一、政策形势
1、三部门发布《关键信息基础设施商用密码使用管理规定》
7月1日,国家密码管理局、国家互联网信息办公室、公安部发布《关键信息基础设施商用密码使用管理规定》(以下简称《办法》),自2025年8月1日起施行。
《办法》共二十五条,主要内容包括:
(一)总体要求。一是规定适用范围,即依据法律法规和国家有关规定认定的关键信息基础设施的商用密码使用管理,适用本规定。二是明确管理部门职责,涵盖国家密码管理部门、国家网信部门、国务院公安部门,以及县级以上地方各级密码管理部门与同级网信部门、公安机关。三是明确保护工作部门职责,包括监督管理本行业、本领域关键信息基础设施商用密码应用,加强规划和指导,报送有关情况等。
(二)运营者责任。一是明确运营者总体责任,即落实关键信息基础设施商用密码使用“三同步一评估”原则,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。二是分别规定运营者的制度、人员、经费保障责任,包括建立商用密码使用、应急处置、重大事件报告等制度,配备符合要求的密码相关专业人员并进行安全背景审查,定期组织密码相关业务技能培训,以及将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排等,从而为关键信息基础设施商用密码使用奠定坚实基础。
(三)商用密码使用具体要求。一是明确商用密码技术、产品、服务使用要求。规定关键信息基础设施使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。二是明确数据安全保护、个人信息保护要求。强调关键信息基础设施应当使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。三是细化规划、建设、运行等阶段商用密码使用要求以及过渡安排、商用密码应用安全性评估要求。建立起关键信息基础设施商用密码使用的程序闭环。
(四)监督检查及法律责任。一是规定商用密码运行安全管理责任。明确了建设国家级与行业级商用密码运行安全管理基础设施的责任。二是规定密码管理部门和保护工作部门的监督检查职权,同时申明运营者的配合义务与管理部门的保密义务。三是规定运营者的违法情形及法律责任,包括违反商用密码使用要求、违反安全审查要求、违反监督管理配合义务、违反商用密码保障责任等。四是规定监督管理人员的违法情形及法律责任。
(五)其他事项。规定了对关键信息基础设施商用密码使用的制度衔接,以及本规定的施行时间。
https://www.oscca.gov.cn/sca/xxgk/2025-06/27/content_1061270.shtml
2、国家互联网信息办公室发布《数据出境安全评估申报指南(第三版)》
近日,国家互联网信息办公室编制了《数据出境安全评估申报指南(第三版)》,对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化,明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。
数据处理者因业务需要向境外提供重要数据和个人信息,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》,按照申报指南申报数据出境安全评估。评估结果有效期届满,符合申请延长评估结果有效期条件的,数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。
数据处理者可以通过线上方式申报。请直接访问“数据出境申报系统”(网址:https://sjcj.cac.gov.cn),也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“数据出境申报系统”。
https://mp.weixin.qq.com/s/l__FnL-x1xNiA3kkcl-zIA
3、福建省印发《2025年数字福建工作要点》
近日,福建省印发《2025年数字福建工作要点》,提出围绕数字化全面赋能这条主线,聚焦服务政府、社会、市场三大主体,实施五大行动,扎实推进数字中国建设综合试点,以数字化助力福建在中国式现代化建设中奋勇争先。
(一)实施数字峰会拓展提升行动。聚焦数字福建建设25周年,举办论坛和主题交流等系列活动。围绕人工智能、数据产业、数字赋能、脑机接口、低空经济等方向,谋划储备一批数字经济项目。
