数据安全每周观察|国家标准《数据安全技术 数据安全保护要求》公开征求意见

一、国家标准《数据安全技术 数据安全保护要求》（征求意见稿）公开征求意见

      近日，全国网络安全标准化技术委员会归口的国家标准《数据安全技术 数据安全保护要求》已形成标准征求意见稿，并根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，面向社会公开征求意见。

      本文件在国家数据安全工作协调机制指导下，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定，在GB/T43697-2024《数据安全技术数据分类分级规则》的基础上，规定数据安全保护的通用要求和重要数据、核心数据专门保护要求，用于指导各行业领域、各地区、各部门和数据处理者在数据分类分级的基础上开展数据安全保护工作。

二、8项公共安全行业标准获批发布

      近日，公安部发布的2025年第1号《中华人民共和国公安部公共安全行业标准公告》，由公安部信息系统安全标准化技术委员会归口的8项公共安全行业标准正式发布。标准具体内容如下：

      （一）强制性标准

      1.GA 1277.12-2025《互联网交互式服务安全管理要求 第12部分：网络直播服务》

      该标准规定了网络直播服务安全管理要求，适用于互联网交互式服务提供者落实网络直播服务安全保护管理制度和安全保护技术措施。

      2.GA 1277.13-2025《互联网交互式服务安全管理要求 第13部分：网络支付服务》

      该标准规定了网络支付服务安全管理要求，适用于互联网交互式服务提供者落实网络支付服务安全保护管理制度和安全保护技术措施。

      （二）推荐性标准

       1.GA/T 1390.6-2025《信息安全技术 网络安全等级保护基本要求 第6部分：边缘计算安全扩展要求》

      该标准规定了采用5G技术的边缘计算网络系统（不含运营商核心网）的第一级到第四级的安全扩展要求，适用于采用5G技术的边缘计算等级保护对象的安全建设和监督管理。

       2.GA/T 1390.7-2025《信息安全技术 网络安全等级保护基本要求 第7部分：大数据系统安全扩展要求》

      该标准规定了大数据系统等级保护对象的网络安全等级保护第一级到第四级的安全扩展要求，适用于大数据系统等级保护对象的安全建设和监督管理。

      3.GA/T 1390.8-2025《信息安全技术 网络安全等级保护基本要求 第8部分：IPv6网络安全扩展要求》

      该标准规定了IPv6网络等级保护对象的网络安全等级保护第一级到第四级的安全扩展要求，适用于IPv6网络等级保护对象的安全建设和监督管理。

      4.GA/T 1390.9-2025《信息安全技术 网络安全等级保护基本要求 第9部分：区块链安全扩展要求》

      该标准规定了区块链等级保护对象的网络安全等级保护第一级到第四级的安全扩展要求，适用于联盟链和私有链的安全建设和监督管理。

      5.GA/T 2347-2025《信息安全技术　网络安全等级保护云计算测评指引》

      该标准给出了云计算平台和云服务客户的业务应用系统开展网络安全等级保护测评活动的指引，适用于网络安全检测评估机构对云计算平台和云服务客户的业务应用系统开展网络安全等级保护测评活动，网络安全监管部门参照使用。

      6.GA/T 2348-2025《信息安全技术 网络安全等级保护5G接入安全测评要求》

       该标准规定了采用5G技术的边缘计算网络系统（不含运营商核心网）的第一级到第四级的安全测评扩展要求，适用于指导网络安全检测评估机构、运营使用单位及主管部门对采用5G技术的边缘计算网络系统的安全状况进行安全测评，也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。

      以上推荐性标准将于2026年2月1日起正式实施。

三、国家发展改革委等部门印发《深化智慧城市发展推进全域数字化转型行动计划》

      为进一步深化智慧城市发展、推进全域数字化转型，充分发挥数据赋能城市经济社会发展作用，国家发展改革委、国家数据局、财政部、住房城乡建设部、自然资源部组织制定印发了《深化智慧城市发展 推进全域数字化转型行动计划》。

     《计划》强调筑牢数字化转型安全防线。强化网络安全、数据安全防护能力。健全政务云网安全保障体系。加强城市数据基础设施安全保障，实现可信接入、安全互联、跨域管控、全栈防护等安全管理。推进数据安全治理，建立健全数据安全风险防控体系，强化城市数据分类分级保护和全生命周期安全管理，完善数据安全制度规范，加强个人信息保护，压实各类主体安全责任，提升数据安全保护水平。

四、国家数据局综合司印发《关于在国家数据基础设施建设先行先试中加强场景应用的实施方案》

      为深入贯彻党的二十届三中全会关于建设和运营国家数据基础设施，促进数据共享的改革任务，落实《国家数据基础设施建设指引》，以场景应用、技术创新驱动国家数据基础设施高水平建设运营，国家数据局综合司组织制定印发了《关于在国家数据基础设施建设先行先试中加强场景应用的实施方案》。

