1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.中共中央国务院印发《国家突发事件总体应急预案》
近日,中共中央、国务院印发《国家突发事件总体应急预案》,并发出通知,要求各地区各部门结合实际认真贯彻落实。《国务院关于实施国家突发公共事件总体应急预案的决定》(国发〔2005〕11号)同时废止。包括总则、组织指挥体系、运行机制、应急保障、预案管理等主要内容。其中,根据突发事件分类分级,网络安全、数据安全、信息安全事件为事故灾难。
来源:https://www.gov.cn/zhengce/202502/content_7005635.htm?rand=BdlhqzEB
1.1.2.国家发展改革委等部门发布《关于开展物流数据开放互联试点工作的通知》
2025年2月14日,国家发展改革委等部门发布《关于开展物流数据开放互联试点工作的通知》,选取天津、唐山、宁波等16个城市开展试点工作。试点聚焦破除物流行业“信息孤岛”和“数据烟囱”,推动多式联运、制造业与物流业数据融合、国际物流数据综合服务以及国家物流枢纽间数据互联共享,旨在优化物流资源配置,降低全社会物流成本。在试点工作要求中,强调在依法依规保障安全的前提下,加强对试点地区的工作指导和数据支持。
来源:https://www.ndrc.gov.cn/xxgk/zcfb/tz/202502/t20250214_1396164.html
1.1.3.全国数据标准化技术委员会发布《关于发布2025年第一批数据领域国家标准需求的通知》
2025年2月10日,全国数据标准化技术委员会发布《关于发布2025年第一批数据领域国家标准需求的通知》。该通知旨在加强数据领域国家标准的基础性、规范性和引领性作用,明确了2025年第一批数据领域国家标准需求清单,涉及数据术语、数据质量、数据产品描述规范、安全技术、匿名化等多个方面。相关单位需于2025年3月5日前完成申报。
来源:https://mp.weixin.qq.com/s/C5D4YyGNzksnl0mc9vuLNw
1.2.国外数据安全政策与法律法规动态
1.2.1.新加坡推出云和数据中心安全指南
新加坡资讯通信媒体发展局(IMDA)推出了针对云服务和数据中心的官方版咨询指南。指南建议鼓励新加坡的所有云服务提供商(CSP)和数据中心(DC)运营商采取措施以提高其服务的弹性和安全性,从而最大限度地减少服务中断。指南提供了解决云服务和DC风险的最佳实践,风险包括技术架构中的错误配置、火灾、漏水和冷却系统故障等物理危害以及网络攻击。指南建议CSP和DC运营商实施的关键措施包括风险评估、业务影响分析、业务连续性规划和网络安全措施。
来源:https://www.telecompaper.com/news/singapore-introduces-cloud-and-data-centre-security-guidelines--1528814
1.2.2.美国共和党立法者推动国土安全部保护敏感数据
美国众议院共和党人提出了一项措施,旨在推动美国国土安全部科技局更好地保护其敏感研究数据,防止外国对手未经授权的访问。该法案由亚拉巴马州共和党众议员戴尔·斯特朗提出,田纳西州共和党众议员、众议院国土安全委员会主席马克·格林和科罗拉多州共和党众议员加布·埃文斯为共同提案人。
来源:https://www.nextgov.com/artificial-intelligence/2025/02/gop-lawmakers-push-dhs-innovation-arm-secure-sensitive-data/402710/?oref=ng-homepage-river
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国务院公布《公共安全视频图像信息系统管理条例》
2025年2月,《公共安全视频图像信息系统管理条例》(以下简称《管理条例》)正式发布,作为我国首部专门针对公共场所安装图像采集设备及相关设施的行政法规,《管理条例》在引导公共安全视频系统合理适度、安全可控部署、使用的同时,对个人隐私和权益保护提出了明确要求,旨在平衡公共安全与个人隐私权益保护工作。
来源:https://www.gov.cn/zhengce/content/202502/content_7003024.htm
2.1.2.《个人信息保护合规审计管理办法》正式公布
国家互联网信息办公室发布《个人信息保护合规审计管理办法》,自2025年5月1日起施行。《办法》是对《中华人民共和国个人信息保护法》和《网络数据安全管理条例》的进一步落实,通过强化合规审计机制,推动企业完善数据治理,尤其是在跨境数据传输、敏感信息处理等领域建立更严格的规范。《办法》细化了个人信息处理者开展合规审计的要求,包括审计频次、专业机构选择、审计义务等,旨在提升个人信息处理的合法合规水平,保护个人信息权益。
来源:https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm
2.1.3.国家网信办举办欧盟在华企业数据跨境流动政策座谈会
2025年2月25日,国家互联网信息办公室在京举办欧盟在华企业数据跨境流动政策座谈会。国家互联网信息办公室相关局负责同志介绍中国数据跨境流动政策法规及中欧数据跨境流动交流机制有关情况,回答欧盟在华企业关于数据跨境流动的有关问题,商务部、工业和信息化部、自然资源部、国家卫生健康委员会、国家金融监督管理总局、北京网信办、上海网信办等部门相关负责同志介绍有关政策并参与交流。
