数据安全每周观察|国家数据基础设施建设指引公开征求意见

政策趋势

一

《国家数据基础设施建设指引（征求意见稿）》向社会公开征求意见

为贯彻落实党的二十届三中全会关于“建设和运营国家数据基础设施，促进数据共享”的改革任务，国家数据局会同国家发展改革委、工业和信息化部，立足当前发展实际，组织起草了《国家数据基础设施建设指引（征求意见稿）》，现向社会公开征求意见。

《指引》明确主要目标：国家数据基础设施是数据基础制度和先进技术落地的重要载体。在数据流通利用方面，建成支持全国一体化数据市场、保障数据安全自由流动的流通利用设施，形成协同联动、规模流通、高效利用、规范可信的数据流通利用公共服务体系；在算力底座方面，构建多元异构、高效调度、智能随需、绿色安全的高质量算力供给体系；在网络支撑方面，构建泛在灵活接入、高速可靠传输、动态弹性调度的数据高速传输网络；在安全方面，构建整体、动态、内生的安全防护体系；在应用方面，支持传统行业转型升级，赋能人工智能等新兴产业发展。总体实现“汇通海量数据，惠及千行百业，慧见数字未来”的美好愿景。

《指引》总体功能要求做到动态全面的安全保障，即数据采集、汇聚、传输、加工、流通、利用、运营等多样化活动，涉及多方主体、多个环节，需要在开放环境下对数据进行整体、动态保护。国家数据基础设施需要构建标准化、多层次、全方位的安全防护框架，推动安全防护由静态保护向动态保护、由边界安全向内生安全、由封闭环境保护向开放环境保护转变，形成贯穿数据全生命周期各环节的动态安全防护能力，系统保障数据基础设施相关的网络、算力、数据安全。

图1 国家数据基础设施总体架构图

《指引》指出，国家数据基础设施安全保障体系建设重点是构建多层次、全方位、立体化的国家数据基础设施安全保障框架，贯穿数据生命周期全流程，帮助各参与方提升数据安全保障能力，确保数据的可信性、完整性和安全性。要在国家数据基础设施安全保障层面，实现可信接入、安全互联、跨域管控和全栈防护等安全管理，建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力，提供芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。加强对合作伙伴、运维人员、平台用户等数据安全内部风险的防范应对。加强对入侵渗透、拒绝服务、数据窃取、勒索投毒等外部威胁的应急响应。在数据流通利用安全层面，综合利用隐私保护计算、区块链、数据使用控制等技术手段，保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等，规避数据隐私泄露、违规滥用等风险。加强算法、模型、数据的安全审计，增强模型鲁棒性和安全性，保证高价值、高敏感数据“可用不可见”“可控可计量”“可溯可审计”，确保贯穿数据全生命周期各环节安全。

二

17家单位联合发布《工业和信息化领域数据安全合规指引》

为引导工业和信息化领域数据处理者合法合规开展数据处理活动，履行数据安全保护义务，保障数据安全，保护个人、组织的合法权益，维护国家主权、安全和发展利益，近日，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位，根据我国现行数据安全法律法规以及工业和信息化领域相关政策标准组织编制并印发《工业和信息化领域数据安全合规指引》。

《指引》聚焦数据处理者在履行数据安全保护义务过程中的难点问题，明确数据安全合规依据，提供实务指引，旨在贯彻落实《数据安全法》、《网络数据安全管理条例》、《工业和信息化领域数据安全管理办法（试行）》等法律政策要求，引导工业和信息化领域数据处理者规范开展数据处理活动，有利于支撑数据处理者全面、准确、规范开展数据安全合规管理，提升数据安全保护能力。适用于工业和信息化领域数据处理者开展数据处理活动全生命周期安全保护工作。数据处理过程中涉及工业和信息化领域数据的其他有关主体，可参照本指引落实数据安全责任义务。

三

《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》等多项国标公开征集参编单位

为切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求，全国网安标委公开征集多项标准参编单位：

《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》；

《网络安全技术 开放的第三方资源授权协议框架》；

《网络安全技术 关键信息基础设施安全监测预警实施指南》；

《网络安全技术 零信任能力成熟度模型》；

《数据安全技术 未成年人产品和服务个人信息保护要求》。

四

《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布

为落实《全球数据跨境流动合作倡议》，促进粤港澳大湾区个人信息跨境安全有序流动，全国网络安全标准化委员会秘书处联合香港私隐公署编制了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。

