数据安全每周观察|保守国家秘密法实施条例正式签署发布

政策趋势

一、李强签署国务院令，公布修订版《中华人民共和国保守国家秘密法实施条例》

近日，国务院总理李强日前签署国务院令，公布修订后的《中华人民共和国保守国家秘密法实施条例》，自2024年9月1日起施行。《条例》深入贯彻党中央关于保密工作的决策部署，进一步落实2024年2月修订公布的《中华人民共和国保守国家秘密法》有关规定，共6章74条，其中：

第四十三条机关、单位应当承担涉密数据安全保护责任，涉密数据收集、存储、使用、加工、传输、提供等处理活动应当符合国家保密规定。省级以上保密行政管理部门应当会同有关部门建立动态监测、综合评估等安全保密防控机制，指导机关、单位落实安全保密防控措施，防范数据汇聚、关联引发的泄密风险。机关、单位应当对汇聚、关联后属于国家秘密事项的数据依法加强安全管理，落实安全保密防控措施。

第六十七条机关、单位违反保密法律法规发生泄密案件，有未依法履行涉密数据安全管理责任等情形的，根据情节轻重，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任。

二、三中全会《决定》里提到的“数据安全”

中国共产党第二十届中央委员会第三次全体会议通过的《中共中央关于进一步全面深化改革　推进中国式现代化的决定》共15部分60条，多次提到“数据”“数字”等数据要素关键词，提出了全国一体化技术和数据市场、加快构建促进数字经济发展体制机制、完善促进数字产业化和产业数字化政策体系、建设和运营国家数据基础设施等重要改革举措。

数据要素相关改革举措的内容提要强调，要加快构建促进数字经济发展体制机制，完善促进数字产业化和产业数字化政策体系。加快新一代信息技术全方位全链条普及应用，发展工业互联网，打造具有国际竞争力的数字产业集群。促进平台经济创新发展，健全平台经济常态化监管制度。建设和运营国家数据基础设施，促进数据共享。加快建立数据产权归属认定、市场交易、权益分配、利益保护制度，提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制。加强网络安全体制建设，建立人工智能安全监管制度。

三、北京市通信管理局 北京市经济和信息化局关于印发《北京车联网安全筑基工作方案》的通知

为全面提升本市车联网安全水平，筑牢车联网网络安全防线，护航新型工业化和新时代汽车强国建设，近日，北京市通信管理局、北京市经济和信息化局联合开展车联网安全筑基行动，并印发《北京车联网安全筑基工作方案》。

此次行动以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神，统筹发展与安全，坚持问题导向、目标导向，构建车联网网络安全安全保障体系，扎实高效推进车联网安全管理制度机制建设，开展网络安全威胁检测和通报处置，提升监管效能，更好推动本市车联网企业落实安全主体责任，以网络安全、数据安全护航北京车联网产业高质量发展。

《方案》主要任务强调，要健全数据全生命周期安全管理制度。强化重要数据和个人用户数据安全管理。落实车联网数据安全风险评估。加强合作方数据安全管理。提升数据安全风险监测及应急处置能力。加强辅助和自动驾驶算法安全风险检测评估及技术保障能力建设。加强数据安全人才队伍建设。

监管动态

一、广西一物业服务公司不履行个人信息保护义务被处罚

在全国夏季治安打击整治专项行动中，广西河池市东兰县公安局民警收到群众反映，购房后经常收到装修公司的电话或短信骚扰，怀疑个人信息被泄露。

民警走访后发现，东兰县某物业服务公司在物业管理过程中大量采集业主公民个人信息共计400余条，包含姓名、身份证号码、电话、家庭住址等，但公司未对存储公民个人信息的计算机进行安全管理，未制定内部管理制度和操作规范。该物业公司未履行个人信息保护义务，存在个人信息泄露安全隐患。

经查，该物业服务公司涉嫌违反《中华人民共和国个人信息保护法》之规定，涉嫌不履行个人信息保护义务，对其进行行政处罚，并要求现场整改。

警方提醒：广大收集、存储、处理个人信息的单位、企业，在处理公民个人信息过程中应当采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限等办法，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

同时，公民个人要树立信息保护意识，做到不随意提供、分享、丢弃个人信息，妥善保管好包含个人信息的票据、面单等，不在街头路边参与泄露个人信息的促销活动、不随意连接公共网络、更换电子设备前进行技术处理等。

二、两江新区开展个人信息保护专项治理工作

7月以来，两江新区宣传部（网信办）联合现服局、城管局、市场监管局，以及属地街道和国有公司，开展扫码消费个人信息保护专项治理工作，对餐饮、停车、商超购物等扫码消费场景中个人信息收集不规范行为进行整治。

整治发现，部分停车场存在用户本来只想扫码支付停车费，但在付费之前，还必须要先来一遍＂关注公众号、输入手机号、加入会员、注册登录＂等等一整套程序，这显然是在过度采集个人信息。

