数据安全每周观察|15部门联合印发促进中小企业合规管理指导意见

政策趋势

一、《关于促进中小企业提升合规意识加强合规管理的指导意见》正式发布

为贯彻落实党中央、国务院关于促进中小企业发展的决策部署，引导中小企业增强合规意识，提升合规管理水平，防范生产经营风险，促进高质量发展，近日，工业和信息化部等15部门联合印发《关于促进中小企业提升合规意识加强合规管理的指导意见》。

《意见》明确，合规管理重点领域包含网络和数据安全合规，要引导中小企业遵守网络安全、数据安全等方面法律法规，加强信息系统、网络、数据的安全防护和安全意识教育；制定实施数据安全合规管理制度，加强对数据的分类分级和权限管理，加强人员管理和技术控制，履行重要数据识别备案、分级防护、风险评估等责任义务，防范并及时应对和处理数据泄露、篡改、丢失事件；重点梳理向第三方输出、共享、委托、提供数据，从第三方接受数据，处理个人信息及跨境传输数据等活动中的合规要求和风险，落实特定类型信息收集与使用合规义务，保护企业数据及个人信息安全。

二、两会上的“数据”声音

2025年全国两会期间，数据领域相关话题成为众多全国人大代表和全国政协委员关注的焦点。以下是对2025年两会中有关数据工作的建议提案进做的梳理。

①促进可信数据空间应用落地 推动数字经济和实体经济深度融合：可信数据空间是平衡数据安全与发展的关键基础设施，对AI技术应用发展影响深远，加快其建设与应用落地是推动数字经济赋能实体经济的关键抓手。我国可信数据空间政策与市场层面向好，重点领域规模化发展。数据流通利用以公共数据和社会数据的开发利用为主，依赖企业数据、个人数据的规模化利用尚未形成，对AI技术应用的支撑效果尚不明显。算力基础设施规划建设、数据要素市场化生态亟待建立。当前可信数据空间发展面临三大瓶颈，包括技术路线和标准不统一、数据要素市场机制不健全、跨领域协同难度大。针对这些问题，需要加快技术标准化，加强互联互通；规范数据流通利用，强化监管合规；加快数据产业发展，着力人才培养。

②积极构建高可靠人工智能安全体系：针对人工智能发展面临的安全问题提出以下建议：一是建立适配大模型的纵深防御体系，筑牢人工智能的安全根基。二是制定大模型安全强制合规要求，夯实人工智能安全发展的制度保障。要明确大模型安全的组织架构，界定安全主体责任，对基础安全、数据安全、应用系统开发安全、运行安全等方面提出清晰的技术保障要求。同时，做好大模型运行安全监测和内容风控，定期开展安全评估测试，完善应急响应机制，一旦发现异常行为或潜在的安全事件，第一时间进行处置，将安全威胁消除在萌芽状态。三是推广“AI+安全”创新成果落地，走好提升安全能力的必经之路。随着人工智能应用的进一步铺开，要鼓励更多产业用上、用好“AI+安全”创新成果，提高千行百业的网络安全防护效能。促进产学研用深度融合，推动科研成果从实验室走向市场，并以更加主动的姿态嵌入区域化、全球化的产业链条，占据关键节点位置，推动人工智能产业迈向更高发展水平。

③强化数据要素与民企活力筑牢AI时代高质量发展基石：我国数据生产量全球领先（2024年预计可达38.6ZB）、增速快，但数据使用率不足三分之一，数字经济企业与资本市场的结合程度尚不够紧密，要素化、资产化、资本化水平亟待提升。针对以上问题：一要构建全国统一的数据市场，统筹国家数据基础设施，推动跨层级、跨领域数据可信流通；建立健全国家公共数据资源体系，支持公共数据与行业数据融合开发，在国家安全、经济民生等关键领域实现数据“有标识、受监管、被保护、可交易、能使用”。二要加快数据要素市场化进程，规范统一数据交易定价机制，布局国家级数据交易所试点，鼓励行业协会、科研院所与企业共建数字经济创新示范基地，形成“采集—标注—交易—应用”全链条生态。三要发挥资本市场催化作用，支持数字经济企业通过并购重组、再融资等工具加速技术迭代，鼓励龙头企业共享数字化转型解决方案，带动产业链上下游协同发展，释放数据资本化潜力；发挥科创板改革“试验田”作用，提升资本市场体系对科创包容性，培育壮大新兴产业和未来产业。四要强化技术与标准支撑，加大数据加密、数字水印等关键技术攻关，推进视音频编解码（SVAC）、智能感知等领域自主标准制定，以标准优势带动产业优势，筑牢数据主权安全防线。

