政策形势
1、《山西省政务数据安全管理办法》7月1日起施行
6月5日,从省行政审批服务管理局传来消息,为加强全省政务数据安全管理、规范政务数据处理活动,我省发布《山西省政务数据安全管理办法》(以下简称《办法》),明确政务数据和政务数据安全概念,为确保政务数据安全在制度、管理、保障及责任4个方面做出明确规定。
《办法》重点解决了政务数据安全“谁来管、管什么、怎么管”的问题。落实了政务数据的安全管理责任,明确了主管部门、政务部门及政务信息系统建设、运维运营等单位的三方责任,确保政务数据安全管理边界清晰、职责明确、责任落实;建立健全政务数据全生命周期安全管理机制,遵循“谁提供、谁负责,谁流转、谁负责,谁使用、谁负责”的原则,围绕政务数据全生命周期收集、存储、使用、加工、传输、提供、公开、销毁等8个环节,提出相应安全管理和保护要求;提高政务数据安全保障能力,通过开展政务数据安全风险评估、风险监测、应急演练、安全审计,提高政务数据安全风险发现、监测、处置、预警能力。
此外,《办法》还明确了政务信息系统的建设模式、部署方式、运维形式发生调整变化后,政务部门的数据安全主体责任不变。并对政务数据分类分级管理、政务数据出境、监督检查制度以及政务部门和工作人员的安全责任等提出了相应要求。
《办法》自2023年7月1日起施行,有效期两年。
http://www.shanxi.gov.cn/jrtt/202306/t20230606_8690160.shtml
2、习近平主持召开二十届中央国家安全委员会第一次会议
近日,习近平主席主持召开中央国家安全委员会第一次会议,强调要全面贯彻党的二十大精神,加快推进国家安全体系和能力现代化,确保新发展格局下的安全,开创国家安全工作新局面。会议指出,国家安全形势复杂严峻,要树立战略自信,加强实战导向和协同高效,推进国家安全现代化。会议强调,国家安全工作要贯彻落实党的二十大决策部署,切实做好维护政治安全、提升网络数据人工智能安全治理水平、加快建设国家安全风险监测预警体系、推进国家安全法治建设、加强国家安全教育等方面工作。会议还通过了加快建设国家安全风险监测预警体系和加强国家安全教育的意见。
https://www.gov.cn/govweb/yaowen/liebiao/202305/content_6883803.htm
3、国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》
为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
4、19项网络安全国家标准获批发布
根据2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第2号),全国信息安全标准化技术委员会归口的19项网络安全国家标准正式发布。具体清单如下:
https://www.tc260.org.cn/front/postDetail.html?id=20230531114357
5、关于征求《四川省企业首席数据官制度建设指南(试行)(征求意见稿)
5月30日,四川省经济和信息化厅网站发布《关于征求<四川省企业首席数据官制度建设指南(试行)(征求意见稿)>意见的公告》。
《建设指南》指出,企业作为数据生产、流通和使用的重要参与方,拥有海量数据资源,具备广泛数据应用需求。建立企业首席数据官(以下简称“CDO”)制度,设置企业首席数据官岗位,是增强企业发展新动能的关键所在,同时也是推动数字经济和实体经济融合发展的重要举措。企业首席数据官是指企业从事数据生产、治理、交易和使用等管理工作的高层管理者。CDO主要负责组织数据全生命周期管理,统筹建设以数据为核心的数字化支撑体系和安全保障体系,协调开展数据产品内部需求分析和外部市场选购等全面推进内外部数据产品在企业经营全领域的综合应用,将数据要素隐性价值充分转化为企业降本增效的显性价值。
https://sme-s.com/page240?article_id=7390&pagenum=1
数据安全事件
1、江西某公司疑遭黑客攻击,当地网信办依据数据安全法处以50万罚款