来源:https://mp.weixin.qq.com/s/sYx-3epGZFA3GnUHtuDz5g?scene=25#wechat_redirect
2.1.4.《网络安全标准实践指南——摇一摇广告个人权益规范指引》公开征求意见
为规范App和第三方SDK展示和触发摇一摇开屏广告的行为、保障用户个人权益,秘书处组织编制了《网络安全标准实践指南——摇一摇广告个人权益规范指引(征求意见稿)》。《指南》依据法律法规和政策标准要求,针对App开屏摇一摇广告乱跳转问题,给出了摇一摇广告个人权益规范指引,旨在规范App和第三方广告SDK展示和触发摇一摇广告的行为。
来源:https://www.tc260.org.cn/front/postDetail.html?id=20250122145342
2.2.国外个人信息保护政策与法律法规动态
2.2.1.X平台训练AI模型时涉嫌违反隐私法,加拿大监管机构展开调查
2025年2月27日,加拿大隐私专员办公室发布公告称,加拿大隐私专员菲利普·杜弗雷斯内(Philippe Dufresne)本周在收到投诉后对社交媒体平台X展开调查,调查其在训练人工智能模型时是否遵守隐私法。据悉,调查将根据加拿大《个人信息保护和电子文件法案》(PIPEDA)的要求,审查X是否履行了该法案规定的义务。调查将重点关注该平台在收集、使用和披露加拿大人的个人信息以及在训练人工智能模型方面是否遵守加拿大联邦隐私法。
来源:https://baijiahao.baidu.com/s?id=1825262103514610702&wfr=spider&for=pc
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.雅虎再曝数据泄露:60万邮箱账户遭暗网兜售
2月19日,化名为“exelo”的黑客在暗网论坛上兜售一个包含60.28万个雅虎电子邮件账户的数据库,其声称这些数据私密且非俄罗斯来源,并以100美元的价格出售整个数据库,同时提供50000个账户的免费样本供潜在买家测试。虽然未明确是否包含密码等敏感信息,但类似泄露通常涉及用户名、加密密码、出生日期和备用电子邮件地址。
来源:https://cybersecuritynews.com/yahoo-data-leak/
3.1.2.拉脱维亚政府文档管理系统遭重大数据泄露
2月19日,拉脱维亚政府使用的文档管理系统Lietvaris遭遇了一次重大数据泄露事件,导致数百万条记录被泄露。这些记录存储在不受保护的Elasticsearch集群中,包括公民的名字、姓氏、国民身份证和家庭住址等敏感信息。
来源:https://cybernews.com/security/lietvaris-platform-leak-exposed-millions-records/
3.1.3.得克萨斯临床研究公司泄露160万人敏感医疗记录
2月20日,一家位于得克萨斯州达拉斯的临床研究公司DM Clinical Research的数据库被曝出配置错误,且未加密、未设置密码保护或安全认证,导致它可以被在线公开访问。该数据库中存储超过160万人的敏感个人医疗记录,包含大量个人和医疗信息,如姓名、出生日期、联系方式、疫苗接种情况和当前用药等,甚至包括关于COVID-19疫苗不良反应、医生姓名以及个人是否怀孕或采取避孕措施的记录。
来源:https://hackread.com/clinical-research-firm-expose-us-medical-survey-records/
3.1.4.Zacks Investment Research疑遭1200万账户数据泄露
2月13日,一家提供数据驱动投资见解的美国公司Zacks Investment Research(Zacks)疑似在2024年6月遭遇了数据泄露事件,导致大约1200万个账户的敏感信息被泄露。这些信息包括全名、用户名、电子邮件地址、实际地址和电话号码等。
来源:https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/
3.1.5.27亿条物联网数据泄露,98%物联网设备未曾加密
近日,网络安全研究人员Jeremiah Fowler发现了一个没有任何密码保护或加密措施的数据库,这个公开可访问的数据库包含27亿条记录,总数据量达到1.17 TB。包含了全球售出的物联网设备的日志、监控记录和错误报告,具体内容包括:Wi-Fi SSID(网络名称)和明文密码;IP地址、设备ID、MAC 地址和操作系统详细信息(iOS/Android);API 令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。此次事件与中国植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。
来源:https://hackread.com/1tb-data-leak-expose-billions-iot-grow-light-records/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.聚焦“个人信息删除权”上海网信约谈一批App运营者
