一、政策形势

1、《数字青岛2025年行动方案》印发

近日，青岛印发《数字青岛2025年行动方案》，明确今年将深化“人工智能+”“数据要素×”行动，深入实施七项重点工程，涵盖数字经济、数字政府、数字文化、数字社会、数字生态文明五大提质工程及数据基础设施筑基工程、综合保障体系配套工程，纵深推进54项重点工作，加快发展新质生产力。

在实施综合保障体系配套工程——数据安全管理统筹中提到：健全网络安全运营常态化机制，提升风险识别、防护、监测、响应等安全能力，督促落实信创工作要求。加强数据归集关联的安全管理，依法依规落实安全保密防控措施。（责任单位：市委网信办、市委机要保密局、市公安局、市大数据局）指导相关单位做好涉网涉数据纠纷调处化解工作，将数据纠纷纳入仲裁体系。（责任单位：市司法局、青岛仲裁办、市大数据局）

https://mp.weixin.qq.com/s/ipJoxEYHnLMOOfaim683Gw

2、2025年度数据安全服务能力验证计划启动

为进一步提高相关单位数据安全技术水平和服务能力，中国计算机行业协会网络和数据安全专业委员会拟于2025年5月联合中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）启动2025年度数据安全服务能力验证计划。

该计划依托《中华人民共和国数据安全法》等法律法规，对参评企业进行数据安全能力考验，需要参加者对样品案例场景中数据的收集、存储、使用、加工、传输、提供、账号注销、投诉举报等环节进行评估，识别其是否存在相关风险并给出证明资料，最终依据完成情况（满意/不满意）颁发《能力验证结果证书》。

https://mp.weixin.qq.com/s/RGNG6bOz1zQwI1CfZThE1w

二、数据安全事件

1、罚款50000元！海南某网络科技公司违反《数据安全法》被行政处罚

近日，海南省互联网信息办公室调查证实，海南某网络科技公司存在不履行网络安全义务、数据安全保护义务行为，其相关系统未采取技术措施和其他必要措施保障数据安全，存在未授权访问漏洞，造成部分数据泄露，损害数据安全。

海南省互联网信息办公室依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

事件启示：数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。本次海南网信部门依据《数据安全法》对某企业进行处罚，体现出了数据安全监管态势持续向严、持续平常化、持续专业化的形势。在数据作为新型生产要素的当下，数据安全作为底线要求，正在越来越深刻的影响企业的发展。

https://mp.weixin.qq.com/s/UdCc5mbP6u5nSwwnvasgaA

2、未履行网络安全与数据安全保护义务，上海多家互联网医疗企业被罚

近期，上海市网信办在专项执法行动中发现，一批医疗服务类互联网企业（主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等）未依法履行网络安全、数据安全保护义务，所属系统存在网络安全漏洞，被境外IP访问并窃取，发生个人信息泄露情况，反映出部分医疗服务类互联网企业存在个人信息制度不规范不健全、安全防护不严密、存储不合规等问题，上海市网信办根据相关法律法规对一批医疗服务类互联网企业予以行政处罚。

在存储环节方面。部分医疗服务类互联网企业信息系统中，大量患者个人信息未加密处于“裸奔”状态，存在数据泄露风险隐患。如某企业存储包括姓名、身份证号码、病情、开药信息在内的650余万条患者个人信息，未按规定采取加密、去标识化等安全技术措施。

事件启示：《网络安全法》《数据安全法》《个人信息保护法》等法律法规已执行数年，但网络安全与数据安全的防护仍然任重道远，特别是处在监管盲区的领域，不少企业依然抱着不出事就不用处理的态度，也从侧面反映出数据安全意识不强、数据安全建设不足、数据安全机制不完善等问题。医疗领域，特别是医院单位，掌握着大量个人隐私数据，若出现数据泄露等安全事件具有影响范围大、后果严重等特性。比如网暴开“盲盒”，其个人隐私数据的来源不乏也有此身影。数据安全防护，一方面是国家法律法规的强制要求，另一方面是全民数字素养提高的基础。针对涉及处理个人信息的企事业单位要加强完善数据安全防护机制，重点保护个人隐私数据，为人民提供切实的安全可靠服务。

https://www.secrss.com/articles/78285

3、预计损失4亿美元，知名加密货币交易所Coinbase遭网络攻击泄露客户敏感数据

近日，知名加密货币交易所Coinbase日前披露，网络犯罪分子联合不良客服代理窃取了客户数据，要求支付2000万美元赎金，否则将公开所窃信息。该公司目前拥有超过1亿的客户数量。

内鬼协助，约百万客户敏感数据遭窃取。根据Coinbase向美国证券交易委员会（SEC）提交的文件显示，此次泄露的数据包括：

l 姓名、地址、电话和电子邮件；

l 打码后的社会安全号码（仅显示最后四位）；

l 打码后的银行账号和部分银行账户识别信息；

l 政府签发的身份证件图像（如驾照、护照）；

l 账户数据（账户余额快照和交易记录）；

l 部分公司内部资料（包括客服可见文件、培训材料和通信内容）。

Coinbase表示不会支付赎金，但将设立一项2000万美元的悬赏基金，征集任何有助于抓捕此次攻击组织者的线索。该公司估计，因补救措施和客户赔偿产生的总支出最多可能需要4亿美元（约合人民币28.8亿元）。

