政策形势
1、公布修订后的《商用密码管理条例》 新华社北京5月24日电 国务院总理李强日前签署国务院令,公布修订后的《商用密码管理条例》(以下简称《条例》),自2023年7月1日起施行。 党中央、国务院高度重视商用密码工作。近年来,随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。为了贯彻落实行政审批制度改革精神,细化密码法相关制度,对1999年公布的《条例》进行了全面修订。修订后的《条例》,分为九章:总则、科技创新与标准化、检测认证、电子认证、进出口、应用促进、监督管理、法律责任、附则。其中总则明确指出由国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。 https://baijiahao.baidu.com/s?id=1766815392914238750&wfr=spider&for=pc 2、信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》 为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,制定《网络安全标准实践指南—网络数据安全风险评估实施指引》(以下简称《评估指引》)。 《评估指引》给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险;适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。 https://www.freebuf.com/news/368020.html 3、公开征求对《工业领域数据安全标准体系建设 5月22日,工业和信息化部科技司公开征集对《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)的意见,该指南分为总体要求、主要内容、组织实施三部分,其中在主要内容部分明确了工业领域数据安全标准体系框架,系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。 https://www.miit.gov.cn/jgsj/kjs/jscx/bzgf/art/2023/art_69fd7eb384024443b7e1862c0b8f2449.html 4、《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》发布 5月23日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》,针对室内外各区域中的人脸识别支付场景,向人脸识别支付的服务提供方及相关场所管理方提出个人信息保护要求。 https://www.tc260.org.cn/front/postDetail.html?id=20230523223021 5、12月1日起实施 | 国标《个人信息处理中告知和同意的实施指南》发布 根据全国标准信息公共服务平台显示,由国家标准化管理委员会主管,全国信息安全标准化技术委员会归口、执行的《信息安全技术 个人信息处理中告知和同意的实施指南》于2023年5月23日发布,将于2023年12月1日起实施。 https://www.sohu.com/a/680252740_121124365
指南(2023版)》(征求意见稿)的意见
《实施指南》通过借鉴国外立法和标准的研究,结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的标准。为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。
《实施指南》将针对组织提出个人信息处理过程中,告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。
《实施指南》主要内容分为9个章节,分别针对个告知同意的适用情形、免于告知同意的情形、告知同意的基本原则和具体执行方法等进行了详细的说明。