《指南》规定：粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

五

《2024年全球发展倡议数字合作论坛主席声明》发布

近日，2024年全球发展倡议数字合作论坛于世界互联网大会乌镇峰会期间在浙江乌镇举行。论坛发布了《2024年全球发展倡议数字合作论坛主席声明》。

《声明》高度评价全球发展倡议提出三年来在推动构建人类命运共同体、加快实现可持续发展目标等方面的积极作用，概括了当前全球数字合作面临的新形势新挑战，重点聚焦“加强普惠合作，助力数字经济可持续发展”“推进数字治理，打造开放包容数字新格局”“深化交流互鉴，共创美好数字未来”等三个方面，提出9项对策举措，积极回应国际社会关切，进一步凝聚全球发展倡议数字领域合作共识与合力，为全球数字治理与合作提出中国方案，贡献中国智慧。

2021年，中国国家主席习近平提出的全球发展倡议，是新时代中国向国际社会提供的重要公共产品，是人类命运共同体理念在全球发展领域的重要实践。中方始终致力于推进全球数字合作走深走实，于2022年和2023年连续两年举办全球发展倡议数字合作论坛，倡导深化全球数字合作，共享数字发展机遇，推动全球平衡协调包容发展，携手构建网络空间命运共同体。2024年，全球数字合作持续深化，合作领域不断拓展，合作成果日益显著，但也面临全球数字产业链供应链安全风险上升、人工智能应用风险突显、数据跨境流动受阻等问题和挑战。面对新形势新挑战，我们呼吁：

加强普惠合作，助力数字经济可持续发展。广泛开展跨国数字基础设施项目合作，大力推动全球通信基础设施建设，积极促进全球算力基础设施建设平衡部署，有效提升全球数字新基建互联互通水平；深入开展包容普惠国际数字合作，大力推动科技创新与成果应用，推进数字技术同实体经济深度融合，加强产业链供应链国际合作，优化提升全球数字产业链供应链安全保障水平，促进全球数字经济高质量发展；积极开展数据要素的国际互通合作，加强数据互联互通，弥合数据流通分歧。倡导各方支持中方提出的《全球数据跨境流动合作倡议》《全球数据安全倡议》，推动全球数据跨境流动合作，携手构建开放共赢的数据领域国际合作格局。

推进数字治理，打造开放包容数字新格局。加强国家间数字领域政策法规协调，推动数字国际规则和数字技术标准制定，推进全球数字治理体系更加公正合理，共同开创全球数字治理新局面，灵活应对数字时代挑战；鼓励引导人工智能等新技术新应用坚持“以人为本 智能向善”，培育安全、可靠、公平、透明的人工智能技术研发和应用生态，持续深化在技术标准、伦理准则、法律法规方面的国际交流合作，推动形成具有广泛共识的全球人工智能治理体系；携手打造开放、公平、公正、非歧视的数字营商环境，积极维护全球信息技术产品和服务的供应链开放、安全、稳定，为数字经济公平、健康、普惠发展提供环境支持，为各国企业提供更多市场机遇、投资机遇、发展机遇，为世界经济增长注入持久动力。

深化交流互鉴，共创美好数字未来。持联合国在全球发展合作中发挥统筹协调作用，鼓励在联合国等多边框架下打造更多惠及发展中国家的数字发展合作项目，加快落实联合国2030年可持续发展议程及《全球数字契约》；深化多边多方交流互鉴，鼓励支持各国各地区积极参与全球性区域性行业性数字合作，共建团结、平等、均衡、普惠的全球发展伙伴关系。提升全球南方国家在全球数字治理中的代表性和发言权，开展包容平等的国际数字合作，弥合数字鸿沟；加强数字能力建设与人才交流务实合作，推动国家间信息资源开放共享，开展数字人才联合培养，不断提高全民数字素养与技能，让全民共享数字红利和幸福美好数字未来。

六

北京市互联网信息办公室、北京市经济和信息化局、北京市通信管理局联合开展2024年度汽车数据安全管理情况等报送工作

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》，北京市互联网信息办公室、北京市经济和信息化局、北京市通信管理局联合组织开展2024年度北京市汽车数据安全管理情况等报送工作。

报送对象为注册地为北京地区且开展重要数据处理活动的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。（“重要数据”参考《汽车数据安全管理若干规定（试行）》第三条中有关重要数据识别的定义）

