政策形势
1、河北省政府正式印发《河北省人民政府关于加强数字政府建设的实施意见》
为贯彻落实《国务院关于加强数字政府建设的指导意见》精神,创新政府治理理念和方式,形成数字治理新格局,推进国家治理体系和治理能力现代化,结合我省实际,省政府日前正式印发《河北省人民政府关于加强数字政府建设的实施意见》。
实施意见的出台是全面启动我省数字政府建设的信号。实施意见提出,将数字技术广泛应用于政府科学决策和管理服务,构建数字化、智能化的政府运行新形态,以数字政府建设引领数字河北高质量发展,为加快建设经济强省、美丽河北提供有力支撑。实施意见明确提出5项重点任务。
聚焦7个方面,全面提升政府数字化履职效能
实施意见要求,全面提升政府数字化履职效能,聚焦政府经济调节、市场监管、社会管理、公共服务、生态环境保护以及政务运行、政务公开等7个方面,分类建设完善数据库及业务平台,为政府科学决策、有效治理、精准服务提供有力支撑。
https://house.cnr.cn/20230629/t20230629_526307625.shtml
2、浙江省互联网信息办公室发布《浙江省个人信息出境标准合同备案指引》
《个人信息出境标准合同办法》自2023年6月1日起施行,根据《个人信息出境标准合同办法》和国家互联网信息办公室发布的《个人信息出境标准合同备案指南(第一版)》要求,为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,浙江省互联网信息办公室编制了《浙江省个人信息出境标准合同备案指引》,并开通个人信息出境标准合同备案咨询电话。
(一)适用主体。所在地为浙江省的个人信息处理者。
(二)适用情形。个人信息处理者通过订立标准合同的方式向境外提供个人信息的,同时符合下列情形的,应当向浙江省互联网信息办公室 (以下简称“省网信办”) 备案标准合同:
1.非关键信息基础设施运营者;
2.处理个人信息不满100万人的;
3.自上年1月1日起累计向境外提供个人信息不满10万人的;
4.自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
https://mp.weixin.qq.com/s/W6IMepKUuNtUXvyZzPDNBQ
3、山东省网信办开通个人信息出境标准合同备案通道
《个人信息出境标准合同办法》自2023年6月1日起正式施行,根据《个人信息出境标准合同办法》和国家互联网信息办公室发布的《个人信息出境标准合同备案指南(第一版)》要求,我省个人信息处理者通过订立标准合同的方式向境外提供个人信息,应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式向山东省互联网信息办公室备案。
为指导和帮助全省个人信息处理者规范、有序备案个人信息出境标准合同,山东省互联网信息办公室开通个人信息出境标准合同备案通道。
咨询电话:0531-51773249(工作日上午9:30-11:30,下午14:00-17:00,来电时请明确告知备案主体基本信息)
https://baijiahao.baidu.com/s?id=1768667458665711922&wfr=spider&for=pc
4、北京市通过首家企业个人信息出境标准合同备案
近日,北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过市网信办组织的备案审核,备案号为“京合同备202300001”,成为首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案制度在北京率先落地。同时,该项目首次实现了北京市与香港特别行政区间征信数据的合规出境,为京港两地个人信用风险管理及评价机制的一体化进程提供了有力支撑,也为香港特别行政区持牌金融机构增添了全新的跨境服务创新驱动力。
https://baijiahao.baidu.com/s?id=1769762382319555199&wfr=spider&for=pc
5、美国伊利诺伊州保险数据安全法案将生效
中新社纽约1月2日电 据美国媒体报道,当地时间1月1日,美国中部伊利诺伊州超过180多项新法律生效,其中涉及非法入侵、被告逃跑、毒品犯罪等内容的规定引发广泛担忧。
