x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 37周
发布时间:2023.09.08 浏览数量:773人

政策形势

1、国家互联网信息办公室关于发布第二批深度合成服务算法备案信息的公告

   根据《互联网信息服务深度合成管理规定》,现公开发布第二批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至pingguchu@cac.gov.cn,提出疑议应以事实为依据,并提供相关证据材料。

   《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。

http://www.cac.gov.cn/2023-09/01/c_1695224377544009.htm


2、《治安管理处罚法(修订草案)》公布:违规出售或提供个人信息或被行政拘留

   中国人大网公布《中华人民共和国治安管理处罚法(修订草案)》并向社会公众征求意见。修订草案将社会治安管理领域出现的新情况新问题纳入法律管理范围,旨在更好维护社会治安秩序。该草案在个人信息与数据保护方面的修订亮点主要包括:(1)将违法出售或者提供公民个人信息增列为侵犯人身、财产权利的行为并给予处罚;(2)将非法使用窃听窃照器材增列为妨碍社会管理的行为并给予处罚;(3)增加公安机关实施人身检查、采集人体生物识别信息的职权,并对个人信息保护提出要求。

https://mp.weixin.qq.com/s/P1ejBnfk6thhdvC-pjtYVQ



数据安全事件

1、江津区网信办依法对属地一高校网站的违法违规行为作出行政处罚

   9月6日,据网信重庆报道,江津区网信办对区内某职业学院相关负责人开展执法约谈,并依法对该学院作出行政警告处罚

   经查,该学院未严格落实信息发布“三审三校”制度,未履行好网站管理主体责任,导致学院官网上存在法律法规禁止传播的信息,违反《网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等互联网法律法规。江津区网信办责令其全面清理存量有害信息,并举一反三开展深入排查,完善相关管理制度。

   该学院相关负责人表示,已认识到问题严重性和危害性,将严格按照网信部门要求即刻整改,建立健全内部管理机制,强化日常信息发布审核,维护好清朗有序的网络环境。

https://mp.weixin.qq.com/s/6nSCcNtPNrQZIVP6ePQ4fw


2、万州区网信办依法对属地某互联网企业做出罚款行政处罚

   9月6日,据网信重庆报道,万州区网信办依法对属地某互联网企业涉嫌违法行为进行立案查处。经查实,该企业运营的网站平台存在法律法规禁止传播的信息,未履行好网站平台主体责任,违反了《中华人民共和国网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等互联网法律法规。万州区网信办依法责令该企业限期整改,举一反三全面清理有害信息,完善相关管理制度,并处罚款1万元的行政处罚

https://mp.weixin.qq.com/s/AjA1pKo58u4cAr-OO1ykoQ


3、巴南区网信办对属地一企业作出行政处罚

   9月7日,据网信重庆报道,巴南区网信办工作发现,属地一生产公司开办的网站存在源代码被植入非法网站暗链的情况,随即开展立案调查工作。

   经查,该公司未严格履行网络安全保护义务,运维疏于管理、安全防护措施不到位,导致其网站被植入非法网站暗链,违反了《中华人民共和国网络安全法》第二十一条、第二十五条规定。巴南区网信办依据《中华人民共和国网络安全法》第五十九条规定,对该企业予以行政警告处罚,并责令其限期整改。

https://mp.weixin.qq.com/s/BnJlXf7KoXW7ccMVqgb--w


4、香港数码港遭勒索攻击:400GB数据泄露,科技中心受打击

   安全内参9月8日消息,香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称,已从数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。

   周四,一位IT专家查阅了暗网相关材料,发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖,起价定为30万美元。

   香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称,“假设一个人的信息是1GB,那就至少有400名受害者。”

https://www.secrss.com/articles/58629


5、国家网信办对知网 (CNKI) 依法作出网络安全审查相关行政处罚

   根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

   9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。

http://www.cac.gov.cn/2023-09/06/c_1695654024248502.htm


6、必胜客遭黑客组织入侵,数百万客户数据被盗

   黑客组织ShinyHunters最近表示,它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示,他们在1-2个月前利用AWS中的漏洞入侵系统,窃取了超过3000万行机密信息。

   黑客发布的样本包含订单信息,包括姓名、地址、电话号码和客户的加密银行卡数据。专家核实了被盗数据的真实性。

   ShinyHunters黑客要求30万美元删除被盗信息。该组织已经在公共领域发布了拒绝支付赎金的公司的数据。

https://www.secrss.com/articles/58568


7、不履行数据安全保护义务,这些公司企业被罚

   公安部网安局9月6日发布,《数据安全法》施行近两年来,警方严厉惩治不履行数据安全保护义务的违法行为,全面压紧压实网络运营单位数据安全主体责任,已累计依据《数据安全法》办理行政案件336起。