2月26日,上海市网信办依法约谈吉米猫英语、美职篮英雄、帕为患者、上海都市旅游卡、遇见市北、专家门诊、云尚心理、车轮-掌上车服务等在沪App运营者,针对2月19日公开发布的《国家网信办依法集中查处一批侵害个人信息权益的违法违规App》通报中指出的“无用户账号注销功能、未提供有效的用户账号注销功能、为用户账号注销设置不合理条件”等问题,提出整改指导意见,要求企业立即改正相关问题,切实保障好用户个人信息删除权,并举一反三开展自查自纠,全面制定、完善内部管理制度和操作规程,同时加强《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规的学习和培训。
来源:https://www.thepaper.cn/newsDetail_forward_30267077
4.1.2.国家网信办依法集中查处一批侵害个人信息权益的违法违规App
近期,针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依据《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规,依法依规查处“开个密室馆”等82款违法违规App。国家网信办相关负责人表示,将依法强化个人信息保护领域监督管理,坚决维护人民群众个人信息权益,不断提升网络空间法治化水平。
来源:https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
4.1.3.仿冒DeepSeek官方App的手机木马病毒被捕获
近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(virus.cverc.org.cn)在我国境内捕获发现针对我国用户的仿冒我国国产人工智能大模型“DeepSeek”官方APP的安卓平台手机木马病毒。用户一旦点击运行仿冒APP,该APP会提示用户“需要应用程序更新”,并诱导用户点击“更新”按钮。用户点击后,会提示安装所谓的“新版”DeepSeek应用程序,实际上是包含恶意代码的子安装包,并会诱导用户授予其后台运行和使用无障碍服务的权限。
来源:https://baijiahao.baidu.com/s?id=1824297120874554421&wfr=spider&for=pc
4.2.国外移动互联网安全热点
4.2.1.新型攻击“nRootTag”可将15亿部iPhone变为免费追踪器
安全研究人员在苹果的“Find My(查找我的)”网络中发现了一个新的蓝牙跟踪漏洞——被称为“nRootTag”的攻击利用苹果的基础设施,将几乎任何支持蓝牙的计算机或智能手机转变为无形的跟踪信标。全球有超过 15 亿台活跃的苹果设备受此影响,攻击可能使世界上最大的设备定位网络成为未经授权的监控武器。该攻击通过利用苹果的“查找我的”网络,将非苹果设备变为无需root访问权限的隐秘追踪信标。该攻击利用了蓝牙低功耗(BLE)协议,对全球隐私构成了前所未有的威胁。
来源:https://www.freebuf.com/vuls/423102.html
4.2.2.手机监控应用严重漏洞曝光 数百万用户隐私数据面临泄露风险
近日,研究人员发现在手机监控应用Cocospy和Spyic中存在一个严重的漏洞,导致数百万用户的设备未经授权被这些应用程序秘密监控,个人数据被暴露。该漏洞允许未经授权的访问,从而获取这些应用程序收集的消息记录、通话日志、照片和其他敏感信息。此外,它还泄露了注册使用这些服务监控他人的用户的电子邮件地址。
来源:https://www.scworld.com/brief/security-flaw-in-phone-monitoring-apps-exposes-data-of-millions
4.2.3.谷歌Play商店发现勒索型安卓恶意软件,已被下载10万次
网络安全公司CYFIRMA研究人员近日发现,安卓恶意软件SpyLend通过谷歌Play商店的"简化理财“应用程序已被下载了10万次。该恶意软件伪装成金融工具,以轻易获取贷款诱骗用户,要求过度权限访问通讯录、通话记录、短信、照片和位置信息。一旦安装,它就能访问照片、视频和通讯录,并捕获剪贴板数据以窃取敏感信息。这款恶意应用使用亚马逊EC2上的自定义C2服务器,其管理面板使用英语和中文。该恶意软件利用API访问文件、通讯录、通话记录、短信和已安装应用。操作该威胁的人员使用窃取的数据进行勒索和敲诈,他们被发现将受害者的照片编辑成假裸照,以勒索付款。目前该应用在报道发布时仍可在谷歌Play上下载。
来源:https://securityaffairs.com/174540/malware/spylend-android-malware-100k-downloard.html
4.2.4.因非法获取用户数据,苹果在韩被罚24.5亿韩元
近日,韩国个人信息保护委员会(PIPC)宣布,对苹果公司和韩国移动支付平台卡卡奥支付(Kakao Pay)因非法获取和传输用户数据的行为进行处罚。其中,苹果公司被处以24.5亿韩元(约合1240.9万元人民币)的罚款,而卡卡奥支付则面临59.68亿韩元(约合3022.8万元人民币)的罚款。据PIPC调查,卡卡奥支付在未经用户明确同意的情况下,向苹果公司提供了约4000万用户的个人信息。这些信息包括用户的唯一识别码、手机号码、电子邮件地址等敏感数据,以及与资金不足可能性相关的24项数据。
来源:https://www.guancha.cn/GongSi/2025_02_27_766502.shtml