(二)实施数字基础能力提升行动。提升网络基础设施能力,深化“信号升格”“宽带边疆”行动,新建5G基站1万个以上、10GPON端口6万个以上,实现双千兆城市100%覆盖及重点行政村普遍覆盖;启动“万兆筑城”计划,推进福州、厦门、泉州等重点城市全光万兆建设实施。提升算力基础设施能力,升级省一体化算力资源公共服务平台,推动建设全省“一跳直达”的数据中心直连网络,力争全省算力规模达到6000P。布局数据流通利用基础设施建设,启动建设省级“数通八闽”服务平台,开展数据基础设施技术路线试点,推进“数联网”试点建设。推进海丝星座建设及组网运营,加快传统基础设施智能化改造。
(三)实施数据要素市场培育行动。优化升级省一体化公共数据平台,提升公共数据供给能力。建立公共数据资源登记制度,建设公共数据资源登记平台,深化公共数据开发利用。加快推动数据流通交易。
(四)实施数字赋能千行百业行动。开展数字科技创新和产业创新深度融合工程、政务服务矩阵完善提升工程、数字赋能文旅发展工程、数字赋能生态文明建设工程、数字生态优化工程。
(五)实施数字安全保障提升行动。升级完善安全保障体系,深化信息技术应用创新,提升密码应用安全。
https://mp.weixin.qq.com/s/VYo-pYP7R8KhON_MnF2PUg
4、湖南省印发《湖南省2025年政务服务和数据工作要点》
近日,数字湖南建设领导小组印发《湖南省2025年政务服务和数据工作要点》,文件提出了以下几个方面工作要点。
一、政务服务优化
“高效办成一件事”
建立重点事项清单管理和常态化推进机制,推动表单“免填报”、材料“免提交”,推广政务大模型技术提升智能化水平。
在自贸区长沙片区试点工程机械维修出口等场景,实现“一窗通办”。
“一窗受理”改革
探索全省县级以上政务服务中心全覆盖“一窗受理”所有政务服务事项。
二、数据共享与管理
政务数据整合
建成省大数据总枢纽2.0,撤销非涉密“点对点”共享通道,统一通过总枢纽集中共享。
推动政务数据“一本账”管理,归集自然人、法人等基础数据库,实现“系统—目录—数据”联动。
基层减负
依托“湘办通”平台,推动基层报表“只报一次”,通过数据共享实现减填、免填。
三、数字平台升级
“湘易办”3.0版
整合各级政务服务移动端至“湘易办”,关闭独立入口;市州专区接入不少于100项高频服务,实现五级党政机关全覆盖。
“一网通办”扩面
推进“一网通办”统一受理和数据汇聚,一网通办率达到90%。
四、数据要素市场培育
法规与机制建设
推动《湖南省数据条例》立法,探索数据产权“三权分置”机制,制定公共数据授权运营规则。
场景应用与交易
纵深开展“数据要素×”行动,打造12个重点赛道应用场景;促进湖南大数据交易所与全国机构互认互通。
五、安全保障与基建
安全底线
建立数据安全全生命周期制度体系,建设防护平台。
https://www.hunan.gov.cn/hnszf/xxgk/tzgg/swszf/202503/t20250326_33623150.html
5、宁波市印发《宁波市公共数据开放工作实施细则(试行)》
为规范和促进公共数据开放利用和统一管理,健全公共数据开放政策体系,推动公共数据向更广范围、更深层次、更高质量开放,发挥公共数据开放在赋能经济发展、社会治理等领域的重要作用,近日,宁波市数据局印发《宁波市公共数据开放工作实施细则(试行)》(以下简称《实施细则》),自2025年8月1日起施行,有效期至2028年7月31日。
《实施细则》主要内容包括:
(一) 关于总则
Ø 明确了《细则》的适用范围
Ø 构建了由公共数据主管部门、开放主体、利用主体组成的工作体系,并细化各方职责分工
(二) 关于数据开放
Ø 明确了公共数据开放的范围、载体、开放属性及动态调整规则
Ø 规范了目录编制、年度计划制定、开放清单管理;细化了从数据编目、归集、脱敏到发布、更新、下架的全流程实施步骤
(三) 关于数据获取
Ø 明确了无条件开放类数据可直接下载或接口调用,受限开放类数据通过授权运营获取
Ø 规定了公平开放原则,禁止设置歧视性条件
(四) 关于数据利用
Ø 规定了数据下载、接口调用等利用形式
Ø 明确了利用主体需反馈利用情况、标注数据来源等要求;规定了违规利用的情形及处置措施
(五) 关于开放服务