案例一:宿迁某医学检验机构 不履行数据安全保护义务案

   近期,江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。

   宿迁公安机关依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。

案例二:成都某科技有限公司 不履行数据安全保护义务案

   近期,江苏苏州公安网安部门工作发现,成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。

   苏州公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。

案例三:泰州某不动产登记中心和北京某科技发展研究中心 不履行数据安全保护义务案

   近期,江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。

   泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。

案例四:盐城某医药公司 不履行数据安全保护义务案

   近期,江苏盐城公安网安部门在对当地某医药公司检查时发现,该公司医疗健康信息的会员管理系统存有大量公民个人信息,经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全涉嫌未履行数据安全保护义务。

   盐城公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。

案例五:南通某科技有限公司 不履行数据安全保护义务案

   近期,江苏南通公安网安部门对当地某科技有限公司检查时发现,该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库(数据量达百万条),未建立数据安全管理制度,也未采取相应技术措施保障数据安全,并且存在使用“弱口令”即可登录平台、访问数据的情况,涉嫌未履行数据安全保护义务

   南通公安机关依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。

https://www.secrss.com/articles/58530



技术、产品与市场

1、2023中国国际数字经济博览会网络和数据安全产业大会在河北正定举办

   9月7日,由中国国际数字经济博览会组委会主办,工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)承办的“2023中国国际数字经济博览会——网络和数据安全产业大会”在河北正定举办。河北省工业和信息化厅副厅长董继华、工业和信息化部网络安全管理局数据安全处有关负责同志、工业和信息化部网络安全产业发展中心主任付京波致辞,工业和信息化部网络安全产业发展中心副主任董晓鲁等领导参会,中国工程院院士邬贺铨作主题报告。

   工业和信息化部网络安全管理局数据安全处有关负责同志在致辞中指出,网络和数据安全产业为千行百业提供了必要的技术、产品和服务,是维护国家网络和数据安全的重要基础。发展网络和数据安全产业,要贴近业务保护需求,加强技术产品创新,壮大专业安全服务,实现标准化发展。

 付京波指出,开展产业基础研究、生态培育以及人才培养是产业推进的重要抓手,三者密不可分、相互补充。中心将继续加强与产业界各方合作,把握数字化发展机遇,推动网络和数据安全产业高质量发展,不断为制造强国、网络强国和数字中国建设作出更大贡献。

 中国工程院院士邬贺铨分享了前沿观点“IPv6赋能网络与数据安全”;北京航空航天大学、中国联通、奇安信、公安部第三研究所、长城汽车、中孚信息、渔翁信息、碳泽信息、四维创智、灵云数科、知其安等相关院校和企业的专家,围绕“共筑网络和数据安全屏障 护航数字经济发展”主题进行了深入探讨。

 大会举行了网络安全技术与产业发展工业和信息化部重点实验室大数据安全工作组成员单位发布仪式;此外,有关企业还发布了一系列网络和数据安全领域最新技术产品,为网络和数据安全产业高质量发展提供有力支撑。

https://tech.gmw.cn/2023-09/07/content_36817321.htm

 

2、澳大利亚、英国等11家数据保护机构发布数据抓取联合声明

   8月24日,澳大利亚信息专员办公室(OAIC)联合英国信息专员办公室(ICO)等11家国际数据保护机构发布了一份数据抓取联合声明。随着数据抓取技术实践越来越普遍,其引发的个人信息及隐私泄露风险也愈加凸显,通过数据抓取获取的数据可能会流向恶意第三方和情报机构,以此实现非法牟利或情报收集。

   OAIC及ICO于今年7月展开了对 Clearview AI公司的联合调查,并最终认定其数据抓取行为违反了澳大利亚《1988年隐私法》。根据该法规定,就数据抓取行为而言,相关实体应(1)采取合理措施,防止其持有的个人信息因数据抓取被滥用、干扰或丢失,防止未经授权的访问、修改和披露,(2)根据“数据泄露通知框架(Notifiable Data Breaches scheme)”,当数据抓取行为所导致的数据泄露可能对数据主体产生严重影响时,相关实体应当通知数据主体和OAIC。

