一、政策形势
1、《网络安全标准实践指南——敏感个人信息识别指南》正式发布
9月18日,全国网络安全标准化技术委员会秘书处组织编制的《网络安全标准实践指南——敏感个人信息识别指南》正式发布。本指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
https://www.tc260.org.cn/front/postDetail.html?id=20240918084858
2、国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
近日,国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》。其中第三部分规定:要落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求。
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1179179&itemId=915&generaltype=0
二、数据安全事件
1、浦发银行因“数据治理不审慎”等被罚60万元
9月14日,国家金融监督管理总局阿克苏监管分局发布的行政处罚信息显示,浦发银行阿克苏分行因“数据治理不审慎”等2项主要违法违规事实,被罚款60万元。数据治理不审慎意味着银行在数据的收集、处理以及保护方面可能存在漏洞,这直接影响到客户的个人信息和金融安全,可能隐含更多风险。
https://mp.weixin.qq.com/s/WVF4wEqB5Ht4MCHrgaSexw
2、药品分销商Cencora向黑客支付7500万美元 为已知最大赎金
9月18日,据报道,药品分销商Cencora(COR.US)向发动网络攻击的黑客支付7,500万美元赎金,是迄今为止已知的全球最大一笔网络勒索款项。此前最高赎金记录为2021年CNA Financial Corp.支付的4000万美元。Cencora是美国药品分销商,拥有超过46,000名员工,在全球财富500强中排名24位。
https://mp.weixin.qq.com/s/oQCYL_LJDKr24gKbvrfT_w
3、学校未对4000多条学生个人信息脱敏或去标识化 南昌市网信办予以警告处罚
近日,接上级网信部门通报,南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:学校未采取技术措施和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。相关行为违反了《中华人民共和国网络安全法》第四十二条第二款之规定。南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定,对该学校作出警告的行政处罚。
https://mp.weixin.qq.com/s/Naj_wqGmyICFSApdwbjhGw
4、杭州警方成功侦办全国首起利用AI技术侵犯公民个人信息案件
9月13日,杭州市公安局主题新闻发布会上通报了一起侵犯公民个人信息案件:杭州公安网警分局会同拱墅区、余杭区公安分局侦破一起利用人工智能伪造活体视频,突破部分网络平台登录认证,窃取用户信息的案件。这是全国首起利用AI技术侵犯公民个人信息的案件。警方调查发现,目前国外一些AI大模型能够实现照片上传后,通过文字对话的方式输出视频。犯罪分子利用这些视频,突破认证这一环节,从而登录账号,窃取信息。目前,案件还在进一步侦办中。
https://mp.weixin.qq.com/s/uMRXBvC4ezOHQ6eBdFcN0Q
三、技术、产品与市场
1、黎巴嫩“通讯设备大规模爆炸”事件致数千人受伤
近日,黎巴嫩BP机爆炸事件在全球引起了极大轰动,事件造成了12人死亡,约2800人受伤。当地时间9月18日下午,黎巴嫩多地再次发生通信设备爆炸事件,目前造成20人死亡,450余人受伤。黎巴嫩外交部将爆炸事件定性为“以色列网络攻击”,但没有公布更多细节。专业人士分析,寻呼机使用者在收到一串“字母数字”短信后发生爆炸,所以推断设备在供应链环节已被植入“爆炸物”,并利用远程信号激活控制电路,从而实现批量触发爆炸。此次事件再次证明了供应链安全的重要性,它的重要性已不仅仅体现在网络安全、数据安全层面,更体现在关键基础设施的安全层面。
https://mp.weixin.qq.com/s/5xArJk_9GM0riA8hGGNIEg
四、业界观点
1、王君锋:数据安全在车联网方面的安全实践
在近期举办的腾讯全球数字生态大会中,上汽零束安全实验室负责人王君锋就车联网安全问题回答了相关采访。在汽车行业对数据安全的重视程度,以及在数据安全方面有没有做一些安全实践等问题上,王君锋表示:数据对于我们企业确实越来越重要,未来数据的驱动会越来越明显,所以我们确实非常重视数据安全的保护。另外,数据是消费者也很关注的一方面,从我们内部的安全体系上来讲,我们也参考着自己网络安全的一些体系,从采集、存储、使用到销毁各个环节,都设计了一些相应的方法和活动去保障整个产品生命周期,包括上市之后怎样持续保护产品相关的安全。
https://mp.weixin.qq.com/s/shntJgfmytN8nn56w3cUuA