一、政策形势
1、国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》
为充分发挥数据要素乘数效应,赋能经济社会发展,1月4日,国家数据局会同中央网信办、科技部、工业和信息化部、交通运输部、农业农村部、商务部、文化和旅游部、国家卫生健康委、应急管理部、中国人民银行、金融监管总局、国家医保局、中国科学院、中国气象局、国家文物局、国家中医药局等部门联合印发《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号,以下简称《行动计划》)。
《行动计划》选取工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域,推动发挥数据要素乘数效应,释放数据要素价值。《行动计划》从提升数据供给水平、优化数据流通环境、加强数据安全保障等3方面,强化保障支撑。
加强数据安全保障方面提到,落实数据安全法规制度,完善数据分类分级保护制度,落实网络安全等级保护、关键信息基础设施安全保护等制度,加强个人信息保护,提升数据安全保障水平。丰富数据安全产品,发展面向重点行业、重点领域的精细化、专业型数据安全产品,开发适合中小企业的解决方案和工具包,支持发展定制化、轻便化的个人数据安全防护产品。培育数据安全服务,鼓励数据安全企业开展基于云端的安全服务,有效提升数据安全水平。
https://mp.weixin.qq.com/s/YyhLQo4lZIFNMiyupdvO1A
2、国家金融监督管理总局修订发布《银行保险机构操作风险管理办法》
为进一步完善银行保险机构操作风险监管规则,提升银行保险机构的操作风险管理水平,金融监管总局对《商业银行操作风险管理指引》(以下简称《指引》)进行了修订,形成《银行保险机构操作风险管理办法》(以下简称《办法》),近日正式发布,于2024年7月1日起施行。
《办法》要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、网络安全、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具。
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1144382&itemId=928
3、两部门:到2024年初步建立工业领域数据安全标准体系
12月29日消息,工业和信息化部、国家标准化管理委员会印发《工业领域数据安全标准体系建设指南(2023版)》。其中提出,到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_4558f6132b1e4ef1be564522350906d9.html
二、数据安全事件
1、西安网警:企业不履行网络安全义务 警方依法处罚!
2024年1月2日,据西安网警报道,去年10月,境外黑客对某科技股份有限公司所属“OA系统”实施远程漏洞攻击窃取文件信息,该公司属于高精尖技术产业科技公司,其内部存储有大量敏感、重要数据。经查,该公司未履行网络安全保护义务、未按照相关法律规定采取防范网络攻击、网络入侵等危害网络安全行为的技术措施,造成严重网络安全后果和恶劣社会影响。根据《中华人民共和国网络安全法》第五十九条第一款之规定,西安经开网警分别依法对该公司主体及其网络安全直接责任人予以行政处罚。
https://mp.weixin.qq.com/s/6TBD0yC-c4EzqUmzLlS9xw
2、回望2023全球十大窃密泄密事件
回望过去的2023年,全球形势发生着深刻而复杂的变化,窃密泄密事件层出不穷,人类面临的风险与挑战愈加严峻。全球十大窃密泄密事件如下:
1.拜登“文件门”;2.英国选举监管机构系统遭黑客攻击;3.三星ChatGPT泄密事件;4.俄罗斯一部门出于安全考虑弃用苹果手机;5.美国窃取社交平台用户隐私;6.攻击西工大黑客身份被锁定;7.梁成运间谍案宣判;8.国家安全机关破获美国中央情报局间谍案;9.成蕾服刑期满被驱逐出境;10.侯某某重大间谍案件。
其中,三星ChatGPT泄密事件因为公司批准半导体业务部门引入ChatGPT后,在不到20天的时间内,该部门接连发生了3起机密信息泄露事件,导致相关半导体设备测量资料和产品良率等机密数据被完整存入OpenAI公司的ChatGPT学习数据库。消息一出,迅速引爆大型金融公司、多个国家和地区数据保护机构对ChatGPT的限制、禁用和监管,引发国际社会广泛关注。