   在此背景下,此联合声明就网络平台如何实现数据抓取合规提出了相应建议,其中包含了相关法律的强制性规定。以下是声明的主要内容。

一、概述

二、隐私风险

   数据抓取可能会被用于如下非法用途:(1)有针对性的网络攻击。(2)身份欺诈。(3)监控个人行为。(4)政治目的。(5)垃圾邮件。

三、社交媒体网站应采取的保护措施

   社交媒体及其他类型网站有义务采取措施防止非法的数据抓取。

四、用户应采取的保护措施

   防止非法数据抓取的重要一环是提升用户对于自身信息及隐私的保护意识,

五、结论

   声明本身不具备强制效力,但可能包含了各地数据及隐私保护法的相关规定。除了SMC和其他网站应当采取的措施以外,声明还强调了用户自身需要采取的限制行动。在当今“分享生活”的潮流下,提升用户自身信息及隐私保护意识显得尤为重要,用户应积极地了解SMC及其他网站的隐私政策,知晓自己共享了哪些信息以及在什么时候共享,如何修改、隐藏及删除相应信息,以及在事件发生如何采取补救措施。SMC可在声明发出后1个月内提出反馈意见,以展示它们是如何满足相关要求的。

https://www.secrss.com/articles/58593


3、国际风向标:将网络安全纳入公司管理层薪酬考核指标

   安全内参9月5日消息,一些公司开始将首席执行官和其他高层领导的奖金与网络安全指标挂钩。治理专家表示,这一举措可能使公司更安全地抵御黑客攻击。

   这一做法在美国大公司中逐渐普及。会计和咨询公司安永的最新研究显示,2022年财富100强公司中,有9家将特定高管的部分短期奖金与网络安全目标相关联。安永表示,2018年还没有公司采取上述措施。

   美国知名代理咨询公司机构股东服务(ISS)的数据部门ISS ESG发现,去年全球超过15000家上市公司中,有86家采取了这种做法,包括美国制药公司强生、伦敦证券交易所和英国Paragon银行集团。

   ISS公司高级网络安全中心执行主席William Guenther表示,网络安全通常由技术和安全部门负责。但是他认为,网络安全目标应该提升到更高层面,并与高级高管的薪酬计划挂钩,这有助于将安全因素纳入公司战略决策。他补充道:“这虽然是一小步,却是非常重要的一小步。”

已有企业开始实践,考核指标设定具有挑战性

企业推行惩罚性指标,难以推动长效变革

https://www.secrss.com/articles/58507


4、专家观点| 亚马逊云科技代闻:大语言模型应用加速“零信任”在企业落地

   9月6日消息,近日,亚马逊云科技re:Inforce 2023中国站峰会召开。作为一年一度云安全的大会,re:Inforce 2023全球大会6月在美国召开并发布了一系列新安全服务。这次中国站的大会则将关注点聚焦在“AI时代的安全”。

   事实上,在过去大半年的时间里,生成式AI应用场景在全球呈现井喷式发展。生成式AI已经应用到企业创新的各个环节,包括智能客服、自动生成代码、创意内容生产等等。生成式AI应用如此广泛的与企业生产、用户生活联系起来,安全的重要性不言而喻。

   如何构建一套完备的生成式AI应用安全保护屏障?代闻强调,应从全栈角度来考虑安全问题,构建生成式AI应用的安全问题包括三个方面:数据和模型的安全、应用安全、全球合规。

首先,数据和模型安全是构建AI应用的关键。

   这其中,数据安全涉及到保护存储中、传输中、使用中的数据安全。代闻表示,亚马逊云科技提供了贯穿生成式AI全周期的数据治理,从数据源的获取到数据的存储和查询,再到将数据传输给 AI平台进行模型的训练、调优和推理,以及全面实施数据分类和治理。

代闻认为,对于大模型训练而言,通过对静态数据的加密只是一个基本的防护。另一个很重要的对数据的保护是“如何能识别敏感数据”,比信用卡的卡号、身份证ID等等。

   此次大会上,亚马逊云科技新推出了“敏感数据保护解决方案”。据介绍,该方案可以集中管理所有的账号,同时自动地发现各种存储中的敏感数据,该解决方案允许客户创建数据目录、使用内置或定制数据识别规则定义敏感数据类型,该方案利用机器学习、模式匹配的方式自动识别敏感数据,并提供可视化面板,帮助客户更轻松地对敏感数据进行管理和保护。

   模型训练后进入生产环境的安全防护同样重要。此前亚马逊云科技已推出Amazon Bedrock和多种生成式AI服务和功能,以帮助客户构建和扩展自己的生成式AI应用程序。代闻介绍,Amazon Bedrock全面地使用亚马逊云科技提供的安全功能,Amazon KMS、Amazon IAM等可以完善地跟Amazon Bedrock集成,集成以后可以很好地管理加密、权限控制和所有行为的日志。

第二,应用安全是实现AI价值的保障。

第三,全球合规重要性与日俱增。

https://finance.sina.com.cn/stock/relnews/us/2023-09-06/doc-imzkufah4477481.shtml


业界观点

1、专家观点| 中科大教授左晓栋:如何理解《数据安全法》中的“重要数据”?

