1.1.国内数据安全政策与法律法规动态
5月9日召开的国务院常务会议审议通过《政务数据共享条例(草案)》。会议指出,要在确保数据安全基础上打通数据壁垒,推动公共服务更加普惠便捷。要构建全国一体化政务大数据体系,推动数据资源融合应用,更好赋能社会治理和繁荣产业生态,增强经济发展新动能。
来源:https://mp.weixin.qq.com/s/p98K9_FbH0Y2-_PIX4Vjlg
为贯彻党中央、国务院关于数据安全的决策部署,落实《中华人民共和国数据安全法》,进一步夯实数据安全的法治基础,指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据(以下简称“业务数据”)处理活动,近日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》(中国人民银行令〔2025〕第3号,以下简称《办法》),自2025年6月30日起施行。《办法》共七章五十六条:第一章明确《办法》制定依据、适用范围、管理原则、工作机制等;第二章对数据资源目录、分类分级、制度建设、操作规程等方面作出规定;第三章对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定;第四章从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定;第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定;第六章对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定;第七章对术语定义、解释权、施行日期作出规定。
来源:https://mp.weixin.qq.com/s/r-9hdZYXzVUBECfsNwXv7g
为建立健全贵州省电信领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,根据《中华人民共和国数据安全法》《国家突发事件总体应急预案》《工业和信息化领域数据安全事件应急预案(试行)》等相关规定,贵州省通信管理局结合工作实际,制定印发《贵州省电信领域数据安全事件应急预案(试行)》(以下简称应急预案)。应急预案按照统一领导、分级负责,密切协同、快速反应,应对有序、科学处置等原则,明确领导机构和各相关单位的职责,梳理建立预警、响应、总结等工作流程,为各相关单位开展数据安全事件应急处置工作提供有力的政策依据。
来源:https://mp.weixin.qq.com/s/bZ0NUWAvlCs6f_W0HhZO7w
1.2.国外数据安全政策与法律法规动态
1.2.1.欧盟与新加坡签署数字贸易协定
5月7日消息,欧盟与新加坡签署数字贸易协定(DTA),标志着双边贸易关系迈出重要一步,是双方在数字领域深化合作的重要里程碑。DTA为欧盟与新加坡之间的数字贸易规则设定了较高标准,以欧盟以人和人权为核心的数字和数据规则方针为基础,加强消费者保护,促进可信的跨境数据流动,并为有意开展跨境数字贸易的企业提供法律支持,消除数字贸易壁垒。DTA还将通过禁止不合理的数据本地化措施来防止保护主义,确保跨境数据流动的可信性。欧盟和新加坡将按照各自内部程序,推动该协定批准生效。
来源:https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1152
1.2.2.美国联合多国网络安全机构发布人工智能数据安全指南
5月22日,美国网络安全与基础设施安全局(CISA)联合国家安全局(NSA)、联邦调查局(FBI)、澳大利亚信号局(ASD)下属的澳大利亚网络安全中心(ACSC)、新西兰国家网络安全中心(NCSC-NZ)、英国国家网络安全中心(NCSC-UK)联合发布《人工智能数据安全:保护用于训练和操作人工智能系统的数据的最佳实践》指南,强调保护人工智能(AI)系统数据对确保其准确性、完整性和可信度的重要作用。该指南详细分析了AI从开发、测试到部署和运行等生命周期各阶段的数据安全风险,并提出了具体防护措施。
来源:https://media.defense.gov/2025/May/22/2003720601/-1/-1/0/CSI_AI_DATA_SECURITY.PDF
2.1.国内个人信息保护政策与法律法规动态
2.1.1.六部门联合公布《国家网络身份认证公共服务管理办法》
公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》,共16条,主要规定了四个方面内容:一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;二是明确了使用国家网络身份认证公共服务的效力、应用场景;三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任;四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
来源:https://mp.weixin.qq.com/s/vPA-xSeN574L_Aagsk-0aA
2.1.2.《网信部门行政处罚裁量权基准适用规定》公开征求意见
为进一步规范网信部门行政处罚行为,保护公民、法人和其他组织的合法权益,国家互联网信息办公室研究起草了《网信部门行政处罚裁量权基准适用规定(征求意见稿)》,现向社会公开征求意见。
2.1.3.公安部印发《公共安全视频图像信息系统监督管理工作规定》
为了保障《公共安全视频图像信息系统管理条例》的贯彻实施,规范公安机关对公共安全视频图像信息系统建设、公安部制定《公共安全视频图像信息系统监督管理工作规定》,对建设、使用公共安全视频系统实施监督管理。
2.1.4.网安标委发布《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》及《网络安全标准实践指南——个人信息保护合规审计要求》
根据《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》等法律法规要求,为指导个人信息保护合规审计活动,保护个人信息权益,网安标委组织编制《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》及《网络安全标准实践指南——个人信息保护合规审计要求》,提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、实施流程、内容和方法,适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。
2.1.5.2025年数据安全和个人信息保护法规政策系列宣讲会成功举办
国家网信办指导的“数安中国行”宣讲会分别在重庆、郑州、南宁举办,覆盖西南、华中、华南等地区。会议深入解读《网络数据安全管理条例》《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》等法规,并针对数据出境、汽车数据安全管理等热点问题提供操作指引来源。
