一、政策形势

1、工信部印发《工业控制系统网络安全防护指南》

1月30日，为适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业企业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展，工业和信息化部印发《工业控制系统网络安全防护指南》。《防护指南》定位于面向工业企业做好网络安全防护的指导性文件，坚持统筹发展和安全，围绕安全管理、技术防护、安全运营、责任落实四方面，提出33项指导性安全防护基线要求，推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。

其中技术防护方面指出，定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

https://mp.weixin.qq.com/s/LOZiVHqkAWu-4kD1oLUW8Q

二、数据安全事件

1、内蒙古14家机构因未履行个人信息保护义务受到处罚

1月30日公安部网安局消息，近期内蒙古赤峰市喀喇沁旗公安机关多次接到辖区居民被装修推销电话骚扰的警情。报警者反映，推销人员对其个人及住房情况非常了解，怀疑其个人信息已遭泄露，担心财产和人身安全。

警方通过缜密侦察，捣毁张某为首的以“信息共享”为名侵犯公民个人信息的犯罪团伙，共抓获犯罪嫌疑人18名，查获公民个人信息100余万条，扣押涉案电脑、手机等物品68件。

公安机关同时开展一案双查，14家相关企业因未全面履行《中华人民共和国个人信息保护法》规定的个人信息保护义务，依据该法第六十六条第一款之规定，喀喇沁旗公安网安部门依法责令相关企业进行改正并给予行政警告，对相关责任人员总计罚款6.8万元。

https://mp.weixin.qq.com/s/Rdhx_Npysz-cNYbgIXnDNw

2、重庆云阳县网信办依法对“小世界交友”App作出行政处罚

1月31日网信重庆消息，近日在重庆市网信办的指导下，云阳县网信办对“小世界交友”App违规收集使用个人信息的行为依法作出行政警告处罚。

经查，“小世界交友”App未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式和范围等；违反必要原则，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；未建立健全应急预案、用户信息保护等相关制度，违反了《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等互联网法律法规。云阳县网信办依法约谈该App负责人，责令限期整改，并给予行政警告处罚，严格督促该公司进一步加强App运营管理，落实好个人信息保护、网络数据安全等相关法律法规要求，健全完善相关管理制度，切实履行好网络平台主体责任。

https://mp.weixin.qq.com/s/bKlvW1G3mCQ5696HgOX18g

3、7.5亿印度公民身份信息在线泄漏：疑似源自运营商

1月31日，据印度网络安全公司CloudSEK本周二报道，本月早些时候，一个包含约7.5亿印度个人信息(覆盖85%的印度人口)的庞大数据库在暗网上出售。

该数据库大小为1.8TB，包含姓名、手机号码、地址和Aadhaar个人身份识别码(Aadhaar号码是印度公民的唯一身份识别码)等个人信息。

CloudSEK在一份报告中指出，一个名为CyboDevil的黑客组织在地下论坛上以3000美元的价格兜售印度移动运营商的手机用户数据库。CloudSEK对黑客发布的样本数据集进行分析后发现，这些信息来自印度所有主要电信运营商用户，估计将影响85%的印度人口。

https://mp.weixin.qq.com/s/_wcg3iWci0tbWMv3k5zemA

4、奔驰开发者不慎泄露私钥 导致公司源代码泄露

2024年1月31日，网络安全公司RedHunt Labs日前在例行互联网扫描中发现知名公司奔驰不慎泄露员工的身份验证令牌，这导致该公司在GitHub企业版上托管的所有源代码、存储库全部暴露在公网上。

https://mp.weixin.qq.com/s/f3nWQbKg-6q9Z3haLiv3uA

5、上海网信部门处罚一批未尽消费者个人信息保护义务单位，五大类问题值得关注

1月29日，上海市网信办依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚，这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。现将部分典型案例通报如下。

1.在收集环节，强制要、过度取个人信息问题依然存在。如某餐饮企业的外送微信小程序在收货地址填写环节，强制用户同意打开精准位置权限，否则无法添加收货地址，属于对消费者非必要个人信息强制索权。

2.在存储环节，大量个人信息未加密处于“裸奔”状态。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息，某停车扫码SaaS平台存储的8000条包括手机号码在内的车主信息、196万条车牌信息，某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息，某房产中介企业收集的200万条用户数据中的20万条客户手机号码等个人信息，以及某少儿培训机构存储的4万条学生姓名、监护人手机号码等个人信息，均未按规定采取加密、去标识化等安全保护措施。

3.在使用传输环节，企业随意授权放权管理不到位。如企业内部操作权限设置不合理，在没有授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息，容易导致数据被滥用；有房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息。

4.在管理制度上，企业关于个人信息保护措施明显缺失。检查发现，这批被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。

5.在安全防护上，网络信息系统存在安全漏洞。如一家房产中介企业的网络安全高危漏洞达到7个，还有中低危漏洞8个，易被不法分子利用，存在大量数据被泄漏或被窃取等安全风险。

https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA

三、技术、产品与市场

1、联通成立安全子公司，运营商加大网安战略投入

近日，联通（广东）网络信息安全科技有限公司成立，法定代表人为王其宏，注册资本10亿元。王其宏曾任天津联通副总经理、广东联通副总经理，也是联通智慧科技产业有限公司成立时的法人。苏爱国任广东联通信息安全部总经理、东莞联通副总经理等。

中国联通成立独立的网络与信息安全部，意味着网络安全在集团中的地位提升，据悉，2023年全年联通大安全收入快速增长，加快“平台+产品+服务”模式的规模化复制，安全云市场上架产品超过100款，广泛满足数字经济安全需求；2023年全年大安全收入同比增长190%。

https://mp.weixin.qq.com/s/QhDJnwQ0AsHn4tXZDJ8ZeA

四、业界观点

1、金融监管总局：加强网络安全和数据安全风险监管

近日，在国务院新闻办举行的金融服务经济社会高质量发展新闻发布会上，国家金融监督管理总局新闻发言人、统计与风险监测司负责人刘志清表示，在金融机构和监管部门的共同努力下，金融行业数字化转型进程不断加快，服务实体经济质效也显著提高。金融监管总局将持续加强监管引领，多措并举做好数字金融这篇大文章，引导金融机构提升服务质效，全面加强风险管理。核心观点如下：

一是持续推动银行业保险业数字化转型，开展数字化转型评估工作，并把它纳入到银行保险机构信息科技监管评级中，引导金融机构加强顶层设计和统筹规划，科学制定发展战略，加大资源要素投入，实现经营管理和服务的变革。

二是增强数字赋能成效，充分调动金融机构积极性和主动性，不断优化数字金融产品和服务，做好科技创新、先进制造、绿色发展和中小微企业重点领域的金融支持，有效降低企业融资成本。同时积极拓展互联网、移动终端等服务渠道，通过数字手段触达传统金融服务难以覆盖的客群，持续提高金融服务的普惠性、可获得性。

三是提升行业风险防控能力，推动银行业保险机构将数字化风控工具嵌入业务流程，充分用数字化能力提高风险管理和内控的合规水平。

四是加强网络安全和数据安全风险监管，推动银行保险机构提高网络安全风险的日常监测和应急处置能力，有效保护数据安全和客户的信息，强化数字生态场景下的科技外包风险管理。

五是规范数字创新，守住风险底线。要求银行保险机构建立稳健的业务审批流程，对新产品、新业务、新模式带来的技术和业务逻辑变化进行评估，确保新技术投产运用的审慎性和合规性，牢牢守住数字化转型过程中的风险底线。

https://mp.weixin.qq.com/s/dZnsnSv_csKMQT5TNeznjA