④前瞻布局下一代高可信区块链网络：传统的数据流通方式面临隐私易泄露、数据易篡改、数据割裂分布形成“孤岛”等挑战。区块链技术融合了分布式存储、不可篡改、可追溯等特性，为数据安全存储、可信共享和高效协作提供技术保障，具有独特优势。不少发达国家正在加大区块链技术的研发，希望以此串联起更多的高价值数据，我国也需要加速海量高价值数据在流通中释放活力，促进新动能积厚成势。面对经济社会发展的新需求和新形势，我国应前瞻布局下一代高可信区块链网络，打造超大规模、超强算力、超高安全的数字基础设施，为数据可信安全高效流通提供坚实基础。

三、四部门联合发布《人工智能生成合成内容标识办法》

近日，国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》，自2025年9月1日起施行。《办法》旨在促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益。

《办法》强调，任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或者服务，不得通过不正当标识手段损害他人合法权益。

配套《办法》，强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》，已由国家市场监督管理总局、国家标准化管理委员会正式批准发布（2025年第3号），2025年9月1日与《标识办法》同步实施。

四、《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则》

根据《人工智能生成合成内容标识办法》和强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》的要求，为指导人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则》。

《指南》给出了人工智能生成合成内容服务提供者和网络信息内容传播服务提供者的编码结构和赋码规则，可为人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成内容的文件元数据隐式标识活动提供参考。

五、国家标准《互联网金融个人网络消费信贷 贷后催收风控指引》发布

近日，国家标准化管理委员会批准发布国家标准《互联网金融 个人网络消费信贷 贷后催收风控指引》。该标准是我国首个聚焦贷后催收业务的国家级规范，其发布实施有效填补了贷后催收环节长期存在的规范空白，为加强行业自律管理、提升从业机构合规管理水平、识别暴力催收等违法违规行为提供了权威依据，是贷后催收行业迈向规范健康发展的关键一步。

标准的主要内容包含催收的适用范围、相关术语定义、风险控制总体要求，以及制度管理、组织和人员管理、业务管理、金融机构对第三方催收机构的管理、个人信息安全保护、重大事项风险报告、业务信息共享等要求。

六、山东省人民政府办公厅印发《山东省数字政府建设一体化综合改革方案》

为加快推进数字政府建设一体化综合改革，深化数智赋能，聚焦政府治理服务数字化、标准化、平台化、精准化，加强技术融合、业务融合、数据融合，提升跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务水平，全领域构建政府数字化运行新形态，山东省人民政府结合本省实际，制定并印发《山东省数字政府建设一体化综合改革方案》。

《方案》强调，要加强安全统筹。健全数字政府全领域、全周期安全防护体系，强化落实安全责任制度，提升安全保障能力与自主可控水平。落实网络安全等级保护、关键信息基础设施安全保护、数据分类分级保护、密码应用安全性评估等制度，加强数据安全保护，保障个人信息安全，塑强供应链安全，形成分工明确、协同推进的工作机制。强化数字政府安全保障专业队伍和安全态势感知体系建设，提升全省一体化安全监测、评估、处置和防范能力。

强化数据资源管理。完善全省一体化政务大数据体系，构建标准统一、安全可靠、高效流通的数据资源“汇、治、用”全生命周期管理体系。各级各部门、单位按照“应归尽归”原则，做好数据目录认领和数据资源挂载工作，健全数据长效运营机制。坚持“一数一源一标准”，逐步提升基础数据质量，统筹构建基础库，依据标准规范，完善主题库、专题库建设，持续丰富“一人一档”“一企一档”。