报送内容包含：2024年度汽车数据安全管理情况报告；风险评估报告；开展重要数据处理活动的汽车数据处理者情况表。

七

辽宁省工信厅印发《辽宁省工业领域数据安全能力提升实施方案 （2024-2026年）》

为加快提升省工业领域数据安全保护能力，夯实新型工业化发展的安全基石，近日，辽宁省工业和信息化厅按照工业和信息化部《工业领域数据安全能力提升实施方案（2024-2026年）》（工信部网安〔2024〕34号）安排部署，结合工作实际印发了《辽宁省工业领域数据安全能力提升实施方案 （2024-2026年）》。

《方案》以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大精神，坚定不移贯彻总体国家安全观，坚持统筹发展和安全，以推动我省工业高质量发展为出发点，以构建完善工业领域数据安全保障体系为主线，以落实企业主体责任为核心，以保护重要数据、提升监管能力、强化产业支撑等为重点，以省市县（区）三级联动为工作抓手，提高数据安全治理能力，促进数据要素安全有序流动和价值释放，为加快推进新型工业化，建设“数字辽宁 制造强省”提供坚实支撑。

《方案》总体目标是，到2026年底，适应省工业发展实际的数据安全保障体系基本建立。工业企业数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控。工业企业数据保护能力有效提升，数据安全监管体制不断完善，数据安全产业支撑能力进一步增强。规上工业企业数据安全要求宣贯基本实现全覆盖。开展数据分类分级保护的企业超 1000家，年营收行业全省排名前10%的规上工业企业实现全覆盖。遴选数据安全典型案例不少于15个，覆盖冶金、化工、装备制造等重点行业。数据安全培训覆盖 5000人次，培养工业数据安全人才超 200人。

《方案》提出三个重点任务。一是提升工业企业数据保护能力：增强数据安全保护意识；开展重要数据安全保护。强化重点企业和场景数据安全管理。二是提升数据安全监管能力：完善数据安全政策标准；加强数据安全风险防控；推进数据安全技术手段建设；锻造数据安全监管执法能力。三是提升数据安全产业支撑能力：加强产品供给和应用推广；培育数据安全产业园区；建立健全人才培养体系。

八

《可信数据空间标准化研究报告》等2项研究报告公开征集参编单位

根据全国数据标准化技术委员会“要加强国际国内数据领域战略研究，发布可信数据空间、低空经济数据等标准化研究报告”重点工作部署，近日，全国数据标准化技术委员会秘书处向社会公开征集《可信数据空间标准化研究报告》和《低空经济数据标准化研究报告》2项研究报告参编单位。报告将梳理国内外技术能力发展现状，提出标准化建设布局。

监管动态

一

北京市网信办持续加强自动售货机收集使用个人信息合规培训

为全面提升人民群众消费体验、维护个人信息安全，继10月17日组织第1次合规培训后，11月15日，北京市网信办联合国家互联网应急中心北京分中心、市市场监管局，组织12家自动售货运营商、12家自动售货机服务商以及蚂蚁集团、腾讯微信相关业务团队开展自动售货机收集使用个人信息合规培训。

本次培训重点围绕《个人信息保护法》关于个人信息处理规则、个人信息处理者的义务、法律责任相关要求，以及检查发现的5类常见问题进行深度解读，现场解答企业问题。培训覆盖自动售货机60余万台，约占行业比重80%以上。旨在通过培训，让企业进一步把握法律要求，增强合规经营意识。

北京市网信办表示，接下来将跟踪指导在收集使用个人信息过程中存在问题的企业进行整改，开展复核验收，组织停车缴费“安心码”、大型连锁超市购物App“回头看”检查，坚决巩固整治规范成果。

二

上海市网信办、市市场监管局组织“自动售货机”运营企业开展个人信息保护普法培训

针对市民普遍反映的自动售货机过度收集个人信息，存在个人信息泄露风险的问题，前期上海市网信办已依法约谈相关自动售货机运营企业，并指导申通地铁对上海地铁站内全量自动售货机进行整治。为深化整治成果、提升全行业个人信息保护意识，确保消费者权益得到有效保护，上海市网信办、市市场监管局联合申通地铁、支付宝、微信支付组织开展“自动售货机个人信息保护普法培训会”，在上海运营自动售货机的37家头部经营和运维企业负责人参加了此次培训。

