1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.工业和信息化部公布2023年工业和信息化领域数据安全典型案例名单
1月4日,根据《工业和信息化部办公厅关于组织开展2023年工业和信息化领域数据安全典型案例遴选工作的通知》,经申报推荐、形式审查、专业初审、专家评审和网上公示,工业和信息化部确定了2023年工业和信息化领域数据安全典型案例名单,现予以公布。请各单位结合工作实际,加强宣传推广,进一步提升工业和信息化领域数据安全保护水平。
来源:https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_a33687acf8b74cb8ac95b421e5a15ceb.html
1.1.2.财务部资产管理司有关负责人就印发《关于加强数据资产管理的指导意见》答记者问
为深入贯彻落实党中央决策部署,规范和加强数据资产管理,更好推动数字经济发展,近日,财政部制定印发了《关于加强数据资产管理的指导意见》(以下简称《指导意见》)。1月11日,财政部资产管理司有关负责人就《指导意见》有关问题回答了记者提问。解读指出,为促进数据合规高效流通使用,财政部制定《指导意见》,明确了数据的资产属性,提出依法合规推动数据资产化,平等保护各类主体数据资产合法权益,鼓励公共服务机构将依法合规持有或控制的、具有资产属性的公共数据资源纳入资产管理范畴,进一步创新数据资产管理方式方法,加强数据资产全流程管理,严防数据资产应用风险等,更好促进数字经济高质量发展。制定《指导意见》既是促进数字经济发展的客观需要,也是加强数据资产管理的现实要求。解读还回答了《指导意见》的出台背景、主要遵循的原则、主要内容以及需要说明的事项。
来源:https://zcgls.mof.gov.cn/zhengcefabu/202401/t20240111_3925713.htm
1.1.3.四川印发《关于推进数据要素市场化配置综合改革的实施方案》
1月2日,为加快推进省内数据要素市场化配置综合改革,做强做优做大数字经济,根据中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》《关于构建数据基础制度更好发挥数据要素作用的意见》等文件精神,四川省结合本省实际情况,制定《关于推进数据要素市场化配置综合改革的实施方案》(以下简称《实施方案》)。《实施方案》共二十二条,通过总体要求、强化数据要素供给、构建数据要素流通体系、推动数据要素创新应用、构建数据制度标准规范、健全数据安全治理体系和安全保障七个方面构建与高质量发展要求相适应的数据要素市场化配置体制机制。
来源:https://www.scdsjzx.cn/scdsjzx/tongzhigonggao/2024/1/2/132bc6458f3148f09dfae7db5ba98408.shtml
1.2.国外数据安全政策与法律法规动态
1.2.1.美国联邦贸易委员会(FTC)对X-Mode Social和Outlogic提出收集和出售位置数据的拟议命令
1月9日,美国联邦贸易委员会(Federal Trade Commission)宣布已发布一项拟议命令,禁止 X-Mode Social,Inc. 及其继任者 Outlogic, LLC. 共享或出售任何敏感位置数据,以解决有关该公司在未事先获得消费者知情同意的情况下出售敏感位置数据的指控,违反了《联邦贸易委员会法》(FTC 法案)。拟议命令要求X-Mode/Outlogics 除其他事项外,删除或销毁其之前收集的所有位置数据以及由这些数据生产的任何产品,除非获得消费者同意或确保数据已去标识化或变得不敏感;为消费者提供一种简单易用的方式,以撤回他们对收集和使用其位置数据以及删除先前收集的任何位置数据的同意;建立并实施全面的隐私计划,以保护消费者个人信息的隐私,并制定数据保留时间表;制定供应商评估计划,以确保向 X-Mode/Outlogic 提供位置数据的公司获得消费者的知情同意,以收集、使用和销售数据或停止使用此类信息。
来源:https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-order-prohibits-data-broker-x-mode-social-outlogic-selling-sensitive-location-data
1.2.2.肯尼亚数据保护专员办公室(ODPC)发布数据保护指导说明
