1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.《国家发展改革委等部门关于促进数据产业高质量发展的指导意见》发布
12月28日,国家发展改革委等部门发布关于促进数据产业高质量发展的指导意见,包括总体要求、加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、发展数据流通交易、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等主要内容,并规划形成了数据技术和产业重点发展方向。
来源:https://mp.weixin.qq.com/s/5VXddrLKMxzmMEc6qCdhIg
1.1.2.《工业和信息化领域数据安全合规指引》正式发布
12月30日,数据领域名词解释起草专家组发布第一批数据领域常用名词解释,包括数据、原始数据、数据资源、数据安全等共计40个具体名词,后续还将结合实践和发展需要迭代完善。
来源:https://mp.weixin.qq.com/s/x4YmgY0vP8MlevaL_ep4hg
1.1.3.财政部印发《数据资产全过程管理试点方案》
为贯彻落实党中央、国务院关于数字经济的决策部署,充分激发数据资产潜能,防范数据资产价值应用风险,推动数字经济高质量发展,财政部选取部分中央部门、中央企业和地方财政部门(以下统称试点单位),从2025年初至2026年底,组织开展数据资产全过程管理试点。根据《财政部关于印发〈关于加强数据资产管理的指导意见〉的通知》(财资〔2023〕141号)等文件精神,研究制定了《数据资产全过程管理试点方案》,将围绕数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节,试点探索有效的数据资产管理模式,完善数据资产管理制度标准体系和运行机制,要求试点单位对照《数据资产全过程管理试点方案》,结合本单位实际,认真开展试点工作,抓好贯彻落实。方案明确了总体目标、试点安排、试点主要内容、工作要求等,强调试点单位要严格遵守《中华人民共和国数据安全法》等法律制度规定,压实数据资产安全主体责任,制定数据资产安全管理制度和应急预案。
来源:https://zcgls.mof.gov.cn/zhengcefabu/202412/t20241226_3950519.htm
1.2.国外数据安全政策动态
1.2.1.美国白宫科学和技术政策办公室发布《考虑数据基础设施和研发基础设施项目内部及之间的互联互通的框架》报告
12月17日,美国白宫科学和技术政策办公室(OSTP)发布报告,指出美国研发基础设施(RDI)在数据系统规划、部署与运营时面临的挑战,并提供了改善数据管理和互联互通能力的框架和行动计划建议。报告包含五方面主要内容:数据的科学目标和任务优先级,用户和利用,数据清单、管理与监管,动态数据生态系统,项目治理与合作。报告面向大规模数据传输与管理,数据集成与基础设施互操作性,商业云运营,处理敏感数据,劳动力发展和培养等五大挑战,提出具体的行动计划建议,包括传播和交流实践,协调、商业云服务的共同参与,国际合作,劳动力发展等。
来源:https://www.whitehouse.gov/wp-content/uploads/2024/12/NSTC-Framework-For-Considering-Data-Infrastructure-and-Interconnectivity.pdf
1.2.2.美国国家标准与技术研究院发布《基因组数据网络安全和隐私框架社区概况》文件
12月16日,美国国家标准与技术研究院(NIST)网络安全卓越中心(NCCoE)发布了两份新的出版物草案,以帮助组织解决与处理基因组数据相关的网络安全和隐私风险。其中,《基因组数据网络安全和隐私框架社区概况》整合了NIST网络安全框架(CSF) 2.0版本和NIST隐私框架(PF) 1.0版本,以帮助组织优先考虑网络安全和隐私功能,提供了一个结构化的,基于风险的方法来管理处理基因组数据的网络安全和隐私风险。文件将在2025年1月30日星期四晚上11:59(美国东部时间)之前公开征求公众意见。在晚上11:59之前公开征求公众意见。
来源:https://csrc.nist.gov/pubs/ir/8467/2pd
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.上海市网信办等发布个人信息保护惠企为民“大礼包”
12月4日,在“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动总结暨交流研讨活动会上,上海市网信办、上海市市场监督管理局面向社会、企业、市民共同发布个人信息保护惠企为民“大礼包”,包括个人信息处理者应知手册(工具包)、企业个人信息保护合规自检清单(体检包)、上海个人信息保护场景规范指引(服务包)、上海市民个人信息保护要点问答(护身包),展现专项行动执法为民、优化营商环境、助力建设美好人民城市的工作成果,进一步提升公民个人信息保护意识、促进行业自律、引导企业合规。
个人信息处理者应知手册(工具包),围绕数据全生命周期中企业可能遇到的个人信息保护问题,依据《中华人民共和国个人信息保护法》进行回应解读,以通俗易懂的语言细化说明法律条文,将法言法语解析为企业可理解、可操作、易执行的表现形式,便于企业更加精准地用法、普法、守法。
企业个人信息保护合规自检清单(体检包),主要提供企业履行个人信息保护义务的合规底线和基本要求,以合规事项清单的形式,依据企业规模明确企业根据《中华人民共和国个人信息保护法》应在技术、制度和管理层面落实的底线要求,帮助企业对照自检,做好合规工作。
