欢迎您访问河南省工业信息安全产业发展联盟网站!
联盟公众号
数据安全新动态(2024年4月)

1. 国内外数据安全政策动态

1.1.国内数据安全政策与法律法规动态

1.1.1.2024年全国数据工作会议召开

4月1日,2024年全国数据工作会议在北京召开。本次会议总结了2023年数据工作情况,并安排部署2024年重点工作:一要健全数据基础制度;二要提升数据资源开发利用水平;三是要以数字化赋能高质量发展;四要促进数据科技创新发展;五要优化数据基础设施布局;六要强化数据安全保障能力;七要提升数据领域国际合作水平;八要发挥试点试验的引领作用。

来源:https://mp.weixin.qq.com/s/diEmFKPROI0nKNLPDZT3dg

1.2.国外数据安全政策与法律法规动态

1.2.1.爱沙尼亚新闻部发布数据安全建议

4月5日,爱沙尼亚数据保护监察局(DPI)根据最近的数据泄露发布了数据安全建议。爱沙尼亚新闻部建议采取以下措施:确保对个人数据进行强加密,并在长期存储特别敏感数据的情况下,考虑使用假名化;使用强密码规则或至少双因素身份验证;使用有效的监控系统和日志来监控系统活动;制定合理明确的事件响应计划;增强员工意识;进行定期测试和审计,以识别系统中的潜在弱点;让数据保护专家参与早期解决数据安全问题;应用公认的标准,如爱沙尼亚信息安全标准或ISO-27001;记录所有已采取的措施和事件说明。

来源:https://www.aki.ee/uudised/andmeturbe-soovitused

1.2.2.法国数据保护机构发布人工智能系统发展建议

4月8日,法国数据保护机构(CNIL)发布了关于人工智能(AI)系统发展的建议,以适应即将生效的新欧洲人工智能法规。初步基于AI系统开发的全流程提出了七步建议:明确AI训练的目的目标、明确角色与责任、确定数据处理的合法性依据、确保重新使用数据用于AI训练的合法性、确保数据最小化、明确数据留存期限、开展数据保护影响评估DPIA。

来源:https://www.cnil.fr/fr/les-fiches-pratiques-ia

1.2.3.以色列隐私保护局发布源代码安全风险管理指南

4月10日,以色列隐私保护局(PPA)发布了在数据库系统中使用开源代码时管理信息安全风险的指南。该指南就如何使用开源代码并将其集成到系统中提供了建议和说明,强调了使用开源代码的安全风险,例如:缺乏对组件的了解、缺乏足够的维护和支持、对数据库已知弱点的未受控访问、未知的零日漏洞和后门。同时,PPA建议在纳入开源代码之前通过设计实现隐私。

来源:https://www.gov.il/he/pages/open_source_code

2. 个人信息保护政策与法律法规动态

2.1.国内个人信息保护政策与法律法规动态

2.1.1.国家金融监督管理总局发布《反保险欺诈工作办法(征求意见稿),涉及多项个人信息保护要求

4月11日,为防范化解保险欺诈风险,保护保险消费者合法权益,推进保险业高质量发展,国家金融监督管理总局发布《反保险欺诈工作办法(征求意见稿)》,面向社会公开征求意见。《征求意见稿》共六章37条,包括总则、反欺诈监督管理、保险机构欺诈风险管理、反欺诈行业协作、反欺诈各方协同、附则等内容。

就个人信息保护,《征求意见稿》第10条将个人信息保护情况列入检查和评价保险机构欺诈风险管理体系的健全性和有效性的重要内容;第19条要求保险机构应依法处理和使用消费者个人信息和行业数据信息,保证数据安全性和完备性;第27条要求银保信公司、地方保险行业协会和反欺诈组织、保险机构等应严格遵守个人信息保护法律法规,加强个人信息全生命周期管理,建立信息收集、存储、使用、加工、传输、提供、删除等制度机制,明确信息使用用途和信息处理权责,严格管控信息使用的范围和权限。未经信息主体授权或法律法规许可,任何机构不得以书面形式、口头形式或者其他形式对外公开、提供个人信息。

