1.国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.《工业和信息化领域数据安全合规指引(征求意见稿)》公开征集意见
为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规要求,9月29日,中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信标准化协会、中国通信企业协会、中国互联网协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引(征求意见稿)》,旨在充分发挥行业自律作用,引导工业和信息化领域数据处理者合法合规开展数据处理活动,准确全面履行数据安全保护责任义务。现面向成员单位公开征求意见。公开征求意见的时间截至2024年10月16日。
来源:https://www.china-cic.cn/Detail/24/5756/5756
1.1.2.平潭发布福建自贸区首批数据跨境流动清单
9月8日下午,福建省平潭综合实验区在第二十四届中国国际投资贸易洽谈会上举办主题为“共建数智平潭 共享新质未来”的数据跨境流动研讨会。实验区行政审批局相关负责人发布了平潭数据跨境流动一般清单阶段性成果,福建省通管局相关负责人介绍了国际互联网数据专用通道进展情况。会上邀请4位专家学者作数据跨境领域主题演讲,同时举行数据跨境流动项目签约仪式。平潭综合实验区行政审批局党组书记、局长林良明表示,实验区将以高水平对外开放为抓手,加快打造数据出口通道,健全数据跨境流动机制,积极培育跨境直播、人工智能、数据要素市场化等新兴业态,因地制宜加快发展新质生产力,持续推动“数智平潭”实现高质量发展,为建设两岸共同市场和共同家园贡献力量。
来源:https://mp.weixin.qq.com/s/06YTZVTCvAI7i9_6pZLsvQ
1.1.3.李强签署国务院令 公布《网络数据安全管理条例》
9月30日消息,《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过。为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定该条例。条例共计九章六十四条,包括总则、一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务、监督管理、法律责任、附则等重点内容,自2025年1月1日起施行。
来源:https://mp.weixin.qq.com/s/gKL0_z5CdmD02JGly2YtQQ
1.2.国外数据安全政策动态
1.2.1.CISA发布后量子密码工具指南
Nextgov 9月27日消息,美国网络安全和基础设施安全局(CISA)公开发布后量子密码学(PQC)迁移指南,旨在帮助联邦数字系统为可能出现的与密码学相关的量子计算机做好准备。CISA建议各机构尽早开始迁移过程,识别潜在的漏洞,并迁移那些存储敏感信息的高影响信息系统或资产。此外,CISA正在与国家标准与技术研究所(NIST)的国家网络安全卓越中心(NCCoE)的“迁移到PQC”项目中的其他合作伙伴共同协作,以支持PQC迁移工作。
来源:https://www.nextgov.com/cybersecurity/2024/09/cisa-guidance-focuses-post-quantum-cryptography-tools/399904/?oref=ng-homepage-river
1.2.2.NIST更新网络安全、隐私学习计划指南
executivegov 9月13日消息,美国国家标准与技术研究院新发布的特别出版物800-50r1(修订版1)为联邦政府提供了更新的指导方针,以开发和管理网络安全和隐私学习计划。首个SP 800-50修订版将隐私与网络安全整合到组织范围内学习计划的开发中,为组织提出了以员工为中心的网络安全和隐私文化,并纳入基于标准教学设计元素、成熟度模型和评估方法的指导,在指导方针将学习计划与组织目标整合,以管理网络安全和隐私风险,应对衡量网络安全和隐私学习计划影响的挑战。SP 800-50r1的制定参考了2021财年国防授权法案、2014年网络安全增强法案和NICE网络安全工作框架。根据管理与预算局的A-130通知,联邦机构必须拥有安全和隐私意识及培训计划。
来源:https://executivegov.com/2024/09/nist-special-publication-revision-cybersecurity/
1.2.3.美国白宫公布路线图,旨在加强全球数据路由框架安全
8Nextgov 9月3日消息,美国白宫发布一项旨在加强全球重要数据路由框架网络安全的路线图。该路线图建议使用资源公共密钥基础设施(RPKI)系统来提升互联网路由的安全性。RPKI旨在确认某个网络有权使用特定的IP地址,检查确保只有通过已验证的网络传输的流量。组织需要建立所谓的路由起源授权(ROAs),以便该系统有效运行。根据美国国家标准与技术研究所(NIST)提供的监控数据,仅一半的IP地址拥有有效的ROA。