   9月1日,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋在2023数据安全上海论坛上作了《重要数据安全要求解读》报告,分析在落实《数据安全法》这项重要制度中,如何理解该制度提出的初衷,接下来的数据安全工作方向是什么?

   左晓栋认为,“在《数据安全法》中提出了一个重要的制度,引入了一个重要的概念,即数据分类分级保护制度和重要数据。

    “这意味着分类分级工作推进也好,重要数据识别也好,一切都应该围绕国家安全的根本诉求,它揭示了数据安全工作的出发点、数据安全监管制度的监管对象,也指向了这项工作的核心内容。”左晓栋说。

   接下来的数据安全工作方向是什么?

   左晓栋表示,“下一步,无论哪一项数据安全的重要制度,可能都要和数据分类分级制度产生强关联。其中,关联的核心是重要数据的识别和保护。因此,为了推动这项工作,全国信息安全标准化技术委员会陆续推出了两个编制任务,一个是重要数据识别指南,一个是重要数据处理安全要求。”

   这两项编制工作都由左晓栋牵头,在大会现场,左晓栋分享了这两个标准的编制思路以及下一步工作的考虑。在重要数据处理安全要求中,主要有两个考虑:其一,重要数据处理安全要求与基础性网络安全要求区别在哪里,怎么处理这个标准的着力点?其二,重要数据安全和普通数据安全或一般数据安全的区别在哪里?

   在第一点中,左晓栋着重强调了数据安全的内涵,首先是数据系统的网络安全,也可以说环境安全、设施安全。第二是资产安全,包括可用性等,针对数据自身典型的数据加解密和数据脱敏。第三是合规问题,数据处理行为的安全。第四是生产要素安全,涉及确权问题、定价问题,更主要的是安全问题,数据交易双方身份的验证,开发、利用主体机构的安全等。

   对于第二点考虑所说的区别,左晓栋表示,“在安全保护的强度上,重要数据严格于普通数据;在管理制度上,重要数据严格于普通数据;在合规要求上,相关重要数据的法律法规有明确的要求;在配合监管上,重要数据处理者有特定的法律义务。”

   左晓栋透露,下一步的工作方向是围绕重要数据发展一系列安全技术及相关的安全产品

   “我们讲了那么多标准规范,但重要数据在哪里,怎么识别?不能靠文本一个个读,肯定要有技术。技术涉及重要数据的特征是什么,核心是把由自然语言描述的重要数据转变成可被计算的对象,从而使其可识别、可登记、可监测、可上报,这是下一步工作努力的方向。”左晓栋说。

https://baijiahao.baidu.com/s?id=1776093559855696256&wfr=spider&for=pc


2、专家观点| 钭晓东:论生成式人工智能的数据安全风险及回应型治理

一、问题的提出

二、生成式人工智能应用中的数据安全风险

   生成式人工智能强大的学习能力离不开海量数据汇聚形成的语料库,语料库数据的输入、运算、存储与输出均可能引致不同程度的数据安全风险,这些数据安全风险贯穿应用的全过程,兼具瞬时性和破坏性,直接或间接地挑战着我国数据主权,成为影响国家安全的新型隐患。厘清生成式人工智能应用中的数据安全风险,是明确风险治理需求的基本前提。

数据输入端:语料库非法获取风险

数据运算端:训练数据偏见风险

数据存储端:数据泄露风险

数据输出端:恶意内容生成风险

三、生成式人工智能数据安全治理的范式转型

   从社会发展的历程来看,生成式人工智能带来的数据安全风险经历了从无到有、由轻及重的过程。与此同时,安全观念也在不断演变和发展,从最初关注传统安全、网络主权以及强调绝对安全,逐渐发展到关注总体安全、数据主权,并提倡相对安全。这种安全观念演变直接影响了生成式人工智能数据安全风险治理模式的转变。

