1、国内外数据安全政策动态
1.1.国内数据安全政策与法律法规动态
1.1.1.中国民用航空局发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》
3月11日,为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全,促进数据共享,激发数据价值,提升行业治理能力和服务水平,更好支撑民航高质量发展,按照智慧民航建设工作安排,民航局智慧民航建设领导小组办公室组织编制了《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》,意见反馈截止2024年3月22日。《民航数据管理办法》适用于任何在中华人民共和国境内从事的民航数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动。民航数据管理应当遵循统筹谋划、协同共享、应用牵引、便利服务、保障安全的原则。《民航数据共享管理办法》适用范围是依托各级数据共享与服务平台开展数据共享活动的行为。民航数据共享遵循统筹谋划、应享尽享、依法应用和安全可控原则。 来源:https://www.caac.gov.cn/HDJL/YJZJ/202403/t20240312_223180.html 1.1.2.国家标准《数据安全技术 数据分类分级规则》发布 3月15日,全国网络安全标准化技术委员会发布GB/T 43697-2024《数据安全技术 数据分类分级规则》(以下简称《规则》)。《规则》规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,适用于规范各行业各领域、各地区、各部门和数据处理者开展数据分类分级工作;但不适用于涉及国家秘密的数据和军事数据。 来源:https://www.tc260.org.cn/front/postDetail.html?id=20240321160121 1.1.3.国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》公开征求意见 3月22日,为规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益,国家金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》。主要内容包括:明确数据安全治理架构;建立数据分类分级标准;强化数据安全管理;健全数据安全技术保护体系;加强个人信息保护;完善数据安全风险监测与处置机制;明确监督管理职责。 来源:https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155866&itemId=915 1.1.4.国家互联网信息办公室公布《促进和规范数据跨境流动规定》 3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。 《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估;《规定》规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;《规定》设立自由贸易试验区负面清单制度;《规定》明确了应当申报数据出境安全评估的两类数据出境活动条件;《规定》同时对数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等作了规定。 来源:https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm 1.1.5.自然资源部印发《自然资源领域数据安全管理办法》 为规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,自然资源部于3月22日印发《自然资源领域数据安全管理办法》(以下简称《办法》),要求自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。《办法》明确自然资源领域数据的概念,提出数据分类分级管理、数据全生命周期安全管理和数据安全监测预警与应急管理方面的要求。 来源:http://gi.mnr.gov.cn/202403/t20240328_2840784.html 1.2.国外数据安全政策与法律法规动态 1.2.1.欧盟委员会提议加拿大和欧盟就PNR数据传输达成新协议 3月4日,欧盟委员会宣布通过并向欧盟理事会提交了加拿大与欧盟之间关于转移和处理乘客姓名欧洲记录数据(Passenger Name European Record,简称“PNR”)的协议的提案。欧盟于2018年6月20日与加拿大展开了新的谈判,寻求纳入欧盟法院(CJEU)要求的保障措施,并于2023年10月11日敲定了初步协议。