来源:https://www.nextgov.com/cybersecurity/2024/09/white-house-plan-looks-secure-foundational-piece-global-internet/399239/?oref=ng-homepage-river
2.个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.中央网信办等发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
9月10日,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称“《指引》”)。
《指引》共十四条,规定了粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同的基本事项,适用于个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者澳门特别行政区。
来源:https://mp.weixin.qq.com/s/oX53PItERys7Y6RtlCrr1w
2.1.2.广州互联网法院就个人信息跨境处理行为合法性审查作出判决
近日,广州互联网法院在“王某与某咨询公司、某国际酒店公司个人信息保护纠纷案”中明确个人信息跨境处理的合法性审查规则。其生效判决认为,跨境个人信息处理的主要合法性基础是个人信息和履行合同所必需,被告公司为消费者预订域外酒店服务收集案涉个人信息,此种情况下的个人信息出境,属于履行合同必需,不须单独同意。但被告公司基于商业营销目的,向境外第三方公司传输处理相关个人信息,处理行为及其处理目的超出履行合同必需,也未向王某充分告知并取得其单独同意,属于违法处理行为,侵害了王某的个人信息权益,应当承担民事侵权责任。
来源:https://mp.weixin.qq.com/s/iAgo-W6qe2-VO-ZpEbLKdg
2.1.3.全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》
9月18日,全国网络安全标准化技术委员会秘书处发布了《网络安全标准实践指南——敏感个人信息识别指南》(TC260-PG-20244A,v1.0-202409)(以下简称“《指南》”),通过技术文件形式指导各相关组织开展敏感个人信息识别与保护等工作。
《指南》详细给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
来源:https://www.tc260.org.cn/front/postDetail.html?id=20240918084858
2.2.国外个人信息保护政策与法律法规
2.2.1.沙特王国《个人数据保护法》及相关条例正式生效
9月7日,沙特数据和人工智能管理局(SDAIA)发布《沙特阿拉伯个人数据保护法实施条例》(以下简称“《实施条例》”)和《沙特阿拉伯个人数据跨境传输条例》(以下简称“《传输条例》”);9月14日,两部条例同《沙特阿拉伯王国个人数据保护法》一并正式生效。
沙特阿拉伯设立了专门的数据保护监管机构,由数据和人工智能管理局负责监督和执行《个人数据保护法》《实施条例》《传输条例》,监管时间为期两年,之后相关监管权限可能被移交至隶属于数据和人工智能管理局的国家数据管理办公室。
作为监管机构,数据和人工智能管理局的主要权力和职责是:负责制定和实施与数据和人工智能相关的政策、战略和计划;监督和管理数据和人工智能领域的运营、研究和创新活动;促进数据和人工智能技术的发展和应用以及与国内外相关机构进行合作和交流等。在监督个人数据跨境传输规则的实施方面,数据和人工智能管理局负责确保所有实体遵守相关法律规定,并对违反个人数据跨境传输规则的行为进行调查和处罚。同时,数据和人工智能管理局还需要对公众进行有关个人数据保护的教育和培训,提高他们对个人数据保护的认识和意识。
来源:https://mp.weixin.qq.com/s/leovUX0DjBoUI73NV-0Lvg
2.2.2.越南发布《个人数据保护法(草案)》
9月23日,越南公安部正式发文就《个人数据保护法(草案)》征求意见,该法案预计在第15届国会第八次会议(2024年10月20日至12月3日)上提交国民议会征求意见,并可能于2026年1月1日生效。
相较于2023年7月发布的《个人数据保护法令》,《个人数据保护法(草案)》就个人信息保护相关的适用范围、重要定义、基本原则、数据主体权利、告知规则、合法性基础、数据跨境等重点事项作出规定,旨在完善越南的个人数据保护法律制度,为个人数据保护创建法律通道,提高组织的个人数据保护能力,接近国际和区域水平的国内个人;促进依法使用个人数据,促进经济和社会发展。
来源:https://www.lexology.com/library/detail.aspx?g=30ffb22a-de8b-4086-b4ce-a3f305b35b24#:~:text=Vietnam%20September%2024%202024.%20On%20September
3.国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国背景调查公司发生超大规模数据泄露,超1亿人受到影响
