1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.国家数据局向社会公开征求《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的意见
为贯彻党的二十届三中全会精神,落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,促进数据要素合规高效流通使用,充分释放数据价值,国家数据局会同有关部门研究起草了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》,现向社会公开征求意见。方案包括总体要求、主要任务等,公开征求意见的时间是2024年11月29日至12月6日。
来源:https://mp.weixin.qq.com/s/4SuhTPczEpenRpwL3i3paw
1.1.2.《工业和信息化领域数据安全合规指引》正式发布
2024年11月19日,为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策要求,引导工业和信息化领域数据处理者规范开展数据处理活动,中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位组织编制了《工业和信息化领域数据安全合规指引》(简称《合规指引》),聚焦数据处理者在履行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,有利于支撑数据处理者全面、准确、规范开展数据安全合规管理,提升数据安全保护能力。
来源:https://www.china-cic.cn/Detail/24/67/5909
1.1.3.辽宁省印发《辽宁省工业领域数据安全能力提升实施方案(2024-2026年)》
近日,辽宁省工业和信息化厅印发《辽宁省工业领域数据安全能力提升实施方案(2024-2026年)》,包括总体要求、重点任务、保障措施等,旨在通过增强数据安全保护意识、开展重要数据安全保护等措施,提升工业领域数据安全能力,为加快推进新型工业化、建设“数字辽宁、制造强省”提供坚实支撑。
来源:https://gxt.ln.gov.cn/gxt/tztg/2024111814565741285/
1.2.国外数据安全政策动态
1.2.1.越南国会正式通过《数据法》法案
路透社11月30日消息,越南国会当日正式通过本国《数据法》内容主要涉及构建、开发、保护、管理、处理和使用数字数据,国家数据中心,国家通用数据库,数字数据产品和服务,数字数据管理以及与数字数据活动相关的机构、组织和个人的权利、义务和责任。该法将于2025年7月1日生效。
来源:https://www.reuters.com/world/asia-pacific/vietnam-approves-data-electricity-laws-67-bln-rail-plan-2024-11-30/
1.2.2.NIST发布关于过渡到后量子密码学标准的初始公开草案
11月13日消息,美国国家标准与技术研究院(NIST)正在推动后量子密码学(PQC)标准的过渡,以抵御量子计算机对现有加密算法的威胁。NIST在8月发布了首批三个量子抗性加密算法,并在11月12日发布了一份29页的草案,明确了将替换现有易受量子攻击的密码学标准。草案旨在指导联邦机构、行业和标准组织迁移至PQC的时间表和努力方向。白宫已将2035年设定为联邦机构完成PQC迁移的主要目标,但不应用的迁移时间线可能会有所不同。NIST将在整个PQC迁移过程中继续更新文件,提供更详细的指导,并寻求公众对草案报告的意见,以改进过渡计划。
来源:https://csrc.nist.gov/pubs/ir/8547/ipd
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.《反洗钱法》修订通过,新增多项个人信息保护规定
11月8日,第十四届全国人民代表大会常务委员会第十二次会议修订通过《反洗钱法》,自2025年1月1日施行。
为进一步平衡反洗钱工作与保障单位、个人正常金融活动的关系,保护数据安全和公民个人信息,修订新增四个方面的规定:其一,在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时,增加规定对个人隐私的保护;其二,明确要求提供反洗钱服务的机构及其工作人员对于因提供服务获得的数据、信息,应当依法妥善处理,确保数据、信息安全;其三,增加规定金融机构在公司内部、集团成员之间共享反洗钱信息,也应当符合有关信息保护的法律规定;其四,增加规定有关国家机关工作人员泄露反洗钱信息的法律责任。
来源:http://www.npc.gov.cn/npc/c1773/c1848/c21114/fxqfxd/fxqfxd003/202411/t20241104_440465.html
2.1.2.北京市互联网法院判决认为线上线下一体化自营商店不同经营主体共享消费者个人信息应充分告知消费者并取得其同意
近日,北京市互联网法院就消费者线下交易信息共享至线上小程序的行为作出判决,认为不属于“为订立、履行合同所必需”,而应当充分告知消费者,并取得消费者同意。