1月8日,肯尼亚数据保护委员会办公室(ODPC)通过 LinkedIn 帖子宣布,它已针对教育部门、通信部门、数字信贷提供商和健康数据处理发布了针对特定行业的指导说明。这些指导说明旨在帮助这些行业理解和遵守数据保护有关法律。这使得已发布的指导说明总数达到8份,此外ODPC还发布了关于数据保护影响评估(DPIA)、同意、数据控制者和数据处理者的注册以及选举目的的指导说明。
来源:ttps://www.linkedin.com/posts/office-of-the-data-protection-commissioner_guidelines-activity-7150034202371989504-xU0N/utm_source=share&utm_medium=member_desktop
1.2.3.丹麦数据保护机构发布管理不同类型数据泄露的指南
1月8日,丹麦数据保护机构(Datatilsynet)宣布发布关于管理数据泄露的指南,主要针对负责组织政策、程序、培训和 IT 设置的员工,以防止个人数据安全遭到破坏。指南重点介绍了典型的数据泄露,并就可以采取的安全措施提供建议,以降低数据泄露的风险。
来源:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/de-10-brud
1.2.4.欧盟和日本签署协议,将跨境数据流纳入相关协定
1月31日,欧盟理事会轮值主席国比利时代表欧盟签署了一项议定书,将跨境数据流动条款纳入欧盟与日本经济伙伴关系协定。该协议将提供更大的法律确定性,确保欧盟和日本之间的数据流动不会受到不合理的数据本地化措施的阻碍,并根据欧盟和日本关于数据保护和数字经济的规则,从数据自由流动中受益。
来源:https://www.consilium.europa.eu/en/press/press-releases/2024/01/31/eu-japan-economic-partnership-agreement-eu-and-japan-sign-protocol-to-include-cross-border-data-flows/
2、人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.住建部通报房地产中介行业侵犯公民个人信息违法违规典型案例
1月22日,住房城乡建设部办公厅发布《关于房地产中介行业侵犯公民个人信息违法违规典型案例的通报》,针对少数房地产中介机构及从业人员利用职务上的便利非法收集、使用、买卖公民个人信息问题,通报上海、广东、湖南等地5起违法违规典型案例,发挥警示教育作用。
通报中,有3起案例涉及房产经纪公司员工非法获取业主个人信息,非法获取的方式包括购买、收受、交换等方式;有2起案例涉及房产经纪公司员工非法出售业务个人信息,包括通过员工账号和权限访问内部大数据平台,导出业主个人信息并对外出售;有1起案例为房产经纪公司员工私自留存业主信息用于开展业务。
来源:https://www.mohurd.gov.cn/gongkai/zhengce/zhengcefilelib/202401/20240122_776311.html
2.1.2.上海网信部门处罚未尽消费者个人信息保护义务单位
1月29日,上海市网信办在“亮剑浦江”消费领域个人信息权益保护专项执法行动“回头看”检查阶段发现,部分企业虽然已被约谈要求整改或接受过普法培训,仍然存在对消费者个人信息收集存储不合规、制度规范不健全、管理措施不到位、安全防护不严密等问题,依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。
通报指出,在收集环节,部分企业存在强制索要、过多索要个人信息问题;在存储环节,部分企业仍然存在个人信息未加密的问题;在使用传输环节,部分企业存在个人信息的使用和传输环节内控制度不严格、随意授权放权管理不到位的问题;在管理制度上,部分企业存在个人信息保护制度不完善、个人信息保护措施明显缺失的问题;在安全防护上,部分企业的网络信息系统仍然存在安全漏洞。
来源:https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA
2.2.国外个人信息保护政策与法律法规动态
2.2.1.EDPS要求进一步说明欧盟与日本就跨境数据流动问题进行谈判的原因
1月10日,欧盟数据保护监管机构(EDPS)就签署和缔结欧盟与日本经济合作协定(以下简称“EPA”)关于数据自由流动的修订议定书发布了第3/2024号意见。
