1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.浙江省通信管理局发布关于开展2024年电信和互联网行业网络和数据安全检查的通知
为深入贯彻落实党的二十大精神和习近平总书记关于网络安全的系列重要讲话精神,做好庆祝新中国成立75周年网络安全保障工作,进一步提升我省电信和互联网行业网络安全和数据安全防护水平,护航电信和互联网行业高质量发展,按照工业和信息化部、省委省政府总体部署,浙江省通信管理局组织开展2024年电信和互联网行业网络和数据安全检查工作,明确检查对象、检查时间、检查内容、工作要求等。
来源:https://mp.weixin.qq.com/s/wJuOuh6WHJDVqwjkh78log
1.1.2.贵州发布《贵州省公共数据授权运营管理办法(试行)(征求意见稿)》
为贯彻落实党中央、国务院关于构建数据基础制度、公共数据资源开发利用等决策部署,规范公共数据授权运营,有效挖掘数据资源价值,促进数字经济发展,贵州省大数据发展管理局牵头起草了《贵州省公共数据授权运营管理办法(试行)》(征求意见稿)。为广泛听取意见建议,深化我省公共数据授权运营体系建设,向社会公开征求意见。办法共六章三十一条,包括总则、公共数据授权、公共数据运营、行为规范、安全监管和附则等重点内容。
来源:https://dsj.guizhou.gov.cn/xwzx/tzgg/202407/t20240705_85071350.html
1.2.国外数据安全政策动态
1.2.1.美国与欧盟对欧盟-美国数据隐私框架开展首次定期审查
美国商务部7月19日消息,美国与欧盟对欧盟-美国数据隐私框架(DPF)开展首次定期审查。DPF已经生效一周年,美国和欧盟在DPF的管理和实施方面进行了密切合作,加强了跨大西洋的隐私保护,建立了新的国家安全补偿机制,促进了数据流动,为欧盟与美国超过1万亿美元的贸易和投资提供支持。自2023年7月DPF实施以来,已有2800多家企业加入该框架,其中70%是中小企业。DPF首次审查将验证该框架的相关措施是否有效发挥作用,审查涵盖了该框架的所有方面,如公司遵守隐私要求、落实隐私保护措施、数据保护审查法院的运作情况等。
来源:https://www.commerce.gov/news/press-releases/2024/07/joint-press-statement-us-secretary-commerce-gina-raimondo-and-eu
1.2.2.巴西国家数据保护局禁止Meta挖掘数据以训练人工智能模型
TechXplore 7月3日消息,巴西国家数据保护局做出Instagram和Facebook的母公司Meta不得使用该国的数据来训练其人工智能的决定。该局在巴西官方公报中称,此决定主要考虑到可能对受影响数据主体基本权利造成严重,以及造成不可挽回或难以修复的损害的紧迫风险。巴西是Meta的最大市场之一,Meta的一位发言人对此表示失望,并坚称其方法符合巴西的隐私法律法规。然而,该局表示,Meta没有提供足够的信息让人们意识到使用其数据开发生成式人工智能可能带来的后果,并要求Meta在5个工作日内证明其合规性,否则将每天处以5万雷亚尔(8820 美元)的罚款。
来源:https://techxplore.com/news/2024-07-brazil-meta-ai.html
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见
7月12日,全国网络安全标准化技术委员会秘书处发布国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》,面向社会公开征求意见,征求意见期限自2024年7月12日至2024年9月11日。
《数据安全技术 个人信息保护合规审计要求(征求意见稿)》共五大章节,除范围、规范性引用、术语和定义外,重点就个人信息保护合规审计原则、审计流程、审计实施管理、审计证据管理、审计专业机构权限、审计人员要求作出规定,并给出个人信息合规审计流程、审计证据、审计内容、审计方法、审计底稿模板、审计报告模板等资料性附录。
来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772
2.1.2.重庆市网信办启动扫码消费场景个人信息保护专项治理行动