Ø 明确了为数据利用者提供的服务,包括信息发布、应用成果发布、权益保护、数据需求、体验优化和社会数据开放等内容
(六) 关于安全管理
Ø 明确了多部门协同的安全管理机制
Ø 规范了开放前安全审查流程
Ø 强化了开放平台安全防护要求
Ø 建立了安全监测和风险防控机制等
(七) 关于保障措施
Ø 强化了组织保障要求,明确首席数据官和数据专员负责本单位数据开放工作
Ø 建立常态化培训机制和监测评估机制
https://mp.weixin.qq.com/s/PXcyJ5yp9UpZKNtYTLlTFw
二、数据安全事件
1、个人隐私数据沦为“跨境商品”,5名“数据黄牛”落网
近日,永定公安大数据实战中心成功破获一起侵犯公民个人信息案,铲除一个在境外平台使用虚拟货币购买再倒卖公民信息的网络犯罪团伙,抓获犯罪嫌疑人5名,扣押涉案电脑、手机20台。
经查,犯罪嫌疑人以百元至千元不等的价格在国内某购物软件上承接贩卖身份证复印件、名下财产、婚姻状况等公民个人信息的相关业务,随后使用虚拟货币在境外平台库以及境外社交软件获取信息,再“二手”倒卖从中获取利润。该团伙自5月初贩卖公民个人信息以来,仅一个多月“获利”10万余元。
目前,毛某等5人以侵犯公民个人信息罪被依法采取刑事拘留强制措施。
《中华人民共和国刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或提供公民个人信息,情节严重的,处三年以下有期徒刑或拘役,并处或单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《网络安全法》第四十四条:任何个人或组织不得非法获取、出售或向他人提供个人信息,违者将依法承担民事责任、行政处罚或刑事责任。
《个人信息保护法》第十条:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或公开他人个人信息。
https://zjj.rednet.cn/nograb/646941/83/15089490.html
2、违反信用信息采集与提供,上海华瑞银行被行政处罚
近日,上海华瑞银行因“违反信用信息采集、提供、查询及相关管理规定”,被中国人民银行上海市分行处以29.64万元罚款,处罚日期为6月26日,公示期为3年。
据企业公开信息统计,华瑞银行自开业以来累计罚没金额已达1598.34万元,在民营银行中,其合规风险暴露的频率与金额尤为突出。
合规漏洞频发,客户莫名成巨额贷款保证人
2024年10月,华瑞银行因信贷人员操作失误,导致客户李素芬在不知情的情况下成为上海理业供应链管理有限公司3.96亿元贷款的保证人。李素芬是在人民银行查询征信时,才发现自己莫名成为该笔贷款的担保人。这一事件暴露了华瑞银行在流程监控与员工培训方面的严重不足,折射出该行在征信管理、信贷审批等核心环节的内控失效。
华瑞银行的事件并非孤例。它是一面镜子,映照出在强监管时代下,银行业特别是中小银行、民营银行所面临的本质拷问:当合规成本日益刚性、风险定价日趋透明,依赖高息揽储、激进放贷、监管套利的粗放模式是否还能持续?随着助贷新规的出台实施以及中小银行跨区域经营进一步受到限制,民营银行的发展愈发艰难。而合规经营与可持续发展才是民营银行在激烈竞争中立足的根本。
https://baijiahao.baidu.com/s?id=1836215338169500404&wfr=spider&for=pc
3、MongoDB数据库爆出OIDC 身份验证漏洞(CVE-2025-6709)
近日,MongoDB数据库被爆出 OIDC 身份验证中日期输入处理缺陷引发预认证 DoS 漏洞(CVE-2025-6709)。该漏洞影响多个版本的MongoDB服务器。攻击者可通过发送恶意JSON负载触发OIDC身份验证中的预认证拒绝服务(DoS)漏洞,导致数据库实例崩溃。该漏洞的高CVSS评分(7.5)及无需认证的利用特点,使其成为当前数据库安全领域亟需关注的重要威胁。
https://cyberpress.org/mongodb-server-pre-authentication-bug/
4、间谍利用Word漏洞窃取科研数据
一封看似普通的“研究生申请邮件”暗藏致命陷阱:境外间谍伪装学生发送加密简历,实为窃取国防机密的特制病毒。记住:真正的学术交流光明磊落,所有要求加密传输的“简历”都可能是一把刺向国家安全的暗刃。