美国广播公司旗下ABC7电视台报道称,这些在2023年生效的法律涵盖了影响伊利诺伊州民众生活的一系列问题,包括最低工资、汽油税、反歧视、家庭暴力、女性医疗、学生援助、枪支安全、车辆登记等。不过,其中一项名为“今日安全、问责、公平与公正(SAFE-T)”的法律,部分内容被认为具有“极大的争议性和危险性”。
根据这项法律,伊利诺伊州从1月1日起正式将非法入侵从A级轻罪降至B级,这意味着,该州警方将无法逮捕非暴力入侵者,而只能向他们发出传票。此外,被警方限制行动或处于电子监控下的被告,只有在离开规定地点超过48小时才会被视为逃跑。新法还规定,若不涉及枪支或高级别毒品,毒品走私者、贩运者和分销商不会被拘留。
https://baijiahao.baidu.com/s?id=1753980764083009944&wfr=spider&for=pc
数据安全事件
1、OpenAI被指控偷窃数据?数据安全成大模型产品“阿克琉斯之踵”
“尽管制定了购买和使用个人信息的协议,但被告采取了不同的方法:窃取。”近日,一批匿名人士以此为理由,向OpenAI,以及其投资方之一的微软公司发起集体诉讼。
起诉书称,OpenAI从互联网上窃取了3000亿个单词,它们来自“书籍、文章、网站和帖子——包括未经同意获得的个人信息”。
目前这些指控仍是一面之词。不过,这已经不是这家公司第一次陷入数据安全、个人信息泄露相关的指控了。
“OpenAI是否按照其隐私政策合法合理地收集并利用用户个人信息,以及是否有效识别并剔除其训练数据来源中‘偶然’包含的个人信息。可能是该起诉讼的争议焦点所在。”北京大成律师事务所高级合伙人邓志松表示。
以大模型原理构建的生成式人工智能产品,是算力与数据加持下的“暴力美学”,数据是门槛,语料库海量数据存在高度的数据合规风险。拥有1亿用户、数十亿访问量的ChatGPT因为“树大”其问题首当其冲,但以数据为基石的大模型,数据安全问题正变得越来越重要,甚至可能成为产品的“阿克琉斯之踵”。
https://finance.eastmoney.com/a/202306302765621783.html
2、厦门一公司系统被攻击,超百万条用户信息泄露且遭黑产滥用
黑客团伙攻击厦门一科技公司系统,非法获取公民个人信息百万余条并出售,非法获利约40万元。
近期,厦门市公安局网安支队联合思明分局横跨4省市,成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙,破获某公司被侵犯公民个人信息案,抓获犯罪嫌疑人7名,查获非法获取的公民个人信息100万余条。
https://www.secrss.com/articles/55915
3、大量飞行员敏感数据泄露,全球最大航空公司遭遇供应链攻击
6月24日消息,全球最大的两家航空公司美国航空和西南航空周五披露了因 Pilot Credentials 遭到黑客攻击而导致的数据泄露事件。Pilot Credentials 是一家管理多家航空公司飞行员申请和招聘门户的第三方供应商。
据报道,一名未经授权的个人于4月30日访问了飞行员证书系统,并窃取了包含某些申请人在飞行员和学员招聘过程中提供的信息的文件。两家航空公司均于5月3日获悉该泄露事件,并表示该事件影响范围仅限于第三方供应商的系统,不会对航空公司自己的网络或系统造成损害。
根据周五向缅因州总检察长办公室提交的泄露通知,美国航空表示,该数据泄露事件影响了5745 名飞行员和申请者,而西南航空报告称,总共有 3009 名飞行员和申请者受到影响,泄露数据包括姓名、社会安全号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码等。
https://www.ithome.com/0/702/174.htm
4、PBI数据泄露涉及Genworth和CalPERS数百万客户的信息
6月23日,据报道,第三方供应商PBI Research Services的数据泄露事件影响了其三个合作公司的约475万客户。