6月以来，上海市网信办、市市场监管局协同多个部门启动开展“亮剑浦江·2024”公共场所强制、滥用人脸识别技术专项整治行动，行动中重点对“无人自动售货机”这一监管盲区作出专门部署，进行了全面摸排、调研和核查，发现该场景普遍存在“未经同意收集人脸信息”“隐私政策未提示或不完整”“强制收集手机号码”“诱导收集个人信息”“无法一键关闭广告”“未提供删除个人信息渠道”等6类共性问题。

此次培训重在以问题为导向，以案释法帮助大家全面了解法律、认清问题、健全措施、履行义务，并同步提供了《自动售货机场景常见个人信息保护问题自查清单》要求企业做好对照自查整改。由于自动售货机付款环节高度依赖第三方支付平台，培训中，市网信办同时向支付宝、微信支付提出指导建议，要求平台按照《个人信息保护法》相关规定进一步优化支付特别是“刷脸支付”流程，切实维护好消费者的合法权益。市市场监管局结合自动售货机行业消费者权益保护现状分享了典型案例，并围绕落实《消费者权益保护法》重点条文，就个人信息保护工作提出指导性意见。

建设人民城市需牢记以民为本，企业应切实履行法律责任和社会责任，自动售货机为市民带来了诸多便利，但违法违规收集使用个人信息的安全隐患不容忽视，监管执法部门将坚持强规范、保权益、增动能、促发展，守护市民福祉和城市温度，助力企业健康成长。

上海市网信办、市市场监管局表示，接下来将持续深入推进“亮剑浦江·2024”个人信息保护专项执法行动，对重点场景开展现场核查和“回头看”，对于问题严重、屡教不改的企业将予以处置处罚和媒体曝光。欢迎广大网民积极参与，如遇相关问题可通过以下渠道据实提供举报线索。

三

两公司违反《数据安全法》被罚10万元

近期，郑州市网信办工作中发现，两家公司未履行网络安全保护义务，未采取必要的安全防护，导致大量敏感数据被窃取。郑州市网信办依据《数据安全法》分别对两家公司作出责令改正，给予警告，处人民币5万元罚款的行政处罚，并向社会公开通报。

案例一

经调查核实，郑州市某互联网信息服务有限公司在数据库中配置增加了远程登录空口令账户，导致黑客利用该空口令账户成功登录数据库，并窃取了数据库中的数据，被窃取的数据包含姓名、身份证号、手机号、邮箱地址等敏感信息。该公司在网络安全意识方面淡薄，未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，造成部分敏感数据泄露。针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该互联网信息服务公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

案例二

经调查核实，郑州市某科技有限公司缺乏网络安全意识，没有正确配置数据库，导致数据库存在未授权访问漏洞，攻击者通过漏洞登录数据库，查看、下载数据，导致敏感数据泄露。该公司系统访问日志功能未开启、重要的通联日志留存不足六个月，数据库系统配置不当，存在未授权访问漏洞，在网络安全管理方面存在缺失，未能按照《数据安全法》要求对企业重要数据进行分级分类管理，系统日志存储时未对用户个人敏感信息进行脱敏处理，存在安全风险。针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

郑州市网信办相关负责人强调，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。开展数据处理活动的企业和个人，应当依法完善相关制度，采取相应措施，保障数据安全。发现数据安全缺陷、漏洞等风险事件时，企业应当立即采取补救措施，并按照规定及时向网信部门报告。

郑州市网信办表示，接下来将切实贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求，持续加强网络安全、数据安全和个人信息保护工作，督促企业切实履行好主体责任。针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

四

全球金融科技巨头Finastra遭网络攻击，超400GB数据或已泄露

全球金融科技巨头Finastra近日确认遭遇网络安全事件。一名威胁行为者在黑客论坛上兜售疑似从该公司窃取的400G数据。

Finastra透露，其安全运营中心（SOC）于11月7日检测到内部托管的安全文件传输平台（SFTP）出现可疑活动。攻击者利用被盗凭证访问了该SFTP系统。公司立即启动调查并邀请第三方网络安全专家协助，同时采取预防措施隔离和控制了受影响平台。

目前的调查显示，此次入侵仅限于单一SFTP平台，未发现横向移动的迹象。该公司强调，被入侵的SFTP平台并非所有客户都在使用，也不是Finastra用于文件交换的默认平台。不过，事件的具体影响范围仍在调查中，确定受影响用户可能需要一定时间。