提交给理事会的最新提案包括但不限于以下新谈判的内容:明确处理的目的,包括在出于其他目的进行处理时的事先审查;禁止加拿大处理敏感数据;包括独立公共当局对加拿大合规情况的监督;通知个人;为个人提供数据主体权利行使机制;将自动化处理限制为仅基于非歧视性和可靠的标准;确定最长保留期;在将PNR数据转发给其他政府机构时,需要采取适当的保护措施。 来源:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=comnat:COM_2024_0094_FIN 1.2.2.西班牙数据保护局发布关于GDPR在处理安全和数据泄露方面的义务的博客 3月13日,西班牙数据保护局(AEPD)发布了一篇关于个人数据泄露的博客。该博客强调了《通用数据保护条例》(GDPR)规定的控制者有义务实施适当的技术和组织措施来保护个人数据。该博客指出,专注于处理的安全性比仅专注于系统的安全更全面;同时该博客称GDPR的适用范围是处理个人数据,可以被理解为是最终的并具有特定目的,而其他法规如网络安全或最近批准的欧盟人工智能法案(AI Act)的适用范围是面向信息和通信系统。 来源:https://www.aepd.es/en/press-and-communication/blog/personal-data-breach-security-focused-on-processing 2、个人信息保护政策与法律法规动态 2.1.国内个人信息保护政策与法律法规动态 2.1.1.《消费者权益保护法实施条例》公布,细化和补充消费者个人信息保护义务要求 3月19日,国务院公布《中华人民共和国消费者权益保护法实施条例》(以下简称《条例》),共7章53条,自2024年7月1日起施行。《条例》进一步细化和补充经营者义务相关规定、完善网络消费相关规定、强化预付式消费经营者义务、规范消费索赔行为,并明确政府消费者权益保护工作职责。 针对过度收集消费者个人信息等问题,《条例》第二十三条明确经营者应当依法保护消费者的个人信息。经营者在提供商品或者服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。经营者处理包含消费者的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息等敏感个人信息的,应当符合有关法律、行政法规的规定。 来源:https://www.gov.cn/yaowen/liebiao/202403/content_6940206.htm 2.1.2.中消协发布2023“消费维权十大典型司法案例”,一案涉及扫码点餐个人信息保护纠纷 3月15日,中国消费者协会发布2023年“全国消费维权十大典型司法案例”,其中一案为个人信息保护纠纷案,涉及手机扫码点餐服务中个人信息收集、使用及存储问题。 该案中,被告推出送手机扫码点餐服务,要求消费者使用微信扫描二维码并关注公众号进行线上点餐,如不同意授权获取个人信息,则无法使用该服务。原告在被告门店用餐时选择了手机扫码点餐,并在此过程中成为了公司的会员。后来孔某取消关注公众号,发现个人信息仍被保留在被告处,无法自行删除,并为此起诉。北京市第三中级人民法院作出终审,判决被告向原告书面告知处理孔某个人信息的范围、方式,向原告进行书面赔礼道歉,赔偿原告公证费五千元。 专家认为,消费者选择扫码点餐服务并不代表其同意将部分个人信息权益让渡给商家。经营者通过扫码点餐等方式搜集、处理个人信息时,应当遵循合法、正当、必要原则,并征得消费者同意,不得过度处理。同时,在点餐方式上,消费者享有自主选择权,经营者不得误导和变相强制消费者使用扫码点餐。消费者对其个人信息处理享有知情权,消费者发现经营者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权要求信息处理者及时删除。 来源:https://mp.weixin.qq.com/s/NSdpp_RzLpwBOuNtNLIiNQ 2.2.国外个人信息保护政策与法律法规动态 2.2.1.美国国会众议院通过《保护美国人的数据免受外国对手侵害法案》 3月20日,美国国会众议院以414票对0票的全体一致通过了《2024保护美国人的数据免受外国对手侵害法案》。该法案规定,数据经纪人向北朝鲜、中国、俄罗斯或伊朗或受上述国家控制的实体(如总部设在该国或为该国人所拥有)出售、许可、出租、交易、转让、发布、披露或以其他方式提供居住在美国的个人的特定敏感数据,均属非法行为。其中,敏感数据包括政府颁发的标识符(如社会安全号码)、金融账户号码、生物识别信息、基因信息、精确地理位置信息和私人通信(如短信或电子邮件)。法案将由联邦贸易委员会负责执行。 来源:https://www.congress.gov/bill/118th-congress/house-bill/7520 2.2.2.土耳其公布《个人数据保护法修正案》 3月12日,土耳其个人数据保护局(“KVKK”)发布《刑事诉讼法及若干法律修正案》(以下简称《修正案》),宣布对《个人数据保护法》(以下简称“PDPL”)进行修订。