1. 国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》
为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》有关要求,工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》。细则共计十九条,明确评估范围、评估原则、评估内容、结果报送、第三方机构、评估认证等重点内容,自2024年6月1日起正式实施。
来源:https://mp.weixin.qq.com/s/diEmFKPROI0nKNLPDZT3dg
1.1.2.天津自贸试验区数据出境管理负面清单发布
5月9日,中国(天津)自由贸易试验区管理委员会网站发布关于印发《中国(天津)自由贸易试验区数据出境管理清单(2024版)》(以下简称《负面清单》)的通知。这是《促进和规范数据跨境流动规定》实施以来,首个经省级网络安全和信息化委员会批准并报国家网信部门、国家数据管理部门备案的自贸试验区数据出境负面清单。《负面清单》明确文件制定的目的意义、原则、适用范围、主要考虑因素和需要纳入管理的数据清单。
来源:https://www.china-tjftz.gov.cn/contents/10806/282636.html
1.1.3.财政部、国家网信办印发《会计师事务所数据安全管理暂行办法》
5月10日,财政部、国家网信办联合发布《会计师事务所数据安全管理暂行办法》(以下简称《办法》),以加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。《办法》共计五章三十六条,明确总则、数据管理、网络管理、监督检查、负责等重点内容,自2024年10月1日起施行。
来源:https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm
1.2.国外数据安全政策动态
1.2.1.英国国家网络安全中心发布有关如何应对企业电子邮件入侵攻击的指南
5月20日,英国国家网络安全中心(NCSC)宣布已发布关于商业电子邮件泄露(BEC)攻击的指南。具体而言,该指南提供了组织可以采取的措施,以降低受BEC影响的可能性,并详细说明了组织在认为自己已经受到威胁时可以采取的步骤。
该指南解释,当犯罪分子访问工作电子邮件账户以诱骗某人转账或窃取有价值或敏感数据时,会发生BEC攻击。根据该指南,BEC通常是通过向组织内的个人发送有针对性的网络钓鱼电子邮件来进行的,标准垃圾邮件过滤器可能无法检测到它们,特别是如果它们来自被黑客入侵的合法电子邮件账户。指南强调,组织可以采取各种措施来降低其容易受到BEC攻击的倾向,包括减少高级员工和高管的数字足迹;帮助员工和用户识别和检测网络钓鱼电子邮件;对账户实施两步验证和应用最小特权原则。此外,指南建议被诱骗进行欺诈性付款的组织直接联系其银行,并将其作为犯罪行为向警方报告。
来源:https://www.ncsc.gov.uk/blog-post/business-email-compromise-guidance-protect-organisation
1.2.2.根西岛数据保护局办公室(ODPA)发布数据收集指南
5月24日,数据保护局办公室(ODPA)发布了最新的数据收集指南。ODPA表示,该指南旨在帮助组织以符合数据保护原则的方式收集个人数据。指南概述了七项数据保护原则,并鼓励各组织参考2017年《数据保护(根西岛辖区)法》第31条和第32条,以确保全面了解合规要求。ODPA指出,正确的数据收集是遵守数据保护法的关键组成部分,这些原则应适用于整个数据生命周期。ODPA还强调,如果有组织处理个人数据,则有法律义务确保该组织在ODPA注册。
来源:
https://www.odpa.gg/news/news-article/?id=840cb577-c819-ef11-9f89-6045bd95a8cb
2. 个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.北京、上海等地推进停车场落实停车缴费场景个人信息保护工作
北京、上海等地停车场落实“安心码”“纯净码”,近日,北京市网信办联合市交通委、市商务局、市市场监管局等部门聚焦十大领域扫码缴费场景,扎实开展“清朗•长安”个人信息保护行动。针对停车缴费场景,北京市网信办依据《个人信息保护法》,会同交通部门推行停车缴费“安心码”,确保停车场商家遵循个人信息收集最小必要原则,提供直接缴费渠道和会员优惠缴费通道,有效避免诱导或强制收集消费者个人信息等违法行为,共有682家停车场实现“安心码”改造。