意见指出修订议定书主要对欧盟和日本之间的跨境数据流动进行了规定,但欧盟委员会已经与日本达成了充分性决定,建议进一步解释为什么在存在充分性决定的前提下,仍有必要就跨境数据流动进行进一步谈判,并认为修订议定书给欧盟在与欧盟贸易协定有关的个人数据保护方面的立场带来了法律上的不确定性,并有可能与欧盟数据保护法产生冲突。
来源:
https://www.dataguidance.com/news/eu-edps-seeks-clarifications-reasons-negotiations-cross
2.2.2.意大利数据保护机构初步认定OpenAI违反GDPR
1月29日,意大利数据保护机构(Garante)宣布OpenAI开发的聊天机器人ChatGPT的调查结果,认定其违反欧盟《通用数据保护条例》(GDPR),OpenAI可在30天内对前述审查结果进行辩护。
2023年3月,Garante对OpenAI数据泄露事件进行调查,并在随后禁止使用ChatGPT应用程序,限制OpenAI处理意大利用户数据。相关调查结果指控OpenAI存在未向用户公开数据处理方式、用途、逻辑以及第三方使用信息,大规模收集个人信息用于训练算法的法律依据不足,没有采取对用户年龄的验证措施等涉嫌违反GDPR的行为。2023年4月,Garante虽然认可OpenAI在意大利重新恢复服务功能,但仍继续调查OpenAI涉嫌违规行为。
来源:https://www.dataguidance.com/news/italy-garante-notifies-openai-complaint-potential
3、国内外数据安全相关事件
3.1.国内数据安全相关事件
3.1.1.台湾虎航85.8万条数据泄露
据报道,2024年1月9日,台湾虎航85.8万条数据泄露,泄露的数据包含客户数据和航班预定数据。泄露的客户数据包括id、账户、密码、国籍、姓名、性别、生日、电子邮件、护照号码、护照过期日期、重置密码代码、创建时间等详细信息。而预定数据则包括id、创建者、创建日期、更新者、预订Id、预订参考号、电子邮件地址、乘客数量、产品类别、已创建的代理名称等信息。台湾虎航是一家廉价航空公司,总部位于桃园国际机场。
来源:https://www.163.com/dy/article/IO1MCTVC0511A5GF.html
3.2.国外数据安全相关事件
3.2.1.音乐翻录软件因配置错误或造成280GB数据泄露
据外媒报道,音乐翻录软件TuneFab被曝出因数据库配置不当疑似可能导致280GB数据泄露。TuneFab在今年9月26日错误地配置了MongoDB数据库文件,从而使自家数据库处于“无密码”状态。据称,事件涉及的280GB数据包含用户个人数据,内含超过 1.51亿条用户IP、ID、邮箱地址等信息。
来源:https://cybernews.com/news/spotify-music-converter-puts-users-at-risk/
3.2.2.MyEstatePoint应用MongoDB服务器泄露近50万用户信息
据媒体1月5日报道,一体化房地产应用MyEstatePoint Property Search的MongoDB服务器配置错误,用户的信息泄露。该应用在Google Play商店的下载量超过50万次,主要服务于印度市场。Cybernews于2023年11月6日发现了公开的MongoDB服务器,包含超过497000个用户的信息,涉及姓名、邮件地址和明文密码等。
来源:https://cybernews.com/security/myestatepoint-property-search-app-data-leak/
3.2.3.Bit24.cash配置错误泄露近23万用户的护照等信息
媒体1月7日称,伊朗加密货币交易所Bit24.cash配置错误,泄露了大量用户的信息。研究人员发现了一个配置错误的MinIO实例,允许访问包含该平台KYC数据的S3存储桶。这种错误配置影响了约230000名伊朗公民,泄露了他们的护照、身份证和信用卡等信息。研究人员表示,由于涉及KYC验证数据,可能构成严重威胁,例如身份盗用、欺诈交易和网络钓鱼攻击等。
来源:https://coinjournal.net/news/bit24-cash-faces-backlash-after-reports-of-kyc-data-breach/
