1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.中国民航局发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》
6月4日,为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全促进数据共享,激发数据价值,提升行业治理能力和服务水平,更好支撑民航高质量发展,智慧民航建设领导小组办公室组织编制了《民航数据管理办法》《民航数据共享管理办法》两部办法。两部办法充分参考国家数据管理有关规定,并结合民航实际,对民航行业数据管理等进行了详细规定。《民航数据管理办法》(征求意见稿)包括总则、职责与分工、数据资源目录、数据采集与治理、数据共享、数据应用、数据安全、监督保障和附则,共分为九章四十四条。《民航数据共享管理办法》(征求意见稿)包括总则、共享类型、目录管理、数据归集、数据的获取与使用、保障监督和附则,共分为七章三十条。意见反馈截止日期为2024年6月19日。
来源:http://www.caac.gov.cn/HDJL/YJZJ/202406/t20240604_224377.html
1.1.2.江西省工业和信息化厅发布《江西省工业领域数据安全能力提升实施方案(2024—2026年)》
6月5日,为加快全省工业领域数据安全保障体系建设,全面提升江西省工业领域数据安全防护能力,促进数据安全产业发展,江西省工信厅发布《江西省工业领域数据安全能力提升实施方案(2024—2026年)》(以下简称《方案》)。
《方案》提出,到2026年,江西省工业领域数据安全保障体系基本建立。全省制造业重点产业链规上企业数据安全政策宣贯实现全覆盖,完成数据安全培训超1000人次。接入省工业数据安全监测平台的重点企业数量大幅增长,开展数据安全分类分级防护的工业企业超1000家,重点行业年营收在排名前10%的规上工业企业均完成。遴选一批工业领域数据安全示范企业、优秀产品和典型解决方案。
来源:http://gxt.jiangxi.gov.cn/art/2024/6/7/art_68658_4905807.html
1.1.3.上海市通信管理局通知开展2024年上海市电信和互联网行业网络和数据安全检查
6月24日,为进一步提升上海市电信和互联网行业网络和数据安全防护水平,切实做好重大活动网络和数据安全保障,按照工业和信息化部的有关部署要求和《关于开展2024年全市网络安全专项检查的通知》要求,结合上海市通信管理局职责,上海市通信管理局决定组织开展2024年上海市电信和互联网行业网络和数据安全检查。检查内容主要包括:网络和数据安全保障体系建设落实情况、通信网络安全防护工作落实情况、工业互联网企业网络安全防护情况、车联网安全防护管理情况、数据安全保护落实情况、个人信息和用户权益保护工作情况。
来源:https://shca.miit.gov.cn/zwgk/tzgg/art/2024/art_bcfa5f65c91f4dc68e536061ad6b50ee.html
1.1.4.中德签署《关于中德数据跨境流动合作的谅解备忘录》
6月26日,中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行,双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。
庄荣文表示,今年4月,习近平主席与到访的朔尔茨总理深入交流,为双边关系和各领域务实合作指明了方向、作出了规划。中方愿同德方一道,落实好两国领导人合作共识,以签署《关于中德数据跨境流动合作的谅解备忘录》为契机,推进中德网络空间交流合作取得更多成果。维辛表示,德方高度重视数据跨境流动、人工智能等领域工作,将与中方进一步加强交流合作,积极推动落实《关于中德数据跨境流动合作的谅解备忘录》。中国国家互联网信息办公室将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下,建立“中德数据政策法规交流”对话机制,加强在数据跨境流动议题上的交流,为两国企业营造公平、公正、非歧视的营商环境。
来源:https://www.cac.gov.cn/2024-06/26/c_1721081180089753.htm
1.2.国外数据安全政策动态
1.2.1.世界经济论坛发布《2024年十大新兴技术报告》
6月25日,世界经济论坛发布报告,利用 2021-2023 年的可用商业及学术资金数据,涵盖相关的学术文献、投融资趋势和专利申请数量,评估出十项有望在未来三至五年内对社会与经济产生重大影响的技术。十大新兴技术包括:驱动科学发现的人工智能(AI);隐私增强技术(PETs);智能超表面(RIS);高空平台通信系统(HAPS);通信感知一体化(ISAC);元宇宙技术、弹性热量材料、能捕获碳的微生物、替代牲畜饲料和移植基因组学。报告指出,中国在隐私增强技术(PETs)的商业投资较多,但与美国仍有一定差距,在学术投资较少。
来源:https://www.weforum.org/publications/top-10-emerging-technologies-2024/