五

美国国会图书馆邮件系统遭攻击，近9个月通信内容或泄露

美国国会图书馆日前披露其信息技术系统遭到疑似外国黑客组织入侵，攻击者获取了国会办公室与图书馆工作人员之间的电子邮件通信内容。据NBC News报道，美国国会图书馆已就这起"网络安全事件"通知了国会相关办公室。受影响的电子邮件通信内容涉及2024年1月至9月期间国会办公室与图书馆工作人员（包括国会研究服务处）之间的往来信息。在发现安全漏洞后，图书馆方面已第一时间通知执法部门，目前相关调查仍在进行中。

国会图书馆在通报中表示："图书馆已经修复了被攻击者利用的安全漏洞，并采取了相应措施防止类似事件再次发生。"同时确认美国众议院和参议院的电子邮件网络系统以及美国版权局的系统均未受到此次事件影响。而对于攻击者的身份以及攻击发生的具体时间点，调查人员仍在进一步核实中。

六

2024年最弱密码年度榜单

近日，密码管理器NordPass再次发布了全球最流行密码的年度榜单--其缺乏创造性的情况令人有些沮丧。123456"连续第二年成为最常用的密码。

在NordPass编制的六次榜单中，同样的数字有五次位居榜首，只是在 2022年被著名的"password"所取代。但是，一旦你撇开所有的 QWERTY、ABC和123，我们就能洞察到人类在创建保护自己最隐私信息的文本时所考虑的问题。

NordPass表示，为了创建这份名单，它使用了一个2.5TB的"公开来源"数据库，其中一些是在暗网上找到的。黑客只需几毫秒就能找出其中的许多密码，因此，如果你的密码在这份名单上，你可能应该把它改成比"秘密"更有创意的密码。

最常见的十大密码分别是：123456、123456789、12345678、password、qwerty123、qwerty1、111111、12345、secret、123123。

七

美国黑客因窃取13万余人数据并实施敲诈被判十年监禁

近日，美国爱达荷州45岁男子罗伯特·普贝克(Robert Purbeck)因黑客攻击至少19个机构、窃取超过132000人的个人数据以及多次敲诈行为，被判处十年监禁。根据起诉书，普贝克的犯罪活动始于2017年。

当年，他通过暗网购买了佐治亚州一家医疗诊所服务器的访问权限，窃取了43000名患者的个人身份信息(PII)，包括姓名、地址和社会安全号码。2018年2月，他购买了佐治亚州某警察局服务器的访问权限，侵入纽南市系统后，获取了14000人的警察报告和个人信息。同年7月，他向一名佛罗里达州医生勒索赎金，威胁泄露其患者的健康数据，甚至在10天内多次通过电子邮件和短信骚扰医生及其患者。2019年，联邦调查局敲开了普贝克的大门并执行了联邦搜查令，查获了多台电脑和电子设备，其中包含通过多次数据泄露获得的超过132,000人的个人信息。

据美国司法部称，普贝克的网络诈骗阴谋使全美超过400人受害。个人记录，尤其是医疗记录，在黑客论坛上可以卖到一大笔钱，诈骗者热切地购买被盗数据，用于社会工程诈骗，3月份，普贝克承认两项未经授权故意访问和获取受保护计算机信息的指控。新闻稿中没有提到任何敲诈勒索指控。司法部表示，普贝克将在监狱中度过未来10年。除了监禁之外，普贝克还将接受三年的监督释放，并被责令向受害者支付100万美元的赔偿金。

八

美国饮用水系统存在300多个漏洞，影响1.1亿人

近日，美国环境保护署监察长办公室发布了一份研究报告，在对美国1062个饮用水系统进行了安全性缺陷评估活动之后，结果显示，超过300个饮用水系统存在系统漏洞，存在可能导致功能丧失、无法服务和用户信息泄露的风险，不安全的饮用水系统为1.1亿美国人提供服务。

安全性缺陷评估涵盖了五个网络安全类别，即电子邮件安全、IT卫生、漏洞、对抗性威胁和恶意活动，并根据潜在影响对识别的漏洞从低到高进行评分。数据显示，97个系统存在关键或高风险漏洞，可能导致服务瘫痪或数据泄露，另有211个系统存在可被外部访问的开放端口，尽管风险较低，但若不及时修复，仍有可能被利用。