2023年4月13日,接上级网信部门通报,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。当日,南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。经过现场勘验、抽样取证、远程勘验(样本技术分析)、笔录问询等程序,查明:①该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;②该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。2023年5月30日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。
https://mp.weixin.qq.com/s/aPJDoJEJ8XcoZC0R1gSpSA
2、美国发射首颗靶场卫星,将举办首场真实环境太空黑客大赛
安全内参6月7日消息,今年的DEF CON安全大会将组织Hack-A-Sat(黑掉卫星)比赛,研究人员首次有机会测试在轨卫星的安全性。当地时间5月5日11点47分,美国佛罗里达州肯尼迪航天中心,SpaceX和NASA首次发射了一颗供黑客攻击的卫星,并将其送入近地轨道。SpaceX在为国际空间站执行补给任务的火箭上捆绑了几颗名为“立方卫星”的小方形卫星。其中一颗立方卫星名叫Moonligher,将用作实验性的“黑客沙盒”。今年晚些时候,安全研究人员将在拉斯维加斯举行的年度DEF CON黑客大会上使用这个沙盒进行竞赛。参赛团队将尝试渗透该卫星,发现卫星中的漏洞,从而改进太空网络安全。
https://mp.weixin.qq.com/s/ljXOgEhA7jVSfrDPUtraeg
3、日本政府针对OpenAI发布个人信息处理和使用指南
6月2日,日本个人信息保护委员会(PPC)宣布根据《个人信息保护法》(APPI)向ChatGPT开发商OpenAI发布行政指南。
这份有关处理和使用个人信息目的的指南规定,ChatGPT不得在未经事先同意的情况下从用户和非用户处获取需要特别注意的个人信息。同时,必须使用日语告知或公开个人信息的使用目的。
此外,PPC计划继续密切关注生成式人工智能服务的开发和使用,确保个人信息的妥善处理以及个人权益的保护。在这方面,PPC指出个人信息处理应当是实现特定目的所必需,并强调事先获得此类处理的同意的重要性。
https://mp.weixin.qq.com/s/bmGpRtQpZElaHmeHnNo7fQ
4、法国海外省疑遭勒索软件攻击,政务网络已瘫痪数周
安全内参6月6日消息,位于中美洲加勒比海的马提尼克岛遭到网络攻击,致使互联网访问与其他基础设施中断数周,目前仍在着手应对。马提尼克岛人口约36万,隶属于法国,是欧盟最外围的地区。
https://mp.weixin.qq.com/s/UAa6QF2QjMkn7MUAXEe6vg
5、为实现零信任,美国联邦政府三年采购超34亿元网络安全产品 (附支出分析)
Deltek研究报告显示,近三个财年美国联邦政府为落实零信任相关要求,共计采购了约4.83亿美元(折合人民币34.3亿元)的网络安全产品,其中身份与访问管理产品成为最主要支出类别。
https://mp.weixin.qq.com/s/035_Qia_dYlVWMcUmRbUVw
技术、产品与市场
1、公共数据安全分级管理省级标准化试点落户泰州
日前,省市场监管局、省发改委下达2023年江苏省战略性新兴产业和服务业标准化试点项目通知,由市市场监管局推荐,市大数据管理局牵头联合市标准化院、泰州城发数字科技有限公司申报的公共数据安全分级管理省级标准化试点项目获批,系全省唯一。
近年来,泰州作为江苏省公共数据分类分级试点设区市,高度重视公共数据安全分级管理工作,市大数据管理局通过DSMM数据安全能力成熟度三级认证。
据了解,市大数据管理局、市标准化院接连入选全国标准化支撑政府数字化转型典型案例50强,市大数据管理局、市市场监管局制定发布《政务数据安全分级分类》《政务数据共享与开放安全管理规范》《政务数据安全风险评估规范》《泰州市综合人口库数据元规范》等地方标准。
http://jsnews.jschina.com.cn/tz/a/202306/t20230607_3227902.shtml
2、专家共话未成年人数据安全,小天才电话手表成守护孩子典范!
