖订立标准合同的基本原则、基本义务责任、备案要求、救济路径等内容。就适用范围看,《指引》只适用于注册于粤港澳大湾区内地部分以及香港特别行政区的个人信息处理者及接收方之间的个人信息跨境流动。此外,《指引》及标准合同均明确,接收方不得向大湾区以外的组织、个人提供个人信息(比如接收方继续向其欧美总部提供),因而外商投资企业也不能通过香港向境外总部提供信息。从具体内容来看,该《指引》放松了个人信息跨境传输的数量和种类要求。相较于《个人信息出境标准合同》,其对大湾区内可以跨境的个人信息的种类和数量几乎不做限定。同时,《指引》也简化了个人信息保护影响评估的内容,整体评估分为三部分:个人信息处理目的和合法性、正当性、必要性基础;个人权益影响及风险;接收方承诺承担的义务和保障信息安全的能力。
来源:http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm
2.1.2.5家企业获颁首批个人信息保护认证证书
12月15日,珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业获得了中国网络安全审查技术与认证中心颁发的首批个人信息保护认证证书。这标志着我国个人信息保护认证实施工作迈出了重要一步。个人信息保护认证,是依据相关国家标准,证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。个人信息保护认证是支撑政府个人信息保护监管的有效手段,也是适应市场经济体制下企业合规发展的需要。认证实施是对个人信息处理者进行的综合“体检”,对促进其增强个人信息保护管理主体责任意识,及时发现并整改存在的问题,完善个人信息保护管理机制,持续保持符合国家法律法规和标准规范要求,提高产品和服务的市场竞争力等方面具有重要作用。同时,认证使个人信息处理者更易于与消费者建立信任关系,便于消费者选择安全可靠的产品和服务。
来源:https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml
2.2.国外个人信息保护政策与法律法规动态
2.2.1.英国信息专员办公室发布英国约束性公司规则附录的指南
12月19日,英国信息专员办公室(ICO)更新了关于英国约束性公司规则(BCRs)的指南,引入了有关英国BCR附录(Addendum)的新指南,用以简化组织管理英国和欧盟之间数据转移流程。根据该指南,已获得欧盟BCR的组织可以通过添加附录的方式,创建新的英国BCR,从而将已获批的欧盟BCR范围扩展到可以向英国传输的范围。指南同时说明了申请英国BCR的组织需要处理的文件,包括向ICO提交的附录、完整的欧盟BCR、其批准文件以及英国BCR摘要文件。指南也澄清了处理者和控制者的BCR都需要单独申请,并就组织如何完善附录进行了逐步指导。同时,ICO的审批流程将根据申请与附录的标准或定制形式的密切程度而有所不同,指南建议使用附录作为模板的组织需要突出并合理化其修改的内容。最后,指南强调了组织对欧盟BCR的变更将直接影响其根据附录添加的英国BCR。即在暂停或撤销欧盟BCR的情况下,英国BCR也将受到类似影响。
来源:https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/guide-to-binding-corporate-rules/a-uk-bcr-addendum/
2.2.2.欧盟:欧盟消费者组织就付费或同意模式对Meta提出投诉
近日,欧盟消费者组织(BEUC)及其19个成员联名向消费者保护机构(CPC)提交了一项针对Meta的投诉。BEUC称Meta公司以多种方式从事不公平的商业行为。该诉讼主要针对Meta上线的“付费去广告”(Subscription for No Ads)订阅服务。欧洲用户要么继续免费使用Instagram和Facebook,但要接受个性化广告;要么支付费用,个人数据不会被收集用作个性化广告的投放。
BEUC认为Meta公司这一行为不仅违反商业竞争,同时也涉嫌违反《通用数据保护条例》(GDPR)等数据保护法律。此前,隐私倡导组织NOYB也向奥地利隐私监管机构提交了类似投诉。BEUC认为,即使用户选择了无广告体验的订阅服务,他们的数据仍可能被收集并用于其他目的。此外,BEUC对高昂的订阅费提出异议,认为这种定价策略可能会阻止用户选择该服务,并导致他们同意Meta收集个人数据。
来源:https://www.beuc.eu/choose-to-Lose-with-Meta
3 国内外数据安全相关事件
3.1.国内数据安全相关事件
3.1.1.中国银行因12项违法行为被罚款3664万元
中国人民银行12月1日公布的行政处罚决定书显示,中国银行股份有限公司因违反账户管理规定,违反信用信息采集、提供、查询及相关管理规定,违反个人金融信息保护规定等12项违法行为被处以警告,并没收违法所得37.340315万元,罚款3664.2万元,有18名相关责任人受到警告和罚款处罚。
来源:http://www.pbc.gov.cn/zhengwugongkai/4081330/4081344/4081407/4081705/5156761/index.html
