政策形势
1、关于国家标准《信息安全技术 重要数据处理安全要求》征求意见稿征求意见的通知
8月25日,全国信息安全标准化技术委员会秘书处发布关于国家标准《信息安全技术 重要数据处理安全要求》征求意见稿征求意见的通知。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
本标准旨在指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关要求。编制组首先对两方面问题做了把握,这决定了标准的定位与标准内容边界。
以下为标准编制原则:
一是明确与基础性网络安全要求的区别。编制组从四个方面理解数据安全的内涵:1、环境安全(网络与系统的安全)2、资产安全(数据自身的安全)3、行为安全(数据处理活动的合规性)4、生产要素安全(解决确权、开发利用、运营等问题)
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230825215527429474&norm_id=20221102143953&recode_id=52804
2、关于国家标准《信息安全技术 数据交易服务安全要求》征求意见稿征求意见的通知
为了进一步规范数据交易服务行业,为数据交易服务机构提供标准化管理依据,促进行业健康发展,国家标准化管理委员会于2023年下达针对《信息安全技术 数据交易服务安全要求》国家标准的修订项目。
修订项目由中国电子技术标准化研究院牵头组织标准修订,上海数据交易所、北京国际数据交易所、浙江大数据交易中心、中国网络空间安全研究院、蚂蚁科技集团股份有限公司等40 多家单位共同参与了该标准的起草编制工作。
本次《征求意见稿》旨在对数据交易所涉及的各方面的安全要求进行全面规范,包括交易参与方、交易平台、交易标的、交易过程,以保障数据交易的安全,以及数据在流通过程中的国家安全、社会安全和个人隐私安全。
本次《征求意见稿》在数据交易标的方面新增了有关交易数据分类分级保护的安全要求。
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=2023082521552739858&norm_id=20221102144231&recode_id=52802
3、欧盟《数字服务法》正式生效,确保用户的在线安全!
据法国政府网8月25日消息,欧盟《数字服务法》日前正式生效。《数字服务法》由欧盟27个成员国商讨制定,将确保用户的在线安全,阻止非法或违反平台服务条款的有害内容的传播,保护用户隐私和言论自由等基本权利。该法案规定“超大型在线平台”(标准是每月活跃用户需超过4500万)需严格执行其要求。具体要求涉及:建立违法内容举报制度、加强与司法机构合作、暂停发布违法内容、停止针对未成年人的广告等8个方面。若平台不合规,将面临高达改平台企业全球营业额6%的罚款。最后,若平台再次被发现不合格,可能会被关闭欧洲区服务。截至目前,共19个互联网平台被列为此类,其中包括YouTube、Instagram、Amazon、Google等。
https://baike.baidu.com/item/%E6%95%B0%E5%AD%97%E6%9C%8D%E5%8A%A1%E6%B3%95/59958548?fr=ge_ala
数据安全事件
1、杭州马拉松报名系统泄露个人信息暂停报名!工作人员:已恢复
2023年8月28日,杭州马拉松官网报名页面崩溃,显示大量报名者的个人信息,包括真实姓名、手机号码、身份证号等等。8月28日,杭州马拉松官网已紧急关闭报名入口,暂停报名。
报名杭州马拉松的冯先生表示,他在官网登录自己的账号报名,却跳出来另一位参赛者刘先生的个人信息,包括姓名、身份证号、性别、出生日期、服装尺码等等。
另有网友也在社交媒体表示,登录自己的账号查询是否成功报名,却显示了他人信息,包括姓名、身份证号、家庭住址、手机号等。
https://finance.eastmoney.com/a/202308292828823716.html
2、江苏某医院因未对个人信息进行加密和去标识化被责令限期改正并警告!
近日,江苏公安执法公示平台公开了一份由江苏省镇江市公安局京口分局开具的行政处罚决定书(下称“决定书”),江苏大学医院因挂号系统通过网页代码可直接查看患者信息等被责令限期改正并警告!