7月4日,针对消费领域个人信息过度采集、强制收集、诱导索取、违规使用等问题,重庆市网信办依据《中华人民共和国个人信息保护法》等法律法规,会同行业主管部门开展为期三个月的个人信息保护专项治理行动。聚焦停车、餐饮、商超购物三类社会关注度高、个人信息保护问题突出的扫码消费场景,采取举报监督、执法检查、公益诉讼、媒体曝光等多种措施,打击消费场景个人信息过度采集和肆意滥用乱象,整治侵害个人信息权益的违法违规行为。此次专项治理行动将聚焦四类重点问题:一是违反“公开”原则,未公开个人信息收集使用规则,未明示收集使用的目的、方式、范围;二是违反“同意”原则,未经用户同意收集使用个人信息,非法向他人提供个人信息;三是违反“必要”原则,收集与提供的服务无关的个人信息;违反“安全”原则,未履行保护责任,未对用户个人信息采取必要保护措施,发生个人信息安全事件。
来源:https://mp.weixin.qq.com/s/FuMQrZz0LCoVbMy40p6YMQ
2.1.3.北京互联网法院判决因未落实未成年人网络游戏实名制致使未成年人充值的,游戏平台应负主要过错责任
近日,北京互联网法院在一起监护人起诉游戏平台退还未成年人游戏充值费用案件中,认为游戏运营平台尽管接入实名认证系统,采取弹窗提示、家长模式、客服提示等不同功能措施,但在是被玩家为未成年后,没有对未成年人身份信息进行锁定,并在进入游戏界面、未提示验证家长监护的情况下,提示未成年人玩家可以通过“编辑身份信息”的方式轻易修改实名认证信息,从而消除未成年人的身份信息,为未成年人假冒成年人信息、逃避监管提供可能,认定游戏平台未尽到要求并采取合理有效的措施验证未成年人用户以真实身份信息注册、登录的义务。在未成年人法定代理人对充值行为不知情且明确拒绝追认的情况下,认定未成年人充值行为为无效法律行为,未成年人与游戏平台间的网络服务合同为无效合同。据此,北京互联网法院认定游戏平台对网络服务合同无效负主要过错责任,未成年人法定代理人因疏于监管对网络服务合同无效负有一定过错,认定游戏平台退还未成年人部分充值款项。
来源:https://mp.weixin.qq.com/s/heg_gkZ8ZrzrSMAjyBvU4A
2.2.国外个人信息保护政策与法律法规
2.2.1.欧盟-日本关于跨境数据流动的协议正式生效
7月1日,欧盟委员会宣布《欧盟-日本关于跨境数据流动的协议》正式生效,并被纳入《欧盟-日本经济伙伴关系协定》。欧盟与日本在2023年10月达成该协议,协议将为活跃在金融服务、运输、机械和电子商务等大多数行业的公司带来益处。企业现在能够在可预测的法律环境中更高效地处理数据,而无需繁琐的管理或存储要求。
协议中有关数据跨境流动的条款主要为第8.81条“以电子方式进行的跨境数据传输”,强调双方要确保以电子方式进行跨境数据传输,且不能采取禁止或限制缔约双方进行数据跨境的相关措施,如对计算机设备位置的要求;数据存储或处理本地化;将跨境数据传输与计算机设备、数据本地化要求相联系;数据跨境传输前获得该方的批准等。但协议也同时明确双方可基于必要的合法公共政策目的而限制数据跨境流动。
来源:https://policy.trade.ec.europa.eu/news/eu-japan-deal-data-flows-enters-force-2024-07-01_en
2.2.2.土耳其《关于向国外传输个人数据的程序和原则的条例》生效
7月10日,土耳其个人数据保护局公布《关于向国外传输个人数据的程序和原则的条例》(第32598号),并于当日生效。该条例旨在落实土耳其《个人数据保护法》第9条规定的程序和原则,规范向境外传输个人数据的行为,明确数据控制者和处理者只能按照土耳其《个人数据保护法》《关于向国外传输个人数据的程序和原则的条例》规定的程序和原则向境外传输个人信息,同时明确保留其他法律中有关向国外传输个人数据的规定。
同日,土耳其个人数据保护局还发布了向国外传输个人数据的标准合同和具有拘束力的公司规则相关文件,可被视为确保向国外传输个人数据的适当保障措施的具体方法。
来源:https://www.dataguidance.com/news/turkey-regulation-procedures-and-principles-regarding
2.2.3.韩国发布《关于处理人工智能开发和服务中“公开数据”的指南》
7月17日,韩国个人信息保护委员会(PIPC)发布《关于处理人工智能开发和服务中“公开数据”的指南》,用于指导企业合法、安全地处理人工智能开发和训练中所收集、利用的公开数据,增强企业隐私合规工作的确定性,进而推动人工智能领域创新发展。
在指南中,PIPC细化了“处理公开个人信息的法律依据”中“合法权益”的使用要求,明确在满足目的正当性、数据处理的必要性以及评估个人数据处理处理者和数据主体之间的相关风险后,公开数据可用于人工智能训练和人工智能服务的开发。《指南》也提出了可适用的保障措施和保障数据主体权利的方法,包括技术保障措施、行政和组织保障措施以及尊重数据主体的权利,同时《指南》也强调了首席隐私管的作用,建议人工智能驱动企业自发组建并运营专门团队,通过首席隐私官来评估指南中规定的要求。