     《方案》强调强化数据安全保障。先行先试建设任务承担单位要加强数据基础设施安全能力建设，落实数据分类分级、个人信息保护、网络安全等级保护等要求，保障场景建设数据安全、业务安全。

五、《国家中小企业公共服务示范平台（基地）创建管理办法》印发施行

      为贯彻落实党中央、国务院决策部署，推动中小企业公共服务平台（基地）建设，促进中小企业健康发展、高质量发展，根据《中华人民共和国中小企业促进法》，工业和信息化部近日印发《国家中小企业公共服务示范平台（基地）创建管理办法》，自印发之日起施行。

     《办法》强调，平台（基地）运营主体有固定的经营服务场所和必要的服务设施，有健全的管理制度、规范的服务流程和完善的服务质量保证措施；有专业的管理团队和专职服务人才队伍，具备相关领域运营管理、创新创业服务经验，能够有效组织开展平台（基地）管理、运营和服务工作；具有线上线下协同服务能力，能够积极组织动员各类服务资源开展内容丰富、形式多样的服务活动；建立并实施服务信息保密机制、网络与数据安全保障体系。

一、国家安全部通报3起存储设备泄密典型案例

      近年来，随着信息化建设的快速发展，存储设备泄密案件频发。涉密硬盘作为承载国家秘密信息的关键载体之一，一旦出现使用或管理漏洞，将给国家秘密安全带来重大隐患。近日，国家安全部通报3起存储设备泄密典型案例。

      1.某单位办公室主任张某因设备兼容性不足，擅自将涉密计算机捐赠给对口扶贫村学校。张某错误地认为将涉密计算机中的硬盘“格式化就安全”，经保密教育后才认识到问题的严重性，紧急追回并更换硬盘。

      2.某涉密信息系统运维企业派驻至某省直单位的运维人员，在运维时发现某设备硬盘为固态硬盘，便起了私心，私自拆卸带回家并安装在个人电脑中。由于该硬盘上“三合一”程序运行正常，开机后启动违规外联告警。

      3.某单位一台涉密复印机发生故障，请售后服务商派人维修。维修人员断定是复印机硬盘出了问题，须将其返厂维修。该单位有关工作人员毫无保密意识，让其将涉密硬盘带离且全程无监督。几天后才发现该硬盘已被送往境外，涉密数据严重失控。

二、工信部通报42款存在侵害用户权益行为的APP及SDK

      根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，抽查发现42款APP及SDK存在侵害用户权益行为，并予以通报。

三、“暗影逃逸”零点击攻击利用AI代理窃取数据

      近日消息，一种名为“暗影逃逸”的新零点击攻击被曝光，它利用模型上下文协议（MCP）和流行的AI代理（如ChatGPT、Claude和Gemini），在用户无操作且不被传统安全工具察觉的情况下窃取敏感数据。

      该漏洞由Operant的安全研究人员发现，恶意行为者可将隐藏恶意指令嵌入看似无害的文档，上传到MCP启用的AI助手后，AI会访问连接数据库等，获取隐私数据并伪装成日常任务将数据传输到暗网服务器。攻击链还包括文件渗透、敏感记录发现和隐蔽传输阶段。该攻击利用MCP设计，让AI代理成为身份盗窃和欺诈的载体，任何MCP连接系统都可能受影响。专家建议采取多种措施应对，如身份访问管理、文档清理等，Operant AI的MCP网关可提供运行时控制。

四、日本电通子公司Merkle数据泄露，主要客户信息或受影响

      近日，日本广告巨头电通披露其美国子公司Merkle发生网络安全事件，导致员工和客户数据泄露。电通称检测到Merkle网络异常活动后，立即启动响应程序，主动关闭部分系统并上报相关国家当局，但未明确事件范围。

      据内部备忘录显示，员工银行、工资等个人及财务信息可能已泄露，电通证实数据被盗并正通知受影响者。目前调查仍在进行，以确定事件规模和影响，第三方事件响应服务已介入，尚无勒索软件组织宣称负责。电通日本网络系统未受影响，但预计事件将带来一定财务影响。

五、国际汽联网站遭入侵，费斯塔彭等7000名车手信息外泄

      近日，国际汽联(FIA)证实，因今夏出现的网络安全漏洞，包括四届车手世界冠军费斯塔彭(Verstappen)在内的7000名车手的个人信息被黑客曝光。

      此次泄露涉及国际汽联车手分类网站，黑客能够找到近7000名车手包括护照号码和个人联系方式在内的信息。声明中说：“我们立即采取了措施保护车手的数据，并根据国际汽联的义务，将此问题报告给相关数据保护机构。同时也已通知了受问题影响的少数车手。事件未影响FIA的其他数码平台。”

