1.数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.北京市互联网信息办公室等三部门关于印发《北京市数据跨境流动便利化综合配套改革实施方案》的通知
2025年3月27日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局联合发布《北京市互联网信息办公室等三部门关于印发〈北京市数据跨境流动便利化综合配套改革实施方案〉的通知》。为贯彻落实党的二十届三中全会关于建立高效便利安全的数据跨境流动机制决策部署和市委市政府关于持续深化数据跨境流动便利化改革任务要求,迭代升级北京市数据出境政策措施,健全完善服务管理体系,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局联合制定了《北京市数据跨境流动便利化综合配套改革实施方案》,于2025年3月27日正式印发。
来源:https://mp.weixin.qq.com/s/dvv4bK-KXqPhkJ6LvxPiEw
1.1.2.关于公开征求《中华人民共和国网络安全法(修正草案再次征求意见稿)》意见的通知
2025年3月28日,国家互联网信息办公室发布《关于公开征求〈中华人民共和国网络安全法(修正草案再次征求意见稿)〉意见的通知》。为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家互联网信息办公室会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,意见反馈截止时间为2025年4月27日。
来源:https://mp.weixin.qq.com/s/GouWZ0PAPYHB2EI8BFsdUA
1.1.3.关于《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》公开征求意见的通知
2025年3月28日,上海市互联网信息办公室发布《关于〈上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)〉公开征求意见的通知》。为建立健全网络数据分类分级制度及重要数据目录管理机制,保障网络数据安全,促进网络数据开发利用,上海市网信办会同市数据局起草了《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》,意见反馈截止日期为2025年4月28日。
来源:https://mp.weixin.qq.com/s/sg10kB6ahFsPTpbv4rmOCA
1.2.国外数据安全政策与法律法规动态
1.2.1.欧洲电信标准协会推出量子安全混合密钥交换新标准
Thefastmode 3月26日消息,欧洲电信标准协会(ETSI)宣布推出后量子安全标准。高效量子安全混合密钥交换与隐藏访问策略规范(ETSI TS 104 015)的制定旨在加强安全机制,确保只有授权用户才能访问敏感数据并对其解密。新的 ETSI 规范定义了一种名为 Covercrypt 的带访问控制(KEMAC)的密钥封装机制(KEM)方案,通过混合化技术确保量子时代前后的安全性。这意味着加密技术在应对当前威胁和未来量子计算能力时都能保持安全,从而无缝过渡到更先进的加密环境。
来源:https://www.thefastmode.com/technology-solutions/40547-etsi-unveils-new-standard-for-quantum-safe-hybrid-key-exchanges?continueFlag=854fe0505e1bc7d57d93dfaeab3f769e
1.2.2.特朗普签署行政令推动机构间数据共享
Nextgov 3月21日消息,美国总统特朗普签署了一项行政令,要求联邦机构更广泛地共享数据,以打击欺诈、浪费和滥用行为。该命令特别强调获取各州接受联邦资助项目的数据,并要求劳工部长获得“完全不受限制的失业数据访问权限”。此举旨在通过数据共享提高政府效率,但也引发了隐私和滥用的担忧。批评者担心,数据共享可能被用于超出公众预期的目的,甚至侵犯隐私权。
来源:https://www.nextgov.com/digital-government/2025/03/trump-pens-executive-order-pushing-agencies-share-data/403962/?oref=ng-skybox-hp
1.2.3.欧盟拟立法赋予汽车服务集团访问车辆数据的权限
路透社3月4日消息,欧盟委员会计划在今年提出一项草案立法,旨在为保险公司、租赁公司和维修店提供公平获取车辆数据的途径。这一立法提案是欧盟汽车行业行动计划的一部分,预计将于本周三公布。车辆数据涵盖了从驾驶习惯到燃油消耗和轮胎磨损等多方面的信息,分析师预计到本世纪末,智能汽车市场的价值可能达到数千亿欧元。目前,欧盟法律尚未明确车辆数据的所有权,这导致了获取数据的争议。汽车制造商对可能强加给他们的一揽子义务的立法表示担忧,并警告说这可能会对商业机密和数据滥用带来风险。
来源:https://www.reuters.com/business/autos-transportation/eu-plans-law-give-car-services-groups-access-vehicle-data-2025-03-04/
2.个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.四部门联合启动2025年个人信息保护系列专项行动
3月28日,中央网信办、工业和信息化部、公安部、市场监管总局发布公告,启动2025年个人信息保护系列专项行动,针对 App/SDK 违规收集信息、智能终端过度采集、公共场所人脸识别滥用、线下场景强制授权等六大重点领域开展治理,旨在强化个人信息安全监管,着力提升人民群众满意度、获得感。