上海个人信息保护场景规范指引(服务包),主要集纳上海“亮剑浦江”专项执法行动中各行业主管监管部门出台的涉个人信息处理的规范指引,以各个场景相关行业的合规倡议、合规指引、自律规范等形式,明确企业在该场景下需遵循的合规要求,促进企业合规经营。
上海市民个人信息保护要点问答(护身包),结合上海“亮剑浦江”专项执法行动两年实践成果,以问答形式将《中华人民共和国个人信息保护法》转化为公众实现个人信息保护的日常要点,旨在帮助公众提升个人信息保护意识,了解、分辨身边场景下个人信息存在的安全风险,增强防范能力。
来源:https://mp.weixin.qq.com/s/u_YIrkKnsz9iaDDxZBAn4Q
2.1.2.湖南省高院判决认定违规获取抖音用户个人信息构成非法获取计算机信息系统数据罪
12月6日,湖南省高院官方微信公众号推送典型案件,认定违规获取抖音用户个人信息构成非法获取计算机信息系统数据罪。该案中,被告人成立传媒公司并担任股东,利用购买的“抖音宝”“DIY直播采集”等带病毒式的爬虫软件,在抖音直播间(包括私密直播间)批量获取抖音用户的抖音号、手机号、昵称等账号个人信息,然后转给公司客服,让客服打电话给对方推荐渠道商的“抖音基础课程”,成功引起对方兴趣后引流给渠道商。被告人朴某等人的上述公司从渠道商处按引流人数及网民购买“抖音基础课程”的数量等方式获取佣金。最终法院认定四被告人为共同犯罪,其行为均已经构成非法获取计算机信息系统数据罪。
来源:https://mp.weixin.qq.com/s/WcMU9BxqJMM7kl-heHW_hQ?scene=25#wechat_redirect
2.2.国外个人信息保护政策与法律法规
2.2.1.爱尔兰DPC就Meta个人数据泄露事件处以2.51亿欧元罚款
12月17日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以总计2.51亿欧元罚款。2018年9月,DPC在Facebook因未经授权的第三方非法利用其平台上的用户令牌引发个人数据泄露事件后,依职权启动调查,其中约300万个账户位于欧盟/欧洲经济区。用户受影响的个人数据类别包括:用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、用户所加入的群组以及儿童的个人数据等。DPC在处罚决定中认定的违法行为包括:(1)未在其数据泄露通知中提供所有根据GDPR应提供的信息;(2)未能以便于监管机构核实合规性的方式记录每次数据泄露的情况及采取的补救措施(3)未能确保在数据处理系统的设计过程中落实数据保护原则(4)作为数据控制者,未能确保在默认情况下仅处理为特定目的所需的个人数据。DPC对Meta的以上四项违法行为处以总计2.51亿元罚款。
来源:https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-meta-eu251-million
2.2.2.意大利Garante就OpenAI 违反GDPR行为处以1500万欧元罚款
12月20日,意大利数据保护机构(Garante)宣布结束针对OpenAI的调查,OpenAI需进行为期六个月的宣传活动,并支付1500万欧元罚款。
Garante认为OpenAI在2023年3月的数据泄露事件中未能及时通知监管机构,并且在没有合法依据的情况下使用用户数据训练ChatGPT,隐私政策违反透明原则。同时,OpenAI未能建立年龄验证机制,可能导致未成年人接触不适合其年龄的内容。此外,OpenAI还存在输出数据准确性不足的问题。OpenAI 表示,这一决定“不合理”,将对此提起上诉。
来源:https://www.ilpost.it/2024/12/20/garante-privacy-multa-openai-chatgpt/
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国医疗保健公司Atrium Health数据泄露事件影响超58万人
12月6日,医疗保健公司Atrium Health向美国卫生与公众服务部(HHS)通报,一起数据泄露事件影响了超过585000人。该事件可能与2015年至2019年期间Atrium Health患者门户网站上存在的在线追踪技术问题相关。公司表示,这些技术可能已将某些个人信息,如IP、cookie、治疗或提供者信息、姓名、电子邮件地址、电话号码和实际地址等,传输给了第三方供应商,如Google和Facebook(现为Meta)。
来源:https://www.securityweek.com/atrium-health-data-breach-impacts-585000-people/
3.1.2.加拿大医疗技术公司Care1数据库遭泄露,480万患者信息曝光
12月13日,安全研究人员Jeremiah Fowler近期揭露了一个重大安全隐患,他发现加拿大医疗技术公司Care1的一个未受保护数据库暴露了超过480万条患者敏感信息,包括姓名、地址、病史及个人健康号码(PHN)等,总数据量达2.2TB。
来源:https://hackread.com/canadian-eyecare-firm-care1-exposes-patient-records/
3.1.3.美国远程医疗平台ConnectOnCall遭重大数据泄露
12月16日,美国一个专注于加强医疗服务提供者与患者沟通的远程医疗平台ConnectOnCall近日披露了一起数据泄露事件。经调查确认,2024年2月16日至5月12日期间,有未知第三方访问了平台及应用程序内的部分数据。泄露信息可能包括姓名、电话号码、出生日期、社会保险号、医疗记录号及健康状况等,影响超过900000人。
