一、政策形势

1、中国人民银行发布《中国人民银行业务领域数据安全管理办法》，自2025年6月30日起施行

据中国人民银行官方网站，《中国人民银行业务领域数据安全管理办法》（以下简称《办法》）已经于2025年4月2日中国人民银行第5次行务会议审议通过，现予发布，自2025年6月30日起施行。

《办法》共七章五十六条，第一章明确《办法》制定依据，适用范围、涉及的数据以及数据安全工作原则等；第二章针对业务数据分类分级与总体要求进行了阐述；第三章对全流程业务数据安全管理要求进行了详细阐述，涉及数据采集、数据使用、数据存储、数据加工、数据共享、数据删除等；第四章对数据的访问控制、数据处理日志、数据审计、数据使用环境、数据风险评估、数据备份等提出了数据安全技术的具体要求；第五章主要对数据安全风险与事件处置提出了具体要求；第六章法律责任主要明确了中国人民银行及其分支机构的监管责任和违规处置；第七章为附则，主要是对术语定义、解释权和施行日期作出规定。

二、数据安全事件

1、法国奢侈品巨头迪奥（Dior）中国客户数据遭泄露

5月12日晚，迪奥向中国客户发送短信称，公司于2025年5月7日发现，曾有未经授权的外部人员获取了其持有的部分客户数据。

短信显示，根据目前调查进展，在中国收集的受影响的客户个人信息的最大范围可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息。被访问的数据库中不包含诸如银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务信息。

初步调查显示，此次事件是由数据库遭受未经授权的访问所致。迪奥建议客户对任何可疑通信（短信、电话、电子邮件）都要保持警惕，不要打开或点击来源不明的通信或链接，也不要透露验证码、密码等敏感信息。

事件启示：个人隐私数据安全是数据安全领域里的重中之重，个人隐私数据具有极高价值，是我国以立法高度重点保护的内容之一。本次事件瞄准了奢侈品牌的相对高净资产人群，更加凸显了数据安全防护的任重道远！企业需定期开展网络安全演练，修复数据库弱口令、未授权访问等漏洞。

2、8900万Steam用户短信数据泄露

近日，有黑客在暗网上以5000美元的价格出售约8900万条Steam用户记录，包括历史短信验证码（Steam Guard一次性登录代码）及对应的手机号码。这些验证码的有效期仅为15分钟，且未关联账户密码、支付信息或其他个人数据。最初推测是Steam母公司Valve或第三方服务商Twilio（负责处理短信验证码）的系统被入侵，但双方均否认存在漏洞。Valve表示泄露可能源于短信传输过程中未加密或第三方服务商的供应链问题。Valve通过声明确认，Steam系统未被入侵，泄露数据仅包含已过期的验证码和手机号，无法用于当前账户的登录或密码重置。任何敏感操作（如修改密码）仍需通过电子邮件或Steam安全消息二次确认。

事件启示：此次泄露事件虽未直接威胁账户安全，但暴露了短信验证码的潜在风险及供应链管理的漏洞。Valve的快速回应缓解了用户恐慌，但行业需从技术和管理层面加强防护，避免类似事件升级为更严重的安全危机。用户应主动提升账户安全设置，降低被钓鱼攻击的风险。

三、技术、产品与市场

2025 RSA大会之AI重构网络安全防线

 近期RSA 2025大会上，大多数网络安全厂商都对其各自的AI产品和方案进行了出展，是国际最新的AI安全能力的集中亮相。主要有：Abnormal AI推出AI培训与数据分析代理、Akamai推出Al防火墙、AuditBoard发布Al治理解决方案、Check Point推出智能网络防御和威胁情报平台、Cisco推出基础AI安全模型、CrowdStrike推出拟人化的Charlotte AI 智能体、Microsoft Security Copilot引入一系列AI智能体进行重大升级等。

人工智能是RSA大会今年关注的重点。从安全自动化到高级威胁情报，几乎所有主流网络安全供应商都展示了如何整合人工智能，以应对不断演变的网络威胁。这些经验丰富的厂商正在通过人工智能的视角重新思考一切——从身份保护到事件响应，旨在提升整个安全工作流程的速度、准确性和弹性。

https://mp.weixin.qq.com/s/p9a4R1MhGHuj6_jIs_kH6g