为深入整治停车缴费场景强制消费者关注公众号、加入会员、注册登录等违规问题,营造更加便民惠民的消费环境,上海市网信办、市市场监管局锚定目标、持续发力,深入推进“亮剑浦江·2024”专项执法行动,在市交通委等部门的支持配合下,目前全市3704家公共停车场已全面推出停车缴费“纯净码”,覆盖主要商场、宾馆、医院、公园、景点景区等地。
来源:https://mp.weixin.qq.com/s/AV4gKDVHnhc6Qft5sc8Ntg
2.1.2.上海市网信办、市市场监管局联合举办咖啡消费场景下个人信息保护合规指导会
5月10日,根据“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动部署安排,上海市网信办会同市市场监管局组织开展“咖啡消费场景下个人信息保护”合规指导会,共24家连锁咖啡企业负责人参会,涉及上海全市3600家门店。
围绕网民举报、巡查发现的问题线索和典型案例,上海市网信办要求咖啡企业提高个人信息保护意识,履行个人信息保护义务,严格遵循个人信息收集“最小必要”“告知同意”原则,认真对照梳理下发的《咖啡消费场景下常见个人信息保护问题自查清单》进行自查整改,切实采取有效措施确保个人信息收集、存储、使用、删除等全生命周期合法合规。
来源:https://mp.weixin.qq.com/s/5uaBdsg3KFNCPoM8F2V1xw?scene=25#wechat_redirect
2.2.国外个人信息保护政策与法律法规动态
2.2.1.欧盟委员会根据《数字服务法》就Facebook和Instagram上的未成年人保护问题对Meta启动正式调查
5月16日,欧盟委员会启动正式调查以评估Meta是否就未成年人保护相关问题违反《数字服务法》。
Meta是Facebook和Instagram的供应商,欧盟委员会担心其系统、算法,可能会诱发儿童成瘾行为,并对Meta采用的年龄认证和核验方法表示担忧。目前调查涉及:一是Meta公司在评估和减轻Facebook和Instagram的在线界面设计所造成的风险方面是否遵守了DSA所规定的义务,这些界面设计可能会利用未成年人的弱点和缺乏经验的特点,导致上瘾行为和/或强化所谓的“兔子洞效应”,进行此类评估旨在抵御对儿童身心健康的基本权利以及对他们权利的尊重可能造成的潜在风险;二是Meta在防止未成年人访问不适当内容的缓解措施方面是否遵守了DSA的要求,特别是Meta使用的年龄验证工具,这些措施可能并不合理、不适当且无效;三是Meta是否遵守DSA规定的义务,采取适当和适度的措施,确保未成年人享有高水平的隐私、安全和保障,特别是在未成年人的默认隐私设置方面,作为其推荐系统设计和功能的一部分。
来源:https://ec.europa.eu/commission/presscorner/detail/en/ip_24_2664
2.2.2.美主要电信运营商因出售客户位置数据被FCC处以高昂罚款
近日,因未经同意非法共享客户位置信息,美国联邦通信委员会(FCC)对AT&T、Sprint、T-Mobile和Verizon等四大运营商处以总额近2亿美元的罚款。
根据FCC调查显示,前述运营商将客户位置信息出售给“聚合商”,由后者将信息转售给第三方定位服务提供商,但都试图将获取客户同意的义务转嫁给客户位置信息的接收方,意味着很多情况并没有获得有效的客户同意。FCC在2020年向前述四家运营商发出通知,指出其共享客户位置数据的行为可能违反了法律。四年多以来,AT&T、Sprint、T-Mobile和Verizon等四大运营商分别直接或间接向至少88家、86家、75家、67家第三方实体出售了位置数据,FCC同时考量了前述四家运营商在被告知共享客户位置数据违法后继续共享的天数,以及有效的第三方位置数据共享协议的数量等,分别就AT&T、Sprint、T-Mobile和Verizon处以5700万、1200万、4700万、8000万美元的罚款。
来源:https://docs.fcc.gov/public/attachments/DOC-402213A1.pdf
2.2.3.荷兰数据保护机构发布人脸识别总体框架