这些攻击始于5月27日,当时Clop团伙开始利用MOVEit Transfer漏洞窃取组织的数据。第一家受影响组织是位于弗吉尼亚州的人寿保险服务提供商Genworth Financial,据估计影响了250至270万人。第二家受到PBI泄露影响的是位于纽约的保险提供商Wilton Reassurance,涉及1482490名客户。受到影响的第三家公司是美国最大的公共养老基金CalPERS(加州公共雇员退休系统),影响了约769000名会员。
http://www.ayoueryi.com/news/show-75363.html
5、衡阳一医院数据保护不力造成泄露,当地网信办开出6.2万元罚单
近日,衡南县网信办在省、市网信办的指导下,对违反《数据安全法》的相关单位及责任人作出行政处罚。据悉,这是衡阳市县级网信部门开出的首张“罚单”,也是衡阳网信部门在数据安全领域开出的首张“罚单”。经查,衡南县某医院未履行数据安全保护义务,造成部分数据泄露,违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。
https://mp.weixin.qq.com/s/N72rJOfpOLNaDxZf8rU3sw
技术、产品与市场
1、首届海南数据安全生态大会召开
6月28日,首届海南数据安全生态大会在海南省澄迈县举办。本次大会以“促进数据要素安全有序流动 赋能海南自贸港高质量发展”为主题,由海南省工业和信息化厅、海南省通信管理局指导,澄迈县人民政府、国家工业信息安全发展研究中心主办。
国家工业信息安全发展研究中心蒋艳说,当前,数据已经成为重要的生产要素,成为推动经济发展、质量变革、效率变革、动力变革的新引擎。国家工业信息安全发展研究中心将做实做深工业领域网络与数据安全能力现代化建设,在智库支撑、能力建设、产业生态等方面不断完善,持续打造技术先进、链条完整的综合安全保障体系。
海南省工业和信息化厅副厅长闫肃表示,长期以来,海南省工信厅在工业领域数据安全管理体系,工业数据安全合规构建、安全防控、产品推广,以及数据出境评估技术能力建设方面进行了有力探索和尝试。下一步,海南省工信厅将进一步建立工作联动机制,不断提升工业及相关领域数字安全管理能力;着力发展数字安全产业,探索建立具有海南自贸港特色的数字安全产业园区和先进示范区,筑牢数字安全底板,稳步推进海南国际数字经济发展。
https://m.gmw.cn/2023-06/29/content_1303422465.htm
2、数据安全存风险 金融监管总局为科技外包划红线
科技外包为保险等金融机构提升服务能力的同时,其所带来的运用风险也不容小觑。6月28日,北京商报记者从业内获悉,国家金融监督管理总局近日发布《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》),其中,保险机构对数字生态场景合作情况底数不清、对外包服务商的准入控制不严、对外包服务的应急管理机制不健全等问题被摆上台面。
在业内人士看来,保险机构需要根据《通知》指出的问题进行一次全面排查和整改,举一反三。从行业角度出发,在提升数字化水平的同时,还需要围绕产业发展共性需求,加强数据安全服务供给。
http://www.jwview.com/jingwei/html/06-29/546766.shtml
3、部省协同为江苏电信和互联网行业数据安全把脉护航
6月27日下午,由江苏省通信管理局主办的2023江苏省电信和互联网行业“数安护航” 专项行动推进会暨政策宣贯培训会圆满结束。
“数安护航”行动是江苏省通信管理局根据《数据安全法》《数字中国建设整体布局规划》《工业和信息化领域数据安全管理办法(试行)》等法律法规和文件精神,结合本省电信和互联网行业数据安全和发展实际,组织开展的电信和互联网行业数据安全专项行动。本次行动包含建立数据安全责任人机制、开展重要数据和核心数据识别认定及备案、开展数据安全评估管理、开展数据安全监测预警与通报处置、加强数据全生命周期安全管理、加强数据安全能力建设和能力培养等重点任务。