近日,网络安全研究机构Cybernews发现美国背景调查和公共记录服务公司MC2 Data发生了一起大规模数据泄露事件,超1亿美国公民的个人信息遭到泄露。泄露原因是MC2 Data 配置错误,导致其数据库没有设置密码保护,任何互联网用户都可以轻易访问其中的敏感数据。该数据库中共包含1.06亿条记录,具体包括:姓名、电子邮件地址、IP地址、用户代理、加密后的密码、部分支付信息、家庭住址、出生日期、电话号码、房产记录、法律记录、家庭成员、亲戚及邻居信息、就业经历。此次泄露不仅影响了背景调查针对的个人,还涉及230万MC2 Data的订阅用户,其中包括雇主、房东、执法机构等。
来源:https://www.foxnews.com/health/106-million-americans-exposed-massive-data-leak-rocks-background-check-firm
3.1.2.美国国会超3000名工作人员信息遭暗网泄露
9月26日,美国国会大厦近期成为大规模网络攻击的受害者,导致超过3,000名国会工作人员的敏感个人信息在暗网上曝光。据Proton和Constella Intelligence公司的研究发现,这些泄露数据包括密码、IP地址及社交媒体信息,共计约3,191条记录,其中近五分之一的国会员工受到波及。
来源:https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html
3.1.3.美国蒙大拿州计划生育协会遭入侵,近100GB敏感数据被泄露
美国蒙大拿州计划生育协会证实其网络系统近期遭到勒索软件组织RansomHub 入侵,近100GB敏感数据被泄露。黑客公布了多个被盗文件的样本,这些样本包含2024年以来的财务预算记录、工资信息、米苏拉县拘留所正在进行的法庭案件的文件以及责任保险证明。
来源:https://cybernews.com/news/planned-parenthood-confirms-breach-ransomhub-gang-claims-responsibility/
3.1.4.法国9500万条公民数据遭泄露,涉及多行业信息
9月25日报道,法国近期发生了一起重大数据泄露事件,涉及超过9500万条公民数据记录被公然置于互联网上,远超法国总人口数,数据范围涵盖姓名、联系方式、电子邮件及部分支付信息等敏感内容。此次事件由Cybernews与网络安全专家共同揭露,源头指向一个开放的Elasticsearch服务器“vip-v3”,无需认证即可访问,内含来源于17起不同的数据泄露事故的至少30GB数据。泄露数据不仅数量庞大,且种类繁多,涉及电信、电商、社交媒体等多个行业和多家知名公司。
来源:https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/
3.1.5.俄罗斯最大社交网站VK数据泄露,涉及3.9亿用户信息
Hackread报道,黑客HikkI-Chan在Breach论坛泄露了俄罗斯最大社交网站VK超过3.9亿用户个人数据。窃取的数据大小超过27GB。泄露的信息不包含电话号码和密码,但是包括城市、国家、姓名、用户个人资料图像URL链接和电子邮件地址(总数未知)。
来源:https://hackread.com/hacker-leaks-data-of-vk-users-russian-social-network/
3.2.1.流媒体公司Roku超过15000个账户信息泄露
4.移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部发布关于侵害用户权益行为的APP(SDK)通报
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现21款APP及SDK存在侵害用户权益行为,予以通报。
来源:https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2024/art_30d7bc2bfb6f465ab7b7841e2a750f4e.html
4.1.2.国家计算机病毒应急处理中心监测发现13款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规以及相关国家标准的要求,近期通过互联网监测发现13款移动App存在隐私不合规行为。
来源:https://www.cverc.org.cn/zxdt/report20240925.htm
4.1.3.中国网络空间安全协会公布62款APP完成个人信息收集使用合规整改
日前,腾讯方面就国家安全部对“文件传输助手”安全风险可为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。
来源:https://www.cybersac.cn/detail/1833077486582276098
4.1.4.北京网信办整治连锁超市APP、二维码违法收集个人信息乱象
个人信息事关人身财产隐私安全,超市购物又与每个人日常生活息息相关。随着个人信息保护意识的增强,消费者在超市购物结算过程中对App索权愈加敏感。记者从北京市委网信办举行的新闻通气会上获悉,为回应市民诉求,北京市进一步加强超市购物领域个人信息保护,提升大型连锁超市企业收集使用个人信息合规能力和数据安全防护能力。