来源:https://www.cac.gov.cn/2025-03/28/c_1744867353112759.htm
2.1.2.《人脸识别技术应用安全管理办法》正式发布
近日,《人脸识别技术应用安全管理办法》结束了试行稿的征求意见阶段,于国家互联网信息办公室2024年第23次室务会会议审议通过,并经公安部同意后正式公布,将于2025年6月1日起施行,标志着我国在规范人脸识别技术应用领域迈出了关键一步。
来源:https://www.mps.gov.cn/n2254098/n4904352/c10006081/content.html
2.1.3.国家网信办举办数据安全与个人信息保护法规政策宣讲会
3月28日,“数安中国行——2025年数据安全和个人信息保护法规政策系列宣讲会(天津站)”在天津举办,宣讲会由国家互联网信息办公室网络数据管理局指导,天津市互联网信息办公室主办,旨在贯彻落实《网络数据安全管理条例》和个人信息保护、数据出境、汽车数据安全管理等政策法规,帮助政府部门、企业机构等更好理解数据安全和个人信息保护法规政策、标准规范要求,提升数据安全和个人信息保护水平。
来源:https://www.toutiao.com/article/7486798367985615398/?log_from=25aee29fb7224_1743490919998
2.2.国外个人信息保护政策与法律法规
2.2.1.欧盟对苹果、Meta等公司开出“适度”罚款
欧盟委员会计划对美国苹果公司、美国社交媒体巨头脸书母公司“元”(Meta)违反《数字市场法》(DMA)的行为处以“适度”罚款,具体处罚金额尚未确定,预计本月公布最终决定。
来源:https://www.toutiao.com/article/7480440070789644839/?upstream_biz=doubao&source=m_redirect
2.2.2.美国法官禁止政府效率部访问联邦机构个人数据
3月24日,美国地区法官发布了一项初步禁令,禁止政府效率部访问美国教育部、财政部和人事管理办公室的个人数据。此前,美工会联盟曾提起诉讼,指控特朗普政府在未经数千万美国人同意的情况下允许马斯克率领的政府效率部访问包含他们个人信息的系统违反了联邦隐私法。
来源:https://finance.sina.cn/2025-03-25/detail-inequtxh3160647.d.html
3.国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.OpenAI、Google等使用的大模型数据集泄露约12000个API密钥和密码
近日,研究人员在用于训练人工智能模型的Common Crawl数据集中发现了11908个有效的API密钥、口令以及密码等敏感信息。作为全球最大的开源网络数据集之一,Common Crawl自2008年起持续收集PB级Web数据,并免费向公众开放,许多人工智能项目可能至少在一定程度上依赖这些数字档案来训练大型语言模型(LLM),其中包括OpenAI、DeepSeek、Google、Meta、Anthropic和Stability等公司的模型,这一发现再次凸显了硬编码凭证给用户和组织带来的严重安全风险。
来源:https://www.bleepingcomputer.com/news/security/nearly-12-000-api-keys-and-passwords-found-in-ai-training-dataset/
3.1.2.美国健康科技公司ESHYFT数据库配置错误致86000名医护人员敏感数据泄露
3月13日,网络安全研究员Jeremiah Fowler发现一个没有密码保护或加密的数据库,属于业务遍及29个州、总部位于新泽西州的健康科技公司ESHYFT暴露了,该数据库包括ESHYFT旗下86000多名医护人员的108.8 GB敏感数据,包括SSN、身份证件扫描件、薪资详情等个人身份信息。
来源:https://hackread.com/healthtech-database-exposed-medical-employment-records/
3.1.3.美国保险经纪公司Oberlin Marketing超三十万份敏感健康财务信息遭泄露
3月18日,美国保险经纪公司Oberlin Marketing因未保护其AWS S3存储桶,导致数十万份包含客户健康状况和财务信息的敏感文件遭泄露。这些文件涉及超过320000名用户,包括姓名、家庭住址、出生日期、性别、电话号码、签名、健康信息和财务详情等。
来源:https://cybernews.com/security/oberlin-marketing-medicare-applications-leaked/
3.1.4.俄罗斯网络设备供应商Keenetic路由器数据泄露致俄用户敏感信息暴露
3月21日,独立安全研究员发现俄罗斯网络设备供应商Keenetic移动应用数据库遭未授权访问,包含用户邮箱、设备型号、加密密钥及管理员凭证等。泄露数据包括:超103万用户账户信息、92万设备详情、55万网络配置及5300万条服务日志,其中94%用户来自俄罗斯。
来源:https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/
3.1.5.澳大利亚专业工具零售商Sydney Tools数据库泄露客户订单与员工敏感信息
3月25日,澳大利亚专业工具零售商Sydney Tools遭遇重大数据泄露事件,暴露的未加密数据库持续泄露员工及客户敏感信息。泄露数据包含5000余名现职及离职员工的姓名、部门、薪资及销售目标等核心人力资源信息,同时涉及超3400万条客户在线订单记录,涵盖姓名、住址、电话、邮箱及购买明细等个人隐私。
来源:https://cybernews.com/security/sydney-tools-exposed-data-leak/