1.2.2.美国战略与国际研究中心发布《挖掘CLOUD法案协议的全部潜力》报告
6月6日,美国战略与国际研究中心发布报告指出,目前《澄清境外合法使用数据法案》(CLOUD法案)仍处于实施的早期阶段。CLOUD法案作用关键、前景广阔,有助于全球许多机构在开展合法调查的同时,促进人权保护、法治和全球信息自由流动,如果使用得当并正确实施,将为执法机构提供一条重要途径,并有可能加强其他国际证据收集的安排。报告建议美国政府应与更多国家签订协议,扩大应用范围,同时允许具体执行因调查机构、数据类型、数据时间跨度、调查目标、相关政府意见不同而有所区分;美国政府应建立有效的评估机制,确定协议是否有效消除了合法调查的不必要障碍;美国政府应制定相关机制发现和应对协议的不当使用。
来源:https://www.csis.org/analysis/untapping-full-potential-cloud-act-agreements
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.法院审理认定虚拟手机号仍属于个人信息,未经信息主体同意不得交易
近日,北京市第二中级人民法院在一起大数据平台服务合同纠纷中认定,手机号码虽然已经过虚拟处理,但虚拟手机号码在一定程度上仍具备可识别性,属于去标识化的个人信息范畴。合同双方在未获得用户个人同意的情况下交易和处理用户个人信息,违反了《民法典》和《个人信息保护法》规定的处理个人信息应遵循的知情同意原则。因此,合同应属无效。同时,法院指出,民事裁判不影响行政管理部门对双方违反个人信息保护法规所应承担的其他法律责任作出处理。
来源:https://mp.weixin.qq.com/s/6ABkbJCh3IaHxzy-txFu_g
2.1.2.上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》
为进一步强化咖啡企业合规意识,有效指导企业落实个人信息处理者法律责任,保护咖啡消费者个人信息安全,保障消费者体验服务品质,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题,分两期发布解析,以案释法,督促《个人信息保护法》相关规定要求得到有效落实。第一期案例解析涉7个案例,问题主要聚焦在强制或默认同意隐私政策,隐私政策缺失、不实或不完整问题,强制或频繁诱导收集精准位置信息问题等三类。
来源:https://mp.weixin.qq.com/s/AJ1D5on8Z9h8GxZ2LXGh6Q
2.1.3.香港隐私专员公署发布《人工智能(AI):个人资料保障模范框架》
为应对AI对个人资料隐私带来的挑战,相应国家的《全球人工智能治理倡议》,香港个人资料隐私专员公署于2024年6月11日发布《人工智能 (AI):个人资料保障模范框架》。该框架可提供国际认可及切实可行的建议和最佳行事常规,以协助机构在采购、实施及使用AI(包括生成式AI)时,遵从《个人资料(隐私)条例》的相关规定,确保机构在善用AI之余,亦保障个人资料隐私。
来源:https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20240611.html
2.1.4.《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》公开征求意见
6月11日,为指导个人信息处理者识别敏感个人信息,规范敏感个人信息处理、出境和保护活动,全国网安标委发布《网络安全标准实践指南 敏感个人信息识别指南(征求意见稿)》(以下简称《征求意见稿》),征求意见截止日期为2024年6月24日。《征求意见稿》提出了敏感个人信息识别方法,给出了常见敏感个人信息的类别和示例。《征求意见稿》可用于指导各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。
来源:https://www.tc260.org.cn/front/postDetail.html?id=20240611204152
2.2.国外个人信息保护政策与法律法规动态
2.2.1.EDPS针对EUIs开发、使用生成式AI,发布生成式AI和个人数据保护指南
6月3日,EDPS针对欧盟机构、团体、办公室和机关(EUIs)等使用或开发生成式AI(GenAI)工具,发布生成式AI和个人数据保护的指南,以欧盟数据保护监管机构的身份指导EUIs遵守数据保护要求的一般数据保护原则,如数据处理合法性基础、数据最小化、数据准确性、数据安全、数据主体权利行使等数据处理原则。
生成式AI系统中的个人数据处理涵盖系统整个生命周期,包括数据收集、训练、系统交互、系统内容生成等相关的所有处理活动。就生成式AI是否涉及个人数据处理的判定,EDPS指出如生成式AI声称不涉及个人数据处理,则需要通过已经实施的控制措施确保不涉及个人数据处理,实施定期监控,并在所有阶段实施控制辅助验证相应生成式AI工具没有进行个人数据处理。对于涉及个人数据处理的生成式AI,EDPS指出EUIs在使用处理个人数据的生成式AI系统时,必须向个人提供条例要求的所有信息。向个人提供的信息必须在必要时更新,以确保他们得到适当的信息并能够控制自己的数据。同时,EDPS明确已公开的个人数据仍然受到欧盟数据保护法的约束,使用网络抓取技术从公开网站收集数据并用于训练目的可能不符合相关数据保护原则。
