1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.中欧数据跨境流动交流机制正式建立并举行第一次会议
8月27日,中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞,正式宣布建立中欧数据跨境流动交流机制。会议就双方企业关于数据跨境流动的具体问题以及数据跨境流动监管框架进行了坦诚、深入、富有建设性的交流。中国国家互联网信息办公室、外交部、商务部、工业和信息化部、国家数据局,欧盟委员会贸易总司、司法与消费者总司、通信网络、内容和技术总司、欧盟驻华代表团相关负责人参加会议。
中欧数据跨境流动交流机制由中国国家互联网信息办公室和欧盟委员会贸易总司牵头,通过召开会议等方式交流相关政策和实践,促进中欧数据跨境流动。
来源:https://mp.weixin.qq.com/s/crrgHeseQIcT3zO7K4PZCg
1.1.2.北京市互联网信息办公室等三部门印发《北京市数据跨境流动便利化服务管理若干措施》
为进一步提升市数据跨境流动便利化服务管理水平,依据《促进和规范数据跨境流动规定》等有关文件规定,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会同有关部门制定了《北京市数据跨境流动便利化服务管理若干措施》,8月26日正式印发。该文件明确了畅通数据合规出境通道、细化服务措施、优化监管措施、强化保障措施等四方面重点内容及十八项具体措施。
来源:https://mp.weixin.qq.com/s/XmFkvKoH0p43a8nX-TesTA
1.1.3.李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》等
国务院总理李强8月30日主持召开国务院常务会议,研究推动保险业高质量发展的若干意见,部署落实大食物观相关工作,审议通过《加快完善海河流域防洪体系实施方案》和《网络数据安全管理条例(草案)》,讨论《中华人民共和国海商法(修订草案)》。
会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
来源:https://mp.weixin.qq.com/s/BouiuxZSCCDYUXDswpLF9A
1.2.国外数据安全政策动态
1.2.1.美国联邦通信委员会与加拿大签署信息共享和执行协议
FCC官网8月28日消息,鉴于跨境执法合作中保护消费者隐私、数据和网络安全的重要性,美国联邦通信委员会主席Jessica Rosenworcel与加拿大隐私专员Philippe Dufresne签署了一份谅解备忘录,旨在加强两个监管机构之间的信息共享和执法合作。此次签署的协议确立了两个监管机构交换信息的参数,以加强对两国法律的遵守,并分享与适用法律相关的监管政策和技术努力方面的知识和专业知识。
来源:https://www.fcc.gov/document/fcc-and-privacy-commissioner-canada-sign-cooperation-agreement
1.2.2.新加坡更新OT安全蓝图,强化数据共享与网络弹性
ZDNET 8月20日消息,新加坡政府近日宣布对其运营技术(OT)网络安全蓝图进行了全面更新,重点更新增强数据共享机制、优化政策与流程以及深化技能培训等内容。网络安全局(CSA)指出,新版蓝图显著扩大了覆盖范围,将非关键基础设施(NCII)纳入重点保护对象。CSA强调,自2019年初次发布OT安全总体规划以来,网络威胁的规模、复杂性和发生频率均发生了显著变化,随着数字化工具和连接性的普及,网络弹性不仅对于关键信息基础设施(CII)部门至关重要,也已成为所有组织必须严肃考虑的“部署安全”原则的一部分。
来源:https://www.zdnet.com/article/singapore-updates-ot-security-blueprint-to-focus-on-data-sharing-and-skills/?continueFlag=4e867e09f545e3e583dea59bf44fe38a
1.2.3.美国与新加坡举行第二次关键和新兴技术对话
