一、政策形势
1、工信部等七部门联合印发《推动工业领域设备更新实施方案》
4月9日,工业和信息化部、国家发展改革委、财政部、中国人民银行、税务总局、市场监管总局、金融监管总局等七部门联合印发《推动工业领域设备更新实施方案》,提出到2027年,工业领域设备投资规模较2023年增长25%以上,规模以上工业企业数字化研发设计工具普及率、关键工序数控化率分别超过90%、75%,工业大省大市和重点园区规上工业企业数字化改造全覆盖,重点行业能效基准水平以下产能基本退出、主要用能设备能效基本达到节能水平,本质安全水平明显提升,创新产品加快推广应用,先进产能比重持续提高。
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_3a8bb9999baa45039305de354c868244.html
2、工信部发布做好2024年信息通信业安全生产和网络运行安全工作的通知
4月7日消息,工业和信息化部办公厅发布关于做好2024年信息通信业安全生产和网络运行安全工作的通知。主要任务其中指出,增强安全预防能力。一是完善双重预防机制。持续改进安全风险分级管控措施,推广极端事故场景、关键网络设备、高危操作岗位“三项清单”管理,加强事故隐患排查治理。二是增强容灾备份能力。在规划、建设阶段,同步考虑网络运行安全问题,从网元等层面持续加固网络,做好重要设备、链路、业务系统的冗余配置,建立热备或双活机制,提升网络韧性。三是提升云服务可靠性。加强云服务关键节点和重要指标监控,开展云服务倒换测试,检验措施有效性。
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_df0657ffc87e4bbcaf81f50780147ab3.html
3、金融监管总局就《反保险欺诈工作办法(征求意见稿)》公开征求意见
4月11日,为防范化解保险欺诈风险,保护保险消费者合法权益,推进保险业高质量发展,国家金融监督管理总局起草了《反保险欺诈工作办法(征求意见稿)》,现向社会公开征求意见。
其中第五条(网络数据安全):保险机构和行业组织应按照职责分工统筹网络安全、数据安全与创新发展,依法履行安全保护义务,完善管理制度,加强网络安全和数据安全防护,保障必要的人员和资源投入,采取网络安全、数据安全管理和技术措施,确保反欺诈信息系统安全可控运行。
http://finance.ce.cn/insurance1/scrollnews/202404/11/t20240411_38966868.shtml?ivk_sa=1023197a
4、《江苏省数据条例(草案)》公开征求意见
4月11日,根据有关立法计划,江苏省数据局起草了《江苏省数据条例(草案)》并公开征求意见。4月28日前,有关单位和各界人士可通过电子邮件或信函提出意见。
《条例(草案)》(征求意见稿)共九章七十四条,包括总则、数据权益、数据资源、数据流通交易、数据产业、数据应用、安全与保障等内容。
https://mp.weixin.qq.com/s/pv0vabngZSAv_Hq9GhwyJA
二、数据安全事件
1、因客户敏感信息保护不到位等,台州银行被罚385万
4月7日,国家金融监督管理总局台州监管分局发布一项行政处罚信息。信息显示,台州银行股份有限公司存在客户敏感信息保护不到位等九项违法违规事实,被国家金融监督管理总局台州监管分局处以罚款385万元。
时任台州银行金融市场部兼资产管理部总经理、黄岩宁溪小微企业专营支行客户经理等人被处罚警告。
https://mp.weixin.qq.com/s/maidUpulDdjt4BzjpqD11g
2、菲律宾科技部服务器遭黑客入侵:网站被篡改 25TB数据被删除
4月11日消息,某黑客组织宣布,对菲律宾科技部(科学和技术部,DOST)的服务器进行了毁灭性攻击,这在菲律宾网络社区引发了热议。
该组织声称,已经获得对虚拟机管理器、网络附加存储(NAS)和路由器等关键基础设施的访问权限,甚至获取了域管理员权限,从而能够无限制地访问员工的计算机。菲律宾信息和通信技术部(DICT)的消息人士透露,黑客删除了25TB数据,造成一片混乱。
https://mp.weixin.qq.com/s/QhAjXJpLjPrSUlNHVguaCw
3、美国环保署遭黑客攻击,近千万用户数据泄露
4月9日消息,美国环境保护署(EPA)近日发生大规模数据泄露事件,超过850万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责,并声称泄露了EPA的客户和承包商的个人敏感信息。安全研究网站Hackread.com分析了泄露的数据库,泄露账户总数接近850万。
https://mp.weixin.qq.com/s/j0cHj-jdFxp8s3gPaw3KTw
4、个人信息泄漏,甘肃10家物业公司被处罚
