1.1.1.工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》

2月23日，为贯彻落实习近平总书记关于数据安全的重要指示精神和党中央、国务院决策部署，推动《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法（试行）》等在工业领域落地实施，加快提升工业领域数据安全保护能力，助力工业高质量发展，夯实新型工业化发展的安全基石，工业和信息化部制定并印发《工业领域数据安全能力提升实施方案（2024—2026年）》（以下简称《实施方案》）。《实施方案》从总体要求、重点任务、保障措施三方面提出主要内容：一是总体要求方面，明确了指导思想、基本原则和总体目标，在总体目标中细化了各项关键任务指标。二是重点任务方面，围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项任务。

来源：https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2024/art_f8a92f56ac2b4815877ac60b7c7978bf.html

1.1.2.中国（天津）自由贸易试验区管理委员会印发《中国（天津）自由贸易试验区企业数据分类分级标准规范》

2月5日，为促进和规范中国（天津）自由贸易试验区企业数据安全有序流动，提升数据安全保护能力，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》和《天津市促进大数据发展应用条例》等法律法规和政策规定，天津市商务局、自贸试验区管委会研究制定了《中国（天津）自由贸易试验区企业数据分类分级标准规范》（以下简称《标准规范》）。《标准规范》主要包括实施目的、总体要求、适用范围、总体原则、数据分类机制、数据分级机制等内容。

来源：https://www.china-tjftz.gov.cn/contents/10806/280697.html

1.2.1.美国白宫科技政策办公室（OSTP）发布2024年《关键和新兴技术清单》

2月12日，美国科技政策办公室（OSTP）发布了2024年《关键和新兴技术（CET）清单》，新版CET清单中包含的关键和新兴技术领域包括：高级计算，先进工程材料，先进的燃气轮机发动机技术，高级网络化传感和特征管理，先进制造，人工智能，生物技术，清洁能源发电和储存，数据隐私、数据安全和网络安全技术，定向能，高度自动化、自主和无人系统以及机器人技术，人机工程，高超音速技术，集成通信和网络技术，定位、导航和授时（PNT）技术，量子信息与使能技术，半导体和微电子，空间技术和系统。新版CET清单能为美国政府和机构在技术创新竞争力和国家安全方面的具体措施开辟新途径。 

来源：https://www.whitehouse.gov/ostp/news-updates/2024/02/12/white-house-office-of-science-and-technology-policy-releases-updated-critical-and-emerging-technologies-list/

1.2.2.澳大利亚信息专员办公室（OAIC）发布关于可通知数据泄露的报告

2月22日，澳大利亚信息专员办公室（OAIC）宣布发布了一份关于在2023年7月至12月期间根据可通知数据泄露（NDB）计划收到的通知的报告。OAIC解释说，报告揭示了大多数的多方泄露是由于云端或软件提供商的泄露造成的，这突显了将个人信息处理外包给第三方的风险。报告主要发现了，在7月至12月期间，共有483起数据泄露被报告给OAIC，比2023年上半年报告的泄露增加了19%；恶意或犯罪攻击仍然是数据泄露的主要来源；健康和金融行业是数据泄露的主要报告者等内容。

来源：https://www.oaic.gov.au/newsroom/data-breach-report-highlights-supply-chain-ri

1.2.3.韩国互联网与安全局（KISA）和科学技术信息通信部（MSIT）发布关于数据存储安全的指南

2月28日，韩国互联网与安全局（KISA）和科学技术信息通信部（MSIT）发布了一份关于数据存储安全的指南，提供保护用户数据的安全措施，这些措施与网络附加存储（NAS）服务器的使用有关。KISA和MSIT强调，NAS服务器是连接网络的存储设备，用于存储数据并提供便利，以便从任何地方访问存储的数据；NAS服务器还提供额外的功能，包括网络托管、媒体流和移动应用；并表示由于NAS服务器暴露在外，很容易受到黑客攻击。KISA和MSIT还概述了八项基本的安全规则来应对安全威胁，包括：使用加密；访问控制和权限管理；网络安全；固件和软件；备份和恢复策略；审计日志和监控；使用更新且安全的应用程序；以及防止勒索软件。

来源：https://www.kisa.or.kr/402/form?postSeq=2374&page=1#fnPostAttachDownload

2.1.1.国家邮政局就《寄递服务用户个人信息安全管理办法（征求意见稿）》公开征求意见

为贯彻《中华人民共和国邮政法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《快递暂行条例》等法律法规，保护寄递服务用户个人信息权益，规范寄递企业用户个人信息处理活动，国家邮政局起草了《寄递服务用户个人信息安全管理办法（征求意见稿）》，并于2月1日面向社会公开征求意见。

《寄递服务用户个人信息安全管理办法（征求意见稿）》共32条，明确了寄递企业用户个人信息处理活动的原则和要求，并对寄递企业违法行为实行双罚制：对违法用户个人信息处理的合法条件的、违法用户个人信息保存期限的、未依法履行用户个人信息告知义务的、委托处理用户个人信息未依法履行用户个人信息保护义务的等违法行为，尚未造成用户个人信息泄露、丢失后果的，由邮政管理部门责令寄递企业改正，给予警告，有违法所得的，没收违法所得，对违法处理用户个人信息的寄递服务应用程序责令暂停或者终止提供服务；拒不改正的，并处十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上三万元以下罚款。

来源：https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml

2.1.2.上海市网信办就误导消费者以获取其个人信息行为约谈餐饮连锁企业

2月2日，上海市网信办就误导消费者“入会”以获得消费者个人信息的行为，依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人，要求企业立即整改，对照问题举一反三自查自纠，切实把个人信息保护置于企业运营的重要位置。