当你收到学生发来的简历文档时,是否想过这可能是境外间谍精心布置的陷阱?近期国家安全部披露的这起真实案例,给所有人敲响了警钟。
学术外衣下的双重陷阱
杨教授遭遇的这封"研究申请"邮件堪称教科书级的间谍剧本:自称在读硕士的"小王"用模糊措辞试探,在教授要求简历后,立即发送加密Word文档,密码"贴心"附在正文。看似寻常的操作背后,暗藏两个致命杀招:
定向钓鱼:当杨教授追问研究方向时,对方直接暴露目标"舰船装备",直指国防军工敏感领域
木马程序:所谓简历实为特制病毒,一旦打开就会让攻击者远程控制电脑,如同把保险柜钥匙交给窃贼
5个细节秒识破钓鱼邮件
从这起案件可以总结出境外间谍的典型破绽:
身份矛盾:自称研究生却无学籍信息,专业与导师领域毫不相关;
文档异常:正常简历无需加密,更不会将密码明文发送;
诱导话术:用"学术交流""合作研究"等名义套取敏感信息;
急迫语气:频繁催促尽快打开附件或点击链接;
错漏伪装:发件邮箱常伪装成教育机构,但仔细核对会发现拼写错误。
每个人都是国安防线
这起未遂的窃密事件中,杨教授的三个动作堪称典范:保持专业警惕、发现矛盾立即核实、第一时间上报。国家安全部特别提醒,核心涉密人员需做到"五不原则":不点陌生链接、不装可疑软件、不连公共WiFi、不存机密信息、不带智能设备进入涉密场所。
在这个看不见硝烟的网络战场,每台电脑都是前沿阵地。记住:真正的学术交流光明磊落,所有要求加密传输的"简历",都可能是一把刺向国家安全的暗刃。
https://baijiahao.baidu.com/s?id=1835142619978647674&wfr=spider&for=pc
三、技术、产品与市场
1、2025上半年“可信数据库”测试结果公布
近日,中国信息通信研究院2025上半年“可信数据库”评估测试落下帷幕。经多方行业专家评审,本批次共24家企业的28款产品或服务通过了31项评估测试。
本次通过分布式数据库运维管理能力成熟度模型评估的包括2家用户单位;通过数据库服务能力成熟度模型-运维运营专项评估的包括1家数据库服务提供方;通过数据库服务能力成熟度模型-规划设计专项评估的包括1家数据库服务提供方;通过SQL质量管理平台分级基础能力评估的包括1家数据库服务提供方;通过基础能力测试的包括1款数据库运维智能体、4款向量数据库、1款多模数据库、1款基于AI大模型的数据库开发管理工具、2款防篡改数据库、2款时序数据库、1款全密态数据库、1款事务分析混合型(HTAP)数据库、1款分布式分析型数据库(大规模)、1款分布式事务型数据库、1款图数据库、2款数据库管理平台;通过关系型数据库安全专项测试的包括2款关系型数据库;通过性能专项测试的包括3款向量数据库、1款键值数据库;通过稳定性专项测试的包括1款分布式事务型数据库、1款事务型数据库。
https://mp.weixin.qq.com/s/U_vbgPa7Gi6x78vLqnFiMA
2、2025全球数字经济大会7月2日在京开幕
7月2日,2025全球数字经济大会在国家会议中心启幕。本届大会全面展现北京建设全球数字经济标杆城市工作成果,将打造“永不落幕”的常态化办会模式。
大会以“建设数字友好城市”为主题,紧扣“技术友好、发展友好、市民友好、生态友好、设施友好、安全友好、文化友好、合作友好”等八个维度,打造“1+6+N”活动框架。7月2日至5日,将有60余场论坛、活动举办。
具体来看,大会设置一场开幕式、6场聚焦人工智能、数据要素等硬核议题的主论坛,围绕人工智能融合应用、数字安全、数据要素重要领域等举办46场专题论坛,其中数字医疗、低空经济等新兴领域为新增专题论坛。
数据要素是数字经济的“核心引擎”,今年大会六大主论坛之一的数据要素发展论坛,主题为“以改革创新加速数据价值释放”,将通过创新成果展示、中外嘉宾思想碰撞、圆桌对话交流、区域合作等形式,共同探索数据“供、流、用、安”等发展趋势,突出“战略导向、成果展示、深度交流、生态协同、国际合作”五大特色。
2025年大会实现跨越式创新:首次提出“数字友好”核心主题,推动数字技术像水电一样安全、便捷地融入城市生活,构建“技术与人、城市与生态”和谐共生的新生态。
https://www.beijing.gov.cn/fuwu/lqfw/ztzl/2025szjj/dhzx/202507/t20250702_4139920.html