“数安护航”相关工作已于4月12日启动,自查整改阶段于6月底结束。专项检查工作将于7月正式开始,为准确把脉,科学护航,本次检查工作突出部省协同,在工信部网安局的支持和指导下,邀请了中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、中国工业互联网研究院4家权威机构和本省江苏电子信息产品质量监督检验研究院、紫金通信网络安全工程研究中心2家检测机构以及近20家数据安全技术支撑单位,统一检查标准和方法、流程,采用远程和现场检查结合的方式,用一个月的时间对省内约600家企业开展检查,旨在强化企业数据安全风险治理责任,科学有序提升本省电信和互联网行业数据安全防护水平,促进行业数据高效合规流通和利用,切实保障个人、组织合法权益,护航江苏省数字经济安全、繁荣发展。
https://jsca.miit.gov.cn/xwdt/gzdt/art/2023/art_bf2b9ceccfc944a28c20cab8167da613.html
4、中国信通院发布《2023大数据十大关键词》
6月26日至28日,由中国信息通信研究院、中国通信标准化协会主办,中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)承办的2023大数据产业发展大会在京召开,中国信通院云大所所长何宝宏在大会主论坛上发布《2023大数据十大关键词》。
何宝宏指出,数据从计算机语言到成为生产要素的全生命周期包括七个环节,数据资源化、数据治理、数据资产化、数据开发应用、数据流通、数据要素市场建设、数据安全。而今年的十大关键词中有四项分布于数据开发应用环节,两项分布于数据要素市场环节,两项分布于数据安全环节,体现出了今年发展的重点在于数据的业务赋能与内外部融通,以及继续夯实安全基础。
《2023大数据十大关键词》如下:
关键词一:湖仓一体,数据平台发展进入融合一体化新阶段
关键词二:数据资产化,产学研齐推进,关键环节有望突破
关键词三:DataOps,标准引领,国内DataOps已进入规模落地阶段
关键词四:数据服务,服务体系建设成为数据中台发展规划的重点
关键词五:智能增强分析,数据分析的智能化升级
关键词六:数据伦理,国家数字经济治理体系重要组成部分
关键词七:数据基础制度,破解数据要素价值释放难题
关键词八:公共数据授权运营,全国各地广泛开展,走向规模化与规范化
关键词九:数据安全风险评估,数据安全治理的重要抓手
关键词十:数据出境,三条路径从理论走向实践
https://www.fromgeek.com/telecom/588174.html
5、IDC 2022年中国工控安全审计市场份额报告正式发布
近年来,工业领域安全事件的不断频发、数字化转型大背景下IT与OT融合的持续加深,政策监管力度的不断增强都在驱动着中国工控安全市场的发展。其中,除了传统的网络安全技术外,工控防火墙、工控网闸、工控安全审计、工控安全管理平台等产品均迎来了市场的快速发展期。IDC最新发布的《全球OT安全预测,2022-2026》报告显示,到2026年,全球工控安全市场规模将达到67.6亿美元,年复合增长率将达到28.4%。
面对不断增长和变化的客户需求,IDC 给出如下建议,帮助技术提供商赢得市场:
工控安全审计产品的云化、虚拟化形态将快速发展来适应不断变化的用户需求。
工控安全审计将向智能化、自动化、可视化、协同化等方向发展:首先,除白名单的自学习外,审计产品的智能化、自动化可以帮助用户解决日志分析、日志管理的痛点。与此同时,审计的结果呈现至关重要,审计内容、报表的精细化、可视化对于最终用户具有重要价值。最后,审计产品需要和众多其他安全产品以及第三方平台、客户自有系统、平台的对接,从而进行统一管理。
行业化解决方案将帮助厂商和用户实现双赢:面对市场,聚焦优势行业,推出适应行业要求的行业款型和解决方案对于技术提供商提高市场覆盖率具有关键作用,行业款型也可以更好地满足用户的场景化需求,从而实现用户与厂商的双赢。
https://mp.weixin.qq.com/s/64uA5b3bNj6xLw5C-SYnug
业界观点
1、专家观点| 谈剑锋:在AI应用爆发之前应设好红线|数新风
第十三届全国政协委员,第五空间信息科技研究院院长谈剑锋认为,规范AI大模型的发展,法律是底线。面对新技术的爆发式发展,我们应该提前设定好红线,才能更好的防范安全风险。(链接内有视频)
https://www.yicai.com/video/101793595.html
2、专家观点| 筑牢数字安全屏障
今年2月,中共中央、国务院印发《数字中国建设整体布局规划》,提出“筑牢可信可控的数字安全屏障”。