来源:https://mp.weixin.qq.com/s/ZSQHg0TYWgpWQp7jgb-O5g
3、国内外数据安全相关事件
3.1.国内数据安全相关事件
3.1.1.香港中文大学被黑客入侵,泄露两万师生信息
据香港中文大学(CUHK)公告,其专业进修学院近日遭受黑客入侵,泄露数据涉及20870个Moodle账户,数据类型包括教师、学生、校友、访客的姓名、电子邮件地址和学号。虽然公告中表示敏感数据未在任何公开平台上泄露,但这些信息疑似有在暗网BreachForums上售卖。
来源:https://www.scs.cuhk.edu.hk/tc/enews/pr20240613
3.2.国外数据安全相关事件
3.2.1.美国电信公司AT&T 发生大规模数据泄露,1.09亿用户通话和短信记录遭窃
美国电信公司(AT&T)称发生了大规模数据泄露事件,威胁者从该公司账户的在线数据库中窃取了约1.09亿用户(几乎是其所有移动用户)的通话记录。数据是在2024年4月14日至4月25日期间从Snowflake账户中窃取的。被盗数据包含2022年5月1日至10月31日以及2023年1月2日期间几乎所有AT&T移动客户端和移动虚拟网络运营商(MVNO)客户的通话和文本记录。
来源:https://www.telecomstechnews.com/news/att-data-breach-affects-109-million-us-customers/
3.2.2. 100亿条密码汇编集合 RockYou2024 泄露,酿成史上最大密码泄露事件
近日,Cybernews 的研究人员发现一个包含 9948575739 个明文密码的名为rockyou2024.txt 的数据文档被泄露。该文档中包含了世界各地个人使用的真实密码。此文档的泄露,大大增加了凭证填充攻击的风险。根据推测,这可能是有史以来最大的密码汇编集合泄露事件。
来源:https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/
3.2.3.哥伦比亚政府机构海量数据遭泄露,其数据库及访问权限于暗网出售
据报道,哥伦比亚政府机构的数据库正在暗网论坛上出售,出售内容包含用户数据以及对该数据库的访问权限。其中,泄露的用户数据包括用户ID、号码、电子邮件、PDF发票、用户文档等,泄露数据库的行数超过 1500000行,总计数据量大小为4655380条。
来源:https://thecyberexpress.com/colombian-government-ministry-data-breach/
3.2.4.迪士尼泄露1TB敏感数据
据报道,迪士尼公司发生一起大规模数据泄露事件。黑客组织Nullbulge声称已从迪士尼内部Slack频道窃取了超过1TB的数据,包括完整的1万个频道数据转储,文件、消息、未发布的项目、原始图像和代码。该组织还声称窃取了大量登录凭据、内部API/网页链接,以及数千条迪士尼员工通信记录。
来源:https://variety.com/2024/film/news/disney-hack-data-breach-1236072729/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于侵害用户权益行为的APP(SDK)通报
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现17款APP及SDK存在侵害用户权益行为,现依法予以通报。
来源:https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_f9c4134ea5a6444db3f023ac0bf0aaff.html
4.1.2.使用AI技术破解人脸识别“摇头”、“眨眼”等认证步骤并篡改系统信息,涉案五人获刑
如今AI技术快速发展,一方面有人运用AI技术推动产业创新发展,另一方面却也有不法分子利用AI干起了违法的勾当。7月23日,一宗使用“AI换脸”技术破解平台认证非法获取计算机信息系统数据案在广州南沙宣判。法院指出,此类通过“AI换脸”方式非法突破人脸识别认证的行为,已成为近年来新型网络犯罪的发展方向,不仅侵害网络安全,也严重侵犯了个人信息安全。
来源:https://news.dayoo.com/guangzhou/202407/24/139995_54691290.htm