3.2.4.巴西某公开的Elasticsearch实例包含2.23亿条公民信息
据媒体1月11日报道,这次数据泄露暴露了超过 2.23 亿条信息,表明巴西全体人口可能都受到了影响。数据包含全名、出生日期、性别和公积金号码(Cadastro de Pessoas Físicas,CPF)(巴西的 11 位纳税人识别号码)等信息。
来源:https://cybernews.com/security/brazil-data-leak-cpf-card/
3.2.5.研究团队发现超级数据泄露合集,达12TB涵盖260亿条数据
1月22日,这次超大规模泄露包含来自之前多次泄露的数据,其中包含令人震惊的 12 TB 信息,涵盖令人难以置信的 260 亿条数据。这次超大规模泄露包含来自之前多次泄露的数据,其中包含令人震惊的 12 TB 信息,涵盖令人难以置信的 260 亿条数据。几乎可以肯定,这次泄漏是迄今为止发现的最大的一次数据泄露。据称有数亿条数据来自微博 (504M)、MySpace (360M)、Twitter (281M)、Deezer (258M)、Linkedin (251M)、AdultFriendFinder (220M)、Adobe (153M)、Canva (143M) 、VK (101M)、Daily Motion (86M)、Dropbox (69M)、Telegram (41M) 以及许多其他公司和组织。此次泄露还包括美国、巴西、德国、菲律宾、土耳其和其他国家各个政府组织的记录。
来源:https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/
3.2.6.BuyGoods配置错误泄露198GB内部数据和用户信息
1月24日,网络安全研究员 Jeremiah Fowler 最近发现了一个配置错误的云数据库,导致大量敏感数据暴露。受影响的数据库包含归属于全球零售商BuyGoods.com。暴露的数据库大小总计 198.3 GB,缺乏任何形式的安全认证,可供公众公开访问。这个未受保护的数据库中有超过 260,000 条记录,包括有关联营公司付款、退款交易、发票、会计记录和各种其他形式的数据的详细信息。暴露的服务器还暴露了客户和附属公司的个人记录,包括客户的自拍照以及他们的个人身份证、执照、护照,甚至未经编辑的信用卡详细信息。
来源:https://www.hackread.com/online-retailer-buygoods-com-pii-kyc-data-leak/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于侵害用户权益行为的APP(SDK)通报(2024年第1批,总第36批)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”“关不掉”以及违规收集使用个人信息等问题进行检查,共发现31款APP及SDK存在侵害用户权益行为并予以通报。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_a6f9db30756c4464804355afb64723ff.html
4.1.2.工信部:应用商店在架APP抽检合格率提升20%
1月19日,国务院新闻办公室举行新闻发布会,介绍2023年工业和信息化发展情况。指出与过去相比,网络覆盖更广更深,服务水平提质增效,电信业务便利化大幅提升。问题整治走深向实,着力强化APP全流程、全链条治理,应用商店在架APP抽检合格率提升20%。下一步,工信部将重点做好三个方面的工作:一是坚持供给与体验并重,深化数字惠民利民;二是坚持规范与引导并重,推动行业健康发展;三是坚持善治与共治并重,提升综合治理效能。
来源:https://finance.sina.com.cn/tech/roll/2024-01-19/doc-inaczvhe0782673.shtml
4.1.3.抖音启动2024年寒假未成年人保护专项治理 重点打击低俗内容
近日,抖音启动“2024年寒假未成年人保护专项治理”,针对与未成年人有关的卖惨引流、诱导不良行为、散布不良文化、传播不良价值观等违规内容进行重点打击。据介绍,平台将从事前预防、事中监管、事后处置等多个环节严密防范,深入挖掘清理,对违规内容进行拦截、下架等处置,并对相关账号升级处罚力度,全方位守护“数字原住民”。
来源:https://news.cnstock.com/news,bwkx-202401-5177146.htm