8月1日,美国与新加坡举行第二次关键与新兴技术(CET)对话,在2023年10月首次对话的基础上,回顾了双方的合作成果,双方重申了建立可信、开放、可访问和安全的技术生态系统,以促进负责任的创新、包容和可持续的经济增长以及基于规则的国际秩序。对话主要涉及六个领域:一是加强人工智能测试和评估合作,支持即将召开的人工智能安全研究所国际网络会议等。二是继续支持可信数据流动,促进全球跨境隐私规则论坛的发展,促进隐私增强技术的采用和标准化,签署双边数字经济合作路线图等。三是促进公开信息和研究人员交流,寻求在制定和实施国际公认标准方面的潜在合作等。四是促进安全的5G网络并为Open RAN等创新技术营造有利环境,探索与东盟合作建设安全、有弹性的海缆等。五是合作采用和扩展商业技术。六是通过国家级量子项目扩大产学研合作和人才交流。
来源:https://www.whitehouse.gov/briefing-room/statements-releases/2024/08/01/joint-fact-sheet-second-u-s-singapore-critical-and-emerging-technology-dialogue/
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.全国旅游标委发布《旅游大数据安全与隐私保护要求》(征求意见稿)
近日,全国旅游标准化技术委员会发布旅游行业标准《旅游大数据安全与隐私保护要求》(征求意见稿),公开征求意见。《征求意见稿》对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。适用于旅游管理和服务机构开展旅游大数据收集、传输、存储、提供与公开、使用与加工等过程中的安全管理组织、人员安全管理、相关系统建设等,也可为有关部门对旅游大数据相关活动进行监督管理提供参考。
此外,《征求意见稿》也对“游客个人敏感信息”作出定义,是指极易导致游客个人名誉、身心健康受到损害或歧视性待遇等的个人信息,一旦泄露、非法提供或滥用可能危害人身和财产安全。包括但不限于身份证件号码、个人生物识别信息、银行账户、消费记录、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、14岁以下(含)儿童的个人信息等。
来源:https://mp.weixin.qq.com/s/F1tliDf0RbzwaqRWjYnaOg
2.1.2.江西网警查处多家MCN机构,打击侵犯公民个人信息行为
江西网警按照公安部和省厅党委统一部署,紧密结合夏季网上工作形势和特点,坚持以打促管、以管促治,严厉打击整治各类突出网络违法乱象,切实净化网络生态、积极营造清朗有序的网络环境。
在此次“夏季行动”中,多家MCN因侵犯公民个人信息行为受到处罚,包括通过网络购买大量能够直接关联自然人身份信息自媒体账号用于公司经营,涉嫌非法获取公民个人信息;以及通过非法途径购买大量能够直接关联自然人身份信息自媒体账号用于公司经营并非法获利等行为。
来源:https://mp.weixin.qq.com/s/TL4zHrvujDjzEFqKVFp_eQ?scene=25#wechat_redirect
2.1.3.北京国际大数据交易所发布《北京国际大数据交易所有限责任公司个人信息授权运营管理办法(试行)》
北京国际大数据交易所在北京市相关委办局的指导下,发布了《个人信息授权运营管理办法(试行)》,旨在规范个人信息授权运营管理,保障个人信息主体的知情权、决定权和收益权,同时促进个人信息的合规流通。《管理办法》共分为七章,一共二十七条,包括总则、个人信息主体的权利和义务、数据提供方的授权采集与接入、数据使用方对个人信息的使用和处理、数据授权平台个人信息授权过程、数据安全和隐私保护、附则等章节。
来源:https://mp.weixin.qq.com/s/wANUMrjG1cZ87UEnxH27HA
2.2.国外个人信息保护政策与法律法规
2.2.1.印度政府就《数字个人数据保护法》草案进行公众咨询
8月20日,印度电子和信息技术部长Ashwini Vaishnaw表示,印度政府已经敲定《数字个人数据保护法》(DPDP)的规则,并将很快发布以征求公众意见。该规则草案将在未来20天内发布,框架预计将在一个月内发布。近一年前,议会通过了DPDP法案,旨在防止个人数据泄露,并为儿童和残疾人提供专门保护。最终确定的规则将提出投诉、上诉决定和其他细节的工作流程。在规则草案公布后,政府可能会给利益相关者45—60天的时间提交反馈意见。这是印度首个关于数字个人隐私的规定。