《修订案》第33至36条对PDPL第6、9和18条进行了修改,并引入了新的临时条款。 其中,针对处理特殊类型个人数据的修订,PDPL第6(3)条被修订为禁止处理特殊类型个人数据,但某些情况除外,如明确同意、法律规定、保护重要利益、基于公共数据披露目的、权利保护以及与公共卫生和其他特定领域相关的义务。针对向国外传输个人数据的修订,PDPL第9(1)条被修订为,允许数据控制者和处理者将个人数据传输到国外,但必须符合PDPL第5条和第6条规定的条件,以及目的地国家、国内部门或国际组织的充分性决定。此外,《修正案》对PDPL第9(2)条个人数据保护委员会(以下简称“委员会”)发布的充分性决定进行了修订,概述了对此类决定的定期审查以及委员会修改、暂停或撤销这些决定的权力。《修正案》还对PDPL第9(3)条进行了修订,强调了在作出充分性决定时需考虑的因素,包括互惠性、立法、数据保护机构的存在以及国际协定。PDPL第9(4)条规定了数据控制者和数据处理者在没有个人数据充分性决定的情况下可将数据传输到国外的条件,前提是具备PDPL第5条和第6条规定的条件之一,且数据主体在将被传输到的国家有机会行使其权利并获得有效的法律补救。针对处罚,PDPL第18条第(1)款规定了对不遵守PDPL第9条第(5)款规定的通知义务的处罚,罚款额度为50000至1000000土耳其里亚尔(约合1560至31210美元)。 来源:https://www.dataguidance.com/news/turkey-kvkk-announces-amendments-personal-data 3、国内外数据安全相关事件 3.1.国内数据安全相关事件 3.1.1.台湾省中华电信发生数据泄露事件 据外媒报道,台湾省当地最大的电信服务提供商中华电信股份有限公司发生数据泄露事件,目前被黑客窃取的1.7TB数据已出现在暗网黑客论坛中。报道称,泄露数据可能包含台政府和台军方合同。 来源:https://www.france24.com/en/live-news/20240301-hackers-stole-sensitive-data-from-taiwan-telecom-giant-ministry 3.2.国外数据安全相关事件 3.2.1.流媒体公司Roku超过15000个账户信息泄露 3月13日,流媒体巨头Roku披露了一起影响超过15,000名客户的数据泄露事件。黑客利用“撞库”技术,使用其他数据泄露中泄露的用户名和密码来尝试登录不同服务(如Roku网站)上的账户,来获得未经授权的访问并进行欺诈性购买。 来源:https://www.bitdefender.com/blog/hotforsecurity/hackers-target-roku-15-000-accounts-compromised-in-data-breach/ 3.2.2.法国最大就业机构Travail重大安全漏洞泄露超过4300万个人信息 3月13日,据报道,法国最大的就业机构France Travail因数据安全漏洞导致大量个人信息被暴露,被泄露信息的时间跨度长达20年,包括注册用户的个人详细信息:姓名、社会安全号码、出生日期、电子邮件地址、邮政地址、电话号码和用户标识符。这一事件影响了该国约三分之二的人口。 来源:https://meterpreter.org/france-travail-breach-compromises-data-of-millions/ 3.2.3.数百个网站错误配置Google Firebase,泄露超过1.25亿条用户记录 3月19日,三名网络安全研究人员发现,谷歌用于托管数据库、云计算和应用程序开发的平台Firebase的错误配置实例在公共互联网上暴露了近1900万个明文密码。他们扫描了500多万个域名,发现有916个网站没有启用安全规则或安全规则设置错误。另外,他们还发现了超过1.25亿条敏感用户记录,包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单。 来源:https://www.securityweek.com/misconfigured-firebase-instances-expose-125-million-user-records/ 3.2.4.印度一金融公司泄露用户信息,数据量超过3TB 近日Cybernews研究团队发现,印度一家非银行金融公司IKF Finance一个配置错误的MongoDB数据库实例导致400多万份IKF Finance的文件暴露在公众面前,泄漏了超过3TB的敏感客户和员工数据,可能暴露了其整个用户群体。 来源:https://cybernews.com/security/ikf-finance-passport-data-leak 4、移动互联网安全热点 4.1.国内移动互联网安全热点 4.1.1.国家计算机病毒应急处理中心监测发现14款违规移动应用 国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规以及相关国家标准的要求,近期通过互联网监测发现14款移动App存在隐私不合规行为。 