数据安全每周观察|多项标准、实施方案公开征求意见

政策趋势

一、中共中央办公厅 国务院办公厅关于数字贸易改革创新发展的意见

数字贸易是数字经济的重要组成部分，已成为国际贸易发展的新趋势和经济的新增长点。为促进数字贸易改革创新发展，近日，中共中央办公厅 国务院办公厅关于数字贸易改革创新发展的提出意见。

意见要求，促进和规范数据跨境流动。健全数据出境安全管理制度，完善相关机制程序，规范有序开展数据出境安全评估。在保障重要数据和个人信息安全的前提下，建立高效便利安全的数据跨境流动机制，促进数据跨境有序流动。

加快构建数字信任体系。加快数字贸易认证体系建设，促进数字信任前沿技术的开发创新与应用推广，培育数字信任生态。推动数字证书、电子签名等国际互认。鼓励数据安全、数据资产、数字信用等第三方服务机构国际化发展。

加强数字领域安全治理。优化调整禁止、限制进出口技术目录。持续推动全球数字技术、产品和服务供应链开放、安全、稳定、可持续。发挥各类专业法院法庭作用，推动数字领域国际商事争端解决机制多元化发展。

二、《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》向社会公开征求意见

为贯彻党的二十届三中全会精神，落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》，促进数据要素合规高效流通使用，充分释放数据价值，我们会同有关部门研究起草了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现向社会公开征求意见。

《方案》主要任务包括明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人信息流通保障、完善数据流通安全责任界定机制、加强数据流通安全技术应用、丰富数据流通安全服务供给、防范数据滥用风险。

《方案》以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据发展与安全，坚持系统思维、底线思维，将安全贯穿数据供给、流通、使用全过程，落实国家数据分类分级保护制度，明确数据跨主体流通中的安全治理规则，加强数据流通安全技术应用和产业培育，完善责任界定和权益保护机制，提升安全治理能力，防范数据滥用风险，坚决维护国家安全，保护个人信息和商业秘密，以成本最小化实现安全最优化，推动数据高质量发展和高水平安全良性互动，充分释放数据价值，促进数据开发利用。

力争到2027年底，规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建，企业数据、公共数据、个人信息合规高效流通机制更加完善，治理效能显著提升，为繁荣数据市场、释放数据价值提供坚强保障。

三、国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

可近日，国家数据局印发《可信数据空间发展行动计划（2024—2028年）》。信数据空间是基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，是数据要素价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。为引导和支持可信数据空间发展，促进数据要素规模化流通共享使用，加快构建以数据为关键要素的数字经济。

《行动计划》以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大和二十届二中、三中全会精神，完整准确全面贯彻新发展理念，着力推动高质量发展，以深化数据要素市场化配置改革为主线，分类施策推进企业、行业、城市、个人、跨境可信数据空间建设和应用。

《行动计划》主要包括三大行动。一是实施可信数据空间能力建设行动，通过构建可信管控能力，提高资源交互能力，强化价值共创能力，打造可信数据空间的核心能力体系。二是开展可信数据空间培育推广行动，主要是布局企业、行业、城市、个人、跨境五类可信数据空间建设和应用推广，探索各类数据空间的场景创新、模式创新、机制创新。三是推进可信数据空间筑基行动，围绕制订关键标准、攻关核心技术、完善基础服务、强化规范管理、拓展国际合作五个方面，全面夯实可信数据空间发展基础。

四、关于征集《网络安全技术 网络存储安全技术要求》标准参编单位的通知

为切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，近日，中国电子技术标准化研究院按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求，公开征集《网络安全技术 网络存储安全技术要求》标准参编单位。

五、中国人民银行等七部门联合印发《推动数字金融高质量发展行动方案》

近日，中国人民银行等七部门联合印发《推动数字金融高质量发展行动方案》。

《方案》要求，培育高质量金融数据市场。发挥金融信用信息基础数据库、全国信用信息共享平台各自功能，加大涉企信用信息归集力度，进一步优化信用信息的开发应用机制。推动各级融资信用服务平台按照公益性原则依法依规向金融机构提供信息共享服务，降低金融机构数据收集运用成本。加强金融领域数据资源开发利用，探索开展金融行业数据空间建设。积极稳妥推动市场化征信和信用评级机构发展壮大，为金融“五篇大文章”提供多元化征信和信用评级产品服务。健全覆盖各金融市场的交易报告制度与交易报告库。在依法安全合规前提下，支持客户识别、信贷审批、风险核查等多维数据在金融机构间共享共用和高效流通，建立健全数据安全可信共享体系。促进和规范金融数据跨境流动，统一监管合规口径，给予金融机构规则指引。