强化数据流通利用。开展公共数据资源登记，探索“综合授权+分领域授权+依场景授权”的公共数据分类分级授权运营模式，探索公共数据授权使用激励和收益分配机制，推动行政事业单位数据资产管理试点，加快实现数据资产化、价值化。深化区块链、隐私计算、数联网等新技术应用，建设安全可信的公共数据流通基础设施，提高数据利用可信、可控、可计量水平。健全政务数据共享机制，常态化开展数据供需对接，推动数据直达基层，形成高速率汇聚、智能化治理、规模化运用的数据共享体系。完善公共数据开放机制，推动高价值数据资源安全合规开放。深入开展“数据要素×”行动，赋能“十强”产业高质量发展，打造一批在全国具有引领性的典型应用场景。

七、《河南省公共数据资源授权运营实施办法（试行）》发布

近日，河南省政府办公厅印发《河南省公共数据资源授权运营实施办法（试行）》，对公共数据资源授权运营的基本要求、目录编制和登记、方案编制、协议签订、实施和管理等进行规范和细化。

《办法》根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《网络数据安全管理条例》（国务院令第790号）等法律、法规，按照《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》要求，结合河南省实际制定，旨在促进和规范公共数据资源开发利用，有效扩大公共数据资源供给，加快推进公共数据要素价值释放。

《办法》指出，公共数据运营服务平台应当落实网络安全等级保护、网络数据安全分类分级、个人信息保护和商用密码应用安全性评估等制度，搭建可信授权认证通道和数据安全流通通道，实现公共数据资源运营全过程可管、可控、可记录、可审计、可追溯。

一级开发主体在加工使用公共数据资源过程中发现数据间隐含关系和规律可能存在危害国家安全、公共利益，或侵害个人隐私、个人信息、商业秘密等风险隐患的，应当立即停止数据处理和运营活动，采取保护措施，及时向实施机构和本级公共数据主管部门报告风险情况。发生数据丢失、泄露、篡改、毁损等重大数据安全事件时，同时向本级网信部门报告。实施机构应当按照数据治理和分类、分级安全保护等要求，建立健全管理工作规则，加强对授权运营数据范围的审查，确保数据安全。

监管动态

一、上海通管局下架15款侵害用户权益行为的应用

近日，上海通管局通报下架了15款侵害用户权益行为APP：

二、重庆一公司泄露个人信息被网信办处罚

近日，根据国家网信办移交的问题线索，重庆市网信办依据《中华人民共和国数据安全法》对属地存在个人信息泄露的重庆某公司作出行政处罚。

经查，该公司履行网络安全、数据安全保护义务不到位；执行网络安全、数据安全管理制度不到位；网络日志留存不符合法律法规规定；运行的系统未采取技术措施和其他必要措施保障数据安全，导致发生个人信息被窃取等违法情形，违反了《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规。重庆市网信办依据《中华人民共和国数据安全法》，对该公司作出责令改正，给予警告，并处五万元罚款的行政处罚，对其直接负责的主管人员和其他直接责任人员分别处以一万元罚款处罚。目前该公司已按要求全面深入整改。

网信部门表示，将持续关注网络安全、数据安全和个人信息保护，严肃查处网络安全、数据安全、个人信息保护领域的违法违规行为，切实维护广大网民的合法权益。

三、日本电信服务提供商NTT披露一起数据泄露事件

近日，日本电信巨头NTT Com证实，黑客在二月份的网络攻击中窃取了近18,000家企业客户的数据，受影响的个人数量尚不清楚。这家电信运营商表示，在确定黑客 “未经授权访问” 用于管理服务订单的内部系统后，于2月5日发现了数据泄露。