https://mp.weixin.qq.com/s/B2ONncZV_GEM6X62gLiS7Q
三、技术、产品与市场
1、《产业结构调整指导目录(2024年本)》发布:新增“网络安全”行业大类
近日,中华人民共和国国家发展和改革委员会令 第7号 《产业结构调整指导目录(2024年本)》公布,自2024年2月1日起施行。《产业结构调整指导目录(2019年本)》同时废止。
指导目录由鼓励、限制和淘汰三类目录组成。与上一版相比,《目录(2024年本)》在行业设置上,鼓励类新增了“智能制造”“农业机械装备”“数控机床”“网络安全”等行业大类及相关领域有利于产业优化升级的条目,限制类、淘汰类中新增了“消防”“建筑”行业大类及相关领域不符合绿色发展和安全生产要求的条目。
新增“网络安全”行业大类及相关领域有利于产业优化升级的条目详情如下:
五十、网络安全
1.网络安全产品: 端点安全产品、设施安全产品、应用安全产品、数据安全产品、身份安全产品、安全管理产品等;
2.网络安全服务:安全咨询、设计与开发,安全集成、安全运营、信息的安全处理和存储、测评认证、灾难备份与恢复、网络安全审计、应急响应、实训基础设施服务、教育培训、安全众测、网络安全保险等;
3.网络安全技术的研发与转让;
4.网络安全检测工具: 源代码审计工具、软件负载压力测试工具、网络性能测试仪、漏洞扫描与验证工具、安全配置核查工具网络流量分析工具、模糊测试工具、渗透测试工具、协议一致性验证工具、流量仿真工具等;
5.网络安全基础设施建设与改造升级: 网络安全基础平台设施、网络安全产业园区等;
6.数据安全技术产品研发与产业化应用,数据安全服务发展(包括检测评估、认证、教育培训等 )。
https://mp.weixin.qq.com/s/a58DarDxwbUXLHTy67lUqg
2.第二届全国数据安全职业技能竞赛总决赛在青岛举办
2023年全国行业职业技能竞赛——第二届全国数据安全职业技能竞赛总决赛在青岛市技师学院举办,大赛是由中国安全防范产品行业协会和中国就业培训技术指导中心联合举办。
https://www.jfdaily.com/sgh/detail?id=1220159
3.全国网信办主任会议在京召开
1月3日至4日,全国网信办主任会议在京召开。会议回顾总结2023年网络安全和信息化工作,研究谋划2024年工作。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。
https://mp.weixin.qq.com/s/oZpp5nZCzs0vMggAPgpfZg
四、业界观点
评论 | 建设智能网联车数据安全港
近日,工业和信息化部、公安部、住房和城乡建设部、交通运输部联合发布《关于开展智能网联汽车准入和上路通行试点工作的通知》(以下简称《通知》),为智能网联汽车试点准入、通行和运营提供了明确的规范指引。《通知》特别强调数据安全保障能力,明确了保障智能网联汽车数据安全的一整套制度体系。这是继数据安全法颁布以来,又一个强调数据安全的重要文件,这意味着数据安全在走向实际应用的道路上又向前迈出一步。
近年来,伴随智能网联汽车数量快速增长、城市测试智能道路等基础设施建设加快,其支撑路、网、车、云各要素的连接能力不断加强,成为产生海量数据的系统中枢之一。智能网联汽车系统与应用场景复杂,多要素融合交互,如何在复杂环境下确保数据安全,成为发展智能网联汽车必须应对的挑战。
确保数据安全是发展数字经济的前提。数据安全不仅涉及数据资源的开发利用,还关乎个人与组织的合法权益甚至国家安全。我国高度重视智能网联汽车领域数据安全,在网络安全法、数据安全法、个人信息保护法三大上位法基础上,进一步出台了《关于加强车联网网络安全和数据安全工作的通知》《关于加强智能网联汽车生产企业及产品准入管理的意见》等一系列规范文件,智能网联汽车的网络与数据安全管理力度不断加强,产业环境日趋完善。
但也要看到,数据泄露、木马攻击、数据篡改等非传统安全问题正在向智能网联汽车领域不断渗透,传统监管模式已难以应对智能网联汽车领域数据跨区域、跨类型、跨行业、跨层级的特点,亟待从制度、技术等多个层面加强系统防护。下一阶段,要进一步强化智能网联汽车领域数据安全,统筹基础设施、要素流动、技术应用等方面数据安全,提升数据治理效能,为智能网联汽车产业高质量发展保驾护航。
https://mp.weixin.qq.com/s/2Gv0IVAxZFyHgXYaAOOsWA