从单一安全转向总体安全

从网络主权转向数据主权

从绝对安全转向相对安全

四、生成式人工智能数据安全风险的回应型治理

   面对生成式人工智能正逐步呈现的弥散性扩张数据安全风险,构建全方面、多层次、重实效的生成式人工智能数据安全法治体系已刻不容缓。而这无疑也是当前国家高水平安全时势诉求的内在应有之义。

输入端:以风险管控为核心,强化数据安全风险应对机制

运算端:以算法解释为关键,完善算法运算透明原则

存储端:以重要数据安全为中心,夯实数据管理保障机制输出端:从技术、标准、法律三元层面,优化生成内容治理体系

   虽然我国已经出台了一系列法律法规对人工智能技术进行规范,但是对于生成式人工智能恶意内容生成风险的规范还存在不足。一方面,由于人工智能技术的复杂性和隐蔽性,监管部门和执法机构在检测和防范恶意内容生成风险方面存在一定的难度,也存在一定的滞后性,很难实现对生成式人工智能技术的全面监管和有效打击;另一方面,对于人工智能技术恶意内容生成风险的处罚措施较为单一,主要集中在罚款和停业整顿等行政处罚上,对于一些严重违法行为,如恶意传播虚假信息、侵犯他人隐私等,缺乏更具震慑力的刑事处罚。针对上述问题,建议我国进一步完善相关法律法规,加强对生成式人工智能技术的监管和执法,同时加强对相关违法行为的惩罚力度,确保对恶意内容生成风险的及时发现和有效打击。此外,还需要加强与国际社会的合作,借鉴国际先进经验,共同推进生成式人工智能技术的安全发展和管理。

https://www.thepaper.cn/newsDetail_forward_24504761


3、专家观点| 提升数据安全治理效能

   建设数字中国是推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。习近平总书记在党的二十大报告中强调:“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。”加快建设数字中国,需要充分发挥数据要素作用,也需要防范数据泄露、窃取、篡改、滥用等给个人、企业、社会乃至国家利益带来损害。深入学习贯彻党的二十大精神,加快建设数字中国,需要提升数据安全治理效能,多措并举维护数据安全,为数字中国建设保驾护航。

   加强数据安全制度建设。数据基础制度建设事关国家发展和安全大局。要把数据安全治理贯穿构建数据基础制度体系全过程,从国家、地方、行业等多个层面加强数据安全制度建设。

   提高数据安全技术水平。数字技术在提供生产生活便利的同时也带来新的风险和安全隐患。

   培养数据安全治理人才。科技竞争归根结底是人才竞争。提升数据安全治理效能,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以实现的。

https://baijiahao.baidu.com/s?id=1776154148252101969&wfr=spider&for=pc


4、专家观点| 构筑平台与企业之间数据 保护合规体系的价值及路径

   自上线以来,ChatGPT作为生成式人工智能的代表之一,不断以科技手段重塑行业新生态。但我们也要注意到生成式人工智能可能带来的合规风险、信息泄露以及对网络和数据安全的威胁等,尤其是在新型人工智能技术逐步拓宽市场的企业应用领域,已经有企业基于数据安全风险的顾虑发出“使用禁令”。面对新型人工智能潜在的数据安全风险,平台与企业之间如何构筑数据保护合规与信任体系,已成为新型人工智能技术在企业应用领域可持续发展的一项重要议题。

构筑企业与平台数据保护合规体系的现实需求

构筑数据保护合规体系的具体路径

   其一,建立健全有针对性的数据合规法律规范体系。持续推进针对数据保护领域行政监管法律体系建设,将网络安全法、数据安全法、个人信息保护法中涉及的数据处理基本规则、企业数据合规管理义务等法律规范落实到位。同时,探索人工智能生成内容的管理规则、侵权行为后的救济手段具体措施等。

   其二,确立平台与企业之间数据合规管理的指导原则。在数据服务的研发、生产、运用过程中全面嵌入合规管理理念,确保每一个环节不出差错,以实现数据安全风险治理总目标。

   其三,构建健全数据保护合规的组织体系、运行体系与整改体系。在企业内部设立数据合规工作部门,细化数据合规职责。组建数据合规管理委员会,负责制定企业数据合规宏观层面决策,指导数据合规部开展具体工作。