针对扫码消费场景中个人信息过度采集、强制收集、诱导索取、违规使用等情况，两江新区宣传部（网信办）整合新区各部门力量，构建上下联动、多方参与的＂新＂治理格局，采取举报监督、执法检查、公益诉讼、媒体监督等多种方式，分阶段、分重点、分领域打击消费场景个人信息过度采集和肆意滥用乱象，重点整治侵害个人信息权益的违法违规行为，多措并举，切实维护消费者的合法权益。

两江新区网信办表示，将联合主管部门持续聚焦餐饮、停车、商超购物三类社会关注度高、个人信息保护问题突出的扫码消费场景，重点整治四类突出问题，强化个人信息处理者合规意识，督促指导个人信息处理者履行法律责任，做到个人信息采之有界、用之有度、护之有责。

三、Trello被黑客攻击，泄露1500万用户数据

近日，有黑客发布了与 Trello 账户相关的 1500 万个电子邮件地址，这些地址是今年 1 月被 API 收集到的。当时有一个名为「emo」的威胁行为者在一个流行的黑客论坛上出售 15 万个 Trello 会员的资料。

虽然这些档案中的数据几乎都是公开信息，但每个档案还额外包含一个与账户相关的非公开电子邮件地址。虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但这些数据是通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询配置文件的公共信息。

emo 创建了一个包含 5 亿个电子邮件地址的列表，并将其输入 API 以确定它们是否与 Trello 帐户有关联。然后将该列表与返回的账户信息相结合，创建了超过 1500 万用户的会员档案。7月17日，emo 在 Breached 黑客论坛上以 8 个网站信用点，价值 2.32 美元的价格分享了15万个配置文件列表。

据悉，此次泄露的数据包括电子邮件地址和公共 Trello 帐户信息，其中包括用户的全名。这些信息可用于有针对性的网络钓鱼攻击，以窃取更敏感的信息，如密码。Emo 还表示，这些数据可用于「dxxing」，使威胁行为者能够将电子邮件地址与个人及其别名联系起来。

如今，不安全的 API 已成为威胁行为者的热门攻击目标，他们滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。2021 年，有黑客曾滥用 API 将电话号码与 Facebook 账户链接，创建了 5.33 亿用户的个人资料。2022 年，Twitter 也曝出了类似的漏洞，黑客通过滥用 API 获取到了数百万用户的电话号码和电子邮件地址。这些数据可以揭露在社交媒体上匿名发帖的人的身份，从而带来巨大的隐私风险。最近，有人利用不安全的 Twilio API 获取了 3300 万 Authy 多因素身份验证应用程序用户的电话号码。目前有很多企业组织都试图使用速率限制来保护 API，而不再是通过 API 密钥进行身份验证。
但只要黑客购买数百个代理服务器，并轮流连接以不断查询 API，那么速率限制就会毫无用处。

四、数据泄漏论坛发生数据泄漏：20万BreachForums会员曝光

BreachForums v1黑客论坛的私密会员信息近日在网络上被曝光，为威胁行为者和研究人员提供了深入了解该论坛用户的机会。

BreachForums是规模最大最知名的数据泄漏平台这一，但该论坛并非单一实体，而是多个以数据收集者和威胁行为者社区为依托，进行数据交易、销售和泄露的论坛的统称。这些论坛的鼻祖是RaidForums，但在2022年被FBI查封后，名为Pompompurin的威胁行为者推出了BreachForums（亦称为Breached），以填补市场空缺。BreachForums迅速崛起后，其成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood和通过暴露的API泄露的Twitter数据。然而，在D.C. Health Link数据泄露后不久，论坛所有者Conor Fitzpatrick，即Pompompurin，在2023年3月被FBI逮捕。

此后，该论坛的多个版本被创建并被执法部门查封。最新版本由ShinyHunters（现已转交给新管理员）推出，至今仍在运营。Fitzpatrick在2024年1月因违反其审前释放条件（包括使用未受监控的计算机和VPN）再次被捕。目前尚不清楚这是否与他试图出售BreachForums数据有关。

2023年7月，一个名为'breached_db_person'的人士试图在黑客论坛上以10万至15万美元的价格出售论坛数据库。卖家还与Troy Hunt分享了出售的数据，Hunt透露，这些数据包括Emo泄露的数据和其他数据库记录。Hunt随后将这些信息添加到了Have I Been Pwned数据泄露通知服务中。泄露的数据包含论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及最后一次访问网站的IP地址。BleepingComputer分析了数据库，并确认它包含了许多在原始BreachForums上有账户的研究人员的准确信息。这些泄漏数据似乎是手动导出的，不是MyBB论坛数据库格式，而是用制表符分隔值导出。尽管数据库很可能在论坛被查封后已经落入执法部门手中，但这些数据对于安全研究人员创建威胁行为者画像仍然有用。利用泄露的电子邮件地址和IP地址，研究人员和执法部门可以将BreachForums成员与其他网站、他们的地理位置以及可能的真实姓名联系起来。

同样，2023年5月，RaidForums论坛47.8万名成员数据的数据库也被泄露到网上。

五、美国政府最大IT服务商发生严重数据泄漏

近日，有报道称，黑客泄露了从美国政府最大IT服务提供商之一的Leidos Holdings Inc.公司窃取的内部文件，Leidos正在对此事进行调查，并认为这些文件是在此前披露的第三方供应商数据泄漏事件中被盗的。