4月9日公安部网安局消息,甘肃天水武山县公安局近期检查中发现,多家物业公司办公电脑随意存储大量小区业主家庭住址、身份证号码、联系方式等个人信息。
更为可怕的是,这些物业服务公司存在内部管理制度及操作规程缺失、信息系统弱口令等严重问题,个人信息分类管理及加密去标识化制度没有落实,导致业主个人信息被泄漏的风险极大。
公安机关依据《中华人民共和国网络安全法》第四十四条、第六十四条之规定,对3家物业公司处以罚款5000元的行政处罚并责令限期整改,同时对非法获取个人信息的售楼中心、二手房交易公司分别处以罚款1万元的行政处罚。
https://mp.weixin.qq.com/s/IDc6umh1ryubyChVg-aOMA
三、技术、产品与市场
1、工信部公布网络安全保险典型服务方案目录
4月9日,据工业和信息化部网站消息,根据《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的通知》(工信厅网安函〔2023〕356号),经企业申报、形式审查、专家评审、社会公示等程序,确定了网络安全保险典型服务方案目录,现正式对外公布。
本次共有49个网络安全保险典型服务方案入选目录,其中企业类方案36个,产品服务类方案13个,涉及11家保险公司和2家保险中介机构。
工信部提出,各单位要结合目录积极组织开展网络安全保险服务试点工作,探索建立网络安全保险服务模式。
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_75e0130e77554ba9ba3987649b9b82c7.html
2、全国网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》
《全国网络安全标准化技术委员会2024年度工作要点》已经2024年4月2日全国网络安全标准化技术委员会第一次全体会议审议通过,并于4月8日发布。
主要方向:(一)强化顶层设计,加强网络安全战略规划与标准前瞻研究、(二)围绕中心工作,加快推进重点领域网络安全国家标准制修订、(三)拓展宣贯渠道,有效提升网络安全国家标准实施应用成效、(四)聚焦关键领域,强化国际标准提案研究与人才储、(五)完善工作机制,提高网络安全标准化高质量发展保障能力。
https://www.tc260.org.cn/front/postDetail.html?id=20240408133953
3、山东启动全省网络安全和信息化建设专项审计调查
4月8日,山东省审计厅启动全省网络安全和信息化建设专项审计调查。通过审计,摸清全省政务信息化、新型智慧城市、关键信息基础设施建设以及数字经济发展等重点任务推进情况,揭示存在的突出问题和风险隐患,助推数字强省各项政策落地见效。
此次审计重点关注政策落实和任务完成、资金资产管理使用、项目建设管理、网络和数据安全制度执行等方面内容。
https://mp.weixin.qq.com/s/5QkoxxCQ2UGFspSbNy2bbQ
四、业界观点
华东政法大学经济法学院 柯达 | 进一步夯实金融领域数据安全法治之基——浅谈《银行保险机构数据安全管理办法
3月22日,国家金融监督管理总局发布《银行保险机构数据安全管理办法(公开征求意见稿)》(以下简称《征求意见稿》)对外公开征求意见,进一步规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,保护个人、组织的合法权益。《征求意见稿》从数据安全治理、数据分类分级、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面进一步规范银行保险机构数据处理活动。
与数据安全法、商业银行法等上位法相比,《征求意见稿》在以下几个方面制度特色鲜明:
其一,基于银行业保险业实际实施数据分类分级管理。银行保险机构处理的数据体量十分庞大,既包括与个人信息密切相关的交易数据,又包括日常内部管理活动中的非敏感数据。根据一定标准对数据实施分类分级,使数据安全管理活动符合成本效益原则十分必要。
其二,从技术保护角度明确多道数据安全保护基线。法律与技术均为开展数据安全管理的重要手段。通过法律制度对特定主体施加必须采用特定技术的义务,有助于进一步通过技术手段实现管理目标。
其三,兼顾金融领域的数据安全治理与个人信息保护。现行语境下,“数据”指以电子或者其他方式对信息的记录,而“个人信息”则指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。在此概念基础上,我国采取了数据安全法与个人信息保护法分别立法的模式,而《证券期货业网络和信息安全管理办法》与《中国人民银行业务领域数据安全管理办法(征求意见稿)》亦极少提及个人信息保护。《征求意见稿》除构建传统逻辑下的数据安全管理机制外,还专章规定了银行保险机构应当履行的个人信息保护义务。
https://mp.weixin.qq.com/s/_UOid0NnGet1NFCMiO-QjA