镇江市公安局京口分局网安大队在工作中发现江苏大学附属医院的挂号系统,在使用支付宝登录使用自费挂号功能时,通过网页代码可以直接查看实名认证的姓名、身份证号码等个人信息,未对个人信息进行加密和去标识化。
以上事实有嫌疑单位代表人邱越的询问笔录,电子数据侦查实验笔录和视听资料等证据证实。
根据《中华人民共和国网络安全法》第六十四条之规定,现决定对江苏大学附属医院责令限期改正并处警告。
https://mp.weixin.qq.com/s/2zyDOdBfhxszUrt1yg5dNQ
3、南昌某高校网络疑遭黑客远控并滥用,当地网信办罚款5万元
8月21日,接上级网信部门通报,南昌属地某高校所属IP疑似被黑客远程控制,并频繁对外发起网络攻击。
经过立案调查、现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明:1.该高校未履行网络安全保护义务,未对运营的网络及信息系统开展网络安全等级保护测评等相关工作;2.该高校的防火墙配置策略存在缺陷,办公区域与服务器区域之间未作划分隔离,导致设备在感染了新型计算机病毒后横向传播,致使多台服务器和终端中毒;3.该高校未及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,所属网络持续对内对外发起大规模网络攻击,导致产生危害网络安全的后果。该高校的相关行为违反了《中华人民共和国网络安全法》第二十一条、第二十五条的规定。
南昌市网信办依据《中华人民共和国网络安全法》第五十九条的规定,对该高校作出罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
https://www.secrss.com/articles/58316
4、美国NSC曝数据泄露,涉及特斯拉、FBI等2000家企业和组织
NSC 是美国的一个非营利组织,提供工作和驾驶安全方面的培训。在其数字平台上,NSC 为不同企业、机构近 5.5 万名会员提供在线资源,这些企业、机构可能在该平台上持有帐户,以获取培训材料或参加国家安全委员会组织的活动。
这一长串暴露的凭证涉及多家知名企业或机构,包括:
化石燃料巨头:壳牌、BP、埃克森、雪佛龙
电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD
航空航天公司:波音公司、联邦航空管理局 (FAA)
制药公司:辉瑞、礼来
汽车制造商:福特、丰田、大众、通用汽车、劳斯莱斯、特斯拉
政府实体:司法部 (DoJ)、美国海军、FBI、五角大楼、NASA、职业安全与健康管理局 (OSHA)
互联网服务提供商:Verizon、Cingular、沃达丰、ATT、Sprint、康卡斯特
其他:亚马逊、家得宝、霍尼韦尔、可口可乐、UPS
该漏洞不仅对 NSC 系统造成风险,也对使用 NSC 服务的公司造成风险。暴露的凭证可能被用于撞库攻击,这种攻击试图登录公司的VPN 门户、人力资源管理平台或公司电子邮件。
此外,这些凭证还可以用于获得对公司网络的初始访问权限,以部署勒索软件、窃取或破坏内部文档、访问用户数据。
http://www.hackdig.com/08/hack-1084759.htm
技术、产品与市场
1、美国公司将在日本投资8.5亿美元建设数据中心
据《日经亚洲》8月26日消息,美国投资公司亚太置地(APL)将投资1250亿日元(约8.54亿美元)在日本北九州建设一个数据中心,计划四年内开工。该数据中心将使用120兆瓦的电力,将是日本九州岛最大的电力消费者之一。据悉,该计划已提交北九州市议会,提案要求出售市政土地建设数据中心。APL表示,选择北九州建立数据中心是因为它靠近海底通信电缆上岸的地方,而且该地区的可再生能源潜力巨大。APL已投资了商业和可再生能源相关设施,这项新投资是其对数据中心的首次投资。
https://laoyaoba.com/n/874577