NTT Com称，被盗数据包括客户姓名、合同编号、电话号码、电子邮件地址、实际地址以及属于17,891家机构的服务使用信息。在检测到入侵后，NTT Com表示其立即限制了内部系统对失陷设备的访问。然而，该公司表示在2月15日发现攻击者已经入侵了其内部网络中的另一台设备，公司称已“立即断开连接”。作为日本大型电信服务提供商，NTT经常成为网络犯罪分子的目标，网络犯罪分子试图破坏其运营或从其网络窃取有价值的数据。

四、加拿大多伦多动物园确认严重数据泄露事件 影响23年间游客信息

近日，加拿大多伦多动物园就一起严重数据泄露事件发布了最终通告。在这起被发现于2024年1月初的网络攻击所致泄露中，该园2000年-2023年4月期间观光客与会籍购买者的姓名以及部分情况下的街道地址、电话号码、电子邮件地址都受到影响；不仅如此，2022年1月-2023年期间使用信用卡支付的动物园顾客，其所用卡的卡号末四位和到期时间也在泄露范围中。

本次事件的源起是多伦多动物园的文件服务器遭到恶意代码感染，园方一开始确认其自1989年以来雇员和少数志愿者的个人信息出现泄露。由于受感染服务器中还存储了部分动物园客户的数据(以及数十年间的野生动物保护研究资料)，事件整体影响范围进一步扩大。

多伦多动物园称其在这起严重的数据泄露发生后采取了重大措施来提升信息安全水平，并同市政府有关部门展开了密切合作，该动物园现在具备更好的网络防御能力和更佳的安全问题检测能力。

五、澳大利亚FIIG因网络安全失误导致1.8万名客户数据泄露

澳大利亚证券和投资委员会（ASIC）近日对FIIG Securities Limited（FIIG）提起法律诉讼，指控其长期存在系统性网络安全缺陷。ASIC称，FIIG在2019年3月至2023年6月8日期间未能实施充分的网络安全措施，导致公司及其客户面临网络威胁。

2023年5月19日，一名黑客入侵FIIG的IT网络，直到6月8日才被发现。这次入侵导致约385GB的机密数据被盗，影响了约1.8万名客户。被盗信息包括姓名、地址、出生日期、驾驶执照、护照、银行账户详细信息和税号等高度敏感的个人数据。

作为澳大利亚金融服务（AFS）许可证持有者，FIIG根据《2001年公司法》（联邦）有法律义务建立适当的风险管理系统。ASIC指控FIIG未能：实施和监控正确配置的防火墙；定期更新和修补软件和操作系统；为员工提供强制性网络安全意识培训；为网络安全风险管理分配足够的财务、技术和人力资源。ASIC现正寻求对FIIG作出违规声明、民事处罚和合规令。

六、ESHYFT未受保护的AWS S3存储泄露，8.6万医疗人员隐私信息遭泄露

近日，网络安全研究员发现，美国新泽西健康科技公司ESHYFT存在一个未受保护的AWS S3存储桶，其中包含约108.8 GB的数据，且没有密码保护或加密，导致超过8.6万条医护人员的私人信息可被公开访问，给29个州的医护人员带来了重大风险。

这个配置错误的AWS S3存储桶中包含86,341条记录，大部分文档存储在标记为"App"的文件夹中，其中包含多种类型的敏感信息文件，包括用户头像、记录每月工作时间表的CSV文件、专业证书、工作分配协议，以及包含额外PII的简历。一个电子表格文档包含了超过80万个条目，详细列出了护士的内部ID、医疗机构名称、轮班日期和时间以及工作时长。

七、Allstat子公司National General因数据保护不力致20万驾照信息泄露

Allstate 旗下的 National General 部门近日被纽约州总检察长 Letitia James 提起诉讼，指控该公司未能充分保护消费者数据，并忽视报告，导致数20名驾驶员执照号码泄露。这起诉讼旨在寻求经济处罚和改进安全措施。