根据网民举报并经核实，餐饮连锁企业“半天妖烤鱼”在消费者扫码点餐过程中，微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。

来源：https://mp.weixin.qq.com/s/ZnRT0E3Q2TB1yHqjOttO-w

2.2.1.Uber因司机数据处理违法行为被处1000万欧元罚款

近日，荷兰数据保护局公布对Uber的处罚决定，认为其存在多项违反GDPR的行为，处以1000万欧元罚款。此前，应法国司机对Uber Technologies Inc.和Uber B.V.的投诉，荷兰数据保护局对Uber启动调查。调查认为：其一，Uber司机所使用的申请访问其数据的数字表单并不易于获取，司机需要经过许多步骤、无法直接获取数字表单，因而Uber的行为违反了GDPR第12(2）条关于访问权的规定；其二，Uber提供给司机的信息不够清晰简单，不符合GDPR第12(1）条所规定的要求；其三，Uber仅声明根据特定目的确定个人数据存储时间并非就数据存储期限的标准作出声明，违反了GDPR第13(2)(a）条、第15(1)(a）条和第15(1)(d）条的规定；其四，Uber的隐私政策未说明个人数据会被转移到欧洲经济区之外的哪些国家以及采取的相应措施，未能为数据主体提供确定有何种保障机制可供使用的机会，违反了GDPR第13(1)(f）条的规定；其五，Uber的隐私政策未提及数据可携权，违反了GDPR第13(2)(b）条的规定。

来源：https://www.dataguidance.com/news/netherlands-ap-fines-uber-10m-lack-transparency-about

2.2.2.泰国数字经济和社会部成立个人数据保护中心

近日，泰国数字经济和社会部（“MDES”）成立了个人数据保护法中心（“PDPA中心”），为公民和各机构提供全面的个人数据保护服务，包括接受投诉和提供个人数据保护咨询服务，其具体职能和服务包括：关于PDPA法律的咨询和答疑；接收有关不符合PDPA法律的投诉；个人数据违规行为监督；个人数据保护知识和学术；个人数据保护官协调，并就规范个人数据保护的原则提供建议；推动个人数据保护合作；以及推广个人数据保护标准使用等。

来源：https://www.dataguidance.com/news/thailand-mdes-launches-personal-data-protection-act

4.1.1.CISA 警告已修补的 iPhone 内核漏洞现已被用于攻击

美国网络安全与基础设施安全局（CISA）近日警告称，影响Apple iPhone、Mac电视和手表的已修补内核安全漏洞目前正在被积极利用进行攻击。该漏洞编号为CVE-2022-48618 ，由 Apple 安全研究人员发现，直到1月9日才在2022年12月发布的安全公告更新中披露。该公司尚未透露该漏洞是否在两年多前首次发布该通报时就已被悄悄修补。

来源：https://www.163.com/dy/article/IPUA4DUV05128DFG.html

4.1.2.iOS 17.3已修复，苹果“快捷指令”高危漏洞被披露：可发送敏感数据

网络安全公司 Bitdefender 近日发布博文，详细披露了iOS “快捷指令”应用中的高危漏洞。该漏洞追踪编号为 CVE-2024-23204，CVSS 评分定为 7.5 分（满分为 10 分），主要利用“Expand URL”功能绕过苹果的 TCC 权限系统，将照片、联系人、文件或剪贴板数据等 base64 编码数据传送到网站。攻击者端的Flask程序会捕获并存储传输的数据，以便进行潜在利用。苹果已经于iOS 17.3更新中修复了该漏洞，用户更新 iOS 17.3、iPadOS 17.3 或 macOS Sonoma 14.3 及更高版本，即可免疫该攻击伤害。

来源：https://www.ithome.com/0/751/543.htm

4.1.3.因 Google+ 泄露用户数据，谷歌同意支付 3.5 亿美元和解集体诉讼

2月7日，谷歌同意支付3.5亿美元（约25.2亿元人民币），以解决罗德岛州政府就其前社交网络Google + 个人数据泄露事件提起的诉讼。在该公司于2018年发现数据泄露之前，数百万Google Plus用户的数据已暴露给外部开发人员。

来源：https://baijiahao.baidu.com/s?id=1790197299214432078&wfr=spider&for=pc

4.1.4.首个人脸劫持银行木马诞生：收集面部信息，窃取你的财产

近日，网络安全公司Group-IB发现了首个能够窃取人脸（识别数据）的银行木马程序，被用于窃取用户的个人身份信息和电话号码，以及面部扫描信息。这些图像被换成人工智能生成的深度造假图像，可以轻松绕过银行APP的人脸识别认证。相关研究人员透露，该人脸劫持木马本月早些时候在越南被使用，攻击者诱使受害者进入恶意应用，让他们进行面部扫描，然后从其银行账户中取走了约4万美元资金。

来源：http://finance.ce.cn/stock/gsgdbd/202401/23/t20240123_38877779.shtml?ivk_sa=1023197a 

4.1.5.Android 15首个版本出现问题，谷歌已禁用OTA镜像下载

近日，谷歌发布了首个Android 15开发者预览版（DP1），然而这个版本很快遇到了问题，导致暂时停止了OTA更新包的下载。谷歌在Android开发者官网上表示，移除了Android 15 DP1的OTA更新选项，并禁用OTA镜像下载，以便进一步排查问题。

来源：https://tech.ifeng.com/c/8XLtF8XbrOK