加强数据和网络安全防护。指导金融机构严格落实数据保护法律法规和标准规范，完善数据安全管理体系，强化数据安全的商用密码保护，建立健全全流程数据安全管理机制。组织金融机构定期进行数据和网络安全风险评估，识别潜在风险，接入金融行业相关网络安全态势感知平台，推动相关平台互联互通。开展网络安全相关压力测试，提升网络安全防护体系建设水平。搭建证券业数据和网络安全公共服务平台，加强基础、共性安全支撑。

六、工信部等十二部门联合印发《5G规模化应用“扬帆”行动升级方案》

近日，工业和信息化部、中央网络安全和信息化委员会办公室、国家发展和改革委员会、教育部、生态环境部、交通运输部、农业农村部、文化和旅游部、国家卫生健康委员会、国务院国有资产监督管理委员会、国家广播电视总局、国家体育总局联合印发《5G规模化应用“扬帆”行动升级方案》。

《方案》要求，筑牢5G应用安全防护屏障，完善通信网络安全防护管理，加快新兴行业5G终端安全、网络设备安全、数据安全、密码安全等关键技术研究，推动研制具备虚拟化、智能化、自适应能力的安全产品。发挥5G应用安全创新推广中心集智攻关优势，打造5G应用安全产业核心竞争力。面向重点行业开展5G应用安全标杆锻造，提炼30项以上原子化5G应用安全能力。

七、《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》发布

近日，中国密码学会密评联委会组织编制了《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》等2项商用密码应用安全性评估指导性文件，现予以发布。

八、《湖南省加强数据资产管理工作方案》

近日，湖南省人民政府办公厅发布《湖南省加强数据资产管理工作方案》，据公开信息可查，这是全国首个省级数据资产管理工作方案。

《方案》要求，促进数据融合应用。在保障数据安全的前提下，以公共数据资产授权运营为抓手，聚焦场景需求，进一步融合企业数据、社会数据，建设数据融合创新应用场景，提升数据资产应用水平。以政府为引导，以市场为主体，构建数据基础制度，建设数据要素市场，不断推动公共数据撬动社会数据、企业数据发展应用。

建立数据资产安全管理机制。数据资产各权利主体应当落实数据资产安全管理责任，建立健全全流程数据安全管理机制。数据主管部门应按照相关法律规定，制定数据安全相关的政策、标准规范，为数据安全管理工作提供政策指导；加强对数据处理活动的监督管理，建立数据资产治理开发、流通、利用全过程安全监测预警机制。数据持有单位应制定本领域或本单位数据安全应急预案，定期组织数据安全风险评估和应急演练。数据使用单位应制定内部数据安全管理制度，发生数据安全事件时，依法启动应急预案，采取相应的应急处置措施，并按规定向有关主管部门报告。

九、《四川省算力基础设施高质量发展行动方案（2024—2027年）》发布

近日，四川省发展和改革委员会发布了《四川省算力基础设施高质量发展行动方案（2024—2027年）》，旨在构建全省算力一体化协同发展格局，提升算力供给体系，增强运载力和存储力，推动算力绿色安全发展，并与实体经济深度融合。

《方案》重点任务要求，健全算网安全保障体系。一是加强算力设施设备自主可控。鼓励算力设施采用安全可信的基础软硬件进行建设。加快攻克操作系统、数据库等领域的关键核心技术，开展安全可靠芯片、服务器等研发应用，提高自主研发算力设备的部署比例，力争国产化算力设备占比超过50%。支持省内芯片企业做大做强，构建“芯片设计与制造—整机系统—软件生态—应用服务”的完整产业生态。二是提升网络数据安全保障能力。大力发展网络安全产业，健全网络安全保护制度，完善监测预警和应急处置体系，强化数据分类分级保护，加强重要数据容灾备份建设，完善数据全生命周期防护机制。三是强化算力基础设施环境安全。对承载重要信息系统以及影响经济社会稳定运行的数据中心，结合业务系统部署模式，增强防火、防雷、防洪、抗震等保护能力，提高算力设施整体可靠性。定期开展安全检测和风险评估工作，完善应急预案，防范化解安全风险隐患。

十、四川省人民政府提出关于加快数字经济高质量发展的实施意见

为贯彻党中央、国务院关于推进数字经济高质量发展的决策部署，加快构建省数字经济发展体制机制，促进实体经济和数字经济深度融合，建设全国数字经济创新发展先行省，四川省人民政府提出关于加快数字经济高质量发展的实施意见。