3.1.6.澳大利亚金融科技公司Vroom by YouX因AWS配置错误导致敏感数据泄露
3月27日,澳大利亚金融科技公司Vroom by YouX近期遭遇敏感数据泄露事件,安全研究员Jeremiah Fowler在公开可访问的Amazon S3存储桶中发现包含27000条记录的无保护数据库,泄露信息涵盖驾照、医疗记录、就业证明及含部分信用卡号的银行对账单等高度敏感数据。
来源:https://hackread.com/aussie-fintech-vroom-pii-records-aws-misconfiguration/
4.移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.国家计算机病毒应急处理中心监测发现15款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现15款移动应用存在隐私不合规行为。针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动应用,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:https://www.cverc.org.cn/zxdt/report20250307.htm?sessionid=-588464977
4.1.2.北京市通信管理局关于问题APP的通报
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。现将存在侵害用户权益和安全隐患等问题的APP实行通报、下架处理。
来源:https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_f35387342b85406286d6bba43270035c.html
4.1.3.小红书回应3天读取用户信息1.7万次
近日,有多位小红书用户向媒体反映,小红书后台持续高频获取用户位置信息,有用户最高3天内被访问1.7万次,包含定位、照片与视频、设备状态、日程、剪贴板等,甚至凌晨未使用软件时段仍有高频操作,引发隐私安全方面的担忧。3月27日晚,小红书最新回应关于平台“高频读取用户位置信息”一事。?小红书官方账号“薯管家”发布公告称,3月26日至3月27日,陆续有外界关注到“小红书高频读取用户信息”的相关信息。?经核查,平台不会在未经授权的情况下读取用户位置信息。读取频次取决于用户使用场景,个别用户遇到的高频读取情形可能与个人使用行为有关。
来源:https://www.360kuai.com/pc/990da232fb9e14e0e?cota=3&kuai_so=1&refer_scene=so_3&sign=360_da20e874&sessionid=-585360645
4.1.4.中消协提示:谨防“免密支付”盗刷漏洞
中国消费者协会25日发布消费提示,近期陆续接到消费者投诉,因“免密支付”功能导致账户资金被盗刷,提醒消费者谨慎使用“免密支付”功能,避免因账户权限过度开放而引发资金损失。
来源:https://mp.weixin.qq.com/s/fmLGQEwTaYOoFI1Wx1Jsvg
4.2.国外移动互联网安全热点
4.2.1.谷歌官方应用SafetyCore暗中扫描用户手机中的照片
近期,大量用户报告揭示,自2024年10月以来,谷歌的Android系统服务SafetyCore已在运行Android 9及以上版本的设备上悄然安装。该服务旨在实现设备端内容扫描,但由于其安装过程隐蔽且缺乏透明度,引发了广泛的隐私担忧。与常规应用安装不同,SafetyCore没有图标,隐藏在系统进程中,并占用了约2GB的存储空间。这一细节在一篇广泛传播的X(原Twitter)帖子中被曝光,帖子指责谷歌暗中开启了照片库扫描功能。用户只有在进入“设置 > 应用 > 显示系统进程”时,才能发现该应用作为后台服务存在,并拥有互联网访问、存储和设备传感器等权限。
来源:https://www.freebuf.com/news/423112.html?sessionid=-587045682
4.2.2.331个恶意应用潜入Google Play商店,影响60万用户
近日,安全研究人员揭露了一起代号为“Vapor”大规模Android恶意应用攻击事件。据Bitdefender最新报告,共有331个恶意应用被上传至Google Play商店,累计下载量超过3亿次,影响约60万用户。这些应用主要充当广告软件或试图窃取用户凭证和信用卡信息。这些应用采用多种技术规避检测,如禁用启动器活动、重命名自身、使用原生代码启用隐藏组件等。一些应用甚至会显示虚假的Facebook和YouTube登录界面以窃取凭证。Google已下架所有相关应用,但专家警告Vapor可能通过新应用卷土重来。建议Android用户谨慎安装来源不明的应用,仔细审查权限,并定期比对已安装应用列表。
来源:https://www.bleepingcomputer.com/news/security/malicious-android-vapor-apps-on-google-play-installed-60-million-times/
4.2.3.TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私
近日,英国隐私监管机构英国信息专员办公室(ICO)宣布对TikTok、Reddit和Imgur三家社交媒体平台展开调查,原因是这些平台的“推荐系统”可能导致未成年用户接触不当或有害内容。ICO表示,将审查这些平台如何使用儿童个人信息,以及它们采取何种年龄核实措施,以确保向儿童用户提供适龄内容。
来源:https://www.infosecurity-magazine.com/news/ico-tiktok-investigation-use/