来源:https://securityaffairs.com/172053/data-breach/connectoncall-data-breach-impacted-over-900000-individuals.html
3.1.4.英国AI公司Builder.ai数据库配置错误导致1.29TB数据库泄露
12月20日,安全研究人员Jeremiah Fowler发现了一个重大安全隐患:一个可公开访问且未加密的1.29TB数据库。数据库属于伦敦的AI公司Builder.ai,内含超过300万条记录。这些记录包括发票、保密协议、税务文件、电子邮件截图及云存储密钥等敏感信息。
来源:https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报22款侵害用户权益行为的APP
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,组织第三方检测机构进行抽查,共发现22款APP及SDK存在侵害用户权益行为,予以通报。
来源:https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_fef6519189194ecca6b524421b213831.html
4.1.2.国家计算机病毒应急处理中心检测发现12款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现12款移动App存在隐私不合规行为。
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:https://www.cverc.org.cn/zxdt/report20241206.htm
4.2.国外移动互联网安全热点
4.2.1.最强大的Android间谍软件曝光,可提取信息、密码和执行shell命令
最近在俄罗斯联邦安全局查获的手机上发现了一种新的Android间谍软件,这突显了用户隐私和安全持续面临的风险,特别是当设备被当局没收然后归还时。该软件冒充合法且流行的Android应用“Cube Call Recorder”,该应用在Google Play上的下载量超过1000万次。该软件模仿合法应用程序,并已被授予广泛权限,允许其监视和控制感染设备上的几乎所有活动。
来源:https://www.163.com/dy/article/JITJDCE50511A5GF.html
4.2.2.新型安卓系统银行恶意软件能窃取77家金融机构的账户凭证
据报道,一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77家加密货币交易所和银行应用程序的凭证,涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。据发现恶意软件的研究人员称,DroidBot自 2024 年 6 月以来一直活跃,并作为恶意软件即服务(MaaS)平台运行,每月的使用价格为3000美元。
来源:https://www.51cto.com/article/803442.html
4.2.3.BadBox恶意软件加速蔓延,或已感染19.2万安卓设备
BitSight的安全研究人员日前警告称,BadBox安卓恶意软件僵尸网络正在加速蔓延,或已在全球感染超过19.2万设备,并将攻击目标扩展到更知名且受信任的移动品牌。BadBox是一种被认为基于“Triada”恶意软件家族的安卓恶意软件,它通过对固件的供应链攻击、不良员工操作或在产品进入分销阶段时进行注入,来感染小众制造商生产的设备。
来源:https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/
4.2.4.关键的联发科芯片组漏洞影响15亿手机用户
最近联发科在其芯片组中发现了一系列的安全漏洞,这些漏洞不仅影响了多个版本的Android系统,还波及到了其他相关软件平台。这些安全漏洞被详细记录在最新的安全公告中,它们带来了重大风险,包括权限提升和服务拒绝攻击。
来源:https://www.freebuf.com/news/417104.html、
4.2.5.iOS和macOS系统曝关键漏洞,可破坏TCC框架
近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequoia 15中增强符号链接的验证来修复此问题。
来源:https://www.freebuf.com/news/417772.html
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国医疗保健公司Atrium Health数据泄露事件影响超58万人
12月6日,医疗保健公司Atrium Health向美国卫生与公众服务部(HHS)通报,一起数据泄露事件影响了超过585000人。该事件可能与2015年至2019年期间Atrium Health患者门户网站上存在的在线追踪技术问题相关。公司表示,这些技术可能已将某些个人信息,如IP、cookie、治疗或提供者信息、姓名、电子邮件地址、电话号码和实际地址等,传输给了第三方供应商,如Google和Facebook(现为Meta)。
来源:https://www.securityweek.com/atrium-health-data-breach-impacts-585000-people/
3.1.2.加拿大医疗技术公司Care1数据库遭泄露,480万患者信息曝光