数据安全事件 1、浙江首批两家企业通过数据出境安全评估 近日,杭州海康威视数字技术股份有限公司、杭州萤石网络股份有限公司通过国家网信办数据出境安全评估,是我省首批通过评估的两家企业。此次通过评估将有助于提高两家企业在国际市场上的竞争力,同时也为其他企业数据出境安全评估工作提供了参考经验。 https://www.zjwx.gov.cn/art/2023/5/24/art_1673564_58873240.html 2、美国最大牙科医保服务商遭勒索攻击,近900万患者个人数据泄露 安全内参5月30日消息,北美牙科管理护理(Managed Care of North America Dental,简称MCNA Dental)在官方网站上发布数据泄露通知,称近900万患者的个人数据已遭外泄。MCNA Dental是美国最大的政府资助(医疗补助与儿童健康保险计划)牙科护理和口腔健康保险服务商之一。在5月26日发布的一份通知中,MCNA表示在3月6日发现,有未经授权者访问其计算机系统。调查显示,恶意黑客是在2月26日首次获得对MCNA网络的访问权限。在此期间,恶意黑客窃取到的数据涉及近900万患者。 https://mp.weixin.qq.com/s/YgG0J_Npi8qVEob7kMwCrA 3、特斯拉100GB数据泄露,或面临35亿美元罚款 近日据德国《商报》报道,特斯拉未能充分保护客户、员工和业务合作伙伴的数据而造成泄露,并收到了数千份关于该公司驾驶员辅助系统的客户投诉。 报道援引一名举报者泄露的100GB机密数据,这些数据包含超过10万个离职和在职员工姓名,以及私人电子邮件地址、电话号码、员工工资、客户的银行信息和生产的秘密细节的多个表格,其中更是涉及特斯拉CEO埃隆·马斯克的社保号码。 https://mp.weixin.qq.com/s/NbRmpUy_O7uPBqNOsUv7cQ 4、GDPR最高罚单!Meta因数据传输违规被重罚12亿欧元 5月22日,爱尔兰数据保护委员会(Data Protection Commission,以下称爱尔兰DPC)宣布对Meta Platforms Ireland(以下称Meta爱尔兰)采取执法行动,对其处以创纪录的12亿欧元罚款,这也是GDPR实施近五年以来的最高罚款。爱尔兰DPC同时要求Meta爱尔兰旗下的Facebook在此处罚决定发布后的五个月内停止向美国转移个人数据,六个月内停止在美国非法处理(包括存储)欧盟和欧洲经济区用户的个人数据,以使其处理个人数据的操作符合GDPR规定。 欧洲数据保护委员会(European Data Protection Board,EDPB)主席Andrea Jelinek表示:“EDPB发现Meta的侵权行为非常严重,因为它涉及到系统地、重复地和连续地个人数据转移。Facebook在欧洲拥有数百万用户,因此传输的个人数据量是巨大的。这笔史无前例的罚款向企业发出了一个强烈信号,即严重的侵权行为会产生深远的后果。” https://mp.weixin.qq.com/s/VAGKahbK7TaDEzFL4Cr29Q 5、德国军工巨头遭勒索攻击,汽车业务敏感数据或泄露 安全内参5月24日消息,德国汽车和防务公司莱茵金属(Rheinmetall)披露,近期遭受了勒索软件团伙的网络攻击,但军用业务未受到影响。该公司在4月中旬报告称遭受了网络攻击。此次攻击影响到其面向工业客户的业务部门,主要是汽车领域。日前,勒索软件团伙Black Basta在其泄密网站上列出了莱茵金属,暗示对方不愿支付赎金,导致谈判破裂或陷入僵局。恶意黑客威胁要泄露从莱茵金属内部窃取的文件,目前发布的几张屏幕截图证明,可能存在敏感数据泄露。从截图来看,黑客掌握了采购订单、护照复印件、技术方案、保密函、保密协议等企业文件。 https://mp.weixin.qq.com/s/KKvS-yJNE6vS6yhKNUpEEA 6、免费 VPN 服务 SuperVPN 泄露 3.6 亿用户隐私 5月26日消息,近日,SuperVPN 暴露了高达 133 GB 的数据,其中包括用户的个人详细信息,例如 IP 地址。早在 2022 年 5 月,SuperVPN 这一免费 VPN 服务提供商就曾泄露客户数据。 在本次事件中,暴露的数据库包含惊人的 360,308,817 条记录,总计 133 GB。这些记录包括范围广泛的敏感信息,包括用户电子邮件地址、原始 IP 地址、地理位置数据和服务器使用记录。此外,该漏洞还泄露了密钥、唯一应用程序用户 ID 号和 UUID 号,可用于识别更多有用信息。 虽然 SuperVPN 声称它不存储用户日志,但泄露的数据表明情况并非如此,这与公司的政策相矛盾。