2、数据安全问题涌现 B站美团拼多多米哈游等20家企业共同签署这份倡议
9月1日,我国《数据安全法》施行两周年之际,2023“浦江护航”上海电信和互联网数据安全论坛暨AIGC数据安全治理论坛在杨浦区举办。《杨浦区数字新赛道三年实施方案(2023—2025年)》发布,提出部署数字创新强基、数字产业培优、数字场景点亮、数字地标打造四大任务,开展19项行动,提出要把发展数字经济、布局新赛道作为新一轮科技革命和产业变革新机遇下的战略性选择。
中国互联网协会副理事长黄澄清认为,数据安全关乎国家安全,全民数据安全意识和素养也被认为是推进数字中国高质量建设的基础条件。当前,生成式人工智能正在引发新一轮智能化浪潮,而人工智能等技术既是数字安全防御的重点,也是保障数字安全的有力手段。
会上启动了2023上海电信和互联网行业年度优秀首席数据官评选活动。评选统筹创新发展和安全合规,以战略思维与规划能力、领导力与执行能力、对数据的深刻理解和对行业的洞察力等为标准,将于今年12月选出20位2023年度优秀首席数据官。
上海市互联网协会数据安全工作委员会联合业界同仁,共同发起行业倡议。电信、移动、联通、东方有线、美团、得物、阅文、七猫、携程、拼多多、莉莉丝、米哈游、优刻得、B站、小红书、达达、爱回收、声网、完美世界、游族20家企业代表签署《2023上海电信和互联网行业数据安全倡议》。
https://finance.eastmoney.com/a/202309012834786698.html
3、中国将推动测绘地理信息数据安全有序开放
近日,自然资源部出台《自然资源部关于加快测绘地理信息事业转型升级 更好支撑高质量发展的意见》(以下简称《意见》),提出将开放基础数据资源,加工和编制多尺度、多类型的公众版测绘成果,推动测绘地理信息数据安全有序开放。目标是在“十四五”期间,实现95%的用户使用公众版测绘地理信息成果。
制度创新方面,《意见》提出,将探索建立测绘地理信息数据产权登记、流通交易、安全治理等基础制度,规范测绘地理信息数据管理、流通和使用。建立测绘地理信息数据分类分级保护制度,制定地理信息数据流通和交易负面清单。建立健全测绘地理信息公共数据有偿使用和收益分配机制,鼓励更多社会力量进行增值开发和利用。
着力优化产业生态方面,《意见》提出,加快推广使用安全可信的地理信息技术和设备,引导企业加大创新投入,推动地理信息产业向价值链高端迈进。充分发挥市场在资源配置中的决定性作用,鼓励社会力量依法依规采集处理测绘地理信息数据,加大数据要素供给。优化地理信息产业发展环境,促进北斗导航定位、数字地图、遥感等测绘地理信息与实体经济的深度融合。推动地理信息特色服务出口基地建设,支持测绘地理信息企业拓展国际业务。
http://yn.people.com.cn/n2/2023/0901/c378440-40553637.html
4、《零信任数据安全白皮书》重磅发布,助力实现数据安全“最优解”
8月25日,中国通信标准化协会、中国信息通信研究院联合主办的“2023首届SecGo云和软件安全大会”在京举办。大会上,零信任产业标准工作组、云计算开源产业联盟零信任实验室联合发布《零信任数据安全白皮书》(以下简称《白皮书》)。
零信任发展论坛上,零信任产业标准工作组秘书长、腾讯标准副总监黄超对《白皮书》进行了深入解读,并分享了腾讯零信任iOA在数据安全治理中的实践经验。黄超表示,数据安全是零信任理念的深度应用,企业可以从基础的网络层面、到接近业务的应用层面、最终再到业务数据层面,实现以数据为最小颗粒度的零信任。
数据安全外延扩展,企业数据安全治理面临多重挑战
首先是合规挑战。
其次是攻防风险。
此外,业务发展与安全的平衡性面临挑战。
零信任是实现数据安全目标的“最优解”
具体来说,零信任理念应对数据安全风险有四个关键点:
数据访问权限最小授权:访问主体对数据资源的访问都要经过身份认证和授权,且权限分配遵循最小权限原则;数据访问权限动态决策:对访问过程中的关键对象、访问权限、上下文环境安全状态因素,进行持续采集和风险判断,进行授权访问或者实时阻断; 数据传输加密:在访问主体在向数据资源发起访问请求时,必须通过双向的交互验证,实现端到端的加密; 数据资源隐藏隔离:数据资产对于未经认证的访问主体不可见;隔离访问主体与数据资源以及应用数据资源之间隔离。
http://cn.chinadaily.com.cn/a/202308/30/WS64eefcada3109d7585e4b84c.html
5、路特斯科技联合普华永道共同发布《智能网联汽车数据安全合规白皮书》
8月30日,路特斯科技官方网站发布《智能网联汽车数据安全合规白皮书》。
该白皮书由路特斯科技与普华永道联合撰写,通过系统梳理全球及中国智能网联汽车数据合规法律法规,整合各方数据合规要求,展示汽车行业数据合规路径。
此外,还以路特斯科技合规实践为例,全方位展示如何合规使用及保护消费者相关的个人信息,以期为行业数据合规和安全保障提供有力借鉴,为消费者提供更加透明的数字化体验。
这也是智能网联汽车行业内企业首次面向消费者公开展示合规情况。
践行ESG承诺,守护数据安全
主动沟通,塑造信任
数据使用与驾驶体验融合
https://www.eet-china.com/mp/a248072.html
6、世纪华通成立数据安全委员会 筑牢安全屏障
8月29日,世纪华通发布公司内部通知:根据《数据安全法》《个人信息保护法》关于企业应当建立健全全流程数据安全管理制度的要求,将正式成立集团数据安全委员会,全面负责制定和完善企业的数据安全管理制度,并推动相关制度的落地和实行。
委员会由公司数据中心、支付中心、安全中心、人力资源中心、法务中心和CRM中心等相关组织组成,全面配合数据安全政策的落实和执行。世纪华通副总裁郭臻将担任集团数据安全委员会主席,制定数据安全整体目标和发展规划。
据悉,世纪华通数据安全委员会的主要职责和工作包含:展开数据安全问题的排查,针对存在的数据安全隐患进行及时的发现和整改;研究制定数据安全及隐私保护政策、制度、流程,并监督其落地和执行;组织开展全员数据安全的教育和培训,提高员工的数据安全意识,强化数据安全管理工作的实效性;组织并制定数据泄露应急预案,及时掌握数据安全事故的情况,制定防范措施;与政府有关部门和社区单位建立良好的沟通机制,增强企业可持续发展的能力等。
该委员会的正式成立,是世纪华通作为一家上市公司合规和管理水平的体现,它不仅标志着公司数据安全及隐私保护迈入全新的阶段,能更好的推动全集团数据安全及隐私保护等工作的全面展开,也标志着公司坚持科学、规范和有效的治理,让良好的治理水平为高质量发展保驾护航。
http://www.xinhuanet.com/tech/20230830/37f5c7f960f04eaa817688a09773894e/c.html
7、五部门:货币经纪公司应当将数据治理纳入公司治理范畴
据国家金融监督管理总局网站30日消息,国家金融监督管理总局等五部门发布规范货币经纪公司数据服务有关事项的通知(以下简称《通知》)。其中提到,货币经纪公司应当将数据治理纳入公司治理范畴,建立与业务发展目标相适应的数据安全治理体系,健全数据安全管理制度,加强经纪人员执业规范性管理,构建覆盖数据全生命周期和应用场景的安全保护机制,开展数据安全风险监测评估,保障数据服务安全稳健开展。
《通知》由国家金融监督管理总局、中国人民银行、中国证券监督管理委员会、国家互联网信息办公室、国家外汇管理局五部门发布,共包含加强数据治理,确保数据安全、规范提供数据标准,提高数据服务质量、明确可接受数据服务的机构范围,加强合作管理、签订服务协议,规范数据使用四个方面共12条内容。
具体为:
一、加强数据治理,确保数据安全
二、规范提供数据标准,提高数据服务质量
三、明确可接受数据服务的机构范围,加强合作管理
四、签订服务协议,规范数据使用
同时,《通知》提到,中国银行业协会、中国证券业协会、中国外汇交易中心、中国银行间市场交易商协会、沪深北证券交易所等根据相关规定对货币经纪公司数据服务进行自律管理。