美国环境保护署监察长办公室表示，会为每个被调查对象绘制系统的数字足迹，涵盖用于收集、泵送、处理、储存和分配饮用水的基础设施，分析超过75000个IP和14400个域名。

事实上，美国饮用水系统一直存在严重安全风险。2021年2月，黑客通过远程控制软件TeamViewer入侵佛罗里达州奥兹玛市自来水厂的电脑系统，试图将氢氧化钠的含量从百万分之100大幅提高到百万分之111000，这直接达到了“水质危险”的程度。由于员工及时发现并干预，没有对公众造成实际伤害。但FBI和特勤局介入调查后，议员马可·罗伯（Marco Rubio）要求FBI全力协助，将此案件视为国家安全问题。在今年5月，EPA也曾警告说，超过70%的水系统不符合《安全饮用水法》，强调了严重性高的问题，例如使用默认密码和容易受到黑客攻击的认证系统，这些都大大降低了攻击者入侵的门槛。

九

美英军人超过100万条记录遭到泄露

近日消息称，为美国和英国军人提供约会服务的社交网络Forces Penpals发生数据泄露事件，暴露了超过110万注册用户的个人信息。网络安全研究员Jeremiah Fowler发现该问题，并指出泄露数据包括个人身份信息（PII）、社会安全号码（SSN）、国民保险号码（类似于英国的SSN）以及敏感图像等。此外，服务器还包含服役证明、军衔、个人所属部队等敏感文件。Forces Penpals已承认数据泄露是由于编码错误导致文件误传和目录列表公开，但目前尚不清楚是否有恶意行为者访问了这些信息。该公司尚未透露信息被曝光的持续时间，也未报告任何可疑活动的迹象。此次事件提醒类似服务机构必须重视数据安全，保护用户隐私免受网络威胁。

经过进一步研究发现，这些记录属于Forces Penpals，这是一个为军人及其支持者提供约会服务和社交网络的社区。目前尚不清楚该数据库暴露了多长时间，也不知道是否有其他人获得了访问权限。只有内部取证审计才能识别其他访问权限或潜在的可疑活动。据其网站介绍，该服务为美国和英国武装部队成员提供社交网络和支持。它声称拥有超过290,000名军事和平民用户。

许多人选择在网上保持私密，在使用应用程序或社交媒体时不会分享自己的形象或肖像。暴露用户图像和服务证明文件可能会带来重大的安全和隐私风险。假设这些文件包含足够的个人信息，可能会造成潜在的身份盗窃风险，让恶意行为者冒充个人进行欺诈活动或可能的金融犯罪。犯罪分子掌握的潜在目标信息越多，网络钓鱼攻击和社会工程计划的成功率就越高，这些计划可能会欺骗人们泄露更多机密数据。对于现役军人或拥有安全许可的军人，暴露他们的军衔、位置或其他有关其服役的详细信息可能会对国家安全产生潜在影响。

十

微软Power Pages错误配置暴露全球数百万条记录

SaaS安全公司 AppOmni最近发现微软Power Pages 的一个安全漏洞，这是一个2.5亿人每月使用的低代码平台。经调查，这个问题导致了数百万条敏感数据记录在公共和私营部门的不同组织中暴露出来，涵盖金融服务、医疗保健、汽车等多个领域。

根据研究人员的说法，这包括英国的国家医疗服务（NHS），该机构泄露了超过110万NHS员工的信息，包括电子邮件地址、电话号码和家庭地址。

这些数据泄露的根本原因在于Power Pages中用于开发集成Dataverse的应用程序（如门户网站）的访问控制配置不当。然而，其可定制的性质可能会将敏感数据暴露给公众。启用开放注册和外部身份验证可能会授予未经授权的用户访问敏感数据的权限。这是因为，在部署时，网站默认自动允许自我注册和登录，尽管这些页面可能在平台上不可见。用户可以通过API注册和身份验证，“已认证用户”拥有比“匿名用户”更多的权限。另一个常见的错误是将全局访问权授予匿名用户，允许任何人查看并可能利用敏感信息。即使正确配置了表级权限，但如果未能实现列安全性，则敏感列容易受到。最后，不使用数据屏蔽技术可能会以纯文本的形式暴露PII等敏感信息。这些错误配置的后果可能是严重的，通过暴露敏感信息，组织可能会损害其声誉，面临法律后果，并可能使其系统遭受进一步攻击。