Leidos 为美国重要政府部门提供服务，包括美国国防部(DOD)、国土安全部(DHS)、NASA及其他美国和外国机构以及商业企业。本月初，Leidos刚从NASA获得了一份价值4.76亿美元的合同，为该航天局的国际空间站 (ISS) 计划和阿尔特弥斯计划提供货运任务工程和集成服务。同时，该公司还获得了美国空军一份价值7.38亿美元的后续合同，为空军总部、太空部队总部、华盛顿空军区以及美国首都地区的其他空军部活动和任务提供企业 IT 和电信支持，包括网络安全。鉴于所涉信息的敏感性，Leidos此次泄密事件引发了极大担忧。

业界之声

一、上海数交所创新探索数据资产基础设施，支撑五大核心功能建设

为贯彻落实国务院新闻办公室“推动高质量发展”系列主题新闻发布会议精神，上海数据交易所依托浦东综合改革试点机遇，在全国率先开启数据资产交易市场，促进数据要素市场与金融要素市场联动发展。

上海数据交易所基于一项规范、五项指引的数据资产交易制度体系，按照“规范、透明、公开”以及“真实可信、合规可控、记录可溯、创新可拓”的原则，打造登记、估值、交易、披露、处置五项核心功能，建设包含数据资产交易服务系统、数据资产链、DCB数据资产桥等基础设施的数据资产交易平台，该平台综合利用区块链、人工智能、隐私计算等技术手段，构建数字身份标准体系、多维标识解析标准体系、数据服务代理标准体系和数据资产管理标准体系，建设智能合约数据连接能力、智能合约数据资产交易能力、数据空间连接器能力、插拔式数据隐私交付能力、可信数据安全服务能力，提供更为透明、高效的交易服务和技术支持，确保数据资产可管控、可追溯、可计量和可分配，降低资产准备成本、资产交易成本、资产监管成本，保障数据资产交易市场的高效规范运行。

二、“推动高质量发展”系列主题新闻发布会顺利举行

国新办近日举行“推动高质量发展”系列主题新闻发布会，发布会强调，国家数据局将深入贯彻落实二十届三中全会精神，坚持以数据要素市场化配置改革为主线，完善数据要素市场制度和规则，培育全国一体化数据市场，促进数据要素开发利用。

会议指出，今年数博会定于8月28—30日在贵州省贵阳市举办，将以“数智共生：开创数字经济高质量发展新未来”为主题，围绕数字经济新赛道、数据基础制度、数据赋能3个方向，聚焦产业发展、数据空间、国际合作、人工智能、数字化转型、数据流通、数字政务、数字乡村、算力协同、数据安全等主题开展行业交流活动，评选发布重磅领先科技成果。

会议强调，国家数据局将坚持以制度建设为主线，加强顶层设计、总体谋划，抓好数据产权、流通交易、收益分配、安全治理等政策制定，加快构建适应数据要素特征、符合市场规律、契合发展需要的基础制度。加快推动数据基础设施布局，深入实施“东数西算”工程，推动构建全国一体化算力网，在算力布局、网络传输、监测调度、算电协同、安全防护等方面取得积极进展。研究发展壮大数据标注产业发展的政策举措，发布了承担数据标注基地建设任务的城市名单。研究制定数据基础设施建设指引，部署开展数据流通利用基础设施试点，打造安全可信流通利用环境。同时，支持和配合各地区各部门加大公共数据资源开发开放，围绕部省协同、政企合作，联合相关部门、地区和经营主体开展伙伴行动，共同打造数据资源“供得出、流得动，用得好，保安全”的良好生态。

三、国家网络与信息安全信息通报机制2024年度全体会议在京召开

近日，国家网络与信息安全信息通报中心在京组织召开国家网络与信息安全信息通报机制2024年度全体会议，深入分析当前网络安全工作面临的形势和存在的问题，交流学习网络安全信息通报工作优秀经验做法，研究部署国家网络安全重点工作。

会议强调，要树立“网络空间大安全”理念，紧紧围绕服务国家网络安全工作大局，充分依托国家网络与信息安全信息通报机制，发挥各自职能优势、资源优势、技术优势，不断增强网络安全工作的系统性、整体性，构建全域联动、协同高效的国家级网络安全防御体系。

会议要求，要锻造过硬本领，全面落实网络安全主体责任、主管责任、监管责任，加强对网络安全工作的前瞻性思考、全局性谋划、整体性推进，保持敏感敏锐，坚持主动作为，强化运行体系、预警预防、信息共享等方面工作，以更实举措确保网络安全取得更大成效。

四、关于开展数据跨境流动管理政策宣讲的通知

为深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规，帮助和指导企业更好理解和把握数据出境管理政策要求，提升数据出境安全合规能力，依法依规开展数据出境活动，中央网信办拟7月30日在成都举办“数据跨境流动管理政策宣讲专题会（川渝专场）”，解读数据出境管理政策、标准和实践案例。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。