12月13日,安全研究人员Jeremiah Fowler近期揭露了一个重大安全隐患,他发现加拿大医疗技术公司Care1的一个未受保护数据库暴露了超过480万条患者敏感信息,包括姓名、地址、病史及个人健康号码(PHN)等,总数据量达2.2TB。
来源:https://hackread.com/canadian-eyecare-firm-care1-exposes-patient-records/
3.1.3.美国远程医疗平台ConnectOnCall遭重大数据泄露
12月16日,美国一个专注于加强医疗服务提供者与患者沟通的远程医疗平台ConnectOnCall近日披露了一起数据泄露事件。经调查确认,2024年2月16日至5月12日期间,有未知第三方访问了平台及应用程序内的部分数据。泄露信息可能包括姓名、电话号码、出生日期、社会保险号、医疗记录号及健康状况等,影响超过900000人。
来源:https://securityaffairs.com/172053/data-breach/connectoncall-data-breach-impacted-over-900000-individuals.html
3.1.4.英国AI公司Builder.ai数据库配置错误导致1.29TB数据库泄露
12月20日,安全研究人员Jeremiah Fowler发现了一个重大安全隐患:一个可公开访问且未加密的1.29TB数据库。数据库属于伦敦的AI公司Builder.ai,内含超过300万条记录。这些记录包括发票、保密协议、税务文件、电子邮件截图及云存储密钥等敏感信息。
来源:https://hackread.com/builder-ai-database-misconfiguration-expose-tb-records/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报22款侵害用户权益行为的APP
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,组织第三方检测机构进行抽查,共发现22款APP及SDK存在侵害用户权益行为,予以通报。
来源:https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_fef6519189194ecca6b524421b213831.html
4.1.2.国家计算机病毒应急处理中心检测发现12款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现12款移动App存在隐私不合规行为。
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:https://www.cverc.org.cn/zxdt/report20241206.htm
4.2.国外移动互联网安全热点
4.2.1.最强大的Android间谍软件曝光,可提取信息、密码和执行shell命令
最近在俄罗斯联邦安全局查获的手机上发现了一种新的Android间谍软件,这突显了用户隐私和安全持续面临的风险,特别是当设备被当局没收然后归还时。该软件冒充合法且流行的Android应用“Cube Call Recorder”,该应用在Google Play上的下载量超过1000万次。该软件模仿合法应用程序,并已被授予广泛权限,允许其监视和控制感染设备上的几乎所有活动。
来源:https://www.163.com/dy/article/JITJDCE50511A5GF.html
4.2.2.新型安卓系统银行恶意软件能窃取77家金融机构的账户凭证
据报道,一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77家加密货币交易所和银行应用程序的凭证,涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。据发现恶意软件的研究人员称,DroidBot自 2024 年 6 月以来一直活跃,并作为恶意软件即服务(MaaS)平台运行,每月的使用价格为3000美元。
来源:https://www.51cto.com/article/803442.html
4.2.3.BadBox恶意软件加速蔓延,或已感染19.2万安卓设备
BitSight的安全研究人员日前警告称,BadBox安卓恶意软件僵尸网络正在加速蔓延,或已在全球感染超过19.2万设备,并将攻击目标扩展到更知名且受信任的移动品牌。BadBox是一种被认为基于“Triada”恶意软件家族的安卓恶意软件,它通过对固件的供应链攻击、不良员工操作或在产品进入分销阶段时进行注入,来感染小众制造商生产的设备。
来源:https://www.bleepingcomputer.com/news/security/badbox-malware-botnet-infects-192-000-android-devices-despite-disruption/
4.2.4.关键的联发科芯片组漏洞影响15亿手机用户
最近联发科在其芯片组中发现了一系列的安全漏洞,这些漏洞不仅影响了多个版本的Android系统,还波及到了其他相关软件平台。这些安全漏洞被详细记录在最新的安全公告中,它们带来了重大风险,包括权限提升和服务拒绝攻击。
来源:https://www.freebuf.com/news/417104.html、
4.2.5.iOS和macOS系统曝关键漏洞,可破坏TCC框架
近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequoia 15中增强符号链接的验证来修复此问题。
来源:https://www.freebuf.com/news/417772.html
来源:数据安全共同体计划