5月2日,荷兰数据保护机构(AP)发布人脸识别总体框架,答复人脸识别应用相关常见问题。在框架中,AP强调处理生物识别数据时确保个人数据保护的重要性,应当在使用人脸识别进行数据处理活动之前开展数据保护影响评估(DPIA),并指出GDPR适用于试点或测试项目,处理过程中存在较高剩余风险,控制者有义务事先向AP进行咨询。同时,AP在框架中还进一步明确通过部署人脸识别处理个人数据属于个人或家庭活动,不适用GDPR;应用人脸识别构成GDPR中生物识别数据的要求,以及基于确认身份目的的生物特征数据的处理是否属于特殊数据的处理禁令等问题。
来源:https://www.dataguidance.com/news/netherlands-ap-publishes-general-framework-facial
3. 国内外数据安全相关事件
3.1.国内数据安全相关事件
3.1.1.中国多位百亿富豪个人信息遭泄露 980元可购5000条数据
5月14日,据报道,多位知名企业家的个人资料在互联网上被泄露。这些信息被一个名为“**客查”的平台用作商业推销,该平台标榜拥有“超过2亿的企业数据库”及“超过10亿的联系线索”,并提供付费查询服务,年费为980元,允许用户每月查询5000条企业信息。按最大查询量算,1条企业家信息售价0.016元。
来源:https://baijiahao.baidu.com/s?id=1799016043229735150&wfr=spider&for=pc
3.2.国外数据安全相关事件
3.2.1.美国国防部涉嫌泄露美国犯罪数据库 7000 万行
5月22日,一个以 EquationCorp 和 USDoD 为名的网络犯罪分子公布了一个庞大的数据库,其中包含数百万美国人的犯罪记录。据报道,该数据库包含 7000 万行数据,涉及全名、出生日期、已知别名、地址、逮捕和定罪日期、刑期等,日期范围为 2020 年到 2024 年。
来源:https://www.malwarebytes.com/blog/news/2024/05/criminal-record-database-of-millions-of-americans-dumped-online
3.2.2.黑客在暗网出售 4900 万份戴尔的客户数据
5月10日,科技巨头戴尔公司已向其客户通报数据泄露事件。事件中泄露的数据为戴尔客户信息及其购买记录,包括:客户全名、实际地址、戴尔硬件和订单信息(包括服务标签、商品描述、订购日期和相关保修信息)。与此同时,一位使用假名Menelik的黑客正在恶名昭彰的Breach论坛上出售4900万条戴尔客户数据。
来源:https://www.hackread.com/dell-data-breach-hacker-sells-customer-data/
3.2.3.孟加拉国 IT 提供商Tappware大约50G数据泄露
5月9日,孟加拉国著名的IT服务提供商Tappware大约 50GB 的数据库在黑客论坛上遭到泄露,该数据库包含 230 万行数据,包括敏感的个人信息,例如与该公司相关的个人的姓名、地址和电话号码。根据孟加拉国网络安全情报 (BCSI)报告,泄露的数据采用 SQL 格式,日期为 2024 年,包含广泛的个人详细信息。
来源:https://gbhackers.com/bangladesh-it-provider-database/
3.2.4.英国超过22.5万名军事人员数据泄露
5月9日,一名攻击者从第三方工资处理系统中,获取了超过22.5万名英国陆军、海军和皇家空军现役、预备役和退役人员的姓名、银行账户详细信息和其他信息。
来源:https://www.darkreading.com/cyberattacks-data-breaches/breach-of-uk-military-personnel-data-a-reminder-of-third-party-risk-in-defense-sector
4. 移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部关于侵害用户权益行为的APP(SDK)通报
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现50款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2024/art_5738a1fd95fd443a88fbbe7051bf1c2a.html
4.1.2.工信部:关于调用安卓FileProvider组件的移动应用程序存在高危漏洞的风险提示
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,多个调用安卓操作系统FileProvider组件的移动互联网应用程序(以下简称APP)存在路径遍历高危漏洞,可被恶意利用实施网络攻击。