来源:https://telecom.economictimes.indiatimes.com/news/policy/centre-to-release-draft-data-protection-rules-soon-it-minister-ashwini-vaishnaw/112639460?utm_source=top_story&utm_medium=latestNews
2.2.2.爱尔兰数据保护委员会要求X暂停人工智能训练活动中的个人数据处理
8月8日,爱尔兰数据保护委员会(DPC)宣布,DPC与X(原Twitter)签订了一项协议,要求X在2024年5月7日至2024年8月1日期间暂停对X平台上EU/EEA用户发布的公开帖子中包含的个人数据进行处理。
DPC强调X处理个人数据的目的是训练其人工智能系统“Grok”。DPC提及,DPC根据2018年《数据保护法》第134条向高等法院提出申请后与X协商一致达成了该协议。具体而言,《数据保护法》第134条允许DPC在迫切需要保护数据主体的权利和自由时向高等法院申请发布一项命令,要求数据控制者暂停、限制或禁止处理个人数据。
来源:https://www.dataprotection.ie/en/news-media/press-releases/dpc-welcomes-xs-agreement-suspend-its-processing-personal-data-purpose-training-ai-tool-grok
3、国内外数据安全相关事件
3.1.国内数据安全相关事件
3.1.1.黑客声称窃取腾讯14亿用户信息,数据量达500GB
据HackRead报道,名为“Fenice”的黑客泄露了 14 亿个用户账户信息,其声称这些信息属于中国互联网巨头腾讯(Tencent)。此次泄露的数据为JSON格式,包含邮箱、手机号、QQ号等信息,未压缩状态大小为500GB。
来源:https://hackread.com/hackers-leak-1-4-billion-tencent-user-accounts-online/
3.2.国外数据安全相关事件
3.2.1.美国背调公司NPD泄露近30亿条公民信息
外媒报道,有黑客在暗网论坛Breach Forums上放出了 27 亿条未加密的记录,公开了两个 csv 文件共计 277GB。记录包含姓名、社会保险号码(SSN)、所有已知地址和曾用名,以及与这个人有关联的别名,涉及美国、加拿大和英国的人员。根据已知信息,这些数据来自一家美国背景调查公司 Jerico Pictures 所经营的 “国家公共数据(National Public Data)”。
来源:https://www.mcafee.com/blogs/security-news/data-breach-exposes-3-billion-personal-information-records/
3.2.2.丰田数据再泄露,涉及240GB员工和客户信息
据BleepingComputer消息,一名黑客在论坛上发帖称自己从丰田美国分公司窃取了240GB数据,丰田官方随后表示这一情况属实。根据这名黑客的描述,这些数据不仅涉及丰田员工和客户的信息,还包括合同和财务信息,其还通过开源的AD-Recon工具搜集了网络基础设施信息等数据。
来源:https://www.bleepingcomputer.com/news/security/toyota-confirms-third-party-data-breach-impacting-customers/
3.2.3.Park’N Fly 数据泄露,包含大量客户的个人信息
8月26日,加拿大大型的机场外停车服务提供商Park’ N Fly发表声明,在7月11日至13日期间,第三方通过未经授权的远程VPN入侵了该公司的网络,导致数据泄露。泄露的信息包括大约100万客户的姓名、电子邮件地址和实际地址,以及航空公司常旅客号码和民航局(CAA)号码。
来源:https://www.bleepingcomputer.com/news/security/parkn-fly-notifies-1-million-customers-of-data-breach/
3.2.1.流媒体公司Roku超过15000个账户信息泄露
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于侵害用户权益行为的APP(SDK)通报
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现21款APP及SDK存在侵害用户权益行为,予以通报。