该案中,原告在A公司实际运营的线下商店购物并选择微信付款,通过店铺内二维码支付,即跳转至B公司运营的商店同名微信小程序,小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息,原告认为在未调用、使用该商店同名微信小程序的情况下,被商店微信小程序获取了本人的线下购物信息,构成对其个人信息权益的侵害。被告认为商店微信小程序获得用户订单信息基于其原告授权。
北京互联网法院认为:其一,用户在商店购买商品的交易以信息狗策划给你个人信息;其二,被告微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款,且线下交易时亦未向消费者告知并取得同意。其三,线下商店展示的支付二维码仅具有支付功能,扫描二维码致使线上小程序获取线下交易记录并非必要,不属于“为订立、履行合同所必需”,且未经原告同意,构成对原告个人信息的侵害。判决被告向原告书面赔礼道歉。
来源:https://m.bjnews.com.cn/detail/1731576092168347.html
2.1.3.上海一中院判决保险电商网站泄露个人投保信息,保险经纪公司与运营技术公司承担连带责任
近日,上海市第一中级人民法院就个人投保信息泄露案件作出判决,判决保险经纪公司与运营网站的技术公司就投保人个人信息泄露承担连带责任。
该案中,原告通过保险经纪公司购买保险公司的保险产品,通过网页提交投保信息,后偶然输入投保使用的手机号码,能够直接查阅其未经加密的保单信息,包括其姓名、证件号码、出生日期及职业等个人信息。原告认为保险单公开造成其个人信息泄露,导致其长期受到保险推销广告打扰。以保险公司、保险经纪公司、运营投保网站的技术公司作为被告提起诉讼要求三被告清楚已披露的个人信息,并赔偿六万元。该案一审法院认为在案证据难以认定三家公司侵犯原告隐私权,且网站已对原告隐私信息进行了技术处理,无法再次搜索到保单信息,驳回原告诉请。
二审法院上海市第一中级人民法院围绕案涉信息是否属于隐私权的保护范畴;原告提起本案诉讼是否需要履行前置程序;案涉信息泄露的责任承担;原告损害后果的认定等争议焦点作出判决。其一,手机号、身份证号码、职业等信息具有积极利用属性,用户个人身份的识别与社会交往,并非属于隐私权保护范畴,但可以适用《个人信息保护法》作为具体保护规则;其二,原告主张损害赔偿的侵权责任,并非仅主张个人权利请求权,因而可直接向法院起诉,无需受限于“个人信息处理者拒绝个人权利请求”的前置条件。其三,就三方责任划分,保险公司已与保险经纪公司约定用户个人信息保护相关要求,且不存在不当行为,因而在个人信息处理过程中不存在侵权行为;技术公司是个人信息的直接收集者与处理者,且泄露网址链接指向其运营的投保网站,应由其就投保信息泄露承担侵权责任;保险经纪公司与技术公司就投保个人信息的收集、使用、传输等具有共同目的,应就信息泄露承担连带责任。其四,原告个人信息泄露后可为不特定第三人获取,构成个人信息权益损害,且其中包含敏感个人信息,认定技术公司赔偿原告一万元,保险经纪公司承担连带赔偿责任。
来源:https://mp.weixin.qq.com/s/xF350P-o-3f12TmuQwmrRA
2.1.4.全国网络安全标准化技术委员会发布《粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》
11月21日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》(以下简称《跨境保护要求》),《跨境保护要求》规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求,适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。
来源:https://www.tc260.org.cn/front/postDetail.html?id=20241121082051
2.2.国外个人信息保护政策与法律法规
2.2.1.Meta因非法处理个人信息被罚216亿韩元
11月5日,韩国个人信息保护委员会作出决定,对Meta处以216亿余韩元行政罚款。
韩国个人信息保护委员会针对Meta个人信息处理行为的调查显示,Meta存在非法收集敏感个人信息、无正当理由拒绝查阅请求、个人信息泄露等非法处理个人信息行为。其一,Meta通过用户在Facebook上点击“赞”的页面、点击的广告等行为信息进行分析,制作并运营了敏感信息相关广告主题(特定宗教、同性恋、跨性别、脱北居民等),属于未经用户同意收集并利用敏感个人信息,且未采取保护措施,构成非法收集用户敏感个人信息。其二,Meta不公平地以非韩国《个人信息保护法》所规定的调阅对象为由拒绝用户查阅个人信息的要求,构成无正当理由拒绝查阅请求。其三,针对处于已停用或未激活状态的网站,Meta未采取删除或关闭等安全措施,致使黑客利用此页面提交虚假身份信息进而重置其他用户账户密码,Meta未充分核验前述虚假身份,导致10名韩国用户个人信息遭到泄露,构成个人信息泄露。
来源:https://mp.weixin.qq.com/s/grfstDPxrLoAB_8YN4wmLQ
2.2.2.澳大利亚议会批准隐私法关键改革建议