六、瑞典国家电网运营商遭勒索攻击，超280GB数据被窃取，电力供应尚未受影响

      瑞典国家电网运营商Svenska kraftnät公司日前披露，正在紧急调查一起由勒索攻击导致的数据泄露事件。勒索软件团伙Everest早前在暗网论坛上宣称，已攻破该公司的内部网络系统，并窃取了超过280GB的内部数据，如果不能按其要求支付赎金将威胁公开。该团伙此前还宣称对都柏林机场、阿拉伯航空和美国航空航天供应商柯林斯航空航天发动攻击，致使9月多个欧洲城市的航班运营中断。

      该公司首席安全官Cem Göcgören表示，初步调查发现，该事件仅影响“有限的对外文件传输系统”，关键业务系统未受波及，因此不会影响电力系统的供应稳定性。公司目前已联合警方及网络安全监管机构全面核查数据暴露范围。

七、美国众议院一关键数据库防护缺失，450余名涉密人员信息恐被曝光

      研究机构Safety Detectives日前披露，美国众议院民主党官方在线简历平台DomeWatch.us存在一个未受妥善保护的数据库，或导致约7000份求职者记录被公开，涉及数千美国人。暴露数据包含姓名、电话、邮箱、安全许可状态等个人可识别信息（PII），其中包含了450余位携有“绝密”联邦安全许可的涉密人员。相关数据包括了求职者的政治党派、服役经历等个人信息，多数记录时间为2024 - 2025年。该数据库的暴露使有军事或政府经验者面临身份冒用、精准钓鱼等威胁，特别是在AI工具的帮助下，更增添了相关社会工程攻击的风险。平台安全团队在收到风险通报后，当天就限制了对该数据库访问，但并未就该起事故的具体情况进行回复。

八、新加坡滨海湾金沙因2023年数据泄露事件被罚31.5万新元

      近日，新加坡资讯通信媒体发展局(IMDA)表示，个人数据保护委员会(PDPC)以一起数据泄露事件，对滨海湾金沙(Marina Bay Sands，简称MBS)处以31.5万新元的罚款。

      2023年10月，66万5495名金沙客户的个人资料，包括姓名和联系资料遭来历不明的威胁者非法登入和泄露。这些资料后来被发现在暗网上销售。

      IMDA表示，在七月前发生的数据泄露事件中，MBS在一次大规模软件迁移活动中“未能采取合理的安全措施”。在迁移过程中，一个影响艺术科学之友(ArtScience Friends)网页的一个标识符却被遗漏，导致一个或多个恶意威胁行为者能够访问并窃取其患者的个人数据。

      IMDA表示，PDPC发现MBS只需依赖一名员工手动将应用程序编程接口 (API) 的配置列表编译到新软件中，并且没有实施第二层检查机制。这个家庭综合度假胜地在长达六个月的时间内未能发现并修复这一疏漏，导致其患者的个人数据一直处于无保护状态。

一、全国数据标准化技术委员会2025年第二次“标准周”活动即将举办

      为落实《全国数据标准化技术委员会2024—2025年工作要点》，搭建数据标准化高水平交流互动平台，促进数据标准化各相关方加强政策、技术、产业发展等方面交流研讨，共同推进数据领域国家标准项目研究和制修订工作，由全国数据标准化技术委员会主办的2025年第二次“标准周”活动将于2025年11月3日下午至7日下午，在江苏省南京市举办。

      （一）时间地点

       会议时间：2025年11月3日下午至7日下午

      会议地点：江苏省南京市南京国际青年文化中心（江苏省南京市建邺区邺城路8号）

      （二）总体安排

      本次“标准周”活动包含全体会议、5个标准工作组分组会议、技术文件研讨会议及国际标准闭门研讨会议。总体安排如下：

      1.全国数标委2025年第二次“标准周”全体会议

      会议聚焦国家数据工作重要部署，重点围绕数据治理、数据流通利用、全域数字化转型、数据技术、数据基础设施等方向，交流新阶段新理念新格局下的数据政策、技术、产业发展新思路，探讨新技术新应用新业态的标准需求。

      2.5个工作组分组会议

      会议围绕2025年第一批数据领域国家标准、第二批数据领域国家标准需求、相关方向技术文件及2026年工作要点，组织开展研讨，提升标准质量。

      3.技术文件研讨会议

      会议围绕基础术语国家标准、可信数据空间方向技术文件及低空数据方向相关研究报告，组织开展交流研讨，推进国家标准、技术文件及研究报告研制工作。

      4.国际标准闭门研讨会议

      会议围绕数据领域国际标准化工作路径及国际标准研制，组织开展交流研讨，推进数据领域国际标准化工作。