来源:https://baijiahao.baidu.com/s?id=1810574854688734591&wfr=spider&for=pc
4.2.国外移动互联网安全热点
4.2.1.俄罗斯版“微信”遭黑客入侵,泄露3.9亿条用户数据
据报道,俄罗斯最大的社交媒体和网络服务VK(VKontakte)遭遇大规模数据泄露,影响了大量的用户。据非法市场BreachForums上一位名为Hikki-Chan的威胁行为者称,2024年9月,VK出现大规模数据泄露事件,其数据在论坛上下载仅需几个积分,几乎可以免费下载。
来源:https://cybernews.com/news/russian-state-owned-social-network-vk-breached/
4.2.2.苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
近日,苹果公司的Vision Pro混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。该攻击活动名为GAZEploit,该漏洞被追踪为CVE-2024-40865。佛罗里达大学的学者对此表示:这是一种新颖的攻击,因为攻击者可以从头像图片中推断出与眼睛有关的生物特征,从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。
来源:https://thehackernews.com/2024/09/apple-vision-pro-vulnerability-exposed.html
4.2.3.Meta、YouTube等巨头被曝长期监视未成年用户,牟利数十亿美元
根据美国联邦贸易委员会(FTC)工作人员的一份报告显示,社交媒体和视频流媒体公司一直在对用户,尤其是儿童和青少年进行广泛的监控,隐私保护不足,并通过数据货币化每年赚取数十亿美元。此调查始于2020年 12月,联邦贸易委员会于2020年12月公布了调查结果,并向亚马逊(Twitch 的所有者)、Meta(Facebook)、YouTube、Twitter(现为 X 公司)、Snapchat、TikTok(ByteDance 所有)、Discord、Reddit 和 WhatsApp(Meta)发出了命令。这份报告调查了公司在2019年至2020年期间如何收集数据,追踪个人和人口统计信息,以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示,这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。
来源:https://www.bleepingcomputer.com/news/technology/ftc-exposes-massive-surveillance-of-kids-teens-by-social-media-giants/
4.2.4.美国一AI公司因非法收集面部数据被罚超3000万欧元
据Cyber News消息,荷兰数据保护局(Dutch DPA)已向美国人工智能公司Clearview AI开出3050万欧元(3370万美元)巨额罚款,并对其服务下达了使用禁令。Clearview AI是一家总部位于美国纽约的面部识别公司,为执法部门、政府机构和其他组织提供面部识别服务,能够根据视觉输入查找特定人员的身份。当局认为,该公司建立了一个非法数据库,其中包含300亿张面部照片,包括许多荷兰人的照片。因此,Clearview AI会自动从互联网上抓取这些照片,然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不知道这一点,也未对这一行为进行授权。
来源:https://cybernews.com/ai-news/clearviewai-fined-millions-declared-illegal/
4.2.5.继TikTok风波后,Temu成为美国数据安全审查新焦点
近期,继对TikTok进行调查后,美国众议院共和党人致信美国证券交易委员会(SEC)和联邦调查局(FBI),要求对跨境电商平台Temu及其母公司拼多多(PDD)数据处理行为进行调查。Temu自2022年进入美国市场以来,通过提供低价商品迅速积累了用户基础,但其商业行为和数据处理方式引发了多项争议。此前,拼多多因被指利用安全漏洞读取用户设备数据而遭谷歌应用商店下架,Temu也因涉嫌违规数据收集行为在美国面临集体诉讼。由于拼多多在纳斯达克上市,国会议员希望SEC和FBI能够说明是否已就这些数据安全问题展开调查,并通报进展情况。
来源:https://therecord.media/republicans-call-to-investigate-temu-china-tiktok?__cf_chl_rt_tk=I31YybSFwbb1FXAw6yYkofdz4RxnRGYeDMBlAhIHRx4-1727597356-0.0.1.1-4266
来源:数据安全共同体计划