   ChatGPT企业版的推出,进一步优化生成式人工智能,日益完备的功能也让我们看到了新型人工智能技术广阔的运用前景,但它也给现有法律法规提出了诸多挑战。为实现防控数据保护合规风险的目标,企业与平台应当自觉遵循数据处理规则,积极履行数据管理义务,构筑数据保护合规与信任体系,着力推进数字中国建设,谋求企业与平台之间的可持续良性发展,促进新型人工智能技术创新发展。

https://m.thepaper.cn/baijiahao_24505545


5、专家观点| 中国科学院院士钱德沛:建议构建全生命周期的数据安全制度

   在日前举办的中国移动第四届科技周“大数据产业链合作伙伴”分论坛上,中国科学院院士钱德沛表示,数据作为新型生产要素,已成为第四次工业革命的基础性战略资源,是国家数字主权的重要载体和经济社会数字化、智能化发展的基础,也是构建全球前沿科技竞争优势的突破口。

   对于数据要素市场的发展,钱德沛现场提出4点建议:

一是加快算力网络建设,构建国家计算基础设施。

二是强化数据治理,提升数据质量。

三是建立安全高效的数据要素流通体系。

四是构建全生命周期的数据安全制度。

   钱德沛表示,在新一轮科技革命和产业变革的推动下,数字经济和实体经济将在更大范围、更广领域、更深层次深度融合。希望社会各界携手并进,搭建高效运转的产业协作大平台,建立更加紧密的大数据产业链合作伙伴生态,深化产学研用一体,以研推用,以用促研,不断推进数字经济新基建,融合新要素,激发新动能,合力开创大数据产业的美好未来。

https://www.donews.com/news/detail/4/3684028.html


6、专家观点| 数安法两年来,立法领域更细分,多地数据条例设数据安全专章

   “数据安全是数字经济发展的底板工程”“数据安全政策越来越细化”“数据分类分级关键级别就是重要数据的保护”……2021年9月1日《中华人民共和国数据安全法》(以下简称《数据安全法》)开始施行以来,数据安全问题越来越受到高度关注,对数据安全监管更强化,一系列分行业分领域细化政策、法规相继出台,人脸识别、网上购物、网络支付、个人信息安全工程等领域数据安全国家标准构建全面深化,不断充实数据安全制度体系。

数据安全由“或有”变成“刚需”

数据安全领域立法逐渐深入更细化

   梳理发现,2022年至2023年期间,有多部与数据安全相关配套法律法规、部门规章、政策文件生效实施,例如《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《网络安全审查办法》《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》等。其中,特别明确数据出境安全评估的申报标准、申报程序、申请材料模板等,以及个人信息出境三条路径的实施细则,开启数据出境监管新篇章。此外,还有细分领域的数据安全相关管理办法等正在征求意见中,例如《中国人民银行业务领域数据安全管理办法(征求意见稿)》,填补中国人民银行业务领域数据安全管理制度保障空白。

多地数据条例开设“数据安全”专章

   梳理发现,《数据安全法》实施两年来一些地方性法规在落实国家上位法基础上,结合当地实际,有针对性地建立更具体的数据安全保护制度,例如《深圳经济特区数据条例》第五章就“数据安全”设置一般规定、数据安全管理、数据安全监督等三节内容;《上海数据条例》设置“数据安全”专章明确实行数据安全责任制,开展数据处理活动应当履行的义务,以及要求建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制;《广州市数据条例(征求意见稿)》设置“数据安全”章节,要求坚持安全和发展并重,建立健全分类分级、风险防范、应急处置等数据安全管理机制,鼓励研发数据安全技术,保障数据全生命周期安全,等等。截至目前,至少有22个省市公布并实施数据相关条例,包括数据条例、大数据发展促进条例、大数据发展条例、大数据发展应用条例等,其中至少13个省市数据条例中设有“数据安全”或者“公共数据安全”“数据处理和安全”“数据安全与保护”专章,对加强数据安全管理、规范数据安全行为等作出体系化、实质性的制度设计。

数据安全国家标准化建设全面加速

   去年10月14日,全国信息安全标准化技术委员会归口的14项国家标准发布。其中,12项涉及数据安全与个人信息保护,包含步态识别、基因识别、声纹识别、人脸识别、智能汽车、即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车、个人信息安全工程等领域,对其数据安全要求作细致说明。目前,已发布数十项数据安全和个人信息保护国家标准,如数据安全能力成熟度、大数据安全、政务数据安全共享开放、个人信息安全等标准,覆盖基础共性、安全技术、安全管理、安全测评以及典型应用五大类。

https://baijiahao.baidu.com/s?id=1776078841284013781&wfr=spider&for=pc