来源:https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_93a1b8bbf8ff491490afc9115d267fcf.html
4.1.2.国家计算机病毒应急处理中心监测发现15款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规以及相关国家标准的要求,近期通过互联网监测发现15款移动App存在隐私不合规行为。
来源:https://www.cverc.org.cn/zxdt/report20240801.htm
4.1.3.腾讯官方回应文件传输助手隐私问题
日前,腾讯方面就国家安全部对“文件传输助手”安全风险可能导致信息泄露的警告做出了正式回应,澄清微信文件传输助手是微信内置的一项辅助功能,旨在帮助用户在不同设备间(如手机、电脑、iPad)传输各种类型的文件,包括视频、图片和文档等。腾讯强调该服务不会在服务器上保存用户的聊天记录,且会严格遵守相关法律法规以保障用户的通讯隐私安全。
来源:https://tech.caijing.com.cn/20240807/5029116.shtml
4.1.4.骑手地图暴露隐私风险,信息安全岂能不重视
近期,一款名为“骑手小区楼号地图”的小程序在网络上引发了广泛讨论和关注。这款小程序最初的设计初衷是为了帮助外卖骑手更快速地查找小区楼号,以提高配送效率。然而,随着使用的增加,该小程序却出现了严重的隐私泄露、恶意标记顾客以及传播虚假信息等问题,引发了公众的关注和投诉。
来源:http://views.ce.cn/view/ent/202408/09/t20240809_39098219.shtml
4.2.国外移动互联网安全热点
4.2.1.违规传输司机个人数据,优步被荷兰监管机构罚款2.9亿欧元
2024年8月26日,荷兰数据保护局宣布对美国网约车服务运营商优步(Uber)处以2.9亿欧元罚款,理由是优步在将欧洲地区出租车司机的个人数据传送至美国的过程中,未能适当保护这些数据。荷兰数据保护局认为这“严重违反”了欧盟《通用数据保护条例》(GDPR)。目前优步已停止了相关违规行为。
来源:https://www.bleepingcomputer.com/news/legal/uber-fined-325-million-for-moving-driver-data-from-europe-to-us/
4.2.2.新型安卓恶意软件可利用NFC技术窃取银行卡信息
近日,安全研究人员发现一种名为NGate的新型Android恶意软件。该软件利用近场通信(NFC)技术,将克隆数据传递给攻击者的设备以实施欺诈交易,使攻击者能够在不留下追溯痕迹的情况下从受害者账户中窃取资金。
来源:https://www.darkreading.com/mobile-security/nfc-traffic-stealer-targets-android-users-and-their-banking-info
4.2.3.移动设备管理平台遭受网络攻击,1.3万台设备数据被非法删除
日前,英国移动设备管理公司Mobile Guardian遭受了大规模网络攻击事件,导致包括北美、欧洲和新加坡在内的学校和企业遭受严重影响。攻击者未经授权访问了Mobile Guardian平台上注册的iOS和ChromeOS设备,导致数据丢失,并远程擦除了数千名用户的iOS和ChromeOS设备上的数据。
来源:https://www.csoonline.com/article/3481871/over-13000-phones-wiped-clean-as-cyberattack-cripples-mobile-guardian.html
4.2.4.苹果macOS版微软应用发现8个漏洞,警惕黑客恶意操作
近期,Cisco?Talos研究称,macOS版微软应用存在八个漏洞。攻击者利用macOS系统中的已知漏洞,比如Microsoft Teams中禁用的库验证功能,来获得未授权的访问权限。他们通过诱使用户打开恶意附件或点击被破坏的链接,将恶意库注入到应用程序的进程中,绕过安全措施,窃取权限。研究人员目前已经报告了四个应用程序存在这些漏洞,并且进行了更新,更新后的版本不再容易受到最初描述的攻击场景的影响。
来源:http://finance.sina.com.cn/tech/roll/2024-08-20/doc-inckhrza3496029.shtml
文章来源:数据安全共同体计划