2.1.6.国家网信办发布《关于开展人脸识别技术应用备案工作的公告》
根据《人脸识别技术应用安全管理办法》规定,国家网信办就开展人脸识别技术应用备案工作有关事项发布公告,应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,应当向所在地省级网信部门履行备案手续。
3.1.国外数据安全相关事件
5月1日,网络安全研究员Jeremiah Fowler近日发现,活动门票转售平台TicketToCash的一个配置错误、无密码保护的200GB公开数据库泄露。该数据库包含超过52万条记录,涉及客户的姓名和电子邮件地址等个人身份信息(PII)及部分信用卡号、实际地址、票证副本等财务详细信息。
来源:https://hackread.com/ticket-resale-platform-tickettocash-exposed-user-data/
5月9日,美国Ascension医疗保健系统近日透露,上个月发生了一起重大数据泄露事件,超过43万名患者的个人和医疗保健信息遭到泄露。攻击者获取了与患者住院就诊相关的个人健康信息,如医生姓名、入院和出院日期、诊断和账单代码等,还包括患者的个人信息,如姓名、地址、电话号码、电子邮件地址、出生日期、种族、性别和社会安全号码等。
来源:https://www.bleepingcomputer.com/news/security/ascension-says-recent-data-breach-affects-over-430-000-patients/
5月13日,大学招生平台PrepHero曝出重大安全漏洞,超三百万条未加密记录遭泄露,涉及学生运动员及其教练敏感信息。该数据库由芝加哥公司PrepHero(由EXACT Sports运营)所有,用于帮助高中运动员创建招募档案并与大学教练沟通。数据库包含315万余条记录,总计约135GB,信息涵盖学生运动员的姓名、电话、邮箱、家庭住址、护照信息,以及家长和教练联系方式,甚至包含学生运动员护照图像链接的未受保护文件。尤为严重的是,数据库中“邮件缓存”文件夹保存了2017年至2025年的10GB电子邮件,包含个性化网页链接,可公开访问个人姓名、出生日期、薪酬等详细信息,部分邮件还含有临时密码,进一步加剧隐私风险。此外,教练员录音也被发现,涉及教练姓名、所在大学及对学生运动员的评估。
来源:https://hackread.com/prephero-database-exposed-students-coaches-data/
5月15日,Cybernews研究人员近日发现一起大规模数据泄露事件,根源指向面向中小型企业的招聘平台HireClick。由于亚马逊AWS S3存储桶配置错误,该平台超过570万份文件被暴露在互联网上,其中主要是求职者的简历,这些文件泄露了求职者的全名、家庭住址、电子邮件地址、电话号码及就业信息等敏感和私人数据。
来源:https://cybernews.com/security/hireclick-resume-database-data-leak/
5月19日,企业IT提供商Serviceaide因数据库配置错误,导致与纽约非营利性医疗保健系统Catholic Health相关的约483126名患者敏感健康和个人信息泄露。泄露的数据库包含大量敏感信息,如全名、出生日期、处方数据、社会安全号码、健康保险详情、医疗保健提供者信息、治疗和临床信息、医疗记录和账号以及电子邮件地址、用户名和密码等。
来源:https://hackread.com/serviceaide-leak-catholic-health-patients-records/
4.1.国内移动互联网安全热点
4.1.1.中央网信办通报15款App和16款SDK个人信息收集使用问题
根据中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定,中央网信办组织对App、SDK收集使用个人信息行为进行检测,对有关问题予以通报。
来源:https://www.cac.gov.cn/2025-05/06/c_1748239411359045.htm
4.1.2.公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,在应用宝中35款移动应用存在违法违规收集使用个人信息情况。
4.1.3.国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,65款移动应用存在违法违规收集使用个人信息情况。
4.2.国外移动互联网安全热点
4.2.1.三款手机监控软件或因泄露数据集体下线
近日,三款几乎相同但品牌不同的手机监控应用程序Cocospy、Spyic和Spyzie已全面下线。这些应用程序今年早些时候被曝出监视了数百万用户手机,允许安装者在目标不知情的情况下访问其个人数据,包括短信、照片、通话记录和实时位置信息。研究人员揭示,这些应用存在共同的安全漏洞,允许任何人访问安装了这些应用的设备上的个人数据。该漏洞还暴露了320万注册用户的电子邮件地址,这些数据已被提供给数据泄露通知网站Have I Been Pwned。
来源:https://techcrunch.com/2025/05/19/cocospy-stalkerware-apps-go-offline-after-data-breach/
4.2.2.超4万iOS应用滥用私有权限,带来安全隐患
Zimperium最新研究揭示,iOS设备面临日益增长的安全威胁,特别是来自未经审核和侧载的移动应用。尽管iPhone通常被视为设计安全的设备,但分析显示某些应用能悄然绕过苹果的保护机制,使用户和企业面临风险。研究人员发现,超过4万个应用程序使用私有权限,800多个依赖私有API。攻击者主要通过权限提升、滥用私有API和绕过苹果应用审核的侧载漏洞来攻击iOS设备。
来源:https://hackread.com/40000-ios-apps-found-exploiting-private-entitlements/
4.2.3.TikTok违规传输欧盟用户数据遭43.66亿天价罚款,坚称合规将上诉
5月初,TikTok因在保护用户信息方面存在问题,被欧盟主要隐私监管机构处以5.3亿欧元(约合43.66亿元人民币)的巨额罚款。此次罚款由爱尔兰数据保护委员会(DPC)作出。DPC指出,TikTok无法证明其欧盟用户的个人数据得到了欧盟法律所规定的高标准保护。值得注意的是,部分欧盟用户的个人数据可由中国员工远程访问。针对这一裁决,TikTok方面表示强烈反对。TikTok称,其依据欧盟法律框架,即所谓的标准合同条款,对远程访问进行了严格控制,且访问权限有限。该公司还计划对这一裁决提出上诉。
来源:https://www.techweb.com.cn/it/2025-05-03/2960277.shtml?sessionid=367690032
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...