意见以数据要素市场化配置改革为主线，统筹数据发展和安全，坚持创新驱动发展和体制机制构建双轮驱动，协同完善数据基础制度和数字基础设施，全面推进数字技术和实体经济深度融合，持续提升数字经济治理能力，充分发挥省产业、市场、人才、场景等综合优势，加快培育和发展新质生产力，有力支撑国家战略腹地建设，全面赋能经济社会高质量发展。

意见重点任务是，强化数据安全治理保障。健全数据安全管理制度，落实数据分类分级保护制度，加强对数据领域不正当竞争行为的监管，针对数据资源开发利用新技术应用和新模式新业态，探索建立容错纠错、尽职免责机制。加强数据安全技术防护体系建设，提升全国一体化算力网国家枢纽节点（四川）安全防护能力，强化重要数据、核心数据保护，推进国家级数据资源战略储备基地建设。支持中国（四川）自由贸易试验区在国家数据分类分级保护制度框架下，制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。大力发展网络安全、数据安全产业。

强化数据基础设施建设。围绕数据汇聚、处理、流通、应用、运营全生命周期，在隐私计算、区块链、数据沙箱等方面开展试点试验，打造互联互通、安全可信的新型“数场”基础设施，融入国家数据基础设施布局。围绕重要行业领域和典型应用场景，推动企业、行业、城市、个人、跨境等五类数据空间建设，促进数据要素合规、高效流通使用。围绕人工智能、零信任、终端安全等技术融合应用，推动建设数据安全基础设施，提升数据流通环节的安全可靠水平。

培育发展数据产业。加强数据产业规划布局，聚焦数据采集汇聚、加工分析、流通交易、开发应用、安全治理，以及数据基础设施建设和运营等方面，加大数据链主企业引培力度，推动数据产业链上下游企业协同合作，在中国（四川）自由贸易试验区等地打造一批协同互补、特色发展、具有较强竞争力的数据产业集聚区。加快建设成都国家数据标注基地试点，推进“蓉数公园”、四川数据要素产业园等特色数据产业园区建设，支持有条件的市（州）立足比较优势发展数据生产、数据流通、数据应用、数据安全等服务业，争创国家级数据服务产业基地。加快打造数据经纪、数据托管、数据交易等新服务业态，培育一批服务型、应用型、技术型数据企业和第三方数据服务机构。

十一、指导网络平台履行未成年人网络保护义务，上海市委网信办发布合规指引

近日，在“清朗浦江·2024”网络生态治理总结活动上，上海市委网信办对外发布《上海属地网络平台履行未成年人网络保护义务合规指引（试行）》。

今年1月1日《未成年人网络保护条例》正式实施。其中，第二十条规定了未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者应当履行的六大义务。为进一步压实属地网络平台主体责任，上海市委网信办会同市信息安全测评认证中心组织编写了《指引》。《指引》共11章24条。《指引》明确了网络平台履行未成年人网络保护的四项基本职责，包括合规制度体系、专门的平台规则、未成年人模式、未成年人网络保护影响评估等；明确了网络平台履行未成年人网络保护义务的五个重点领域，包括网络信息内容规范、个人信息网络保护、网络沉迷防治、网络欺凌防治、社会监督等，突出了上海在指导网络平台健全未成年人网络保护工作体系方面的探索创新。《指引》即日起将在小红书、哔哩哔哩、喜马拉雅等上海属地20家重点网络平台试行，覆盖网络音视频、网络社交、网络文学、电商平台、网络游戏、网址导航、应用程序分发平台等领域。

监管动态

一、国家安全机关依法查处一起境内人员投靠间谍组织的行政案件

新修订的《反间谍法》进一步完善了间谍行为定义，将“投靠间谍组织及其代理人”的行为明确为间谍行为。近日，国家安全机关依法查处了一起境内人员投靠间谍组织的行政案件。

事件过程是，张某听说某国淘金门槛低，来钱快，便只身前往。抵达后，张某发现当地政府大力整顿矿山开采，淘金行业受限，且淘金是重体力劳动，收益微薄。更糟糕的是，当地生活环境恶劣，枪战、抢劫频发，传染病肆虐，张某淘金梦碎，生活苦闷，还染上了赌博恶习，债台高筑，入不敷出。某日，张某看电视剧打发时间，剧中人物受某国间谍情报机关指使窃取涉密信息，获得现金奖励。张某“灵光一闪”，顿觉找到了生财之道，打算效法炮制，意图捏造自己持有涉密文件，骗取奖励。张某企图通过某国驻当地使馆工作人员联系到该国间谍情报机关。但张某仅会讲中文，为减少沟通障碍，他事先将准备的虚假情报和“有需要请联系我”字样翻译成英文写在白纸上。准备妥当后，张某打车前往该使馆，向馆内工作人员投递材料。在馆内工作人员指引下，张某表示了“投诚”愿望，留下了“情报”及联系方式后获得了折合人民币5600元的物质奖励。