4.1.4.蜜雪冰城遭证监会“追问”!涉及用户个人信息安全
近日,证监会官网发布的《境外发行上市备案补充材料要求公示》显示,蜜雪冰城被证监会要求补充材料,具体涉及用户个人信息安全。《公示》显示,证监会国际司要求蜜雪冰城补充说明开发、运营的网站、APP、小程序等产品情况,收集和存储用户信息规模、数据收集使用情况,是否存在向第三方提供信息的情形,以及上市前后个人信息保护和数据安全的安排或措施。
来源:http://finance.ce.cn/stock/gsgdbd/202401/23/t20240123_38877779.shtml?ivk_sa=1023197a
4.2.国外移动互联网安全热点
4.2.1.美国媒体:苹果Vision Pro可能有严重的隐私敏感数据泄露问题
苹果对空间计算并不陌生。Apple Vision Pro及其visionOS平台的出现把苹果所谓的空间计算提升到了一个全新的高度,其搭载的一系列的传感器可用于确定关于用户及其周围环境的各种数据。但从用户眼睛上收集的数据则最令人担忧,这不仅会带来有针对性的广告和行为分析,并且可能泄露敏感的健康信息。尽管苹果限制开发者访问和使用Vision Pro的传感器和摄像头,然而第三方应用程序依然能够收集大量的实时数据,而它们又能根据获取的数据推断出什么,这是一个值得关注的问题。
来源:https://baijiahao.baidu.com/s?id=1788232841014992498&wfr=spider&for=pc
4.2.2.一条隐形短信让iPhone变“终极监控工具”,附近设备信息都能获取!苹果惊人漏洞历时4年才被发现
近日,知名安全公司卡巴斯基曝光:恶意者只需知道目标人士的电话号码或AppleID名称,即可向苹果手机用户发送一条不可见的iMessage信息。接收者这边,什么都不需要做,这条信息隐藏的病毒就能开始自动工作。它能收集受害者手机上几乎一切信息,包括地理位置、所有文件和数据、WhatsApp/iMessage/Telegram等程序内容、从摄像头和麦克风获取的信息甚至是附近其他苹果设备的东西。目前,以上漏洞已被苹果修复。
来源:https://www.thepaper.cn/newsDetail_forward_25888960
4.2.3.苹果 Magic Keyboard 曝出大 Bug
苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6,解决了蓝牙键盘注入漏洞问题(漏洞被追踪为 CVE-2024-0230)。据悉,该安全漏洞是一个会话管理问题,威胁攻击者能够利用漏洞获取键盘物理访问权限,窃取其蓝牙配对密钥并监控蓝牙通信。
来源:https://www.163.com/dy/article/IOJ65N3T05533NM1.html
4.2.4.苹果修复了2024年利用的首个零日漏洞
据报道,苹果Apple 发布了安全更新,以解决今年首个可能针对 iPhone、Mac 和 Apple TV 攻击中所利用的零日漏洞。修复的零日漏洞被追踪为CVE-2024-23222 [ iOS、macOS、tvOS、Safari ],是一个 WebKit 混淆漏洞,攻击者可以利用该漏洞在目标设备上获得代码执行。成功利用该漏洞后,威胁分子可以打开恶意网页后在运行易受攻击的 iOS、macOS 和 tvOS 版本的设备上执行任意恶意代码。虽然此零日漏洞可能仅用于有针对性的攻击,但依旧强烈建议用户尽快进行新的安全更新。
来源:https://www.4hou.com/posts/PKv2
4.2.5.Apple 宣布在欧盟地区对 iOS、Safari 浏览器和 App Store 进行更改
Apple 1月25日宣布遵循《数字市场法案》,在欧盟地区对 iOS、Safari 浏览器和 App Store 进行更改,这将对开发者的 app 带来影响。这些更改包括 600 多个新 API、拓展的 app 分析、支持替代浏览器引擎的功能,以及处理 app 支付和发行 iOS app 的新选项。对于每项更改,Apple 都将加入新的防护措施,以降低 《数字市场法案》 对欧盟用户造成的新风险——但无法完全消除这些风险。
来源:https://www.apple.com.cn/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/
来源:数据安全共同体计划