3.2.国外数据安全相关事件
3.2.1.WeMystic网站数据库配置错误1330万条用户记录泄露
据媒体12月2日报道,WeMystic网站一个开放且无密码的MongoDB数据库泄露了34 GB的数据。WeMystic提供占星学、精神健康和神秘学的相关知识,还提供天然宝石、脉轮、塔罗牌和手链等产品的在线商店。其中一个名为"users"的数据集合包含多达1330万条记录,涉及姓名、邮件地址、IP地址和用户系统数据等。
来源:
https://securityaffairs.com/155102/security/wemystic-website-data-leak.html
3.2.2.Barcode to Sheet应用配置错误泄露368MB的数据
媒体12月8日称,Android应用Barcode to Sheet配置错误泄露了用户信息和企业数据。这是一个条形码扫描工具,主要面向电子商务客户,在Google Play商店的下载量超过10万次。Cybernews团队发现应用的的Firebase数据库配置错误,包含超过368MB数据可被所有人访问。数据库泄露了有关产品、报告、电子邮件和用户ID的信息,以及Web客户端ID、Google API密钥、Google应用程序ID和崩溃报告密钥等。
来源:https://securityaffairs.com/155444/mobile-2/android-barcode-scanner-app-exposes-user-passwords.html
3.2.3.加密货币交易平台GokuMarket上百万用户的信息泄露
媒体12月15日称,ByteX旗下的集中式加密货币交易所GokuMarket泄露了几乎所有用户的详细信息。Cybernews发现了一个未受保护的MongoDB实例,存储了GokuMarket超过一百万客户和管理用户的详细信息。这个暴露的数据库包括用户IP、国家、邮件地址、加密密码和用户加密钱包地址等信息,以及35个具有完全管理访问权限的帐户。
来源:https://securityaffairs.com/155885/security/crypto-exchange-gokumarket-exposed.html
3.2.4.纽约某房地产公司云服务器配置错误泄露15亿条地产记录
20日媒体报道,网络安全研究员 Jeremiah Fowler 发现了一个与纽约在线平台 Real Estate Wealth Network 相关的未受保护的数据库,数据库保存了 15 亿条记录,其中包括数百万人的房地产所有权数据。该数据库大小为 1.16 TB(总共 1,523,776,691 条记录),具有组织有序的文件夹,其中包含有关业主、卖家、投资者和内部用户日志数据的信息。
来源:https://www.hackread.com/data-leak-exposes-real-estate-records-elon-musk-trump/
3.2.5.Blink Mobility数据库配置错误泄露2万多用户信息
据媒体12月21日报道,总部位于洛杉矶的电动汽车共享提供商Blink Mobility的一个MongoDB数据库配置错误。随后,其元数据被搜索引擎编入索引,并于10月17日被Cybernews研究人员发现。调查显示,该数据库包含超过22000名用户和181000条记录,其中大部分与汽车租赁有关,例如电话号码、邮件地址、加密密码、注册日期、设备信息和设备令牌以及订阅和租赁车辆的详细信息。
来源:https://securityaffairs.com/156241/security/blink-mobility-data-leak.html
4 移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于侵害用户权益行为的APP(SDK)通报(2023年第9批,总第35批)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,工信部组织第三方检测机构对群众关注的实用工具、本地生活、网络游戏等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查。发现24款APP、SDK存在侵害用户权益行为予以通报。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_8e9cc391f75d49ed9a1d1c61cd13e195.html
4.1.2.《第5次全国未成年人互联网使用情况调查报告》发布
2023年12月23日,团中央维护青少年权益部联合中国互联网络信息中心、中国青少年新媒体协会,在京召开“宣传贯彻《条例》 益起助力成长”主题研讨会。会上,团中央维护青少年权益部发布《第5次全国未成年人互联网使用情况调查报告》成果。会上大家一致认为,《条例》作为我国第一部专门性的未成年人网络保护综合立法,是贯彻落实习近平法治思想和习近平总书记关于青年工作的重要思想,进一步完善互联网领域治理体系,健全青少年健康成长法治保障的重要举措,在未成年人保护工作领域具有里程碑意义。