来源:https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/edps-guidelines-generative-ai-embracing-opportunities-protecting-people_en
2.2.2.Meta应监管机构要求暂停利用用户数据训练AI的计划
6月14日,Meta表示应爱尔兰数据保护委员会(DPC)要求,将推迟使用Facebook和欧盟Instagram上用户共享的公共数据来训练公司大型语言模型(LLM)的计划。爱尔兰、英国、挪威、丹麦等国数据保护机构发表声明,欢迎Meta暂停使用欧盟/欧洲经济区成年人在Facebook和Instagram上分享的公共内容训练其大型语言模型的计划。
此前,非营利组织None of your business (NOYB)在11个欧洲国家提起诉讼,指控Meta公司收集用户数据以开发未明确的人工智能技术并与第三方共享数据,违反了GDPR的基本要求。就Meta利用用户数据训练AI的争议在于,Meta计划依据“合法利益”的法律基础进行个人数据处理训练AI模型,而非征得用户明确同意。此前Meta表示,用户可以通过提交申请来要求公司不使用他们的数据。
来源:https://thehackernews.com/2024/06/meta-halts-ai-training-on-eu-user-data.html
2.2.3.韩国个人信息保护委员会发布自动化决策指南
近日,韩国个人信息保护委员会(PIPC)公布了《自动决策信息主体权利指南》草案以及征集意见的详细内容。
PIPC在《指南》中强调,人工智能(AI)做出的决策具有一定的社会影响,完全自动化的AI系统可以在没有人工干预的情况下使用。由于关于自动决策的数据主体权利法规于2024年3月15日生效,该指南旨在提供自动决策范围内的具体示例以及个人信息处理者在行使数据主体权利时必须采取的措施。
来源:https://www.dataguidance.com/news/south-korea-pipc-releases-guide-automated-decisions
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国铁路客运巨头Amtrak泄漏旅客数据
近日,美国国家客运铁路公司(Amtrak)披露了一起数据泄露事件,Amtrak的用户账户信息遭到第三方未经授权的访问,旅客的会员奖励账户的个人信息被大量窃取。此次泄漏的信息包含大量个人数据,包括姓名、联系方式、Amtrak 会员奖励账户号码、出生日期、支付详情(如部分信用卡号码和有效期)、礼品卡信息(如卡号和PIN码)以及用户的交易和旅行信息。
来源:https://www.jdsupra.com/legalnews/amtrak-confirms-data-breach-affecting-4720920/
3.1.2.美国第二大公立学校系统泄露上百万条学生数据
据Hackread消息,名为“撒旦云”(The Satanic Cloud)的黑客组织近日泄露了美国第二大公立学校系统洛杉矶联合学区 (LAUSD)数百万学生及教职工的个人信息数据。数据涉及2416万名学生及近5.5万条教职工信息,Hackread对数据去重分析后,提炼出195万条有效记录。包括学生姓名、邮编、生日、身份证号码、电话号码、电子邮件地址、家庭住址、学校名称、是否有移民身份等,教职工信息还涉及供职状况、就业经历、职位等信息。
来源:https://hackread.com/lausd-data-breach-hackers-leak-data-student-locations/
3.1.3.《纽约时报》270GB敏感数据泄露
据BleepingComputer消息,属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至 4chan论坛,文档大小为270GB,具体包括大约5000个存储库,总共360万个文件,且大部分源代码存储库未加密。
来源:https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/
3.1.4.Ticketmaster 5.6亿客户数据泄露
近日,在黑客论坛 BreachForums 上,黑客组织 ShinyHunters以 50 万美元的价格出售5.6亿Ticketmaster 客户的个人和财务信息。Ticketmaster是全球最大的票务销售平台之一,此次泄露数据的大小为1.3TB,包括其客户的姓名、家庭住址、电子邮件地址和电话号码、门票销售信息、订单和活动信息、信用卡信息(如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期),其中金融交易时间跨度为2012年至2024年。