来源:https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1157937&itemId=951&generaltype=2

2.1.2.国家标准《数据安全技术 基于个人请求的个人信息转移要求》公开征求意见

4月3日,全国网络安全标准化技术委员会公开发布国家标准《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿》。《征求意见稿》明确,该国家标准规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。主要内容包括个人信息转移的适用范围、个人信息转移行使的条件、个人信息转移行使流程的一般性要求、个人信息转移的自动化处理要求、对代理人或代理机构的要求、不满十四周岁未成年人个人信息转移请求处理的要求、涉及第三方的个人信息转移请求处理的要求、完全以个人信息主体为中心模式的个人信息转移要求、个人信息转入方积极主动模式的个人信息转移要求、代理模式的个人信息转移要求等内容。

来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240403144959&norm_id=20231220162250&recode_id=54528

2.2.国外个人信息保护政策与法律法规动态

2.2.1.美国公布《美国隐私权利法案(草案)》

4月7日,美国参议院商务、科学和交通委员会主席Maria Cantwell和众议院能源和商务委员会主席Cathy McMorris Rodgers公布了《美国隐私权利法案(草案)》(The American Privacy Rights Act of 2024)。该草案为美国人制定了明确的国家数据隐私权和保护措施,取缔了现有的各州数据隐私法拼凑构成数据隐私体系的现状,并建立了强有力的执法机制来追究违法者的责任。

具体来说,《草案》确立美国统一的基础数据隐私权,包括赋予个人控制器个人数据的权利,通过制定高于各州的国家隐私保准,取缔目前各州法律数据隐私体系,要求公司收集、保留和使用的数据符合最小必要,并仅限于公司为提供产品和服务实际所需。同时,《法案》明确赋予美国人控制其个人数据去向的权利,包括阻止数据传输或出售;允许个人在公司改变其隐私政策时选择“opt out”;为敏感数据提供更严格的保护,在向第三方传输敏感数据之前,需要确定的明示同意;要求公司允许个人访问、更正、删除和导出其个人数据;允许个人选择关闭定向广告等。另外,《法案》还规定了赋予美国人行使数据隐私权的能力、保护美国人的公民权利、追究公司责任并确立数据安全义务等内容。

来源:https://www.commerce.senate.gov/2024/4/committee-chairs-cantwell-mcmorris-rodgers-unveil-historic-draft-comprehensive-data-privacy-legislation

2.2.2.美国议员引入《儿童和青少年在线隐私保护法》众议院配套法案

4月9日,美国参议员爱德华-马基和比尔-卡西迪以及美国众议员凯西-卡斯特和蒂姆-沃尔伯格宣布引入《儿童和青少年在线隐私保护法》的众议院配套法案(House companion bill of the Children and Teens’ Online Privacy Protection Act),拟对1998年《儿童在线隐私保护法》(COPPA)进行修订。

《法案》明确,对于儿童或青少年的网站、在线服务、在线应用程序或移动应用程序的运营者,或已知或应知用户是儿童或青少年的网站、在线服务、在线应用程序或移动应用程序的任何运营者,不应为了对儿童或青少年进行个性化广告目的而收集、使用、向第三方披露或保留个人信息;除非收集行为符合特定交易或服务的背景(包括为履行交易或提供产品或服务所必需的收集),或者符合联邦或州法律的要求或特别授权,不得收集儿童或青少年的个人信息;运营者未提供通知的情况下,不得将儿童或青少年的个人信息存储或传输到美国以外;保留个人信息的时间不得超过完成儿童或青少年所请求的履行的交易或提供的服务所合理需要的时间。

来源:https://www.markey.senate.gov/download/coppa-20-bill-text

3. 国内外数据安全相关事件

3.1.国外数据安全相关事件

3.1.1.美国电信巨头AT&T被曝数据泄露 涉7300万用户

据多家美国媒体报道,美国电话电报公司早些时候发生一起数据泄露事件,初步调查显示,这些数据的时间大约来自2019年或者更早的时间,影响范围包括大约760万名当前客户和6540万前客户,内容包括姓名、电邮地址、出生日期等个人信息,不包含个人财务信息。