这也表明“几乎每一个免费 VPN 服务都是一个‘数据农场’。” https://mp.weixin.qq.com/s/PGdWdBFMRtEr25iWC9EA0A 技术、产品与市场 1、华硕计划推出基于英伟达芯片技术的AI服务,将“确保数据安全” 彭博5月30日消息,华硕计划推出一项基于AI的服务,允许企业用户在探索生成式AI潜力的同时掌控自己的数据。华硕的这项新服务名为AFS Appliance,所有硬件都将安装在客户自己的设备中,以确保数据安全和控制。这个AI计算平台的构建基于英伟达的芯片技术,将由华硕运营并提供数据更新。 https://baijiahao.baidu.com/s?id=1767305811706987919&wfr=spider&for=pc 2、数据安全概念股早盘拉升 多股涨超10% 钛媒体App 5月31日消息,数据安全板块异动拉升,绿盟科技大涨15%,永信至诚、安恒信息、中孚信息、科创信息、中国长城等大涨超5%。消息面上,5月30日,二十届中央国家安全委员会第一次会议召开。会议强调提升网络数据人工智能安全治理水平,加快建设国家安全风险监测预警体系。 https://www.tmtpost.com/nictation/6552951.html 3、2023数博会“数据二十条”安全产业发展论坛成功举办 5月25日下午,2023数博会“数据二十条”安全产业发展论坛在贵阳国际生态会议中心成功举办。 本次论坛以“数据要素·安全先行”为主题,探讨新一轮数字化浪潮新机遇下,在“数据二十条”的强力推动下,如何致力联合产、学、政、研等多方资源,打造数据安全产业“朋友圈”,通过构建全新数据保护体系、统一数据保护行业标准、健全数据保护人才支撑、丰富数据保护政策保障、完善数据保护技术应用等方式,来共创数字经济安全带,达到维护数字社会安全,持续推动数据安全产业发展。 数据安全是数字经济的零因子,已成为国家社会发展面临的重要议题,本论坛希望通过特有的换位思考法,促进数字安全供需方的和谐、有效、长远的合作,以及探讨出围绕数据经济创新,共建数字安全生态的发展路径。 http://gz.news.cn/2023-05/26/c_1129647074.htm 4、北京通信管理局召开北京地区行业数据安全管理工作专题会暨数据安全评估试点 近日,为深入贯彻党中央、国务院关于数据安全工作的决策部署,进一步落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等规定,持续加强数据安全监管,指导督促行业企业落实数据安全主体责任,北京市通信管理局召开北京地区电信和互联网行业数据安全管理工作专题会暨数据安全评估试点培训会,部署2023年度北京地区电信和互联网行业数据安全重点工作,推动落实数据安全风险评估试点。 https://www.miit.gov.cn/xwdt/gxdt/dfgz/art/2023/art_9e31a15f29b1419ba01eedf12e099536.html 作为“工业和信息化领域急需紧缺人才(大数据和人工智能)培养工程”系列丛书之一,《数据安全与流通——技术、架构与实践》在日前召开的2023向星力·未来数据技术峰会上发布。新书面向数据要素市场建设的各方参与者,包括数据交易所、政府和各行业在数据要素市场建设方面的设计、决策、管理和实施维护人员等,从数据权属、数据价值、数据安全和数据流通等方面,对国内外关于数据有序流动和利用过程中的理论、模式、技术、法规等进行了全面梳理和解读,可以为数据要素市场建设的各方参与者提供重要并且完整的知识体系参考。 http://www.chinahightech.com/html/chany/xxjs/2023/0531/5675576.html 业界观点 1、齐向东:数据安全网络安全密不可分 相信未来安全不会拖AI后腿 齐向东表示,数据安全是网络安全的一个独立分支,数据安全和网络安全是密不可分的,是纠缠型的,“我们说没有网络安全就没有国家安全,这句话实际上说的是没有网络空间安全就没有国家安全。” 此外,对于AI快速发展可能带来的危机,齐向东表示网络安全技术是伴生型技术,而AI还在发展中,“先有矛再有盾”,现在在抓紧跟进AI的各种各样的场景,相信未来安全不会拖AI后腿。 https://news.sina.cn/2023-05-30/detail-imyvqezv4462434.d.html 2、邬贺铨院士:“IPv6+”保障数据安全流动 随着数据上升为重要的生产要素,数据流动的安全管理面临巨大挑战。中国工程院院士、中国互联网协会咨询委员会主任邬贺铨在《IPv6与数据安全》主旨报告中提出,通过IPv6提升数据安全能力,支撑数据流动的有效管理,让数据流动更安全。 