11月18日,澳大利亚联邦众议院通过《2024年隐私和其他立法修正案》法律摘要,明确此次修正案改革关键,涉及个人信息跨境流动、儿童隐私保护规范、严重隐私侵权诉权、分层级处罚制度、紧急和符合条件的数据泄露声明、自动化决策的透明度、人肉搜索行为入刑等七个方面。
该修正案由澳大利亚联邦议会于2024年9月12日发布,旨在修订1988年《隐私法》,以落实政府在回应《隐私法》审查报告时所承诺的首批改革措施。目前,修正案已经过众议院的一读、二读、三读,以及参议院的一读、二读。
来源:https://mp.weixin.qq.com/s/KLKWpr_dEmWMwDfGXlxCKg
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.MOVEit漏洞引发重大安全危机,25家跨国企业数据泄露
近日,据报道,一名网名为“Nam3L3ss”的黑客公开发布了利用MOVEit漏洞获取的大量企业员工数据,据称来自麦当劳、汇丰、亚马逊、联想、惠普等多家知名跨国企业,数据具体包括员工姓名、邮箱地址、电话号码、成本中心代码和组织结构等。
来源:https://www.infostealers.com/article/massive-moveit-vulnerability-breach-hacker-leaks-employee-data-from-amazon-mcdonalds-hsbc-hp-and-potentially-1000-other-companies/
3.1.2.《麻省理工学院技术评论》遭黑客入侵,近30万用户数据泄露
11月4日,近期名为“Intel Broker”的黑客声称通过第三方承包商入侵了《麻省理工学院技术评论》杂志,并在Breach Forums上公开了近30万条用户记录。这些数据可能源自该网站的新闻通讯订阅者名单,包含全名、电子邮件地址、活动日期及教育细节等个人信息。
来源:https://hackread.com/hackers-leak-mit-technology-review-user-records/
3.1.3.施耐德电气遭黑客入侵,40GB数据被盗
11月4日,一名名为“Grep”的黑客声称利用暴露的凭证入侵了施耐德电气公司的JIRA服务器,并抓取了40万行用户数据,其中包括75000个唯一电子邮件地址和全名。施耐德电气已经确认了此次泄密事件,此次事件涉及其位于隔离环境中的内部项目执行跟踪平台之一。
来源:https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/
3.1.4.美国俄亥俄州哥伦布市50万居民信息遭勒索团伙窃取并泄露
11月4日,美国俄亥俄州哥伦布市(人口超过905000)在今年7月遭受Rhysida勒索软件团伙的攻击,导致公共服务和IT连接中断。该团伙声称窃取了6.5TB数据,包括员工凭证、城市摄像机源等敏感信息,并在勒索失败后泄露了45%的被盗数据。
来源:https://www.bleepingcomputer.com/news/security/city-of-columbus-data-of-500-000-stolen-in-july-ransomware-attack/
3.1.5.美国Hot Topic等三品牌数据泄露,5690万账户信息遭曝光
11月11日,据Have I Been Pwned警告,美国零售连锁店Hot Topic及旗下子品牌Box Lunch、Torrid的客户个人信息遭到泄露,涉及56904909个账户。泄露信息包括客户全名、电子邮件地址、出生日期、电话号码、实际地址、购买历史以及部分信用卡数据。
来源:https://www.bleepingcomputer.com/news/security/hibp-notifies-57-million-people-of-hot-topic-data-breach/
3.1.6.超1亿商业联系信息遭B2B平台DemandScience数据泄露
11月13日消息,自2024年2月以来,一个名为“KryptonZambie”的黑客者在 BreachForums论坛上出售 1.328亿条个人信息记录。目前已证实,这些数据来自美国一家聚合数据的 B2B 需求生成公司 DemandScience(前身为 Pure Incubation),包括全名、地址、电子邮件、电话号码、职位和社交媒体链接等,数据是由该公司从公共来源和第三方收集的。
来源:https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报侵害用户权益行为的APP(SDK)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工信部组织第三方检测机构进行抽查,共发现27款APP及SDK存在侵害用户权益行为,予以通报。
来源:https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2024/art_a20860e438684a039708611ceeadc003.html
4.1.2.美柚、宝宝树等App平台推送涉黄短信?官方回应:数据库安全,启动自查
近日,多位用户在社交媒体发文称,准爸爸注册母婴APP美柚后,会频繁接到涉黄短信,而此前没有出现此种情况。除了美柚,另一款母婴APP宝宝树孕育也被指泄露用户隐私。随后,美柚和宝宝树孕育先后发布官方声明回应,表示尚未发现用户信息泄漏等违法违规情况,公司目前已开展内部调查。