事件启示：本次涉事企业采取不支付赎金，设立悬赏基金的做法，反映出了不向不法分子低头的态度，这对于加强网络安全的建设是有积极意义的。同时我们也要看到，任何安全技术手段都需人来掌控，这也是网络安全防护的技管并重原则。在技术方面，需要投入安全设备，做到数据分类分级，且重点是对不同员工的访问控制权限进行合理配置。在管理方面，在当下安全防护技术快速进步的同时，更要加强人员的安全管理，提高安全防护意识，并建立有效的安全监控机制，充分发挥震慑作用，提高企业的网络安全防线。

https://www.secrss.com/articles/78803

4、某非法报纸被脱裤，高达3200万订阅者数据或受影响

近期，据威胁行为者声称，他们掌握了某报高达3200万条订阅者记录。这些数据据称包含用户的用户名、全名、电话、信用卡信息、账单地址、电子邮件、设备详情甚至GPS位置等高度敏感信息。

一份包含一千多行数据的样本已在网上流传。简单对样本进行了初步审查：数据显示了姓名、电话、地址、电子邮件、订阅详情、设备信息、位置（GPS坐标）和IP地址等。

样本数据显示受影响的用户遍布美国、加拿大、法国、英国、俄罗斯以及欧洲、美洲和亚洲的其他国家。

事件启示：数据安全不分国界，任何自然人的敏感信息都是高价值的数据，且网络攻击不分对象，只要存在利用价值就有被攻击的风险。本次事件的“脱裤”（托库）属于数据安全领域中发生的特别严重事件，是危险级别极高的。数据安全防护是个体系工程，但也不是没有体系就无计可施了，若该报社的数据库使用了数据库加密系统，或是数据脱敏系统等强有力的单点防护设备，则会大大降低本次事件的影响，因为即使被托库，其数据却是不可用的。

https://mp.weixin.qq.com/s/8AtkgnhlA581xvH2N6QUVw

5、重庆某医院小程序存在数据泄漏风险，被依法约谈

近日，据网信重庆报道：在市网信办指导下，重庆高新区网信办联合重庆高新区公安分局、公共服务局依法对属地某医院履行网络安全主体责任不到位的行为开展约谈。

经网络安全日常巡查，属地某医院小程序系统存在水平越权漏洞等网络安全问题，该漏洞存在患者敏感数据泄漏风险。重庆高新区网信办高度重视，迅速开展相关处置工作。

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，重庆高新区网信办在约谈中深刻剖析问题根源，阐明可能导致的不良影响和后果，责成该院严格落实网络安全主体责任，切实抓好整改，定期开展网络安全培训，持续加大安全投入。

事件启示：网络安全监管力度持续加大，且不再采用“事先通知”的模式进行落实。在此形势下，企事业单位要开展网络和数据安全的常态化自检，及时发现问题，使自身安全能力持续加固，以应对监管压力并更好的促进业务的持续健康发展。

https://mp.weixin.qq.com/s/F-GvevM75UGAIEHrAFYfyg

6、网络服务中断数小时，损失重大！广州某科技公司遭境外网络攻击

5月20日上午9时，广州市公安局天河区分局官方微博发布警情通报称，广州某科技公司自助设备的后台系统遭受网络攻击并被上传多份恶意代码。现已初步判定该事件为境外黑客组织发起的网络攻击活动。

攻击者利用技术手段绕过该公司的网络防护装置，非法进入自助设备的后台系统，通过横向移动渗透控制多台网络设备，向这些设备中的后台系统非法上传多份攻击程序，使其官方网站和部分业务系统受到影响，导致网络服务中断数小时，给公司造成了重大损失，部分用户隐私信息疑遭泄露。

事件启示：若企业疑似遭受不明网络攻击，第一时间应采取断网措施，同时在没有安全专业队伍的情况下应及时报警，并最大限度的保护“现场”。但这依然属于事后补救的传统方式，企业应主动进行网络安全与数据安全的建设，为企业的核心资产提供切实有效的防护能力。

https://mp.weixin.qq.com/s/lfc3qxKe38YilhZ29ANPjA

三、技术、产品与市场

1、国家数据局党组书记、局长刘烈宏出席2025数据安全发展大会

 5月17日，2025数据安全发展大会在浙江温州召开。国家数据局党组书记、局长刘烈宏出席并讲话，浙江省副省长、温州市委书记张振丰致辞。

刘烈宏就推动数据要素价值加速释放提出了三点意见：一是持续推进数据基础制度改革创新，加强数据要素综合试验区建设。二是加快健全数据流通利用基础设施，依托可信数据空间等技术试点，探索可复制、易推广、能持续的运营模式。三是大力推进数据要素市场化价值化实践，将海量数据资源优势转化为经济发展新动能。

大会分享了《共筑数据安全屏障，护航数字经济发展》《以可信计算为核心 构建数字经济时代的安全长城》等主旨演讲，并发布了《2025高质量数据集发展报告》。现场还举办了一些平台和创新实验室进行了揭牌仪式，包括：数源安全合规检测中心，数据安全警务指导中心，浙江（温州）医保数据安全实验室，中国（温州）数安港人民数据“数据要素×”联合实验室，中国（温州）数安港蚂蚁链公数数据创新实验室，温州瓯越数安实验室等。

https://baijiahao.baidu.com/s?id=1832632450382103654&wfr=spider&for=pc

2、免费下载——《GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求》

        近日，全国标准信息公共服务平台中，提供了《数据安全技术 敏感个人信息处理安全要求》下载能力。

《数据安全技术 敏感个人信息处理安全要求》涉及六章正文内容，以及附录A（敏感个人信息类别）和附录B（处理敏感个人信息取得个人书面同意模板）。详细内容包括敏感个人信息识别和界定、敏感个人信息处理通用安全要求和敏感个人信息处理特殊安全要求等。

https://openstd.samr.gov.cn/bzgk/std/newGbInfo?hcno=F9F3A2EBF49E9B4D73AD8C8912986D5A