来源:https://www.cverc.org.cn/zxdt/report20240321.htm 4.1.2.工信部关于侵害用户权益行为的APP(SDK)通报 工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”“关不掉”以及违规收集使用个人信息等问题进行检查,共发现31款APP及SDK存在侵害用户权益行为并予以通报。 来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_a6f9db30756c4464804355afb64723ff.html 4.1.3.聚焦315:操控网络水军的主板机;AI“换脸”诈骗 今年的315晚会主题为“共筑诚信 共享安全”,数据安全仍然是重点关注的议题,在晚会开篇便曝光了以主板机为载体的网络黑灰产。同时今年的315信息安全实验室,聚焦了由当下火爆的AI导致的变脸诈骗问题。不难看出,个人信息安全已成为315晚会的重点关注领域,这也从侧面反映出相关网络犯罪人员正不断变着花样,利用泄露的个人信息从事各类网络非法活动,不仅扰乱了正常的网络秩序和氛围,也侵害了消费者的个人生命财产安全,保护网络时代下的消费者权益仍然是一项长期且艰巨的任务。 来源:https://www.freebuf.com/news/395065.html 4.2.国外移动互联网安全热点 4.2.1.苹果曝出两个iOS系统0-Day漏洞 近日,苹果公司发布了紧急安全更新,解决了两个iOS零日漏洞。这些漏洞存在于iOS内核(CVE-2024-23225)和RTKit(CVE-2024-23296)中,威胁攻击者可利用其绕过内核内存保护,这给了具备任意内核读写权限的威胁攻击者可乘之机。 来源:https://new.qq.com/rain/a/20240306A04ETS00 4.2.2.TikTok至暗时刻,因“安全问题”被美国发布禁令 darkreading网站消息,继众议院能源与商务委员会上周通过禁用流行社交媒体平台TikTok的法案后,美国国会于周三投票赞成该法案。该法案规定,任何受“外国”控股的企业需在180天内撤资。法案建议将TikTok出售给一家美国公司,如果字节跳动拒绝出售,美国的应用商店和网络托管服务将被禁止提供TikTok应用,违反规定的公司将面临罚款。近年来TikTok因数据隐私和数据存储问题在全球范围内引起关注,不仅在美国,英国因为该公司去年未能遵守儿童数据保护规定对TikTok进行了巨额罚款。 来源:https://www.freebuf.com/news/394901.html 4.2.3.超火的黑客小工具,可以通过WiFi解锁特斯拉 BleepingComputer消息,一种利用Flipper Zero设备进行的简单钓鱼攻击可能导致特斯拉账户被篡改,甚至能让汽车被解锁并启动。该攻击适用于版本为4.30.6和11.1 2024.2.7的特斯拉应用程序。目前就上述问题已与特斯拉联系,他们是否计划发布OTA更新,引入安全措施以防止这些攻击,但尚未收到回复。 来源:https://www.freebuf.com/news/393813.html 4.2.4.苹果密码重置功能现重大安全漏洞:iPhone用户遭网络钓鱼攻击 近日,部分iPhone用户遭遇了一起利用苹果密码重置功能中的漏洞的网络钓鱼攻击。受影响的用户反馈称,黑客通过这个漏洞让他们在系统中收到数十条系统级提示,并且每条提示都有“允许”和“拒绝”两个选项。如果用户决定不响应这些提示通知,黑客后续会伪装成为苹果售后人员,告知称系统检测到用户设备受到攻击,并要求用户提供短信验证码。 来源:http://news.sohu.com/a/767123151_114822 4.2.5.美国司法部:垄断使iPhone不再安全 过去多年,苹果的iOS生态系统都因技术和商业模式更封闭、(已知)漏洞和恶意软件更少,以及较为严格的应用审核而给人“更安全”的印象,但是近日美国司法部打破了“苹果更安全”的神话,在对苹果公司提起的反垄断诉讼中,司法部的调查结果显示iPhone的垄断已经威胁到了用户的隐私和信息安全。 来源:https://baijiahao.baidu.com/s?id=1794649666218522624&wfr=spider&for=pc 4.2.6.苹果最新M系列芯片发现安全缺陷 据最新报道,研究人员在苹果M系列芯片中发现了一项新的安全漏洞。这个漏洞源于硬件优化功能——数据内存依赖预取器(DMP),它能够预测将要访问的内存地址以提高处理器效率。然而,DMP有时会错误地混淆密钥等敏感数据内容与内存地址指针,从而给攻击者带来了机会。 来源:https://baijiahao.baidu.com/s?id=1794200017858485226&wfr=spider&for=pc 来源:数据安全共同体计划