张某的淘金营生难以为继，无奈之下只能辗转回国。然而国家安全机关早已掌握张某主动投靠某国间谍情报机关的行为，在其踏入国门之际，依法对其开展审查。到案后，张某对其虚构持有涉密文件意图投靠某国间谍情报机关的违法行为供认不讳，对自己的错误言行深刻反省、诚恳道歉，并主动写下检讨书。鉴于张某真诚悔过、积极改正，国家安全机关对其本人进行批评教育并免予处罚。

二、浙江省通信管理局通报17款侵害用户权益行为的APP

浙江省通信管理局高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益治理工作。近期，我局组织第三方检测机构对群众关注的网上购物、本地生活、即时通信等类型APP进行检查，并书面要求违规APP开发运营者限期整改。

三、福特公司发生客户数据遭泄露事件

近日，一名威胁者声称在黑客论坛上泄露了 44,000 条客户记录，还暗示黑客“IntelBroker”参与了 2024 年 11 月的泄密事件，泄露的福特客户记录中包含有客户信息，包括全名、位置、购买详细信息、经销商信息等。暴露的记录并不是极其敏感，但它们包含个人身份信息，这些信息可能会导致针对暴露个人的网络钓鱼和社会工程攻击。

目前，威胁者并没有试图出售该数据集，而是以 8 个积分（相当于 2 美元多一点）的价格将其提供给黑客论坛的注册会员。该公司发言人表示福特公司已经意识到并正在积极调查有关福特数据被泄露的指控。

根据威胁者最近的表述，IntelBroker 参与此次泄露事件为威胁者的指控提供了一定的可信度。该黑客最近在思科的 DevHub 门户、诺基亚（通过第三方）、欧洲刑警组织的 EPE 门户网站和 T-Mobile（通过供应商）进行了实质性的违规行为。

威胁者泄露的数据样本中提到的地点来自世界各地，包括美国。为了减轻这种潜在数据泄露带来的风险，请谨慎对待未经请求的通信，并拒绝以任何借口透露更多信息的请求。福特根据正在进行的调查的新发现确定福特的系统或客户数据没有遭到破坏。此事涉及第三方供应商和一小批公开的经销商的营业地址。目前此事现已得到解决。

四、国内某金融机构6.37亿条数据泄露

今日情报发现，有国内两个机构泄露信息。另有一则信息称黑客正在出售三个0day漏洞，开价数万美元！

第一条信息，据Darkwebinfromer通告，国内某年入90亿美元的大型能源企业，其RDP权限在线出售。细节信息没有披露。

第二条信息，泄露论坛11月25日下午12:53发布，黑客以500美元叫卖50.8G的数据。涉及国内某金融机构的637M条信息泄露，涉及上亿人的银行信息。发帖者还帖出了部分样本数据，同时提供小批量样本数据（近百万条）的下载链接。

第三条信息，是三个0day漏洞的售卖信息，开价都在数万元之上，最高的一个Control WEBPanel的Preauth RCE漏洞，要价15W美元。

特别是某金融机构信息泄露一事，数量之巨，令人吃惊。因涉及个人的基础信息（姓名、身份证号、电话号码、银行卡号、地址等），恐被黑客用于进一步的非法侵害。涉事机构应当采取紧急措施，提醒用户小心网络钓鱼、电信诈骗，以免造成进一步损害。

五、网站漏洞致用户信息长期被爬，美国两家保险商被罚超8100万元

近日消息，美国纽约州当局对汽车保险巨头Geico处以975万美元（约合人民币7068万元）罚款，原因是该公司未能妥善保护客户驾驶证号等信息，导致2021年初发生一系列网络安全事件。保险巨头Travelers也被处以155万美元（约合人民币1123万元）罚款，原因是黑客在2021年中利用被盗凭据窃取了驾驶证号等信息。纽约州金融服务部的调查人员发现，这两家公司都发生过黑客访问内部系统窃取未加密数据的事件。该部门联合州检察总办公室通过评估确定了罚款金额。调查显示，黑客利用窃取的驾驶证号在新冠疫情期间提交了虚假的失业救济申请。