为孩子们营造一个安全的环境,是全社会的共同责任和心愿。随着未成年人触网率不断增加,保护未成年人数据安全,守护未成年人健康环境面临前所未有的挑战。
为推进未成年人数据保护工作的研究与探索,在“六一”国际儿童节到来之际,人民数据研究院统筹完成《我国未成年人数据保护蓝皮书(2023)》初稿(以下简称《蓝皮书》),《蓝皮书》针对未成年人个人信息安全、隐私数据内容安全等网络生态治理问题,对互联网背景下我国未成年人数据保护机制完善提出建议,对未成年人数据保护的挑战、举措进行分析论证,以期对未成年人数据保护工作的进一步开展提供参考。
《蓝皮书》认为,目前我国未成年人数据保护机制取得了一定的成效,但是也尚存一些不足,主要体现在未成年人数据保护的相关监管细则尚未清晰,未成年人身份识别、监护人同意机制等隐私数据保护难题仍未完全解决,未成年人内容安全保护的分级标准不够明晰等。
http://cn.chinadaily.com.cn/a/202306/06/WS647ee7f2a310dbde06d2228b.html
3、【公示】上海市经济信息化委2023年网络和数据安全支撑单位名单公示
根据《上海市经济信息化委关于遴选2023年网络和数据安全支撑单位的通知》,经自主申报、资料审查、专家评审等环节,拟选取34家单位作为上海市经济信息化委2023年网络和数据安全支撑单位。
https://www.jfdaily.com/sgh/detail?id=1045929
4、2023数博会“数据二十条”安全产业发展论坛成功举办
5月25日下午,2023数博会“数据二十条”安全产业发展论坛在贵阳国际生态会议中心成功举办。
本次论坛由中国国际大数据产业博览会组委会主办,中国网络空间安全协会、全国工商联大数据运维(网络安全)委员会、大数据协同安全技术国家工程研究中心、贵州大数据安全工程研究中心承办,新安盟数据安全专委会、中关村网络安全与信息化产业联盟、贵阳大数据交易所、《信息安全研究》杂志社、大数据安全工程研究中心(贵州)有限公司、万象未来大数据安全技术研究(北京)有限公司协办。
https://baijiahao.baidu.com/s?id=1766944966354294946&wfr=spider&for=pc
业界观点
1、专家观点 | 未成年人网络违法犯罪治理应注意的事项及完善建议
近年来,我国未成年人网络违法犯罪数量呈上升态势。最高人民检察院发布的数据显示,2018年至2022年,检察机关起诉未成年人利用网络实施犯罪的人数由1127人上升至3225人,年均上升8.9%。2021年起诉未成年人帮助信息网络犯罪活动罪911人,是2020年的7倍,起诉未成年人涉嫌利用电信网络犯罪3555人,较2020年同比增长21.25%。未成年人网络违法犯罪既包括未成年人直接实施的违法犯罪行为,如参与网络赌博,非法持有、传播、宣扬色情、恐怖主义的视频,也包括帮助信息网络犯罪活动罪(以下简称帮信罪)。2015年,《中华人民共和国刑法修正案(九)》增设帮信罪,主要惩治行为人明知他人利用信息网络实施犯罪,而为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助的行为。2020年10月以来,国家部署源头打击治理电信网络新型违法犯罪,惩戒治理非法买卖电话卡银行卡违法犯罪活动,一些犯罪团伙或成年犯罪嫌疑人为逃避打击,引诱未成年人实施帮信罪,这值得重视。少年强则国强,少年进步则国进步。未成年人网络违法犯罪问题需要全社会关注。因此,亟待完善我国治理未成年人网络违法犯罪的法律规范,加强法治教育,让未成年人知晓法律红线、底线,建设有益于未成年人身心健康的网络环境,建立未成年人网络保护工作社会支持体系。
https://mp.weixin.qq.com/s/9ku8lclJqAoLTTonbRvsZA
2、专家解读 | 牛路宏:全面加强检测认证能力建设 有力保障商用密码应用与发展
商用密码检测认证体系是维护国家安全和社会稳定,规范商用密码市场秩序,促进商用密码产业健康发展的有力保障。《中华人民共和国密码法》(以下简称《密码法》)明确提出国家推进商用密码检测认证体系建设,新修订的《商用密码管理条例》(以下简称《条例》)细化落实立法精神,明确实行国家统一推行的商用密码产品、服务、管理体系认证。这是基于商用密码发展成果、管理经验之上的重要制度安排,充分体现了新时代新形势下对安全与发展、公平与效率等方面的多维统筹。
https://mp.weixin.qq.com/s/D2Xa38pi3FHrc9sLDPhWww
3、专家观点 | 当前我国数据安全工作面临的形势与任务
数据安全已成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻,维护数据安全的责任重大。将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。当前,我国已初步完成数据安全顶层设计,基本建立政策法规体系。要通过探索党管数据体制机制,引领平台监管正确方向,创新数据安全执法手段,将数据要素开发利用工作与数据安全基本制度紧密结合等方式,进一步加强数据安全相关工作。
http://www.rmlt.com.cn/2023/0601/674635.shtml