来源:https://www.cnnic.cn/n4/2023/1225/c116-10908.html
4.1.3.“餐饮外卖类”App个人信息收集情况测试报告
近期,中国网络空间安全协会对“餐饮外卖类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“餐饮外卖类”App,共计7款。测试发现7款App共上传5种类型个人信息,包括位置信息、设备唯一识别码、应用列表信息、用户截图操作信息、用户使用App产生交互信息等。
来源:https://www.cybersac.cn/detail/1734013574080143361
4.1.4.“AI换脸”,便利背后有风险
一段时间以来,“AI换脸”技术被广泛应用于短视频的二次创作,给社会公众带来了新鲜体验。不少网友感叹,“AI换脸”生成的视频,惟妙惟肖,很有意思。但同时“AI换脸”技术也可能侵害公民的个人信息安全甚至公共信息安全。一旦发生这样的情况,需要花费大量的时间精力去维权,因此社会公众既要增强个人信息特别是人脸等生物特征等信息的保护意识,同时使用新技术也要尊重他人的知识产权和人格权,尽到审慎的注意义务,避免陷入不必要的诉讼纠纷。
来源:https://paper.people.com.cn/rmrb/html/2023-12/04/nw.D110000renmrb_20231204_4-07.htm
4.1.5.招聘App短信验证码接口遭1300多万次黑客攻击,致300万条数据泄露
据央视新闻官微,一求职招聘类 App 短信验证码接口遭遇了 1300 多万次的攻击,警方调查发现 2 名嫌犯利用网站漏洞制作黑客软件并实施“撞库”攻击,获取大量个人信息和公司账号数据在境外出售。经过民警不懈努力,专案组成功在四川成都将嫌疑人焦某抓获,现场起获各类公司、人员数据 330 余万条。
来源:https://baijiahao.baidu.com/s?id=1784861011688189137&wfr=spider&for=pc
4.2.国外移动互联网安全热点
4.2.1.可泄露用户敏感信息,安卓漏洞曝光:多款密码管理器应用受影响
12月8日消息,网络安全公司 IIIT Hyderabad 的安全专家近日出席Black Hat Europe大会,披露了存在于安卓系统自动填充功能中的漏洞,会意外泄露用户的密码信息。Keeper 首席技术官克雷格?卢里在与 TechCrunch 分享的讲话中表示,该公司已收到有关潜在漏洞的通知,但没有说明是否进行了任何修复。
来源:https://baijiahao.baidu.com/s?id=1784679474252884008&wfr=spider&for=pc
4.2.2.研究人员提醒iPhone用户,开启锁定模式并不意味着安全
12月5日,Jamf Threat Labs发布了一篇博客,详细解释了恶意行为者如何通过漏洞利用后篡改技术来绕过真实的锁定模式,并以虚假的锁定模式使用户放松警惕,从而持续实施攻击。在受感染的手机上,没有任何防护措施可以阻止恶意软件在后台运行,无论用户是否激活了锁定模式。
来源:https://www.jamf.com/blog/fake-lockdown-mode/
4.2.3.为窃取Android手机PIN码,采用了一种非常“野”的方式来接管设备
变色龙安卓银行木马最近发布了最新的版本并重出江湖,它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能,以窃取设备的PIN码。它通过使用HTML页面的技巧来获取访问辅助服务的权限,以及一种干扰生物识别操作的方法,来窃取PIN码并随意解锁设备。为防范变色龙威胁,用户应避免从非官方渠道下载APK,因为这是Zombinder服务的主要分发方式。
来源:https://www.freebuf.com/news/387465.html
4.2.4.这个被禁售的黑客小工具,曾让苹果用户崩溃
当你正开心地用手机看小说、新闻...忽然出现一个弹窗,提示“不是你的AirPods”,接下来你的iPhone不仅跳出AirPods弹窗,还有AirPods Pro的弹窗,甚至还有Apple TV...显然,这不是一个正常现象。一般我们称之为“弹窗攻击”。而实现这一攻击的核心,就是这个小工具——Flipper Zero。FlipperZero让苹果用户崩溃的原因很简单,它可以轻松写入代码从而控制各种协议,而苹果蓝牙协议就是其中之一。轻松让iPhone用户体验一波绝望和崩溃。而对于攻击者本人来说,它的目的可能仅仅是为了“测试设备或好玩”,并不会对用户造成数据泄露、财产损失等实质性伤害。据国外科技媒体报道,苹果日前发布的 iOS 17.2 更新,已经缓解了 Flipper Zero 相关的漏洞,可以让 iPhone 抵御相关的攻击。虽然弹窗依然会出现,但不会导致锁定等崩溃情况。对于普通用户来说,该更新有点不治标的问题,弹窗依旧会让用户感到极度不适,以及无法使用手机,因此想要彻底解决这一问题的办法只能是——关掉蓝牙。
来源:https://www.freebuf.com/articles/neopoints/387094.html
来源:数据安全共同体计划