来源:https://www.bleepingcomputer.com/news/security/att-now-says-data-breach-impacted-51-million-customers/

3.1.2.北美最大的家居装修零售商家得宝确认第三方数据泄露导致其员工信息泄露

4月7日,北美最大的家居装修零售商Home Depot已确认,其一家SaaS供应商错误地泄露了一小部分有限的员工数据样本,大约10,000名家得宝员工的数据在黑客论坛上被公开。数据主要为公司ID、姓名和电子邮件地址。

来源:https://www.bleepingcomputer.com/news/security/home-depot-confirms-third-party-data-breach-exposed-employee-info/

3.1.3.出租车公司iCabbi的近30万名乘客数据遭泄露

网络安全研究人员发现,出租车公司iCabbi的近30万名出租车乘客的数据遭到了重大泄露。他们在iCabbi公司中发现了一个没有密码保护的数据库,其中包含姓名、电话号码和电子邮件地址等个人信息。

来源:https://www.infosecurity-magazine.com/news/data-breach-exposes-300k-taxi/

3.1.4.印度消费电子厂商 boAt 遇重大数据泄露 超750万人波及

4月8日,印度电子产品制造商boAt遭遇重大数据泄露,估计有超过750万用户的个人信息遭到泄露,涉及用户的敏感个人身份信息(PII),例如姓名、地址、电话号码、电子邮件地址、用户 ID 等。

来源:https://cybersecuritynews.com/massive-boat-data-breach/

4. 移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.上海、深圳、苏州、杭州等多地酒店入住不再要求“强制刷脸”

在酒店办理入住登记时,很多旅客都习惯了“刷脸”。不过上海近日发布,严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验。事实上,不只是上海,国内多地已开始调整此项政策。深圳、杭州、苏州等地多个酒店明确:不再要求“强制刷脸”,只需要登记身份证即可入住。

来源:https://www.zsnews.cn/news/index/view/cateid/37/id/726469.html

4.1.2. 10款移动App存在隐私不合规行为被通报

国家计算机病毒应急处理中心近期通过互联网监测发现10款移动App存在隐私不合规行为。在此提醒广大手机用户,首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

来源:https://baijiahao.baidu.com/s?id=1797568621309776275&wfr=spider&for=pc

4.2.国外移动互联网安全热点

4.2.1.花钱免追踪?Meta 隐私条款遭强烈抵制

国家计自Facebook母公司Meta在 2023 年被欧盟数据保护机构认定「出售用户数据作为其主要盈利来源」的行为违法后,该公司另辟蹊径,面向欧盟用户推出「付费或同意(Pay or Okay)」模式,让用户可以付费摆脱因广告目的而被跟踪的网络活动。但这一模式正面临来自欧盟监管机构的压力,且自Meta推出这一措施以来,已陆续引起十几位欧洲政界人士的强烈反对,他们指责这家社交媒体巨头将人权视为商品。

来源:https://www.freebuf.com/news/398558.html

4.2.2.无法禁用,苹果强制收集用户数据和隐私信息

苹果手机到底能否为用户保守秘密?近日研究人员研究了八款应用程序,分别是Safari,Siri,家庭共享,iMessage,FaceTime,定位服务,查找和Touch ID。他们发现,无论是iPhone、iPad或MacBook,默认应用程序即使在显示为禁用状态时也会收集用户数据,这表明苹果用户无法完全控制他们的隐私。

来源:https://www.freebuf.com/news/397382.html

4.2.3.又一间谍软件「盯上」苹果公司,波及 92 个国家

近日,苹果公司向 92 个国家和地区的 iPhone 用户发送了紧急通知,警告他们或已成为了「mercenary 间谍软件」攻击的潜在目标。苹果在通知中写道,「mercenary 间谍软件」很可能就用户的身份或工作,开展针对性的攻击活动,请用户认真对待。苹果建议用户立即采取包括在其设备上启用锁定模式,将 iPhone 和任何其它苹果产品更新到最新软件版本,或者寻求网络专家援助等在内的一系列安全防御措施。

来源:https://www.freebuf.com/news/397719.html

来源:数据安全共同计划