来源:https://www.cnvdb.org.cn/announcement/138
4.1.3.国内多地3万余条新生儿信息被倒卖,背后非法产业链曝光
“免费上门给宝宝拍照”“早教班免费试听”……很多新生儿父母都接到过各种关于新生儿相关的推销电话,对方不仅能在孩子的各个生长阶段“按需推销”,还能准确说出孩子和父母的信息,而这背后已经形成了一条非法买卖、使用新生儿个人信息的产业链。近日,杭州互联网法院审理了一起个人信息保护民事公益诉讼案,该案涉及的新生儿个人信息达3万余条。
来源:https://www.secrss.com/articles/66247
4.2.国外移动互联网安全热点
4.2.1.曝苹果iOS 17.5恢复已删除多年照片
近日,苹果推出了最新的iOS 17.5系统,除了新增“彩虹光辉”壁纸外,还为欧盟用户开放了网页侧载、新增了“维修模式”等。但在安装苹果最新iOS 17.5更新后,用户遭遇了一个有点“灵异”的问题:数年前已经彻底删除的照片不可思议地重新出现在了照片应用中,由此引发大量关注和讨论。对此,北京青年报记者从苹果客服的技术顾问处获悉,确实收到一些用户反馈的相关问题,但对于具体原因,目前苹果方面还在做进一步的调查。用户可以尝试再次删除被恢复的照片,如果能正常删掉的话,就说明系统问题不大。
来源:https://www.freebuf.com/news/401156.html
4.2.2.微软披露严重安全漏洞,受影响App安装量超40亿
近日,研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。微软威胁情报团队成员在一份报告中声明,威胁攻击者可以利用该安全漏洞,执行任意代码以及盗取令牌。一旦成功利用漏洞,威胁攻击者就可以完全控制应用程序的“行为”,并利用窃取的令牌在未经授权的情况下访问受害者的在线账户和其他数据。
来源:https://www.freebuf.com/news/400004.html
4.2.3.GhostStripe技术:黑客迫使特斯拉自动驾驶仪违反交通规则
来自新加坡的一个科学家团队开发了一种干扰自动驾驶汽车的方法,这些自动驾驶汽车使用计算机视觉来识别路标。新的 GhostStripe 技术可能对特斯拉和百度 Apollo 司机造成危险。GhostStripe 背后的主要想法是使用 LED 在路标上创建灯光图案。这些图案是人眼看不见的,但它们会迷惑汽车摄像头。该攻击包括在相机触发时 LED 快速闪烁不同颜色,导致图像出现扭曲。
来源:https://www.anquanke.com/post/id/296655
4.2.4.新型 Antidot Android 恶意软件冒充谷歌更新窃取资金
恶意软件通过网络钓鱼活动(包括短信钓鱼)进行传播,用户会收到貌似来自谷歌的短信或通知,敦促他们更新软件或安全措施。这些短信通常包含恶意链接,点击后会下载伪装成合法谷歌更新包(APK)的Antidot恶意软件。
来源:https://www.hackread.com/antidot-android-malware-google-update-steal-funds/
4.2.5.向未授权设备说“不”,苹果和谷歌联合推出防追踪新功能
5月13日,苹果和谷歌正式宣布推出一项跨平台新功能,旨在发现那些未经用户授权的不明蓝牙追踪设备。该功能被称为“检测无授权位置追踪器(DULT)”,适用于最新发布的苹果 iOS 17.5版本以及谷歌Android 6.0 及更高版本。一旦检测到未授权的追踪设备,该功能会向用户推送“发现物品与您一同移动(Found Moving With You)”的风险提示。苹果和谷歌表示,这种跨平台的功能合作为行业首创,旨在促成一道行业标准,以减少追踪设备的滥用,保护用户安全和隐私。
来源:https://new.qq.com/rain/a/20240515A06PU100
4.2.6.安全保护强势升级!安卓系统即将推出全新防盗、数据保护功能
谷歌将在2024年晚些时推出多种防盗和数据保护功能,其中一些功能仅适用于 Android 15及以上版本的设备,另一些功能将推广到数十亿运行Android 10及以上版本的设备。这次升级后,窃贼无法再强行重置被盗设备,这使得被盗设备无法出售,从而减少了手机盗窃的诱因。
来源:https://cloud.tencent.com/developer/article/2422401
文章来源:数据安全共同计划