调查人员称，2021年1月，黑客开始针对Geico系统进行攻击。他们最初利用这家汽车保险公司的在线报价工具获取数据。当时，Geico通过第三方表单预填服务，根据客户提供的姓名、地址和出生日期等信息，生成完整的驾驶证号并提供给潜在客户。

纽约官方发言：“数据泄露可能引发严重的欺诈行为，因此所有公司都必须严肃对待网络安全和数据保护问题。”

业界之声

一、促进实体经济和数字经济深度融合 奋力推进网络强国建设

近日，《新型工业化》2024年第3期刊发中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文署名文章。

文章强调，推进要素融合，要充分发挥我国海量数据和丰富应用场景优势，统筹推进数据要素开发利用和安全管理，加快释放数据要素价值。要建立健全数据基础制度，加快建立数据产权归属认定、市场交易、权益分配、利益保护制度，培育全国一体化数据市场。建立健全数据共享和开发利用的激励约束机制，推进公共数据资源管理和运营机制改革，引导互联网企业加大数据共享，探索数据信托、数据中介等个人数据价值实现可行路径。以场景需求为导向，创新和丰富数据流通交易方式，培育一批数据商和第三方专业服务机构。提升数据安全治理监管能力，完善数据分类分级保护制度，压实网络平台主体责任，强化重要数据安全保护。建立高效便利安全的数据跨境流动机制，实施数据出境安全评估制度，发挥国家网络安全审查作用，促进和规范数据跨境流动。

二、我国数据存储产业现状、问题及对策

近日，中国工程院院士中国科学院计算技术研究所研究员倪光南发布文章，对我国数据存储产业现状、问题及对策进行分析。

他指出，今天，计算、存储和网络传输等技术创新成为大国博弈竞争焦点。传统的存储产品（如磁盘、磁带等）往往被看作是计算机的某种配件，但随着数据成为关键生产要素，数据存储已发展成为一个涵盖芯片/介质、网络技术、存储操作系统、文件系统、算法、整机等根技术的庞大产业。预计到2026年，中国数据总量将跃居世界第一，数据存储对推动中国数字经济发展、增强国家信息安全、加速数据强国建设具有重要意义。如今，全球存储领域正处于以先进半导体存储替代传统机电存储的技术变革期，这一变革为我国发展国产数据存储产业提供了新的机遇。

针对发展数据存储产业，他建议安全测评，公平公正。数据存储领域要重视对存储产品的安全审查，包括供应链安全、信息安全、数据安全等。尤其是对存储整机、主控芯片、存储文件系统等关键核心技术实施安全可靠测评，根据第三方测评机构给出的测评分值作为选择依据。

三、勒索驱动的数据外泄-技术和影响

近日，Sekoia公司发布《勒索软件驱动的数据外泄：技术和影响》报告，重点分析了勒索软件和敲诈组织在盈利活动中使用的数据外泄技术。

报告旨在全面分析外泄阶段使用的技术、工具以及对受害组织的影响，并包括与数据外泄活动相关的收集策略的洞察，这对于全面理解数据外泄活动至关重要。报告首先探讨了勒索软件和敲诈组织对外泄技术的逐步采用及其动机；其次分析了外泄阶段针对的数据类型。最后，报告聚焦于入侵组织从受害者环境中收集有价值数据所使用的工具，并最终提供了检测与数据外泄相关的不同工具和技术的见解。虽然报告主要关注机会主义的勒索软件驱动的入侵组织及其活动，但也注意到一系列不同的财务动机驱动的入侵组织采用外泄策略，包括信息窃取者、远程访问木马（RAT）、间谍软件、信用卡窃取器、后门等恶意软件的运营者，以及国家支持的威胁行为者在数据外泄活动中的大量利用。研究涉及开源报告和内部调查。

数据外泄成为勒索软件活动中的一个关键要素，与2019年至2024年间双重勒索技术的广泛采用相一致。攻击者利用窃取的数据通过在专用泄露网站上公开曝光来最大化财务和声誉影响，同时可能将数据出售给其他威胁行为者或用于额外的勒索和后续攻击。这些动机，加上减少工作量和规避与加密相关的挑战等因素，导致一些勒索软件团伙部分或完全专注于数据外泄进行勒索，而不会对文件进行加密。除了盈利的勒索软件和敲诈组织外，国家支持的威胁组织在勒索软件行动中也利用数据外泄，可能是为了误导防御者的溯源归因、进行秘密情报收集活动和获得一定收入。为了减轻数据盗窃和勒索软件部署的影响，公司应优先通过多方法策略及早检测数据外泄尝试，包括监控可疑行为、文件访问模式和已知外泄工具的使用，同时关注关键文件和目录以检测潜在的数据移动。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。