来源:https://finance.sina.com.cn/roll/2024-11-18/doc-incwnnhp0320951.shtml
4.1.3.国家计算机病毒应急处理中心监测发现13款App存在隐私不合规行为
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现13款移动App存在隐私不合规行为,涉及电商等领域。
来源:https://news.cctv.com/2024/11/12/ARTIZ9G9Ok4GcMxqSmLBGT5P241112.shtml
4.1.4.湖南省网信办执法约谈10家违规收集使用个人信息App负责人
近期,按照“亮剑湖湘·消费领域个人信息权益保护”专项执法行动工作部署,湖南省网信办组织技术支撑单位,聚焦餐饮外卖、房屋租售、商超购物、停车约车等社会关注度较高、个人信息被滥用和过度索取乱象突出的四类消费场景,发现了一批违法违规收集使用个人信息的问题。下一步,湖南省网信办将进一步落实属地管网职责,严厉查处网络违法违规行为,不定期向社会公布专项执法行动成果和典型案例,加强对消费领域企业的合规指引和对消费者的警示提醒,积极回应人民群众对个人信息保护的关切,促进互联网行业健康有序发展。
来源:https://www.cnr.cn/hunan/gstjhunan/20241102/t20241102_526962078.shtml
4.1.5.快手公司被公安机关警告处罚,因未及时处置禁止发布或传输信息、落实青少年模式不到位等问题
2024年11月22日,据“国家网络安全通报中心”近日针对快手公司短视频中存在违法信息等问题,公安机关依据《网络安全法》规定,依法给予快手公司警告处罚。经查,快手公司存在对法律、行政法规禁止发布或者传输的信息未及时处置,以及落实青少年模式不到位等情况,导致违法信息扩散,危害未成年人身心健康,违反了《网络安全法》相关规定。公安机关依法对快手公司给予行政处罚,责令其全面落实青少年模式,全面排查清理违法信息,并依法依规处置违法违规账号。
来源:http://news.china.com.cn/2024-11/22/content_117564448.shtml
4.2.国外移动互联网安全热点
4.2.1.加拿大政府以国家安全为由下令TikTok关闭在加业务
加拿大创新、科学和工业部长Fran?ois-Philippe Champagne于11月7日宣布,基于国家安全风险考虑,加拿大政府已正式要求字节跳动旗下的TikTok终止其在加拿大的业务运营。这一决定是建立在加拿大安全情报部门和其他政府合作伙伴的建议基础之上,经过全面审查后做出的。这项命令并未禁止加拿大民众使用TikTok应用程序或创作内容。加拿大政府表示,使用社交媒体应用是个人选择。不过政府同时提醒公民在使用社交媒体平台时需要注意网络安全实践,特别是评估外国机构如何获取、管理、使用和共享个人信息可能带来的潜在风险。
来源:https://thehackernews.com/2024/11/canada-orders-tiktok-to-shut-down.html
4.2.2.新型安卓恶意软件ToxicPanda来袭,超1500台银行设备已沦陷
安全研究机构Cleafy日前披露,新型Android恶意软件"ToxicPanda"主要针对零售银行客户,已在意大利、葡萄牙、西班牙和部分拉美地区感染超过1500台设备,其中意大利占比超过50%。ToxicPanda目前尚处于发展阶段,其代码中缺乏混淆技术和调试文件,这意味着该恶意软件很可能会进一步升级。
来源:https://www.infosecurity-magazine.com/news/toxicpanda-malware-banking-android/
4.2.3.高通芯片组曝严重安全缺陷,或影响数百万Android设备
日前,谷歌公司在最新的Android安全公告中官方披露了两个正在被黑客积极利用的零日安全缺陷,并呼吁用户立即更新设备系统。其中一个缺陷(CVE-2024-43047)是一个影响高通芯片组的高危漏洞。这个存在于高通FastRPC驱动程序中的释放后使用(use-after-free)漏洞可能被攻击者利用来执行任意代码,进而实现未授权访问和权限提升。该漏洞影响包括骁龙8(第一代)在内的数十款高通芯片组,波及摩托罗拉、三星、OnePlus、OPPO、小米和中兴等品牌的众多Android手机。
来源:https://cybersecuritynews.com/android-zero-day-flaws-actively-exploited/
4.2.4.FakeCall安卓恶意软件新变种出现,瞄准Android无障碍服务
近日,Zimperium zLabs安全研究人员发现了FakeCal安卓恶意软件的一个新变种,该软件具备更强大的功能,可对受害者设备实施更全面的控制,从而进行欺诈和网络间谍活动。
来源:https://www.darkreading.com/cyberattacks-data-breaches/vishing-mishing-fakecall-android-malware
来源:数据安全共同体计划