IPv6是Internet协议的第六次迭代,支持长达128位源地址和目标地址。根据APNIC统计,2023年3月全球网民中IPv6活跃用户占比超35%,中国这一数据已近70%,迎来了IPv6主导的互联网时代。而IPv6海量的地址和丰富的编程能力,为数据分类管理和数据流动安全治理提供了技术基础和开发空间。 邬贺铨认为,IPv6有向“IPv6+”发展的趋势,通过“IPv6+”可实现应用感知APN6、随流检测iFIT、分段选路SRv6、新型组播BIER、确定性网络DIP、业务链SFC等能力,进行数据安全流动的有效管理。 邬贺铨指出,互联网路由的随机性使得源与宿都在境内的数据也有绕道到境外的风险,且同一业务流的前后IP包可选择不同的路径,带来数据流动管理的难题。iFIT(随流检测)可实现路径还原与性能监测,有助于发现和防止境内数据绕道出境,追踪来访或调用数据是否合规,还可以作为5G核心网用户面功能UPF分流数据的审计。此外,SRv6(分段选路)可根据数据流动管理与应用类型提供专线产品和网络切片,有效提升对数据流感知与管控能力。 除了数据传输过程的安全,在数据全生命周期都需要安全,特别是在数据存储和应用环节,常常需要进行跨企业的数据互通,这就需要利用多方计算技术对数据进行同态加密,实现数据可用不可见,通过多方面努力构建数据全生命周期的防护体系。 http://www.gywb.cn/system/2023/05/26/071512400.shtml 3、张备:数字化下的安全新思考 5月25日下午,2023数博会“‘数据二十条’安全产业发展”论坛在贵阳举行。360集团党委书记、总裁张备在会上讲到安全是360的老本行,我们也更能意识到安全的重要性,今天也想借这个平台分享一些新的观点和思考。 第一,数字化带来了全新的安全挑战。在现在新的发展形势下,首先是万物都要互联,第二是一切皆可编程,第三是大数据驱动业务,第四是人工智能可能会成为数字化的双刃剑。在这样一个过程中,我们可以发现数字化进程是容易在内部导致很脆弱的,被攻击的时候造成的危害也会更大。从外部来看,国家力量的介入,还有专业化网络犯罪组织逐渐取代了小的黑客,成为国际数字安全主要威胁,而且威胁还在不断升级。 第二,数据安全变得前所未有的重要。数据安全在今天的重要性已经超越了传统网络安全的概念,或者说是传统的网络安全所不能够完全覆盖的,网络攻击的对象已经从设备、网络发展到针对数据、大数据以及生产生活的方方面面,数据安全、网络安全模式也在受到新的挑战。 第三,要从以往的等级保护、靶场建设不断进化到结合业务场景的安全评估和保护以及形成包括等级保护、实网靶场和结合业务场景的综合保护体系,只有结合到业务中间去,才能够做好安全的底座。结合“数据二十条”,我们要在大数据使用过程中做到“可用不可见、可用不可动”,同时能够做到按次收费、确保数据安全可控、可用而且可持续。 第四,目前政府和企业在数字化安全方面最大的痛点是看不见威胁、看不见攻击,因为政府和企业的一些安全设施设备非常割裂,资产风险看不全面,响应检测碎片化,所以很多企业和政府机构虽然有防火墙,有杀毒软件等软件和硬件,但是防范成效仍然不明显,导致各类攻击屡禁不绝。 张备表示,面对数字时代这些全新挑战,360将继续把360发展战略和国家数字化转型建设结合起来,坚定不移加大投入,将公司多年积累的大数据安全服务、高端人才和创新研发能力进一步赋能社会,助力数字经济健康发展。 https://new.qq.com/rain/a/20230525A076RP00 4、专家观点 | 为世界数据基础制度贡献“中国方案” 2020年4月,我国首次将数据列为和土地、劳动力、资本、技术并列的生产要素,推动数字经济快速发展。此后,各地相继成立数据交易所。2022年我国数字经济规模达50.2万亿元,总量稳居世界第二,占GDP比重提升至41.5%,数字经济成为稳增长促转型的重要引擎。数据要素市场是以数据产品或服务为流通对象,以数据供需方为核心主体,通过流通实现参与方各自诉求的场所。数据基础制度对于构建数据要素市场具有基础性作用,世界上并无成熟的数据基础制度可供借鉴,如何构建我国的数据基础制度成为时代命题。2022年12月2日印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)为构建中国特色社会主义数据市场制度提供了基本遵循和行动指南,也为世界数据基础制度贡献了“中国方案”。培训会
5、《数据安全与流通》:构建数据要素市场建设知识体系