4.1.3.江西省互联网信息办公室发布多款APP存在违法违规收集使用个人信息通报
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律规定,江西省互联网信息办公室组织对部分群众关注度高、下载量大的App开展检测,发现24款App存在未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集等违法违规的问题,现依法予以通报。
来源:https://mp.weixin.qq.com/s/Oab-XRVWKDascI46lza-Og?scene=25#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.苹果与安卓展开AI手机隐私保护大战
在隐私保护为重要卖点的AI手机市场,苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。随着生成式AI技术逐渐融入手机核心功能,隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”(Apple Intelligence),宣布与OpenAI合作将ChatGPT引入iPhone,标志着苹果在AI领域迈出了一大步,同时也引发了外界对苹果隐私保护的广泛关注。
来源:https://www.wired.com/story/apple-intelligence-android-hybrid-ai-privacy
4.2.2.15亿苹果用户或面临短信钓鱼攻击风险
近日,Symantec公司向15亿苹果设备用户发出警示,提醒他们可能受到针对其Apple ID的网络攻击。研究人员发现,威胁行为者可以向用户发送欺骗性信息,诱使他们通过风险URL链接访问恶意网站;点击这些链接可能会危及他们的Apple ID和云账户。为了保护Apple ID信息,Symantec建议iPhone用户在从非苹果设备访问iCloud账户时使用双重身份验证。
来源:https://www.cybersecurity-insiders.com/cyber-attack-to-impact-1-5-billion-apple-devices/
4.2.3.攻击者利用APK文件扰乱Android恶意软件分析
近期,研究人员发现一组被称为“BadPack”的恶意打包APK文件,这些文件能够严重干扰对Android应用程序中恶意软件的分析和检测。Palo Alto安全研究员Lee在7月16日报告了这一发现,这些BadPack文件的压缩文件格式中包含了恶意修改的头部信息,会对常用的Android逆向工程工具带来挑战。报告建议,Android用户需要警惕那些提出异常权限要求的Android应用,同时不要轻易在设备上安装来自第三方来源的应用程序。
来源:https://www.darkreading.com/endpoint-security/malicious-badpack-apk-files-android-malware
4.2.4.针对Telegram安卓版的漏洞利用程序可远程操控设备
近日,网络安全公司ESET的研究人员发现了一个针对Telegram安卓版严重安全漏洞的漏洞利用程序EvilVideo。该漏洞利用程序允许攻击者通过Telegram频道、群组和私信传播伪装成普通视频文件的恶意负载。目前,ESET已向Telegram报告了这一情况,Telegram也已据此发布了一个修复补丁。ESET建议Telegram用户尽快更新到最新版本,并确保不下载或安装来源不可靠的应用程序。
来源:https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/
4.2.5.苹果迫于政府压力从俄罗斯应用商店下架VPN应用
据俄罗斯新闻媒体报道,应俄罗斯国家通信监管机构Roskomnadzor的要求,苹果公司于2024年7月4日从其AppStore中移除了俄罗斯的一些虚拟专用网络(VPN)应用程序。据报道,这包括25家VPN服务提供商的移动应用程序,包括ProtonVPN、RedShieldVPN、NordVPN和LeVPN。值得注意的是,NordVPN此前已于2019年3月关闭了其所有俄罗斯服务器。
来源:https://www.bleepingcomputer.com/news/technology/russia-forces-apple-to-remove-dozens-of-vpn-apps-from-app-store/
来源:数据安全共同体计划