数据显示,2022年,我国数字经济规模达到50.2万亿元,总量稳居世界第二。数字经济蓬勃发展的同时,数字安全问题不容小觑。非法获取个人信息、网络诈骗等违法犯罪活动,侵害个人财产和隐私安全;网络攻击、网络窃密等行为,给社会治理、国家安全带来挑战。
专家介绍,数字安全是指保护计算机系统、网络及其数据的机密性、完整性和可用性,以及防止未经授权的访问、窃取、破坏、篡改和泄露。数字安全涵盖了多个方面,包括计算机安全、网络安全、移动设备安全、数据安全等等。科学平衡数据安全保护和数据有序流动之间的关系,是发展数字经济的重要前提。
中国发展研究基金会副理事长刘世锦认为,把握好数字经济发展和数字安全的关系,应坚持“用”字当头。“既要重视数据产权保护不力、数据不安全等问题,也要坚持用足用好各类数据资源,在数据产权保护和安全上守住底线。”刘世锦说。
数据是一种新型生产要素,具有非竞争性、无限供给、易复制、边际成本极低等属性。在中国工程院院士方滨兴看来,当前,数据使用权和所有权分离、数据可用不可见、数据不动程序动、分享价值不分享数据等新的数据安全理念,有助于破解数据要素流动与隐私保护之间的矛盾。
方滨兴说,以可信计算为例,“数据不动程序动”指的是把数据集中在固定的可信计算平台上,在对数据进行价值“挖掘”时,在可信计算平台上运行程序,最终只能将结果带走,个人数据等仍存留在平台上。数据使用权交易时则强调“可用不可见”——数据共享汇聚到可信计算平台后再进行数据交易,平台交易的是数据使用权,而不是所有权。
https://baijiahao.baidu.com/s?id=1769081959543118619&wfr=spider&for=pc
3、专家观点| 阙天舒:全球数据安全治理的趋势与困境
进入数字时代以来,数据安全风险的危害性和外溢性已对政治、科技、经济和社会等多个领域产生了负面影响,全球数据安全治理议题的重要性和紧迫性不断上升,亟须对此加以深入研究和科学应对。
全球数据安全治理的新变化
在数字时代,实现数据价值的最大化往往依赖于大量多样性数据的汇聚、流动、处理和分析活动,而这种流动性的数据密集型活动所涉要素中的治理主体、方式、内容、目标等正在重构,全球数据安全治理正在形成新的特点。
第一,从被动到主动:安全治理的理念转换。
第二,从单一到多元:治理主体的行为重塑。
第三,从静态到动态:治理目标的平衡发展。
第四,从竞争到竞合:治理方式的秩序呈现。
全球数据安全治理的新挑战
第一,数据技术的快速发展、数据增量的累加增加了达成全球数据安全治理共识的难度。
第二,多元数据主体治理诉求差异增加了全球数据安全治理体系建设的难度。
第三,治理制度供给不足与制度规则间的异质性增加了全球数据安全治理机制构建的难度。
https://m.gmw.cn/baijia/2022-10/13/36084106.html
4、专家观点| 徐展:加强数字安全免疫力,促进数字化时代韧性发展
6月17日,第三届数字安全大会在北京召开。腾讯安全数据安全商业化总监徐展以《加强数字安全免疫力,促进数字化时代韧性发展》为主题分享,指出数据安全已成为企业发展的关键。面临的挑战包括:数据安全建设滞后于数字化进程;数据隐私和合规压力增加;企业的暗数据增多,导致数据泄露;新的数据威胁,如API泄露,身份攻击和勒索攻击;以及企业对数据泄露的反应迟缓。
为应对这些挑战,徐展表示腾讯安全提出一个数据安全免疫力框架,包括四个方面:
一、数据默认安全:将数据安全和整体安全建设视为一体,从业务建设初期就考虑数据全生命周期的安全防护。
二、数据看得见:能看到并跟踪数据在企业内部的流转,给数据打上标签,使其流向可追踪。
三、数据保护、防御能力:构建能管控风险并能处置的数据安全体系。
四、数据安全智能化运营,风险闭环:通过DataSecOps数据安全运营体系,做风险闭环,做持续的检查、核查,不断完善风险能力。
根据不同的业务场景,采取相应的安全免疫力建设方式,包括数据防泄漏、加密、零信任、数据分类识别、脱敏等策略。同时,也要建立数据治理的框架,对数据安全进行评估和风险排查,贯穿数据安全建设的每一个流程,并保证数据安全建设的方法的有效性。
https://www.sohu.com/a/687924988_121035526