来源:https://www.npr.org/2024/06/01/nx-s1-4988602/ticketmaster-cyber-attack-million-customers
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部关于侵害用户权益行为的APP(SDK)通报
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现22款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_c3866f938a0f4bf997c30a8bdafb992c.html
4.1.2.国家计算机病毒应急处理中心监测发现15款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现15款移动App存在隐私不合规行为。
来源:https://www.cverc.org.cn/zxdt/report20240613.htm
4.1.3.因隐私合规检测不通过,vivo已下架两千余款APP
近日,为响应国家法律法规号召、切实保障用户权益与个人信息安全,vivo平台依法对APP进行隐私合规风险检测。针对整改不到位的APP,vivo平台已进行通报并要求限期整改。截至目前,有2540款APP未按要求完成整改,vivo平台将对上述隐私不合规APP进行下架处理。
来源:https://mp.weixin.qq.com/s/l17fLGqNbxEpz3MS0-VDfg?scene=25#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.头部旅游类App乱象:未经允许收集数据,索取手机权限
无论是Booking、Airbnb、希尔顿还是丽笙,这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。这些应用都会获知用户的位置信息,但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据,某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件,甚至代表用户拨打电话。
来源:https://cybernews.com/privacy/top-travel-apps-privacy/
4.2.2.Rafel RAT恶意软件可能影响39亿台旧安卓手机
威胁攻击者正在大量部署一种名为“Rafel RAT”的开源恶意软件,攻击“过时”安卓设备。研究人员表示,共检测到超过120个使用Rafel RAT恶意软件的网络攻击活动。据悉,Rafel RAT恶意软件的攻击目标主要是政府和军事部门,大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35(DoNot Team)等知名勒索软件组织发起,伊朗和巴基斯坦疑似为恶意活动的源头。
来源:https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/
4.2.3.IntelBroker黑客入侵苹果公司,窃取多个工具源代码
近日,黑客IntelBroker声称入侵了苹果公司,窃取了内部工具的源代码,该组织曾多次入侵一些大公司和政府组织。6月份,IntelBroker非法访问苹果公司的网络系统,盗取了AppleConnect-SSO、AppleMacroPlugin、Apple-HWE-Confluence-Advanced等工具的源代码。苹果方面指出,此次网络攻击事件不会对苹果公司的客户信息造成任何影响。
来源:https://hackread.com/intelbroker-hacker-apple-data-breach-source-code/
4.2.4.Pixel设备曝出零日漏洞
近日,科技巨头谷歌发布了安全更新,成功解决其Pixel设备中存在的50个安全漏洞。值得注意的是,谷歌方面着重提到了一个被追踪为 CVE-2024-32896 的安全漏洞,并指出威胁攻击者可以利用该漏洞非法提升权限,目前安全人员已经发现其在野外被利用的证据。
来源:https://www.freebuf.com/news/403559.html
4.2.5.Telegram上泄露的3.61亿条记录被挂在暗网上了
近日,Have I Been Pwned 上突然添加了3.61亿个电子邮件地址,允许任何人核查自身账户是否被盗。安全研究员从许多Telegram网络犯罪频道收集了这些凭证信息,被盗数据以用户名和密码的组合、用户名和密码以及与之相关的URL和原始cookies的形式泄露。
来源:https://www.bleepingcomputer.com/news/security/361-million-stolen-accounts-leaked-on-telegram-added-to-hibp/
来源:数据安全共同体计划