https://baijiahao.baidu.com/s?id=1775622015300008848&wfr=spider&for=pc
业界观点
1、专家观点| 构建面向AI时代的数据治理新生态
生成式人工智能技术作为具有文本、图片、音频、视频等内容生成能力的模型及相关技术,正在世界范围内推动掀起一轮人工智能发展的新高潮。一方面,生成式人工智能带来新的发展机遇,包括新的技术支持、新的业务类型和新的应用内容;另一方面,生成式人工智能也伴生来源更为多样、程度更为深刻的安全风险,涵盖各类技术要素风险和数字内容风险等。如何充分发挥生成式人工智能的价值潜能并有效实现其规范治理,已是各国共同关注的时代命题。
《办法》的谋篇布局坚持发展和安全并重的立法精神,规则的字里行间突出高质量发展新阶段语境下综合治理的生态理念,是促进生成式人工智能技术健康发展和规范应用的有力举措。
一方面,《办法》的条文设计在数据治理、算法设计、内容管理、虚假信息防范以及权益保护等多个层面,围绕生成式人工智能服务划定了全方位的合规要求;另一方面,《办法》强调与《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》等上位法律,以及《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等现行规范构成的治理框架紧密衔接,形成关于生成式人工智能服务的立体规则体系。
从系统治理论的角度,可以认为生成式人工智能的三大核心要素包括数据、算力和算法:海量数据被认为是生成式人工智能的基石,充沛算力是生成式人工智能的基础能力支撑,先进算法是生成式人工智能的基本实现途径。应当指出的是,《办法》的各项制度规范深刻洞察生成式人工智能的技术原理及其运行逻辑,特别是在《网络安全法》《数据安全法》《个人信息保护法》等法律、行政法规的基础上,着眼生成式人工智能服务语境下的数据治理,引入了多项专门规范,对于构建面向AI时代的数据治理新生态具有重要的制度指引意义:
其一,《办法》明确了生成式人工智能服务中的数据治理要求。
其二,《办法》强调了生成式人工智能服务中数据处理的特别要求。
其三,《办法》突出了生成式人工智能服务中数据生态的多方协同。
https://www.sjz.gov.cn/col/1660290291344/2023/09/01/1693537646012.html
2、专家观点| 如何做好数据安全态势管理
我们已经生活在基于云的数字时代,那些能够从数据中获取最大价值的组织将成为最后的赢家。在数字化转型和数据民主化的发展背景下,企业开展数据安全保护也面临诸多新挑战:
首先,不断复杂的云计算基础设施架构很容易让数据安全和治理专业人员觉得困扰,他们需要处理多个配置各异的云计算平台,而多云基础设施建设还在不断发展,这让云计算的应用管理具有很大挑战性;
其次,开发人员和业务人员经常因为工作原因,在短时间内创建新的数据存储系统,却没有经过规范的授权批准。因此,企业组织会大量产生出大量难以监控的“影子数据”;
此外,随着云计算的广泛应用,企业组织的传统安全边界已不复存在。网络上的任何人都有可能以合规或违规的方式访问数据,这使得企业的敏感数据更加容易被非法攻击者窃取。
以上因素共同构成了一个新的“数据安全攻击面”,这是一种新的威胁途径。
完善的DSPM方案应该具备数据发现、优先级评估、安全防护和持续监控等关键要素,这样才能识别所有已知和未知的数据,并根据数据量、暴露情况和安全态势确定安全隐患的风险级别,提出风险警报和补救指导。因此,企业组织要做好数据安全态势管理工作并不是件很容易的事情,而遵循以下最佳实践,可以帮助企业从DSPM项目建设中获取更多好处。
1 建立数据资产目录
2 做好数据环境分析
3 将各类安全解决方案有效协同
4 用零信任框架优化访问
5 加强对流数据的监管
6 做好隐私合规分析
https://www.secrss.com/articles/58072