此漏洞提醒我们，应用程序中错误管理访问控制的风险，特别是在处理敏感数据时，组织应采取适当的安全措施来管理存储了大部分企业机密数据的平台的安全性，定期审计访问控制，限制对敏感数据的访问，实施强有力的身份验证和授权机制，并保持对新出现的安全威胁和漏洞的更新可以大大降低数据泄露的风险，并保护敏感信息。

业界之声

一

全球数据跨境流动合作倡议

目前，国际社会正在积极探索形成全球数字领域规则和秩序，联合国制定发布《全球数字契约》、世贸组织电子商务谈判以及《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）等多双边实践正在开展，这些均体现了推动全球数据跨境流动合作、促进数据跨境流动已经成为各国或地区共同的意愿和选择。在推动全球数据跨境流动实践的同时，各国普遍关注国家安全、公共利益、个人隐私以及知识产权等风险，所以国际社会应在充分尊重各国、各地区因具体国情、社情而采取的不同政策法规和实践基础上，认真听取各方数据安全与发展的利益诉求，通过协商的方式推动国家间、地区间数据跨境流动规则形成共识。

我们呼吁各国秉持开放、包容、安全、合作、非歧视的原则，平衡数字技术创新、数字经济发展、数字社会进步与保护国家安全、公共利益、个人隐私和知识产权的关系，在推动数据跨境流动的同时实现各国合法政策目标。我们期待政府、国际组织、企业、民间机构等各主体坚守共商共建共享理念，发挥各自作用，推动全球数据跨境流动合作，携手构建高效便利安全的数据跨境流动机制，打造共赢的数据领域国际合作格局，推动数字红利惠及各国人民。

为此，我们倡议各国政府：

鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据，以实现全球电子商务和数字贸易为各国经济增长和可持续增长提供新的动力。

尊重不同国家、不同地区之间数据跨境流动相关制度的差异性。支持不涉及国家安全、公共利益和个人隐私的数据自由流动。允许为实现合法公共政策目标对数据跨境流动进行监管，前提是相关监管措施不构成任意或不合理的歧视或对贸易构成变相限制，不超出实现目标所要求的限度。

尊重各国依法对涉及国家安全、公共利益的非个人数据采取必要的安全保护措施，保障相关非个人数据跨境安全有序流动。

尊重各国为保护个人隐私等个人信息权益采取的措施，鼓励各国在保护个人信息的前提下为个人信息跨境传输提供便利途径，建立健全个人信息保护法律和监管框架，鼓励就此交流最佳实践和良好经验，提升个人信息保护机制、规则之间的兼容性，推动相关标准、技术法规及合格评定程序的互认。鼓励企业获得个人信息保护认证，以表明其符合个人信息保护标准，保障个人信息跨境安全有序流动。

鼓励探索建立数据跨境流动管理负面清单，促进数据跨境高效便利安全流动。

合力构建开放、包容、安全、合作、非歧视的数据流通使用环境，共同维护公平公正的市场秩序，促进数字经济规范健康发展。

提高各类数据跨境流动管理措施的透明度、可预见性和非歧视性，以及政策框架的互操作性。

积极开展数据跨境流动领域的国际合作。支持发展中国家和最不发达国家有效参与和利用数据跨境流动以促进数字经济增长，鼓励发达国家向发展中国家，特别是最不发达国家提供能力建设和技术援助，弥合数字鸿沟，实现公平和可持续发展。

鼓励利用数字技术促进数据跨境流动创新应用，提高保障数据跨境高效便利安全流动的技术能力，推动数据跨境流动相关的技术与安全保障能力评价标准的国际互认，做好知识产权保护工作。

反对将数据问题泛安全化，反对在缺乏事实证据的情况下针对特定国家、特定企业差别化制定数据跨境流动限制性政策，实施歧视性的限制、禁止或者其他类似措施。

禁止通过在数字产品和服务中设置后门、利用数字技术基础设施中的漏洞等手段非法获取数据，共同打击数据领域跨境违法犯罪活动，共同保障各国公民和企业的合法权益。

我们愿意在以上倡议基础上与各方开展和深化数据跨境流动领域的交流合作，我们呼吁各国、各地区通过双多边或地区协议、安排等形式呼应、确认上述倡议。欢迎国际组织、企业、民间机构等各主体支持本倡议。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。