据悉，这些泄露事件发生于 2020 年和 2021 年，源于 National General 在线汽车保险报价工具的漏洞。黑客利用这些系统漏洞，获取了近 20万名个人的驾驶执照号码。总检察长办公室指出，National General 未能实施足够的保护措施来防止未经授权的访问，也没有及时通知受影响的个人或州政府机构。第一次泄露发生在 2020 年 8 月至 11 月间，但未被披露。National General 直到 2021 年初才意识到第二次更大规模的泄露，而此时数据已暴露数月之久。诉讼称，这种不作为违反了纽约州的《停止黑客和改善电子数据安全法》（SHIELD Act），该法要求公司保护私人数据并及时报告泄露事件。Allstate 于 2021 年 1 月收购 National General，对此其辩称公司在发现漏洞后迅速采取了行动，通知了监管机构并为受影响的消费者提供了信用监控服务。然而，诉讼认为公司的回应不够充分，早期应该采取更强有力的安全措施。

八、Thinkware行车记录仪被曝多个严重安全漏洞暴露用户凭证，影响数百万台设备

Thinkware公司的F800 Pro行车记录仪被曝存在一系列严重的安全漏洞，包括明文存储用户凭证、默认身份验证绕过以及不安全的数据存储方式。这些问题凸显了全球数百万台用于个人和商用车辆监控设备所面临的风险。

最严重的漏洞CVE-2025-2120允许攻击者通过物理接触行车记录仪，直接从/tmp/hostapd.conf配置文件中提取Wi-Fi凭证和云账户详细信息。这些敏感数据未经加密就被存储，使得攻击者能够入侵本地行车记录仪连接和关联的Thinkware Cloud账户。攻击者还可以利用默认凭证漏洞(CVE-2025-2119)绕过强制的移动应用配对过程，通过Wi-Fi连接到行车记录仪。一旦连接，他们就可以不受限制地访问554端口上的实时流协议(RTSP)和23端口上的Telnet服务，实现实时视频监控或历史录像下载。

Thinkware Cloud APK(v4.3.46)中的一个硬编码AES-256解密密钥，允许中间人攻击者解密登录流量，暴露云凭证并授予对存储录像的访问权限。此外，具有网络访问权限的攻击者可以通过行车记录仪未受保护的文件存储系统覆盖固件或部署恶意软件，从而建立持久性后门或破坏数据。

业界之声

一、国家数据局公开征集2025年重大课题委托研究承担单位

为深入学习贯彻习近平总书记关于数据发展和安全的重要论述，全面贯彻党的二十大和二十届二中、三中全会精神，深入落实中央经济工作会议和全国两会决策部署，按照2025年数据工作总体部署，围绕数据领域事关经济社会发展全局的重大问题，充分调动各方力量开展集中研究，国家数据局向社会公开征集课题研究承担单位。研究题目包含：

1.数据特性及其作用机理研究。

2.数字中国建设与发展新质生产力的作用机理、动力机制与实践路径研究。

3.构建以数据为关键要素的数字经济的机理研究。

4.数字经济发展对就业的影响及对策研究。

5.数据产权若干重大问题研究。

6.关于数据归集、利用的策略与路径研究。

7.国家数据基础设施建设运营若干重大问题研究。

8.人工智能对经济社会发展的作用机理、安全风险和治理模式研究。

9.“十五五”时期数字中国建设阶段性目标和重大任务研究。

10.“十五五”时期数字经济专项规划总体思路研究。

11.“十五五”时期数字社会专项规划总体思路研究。

12.“十五五”时期数据资源发展规划总体思路研究。

二、国家数据局负责同志在北京主持召开推进中央企业数据开发利用工作座谈会

为贯彻落实党中央、国务院决策部署，深化数据资源开发利用，加快推动数据产业高质量发展，近日，国家数据局负责同志在北京主持召开推进中央企业数据开发利用工作座谈会，听取企业代表对加快释放数据要素价值的意见建议。与会企业代表介绍了企业数据资源开发利用、可信数据空间、数据技术和产品创新、行业大模型应用等数据业务的进展和成效，研究讨论了当前存在的主要问题和困难，针对推动中央企业开放数据资源、促进数据互联互通、加强数据整合利用提出了具体建议。会议听取了各企业代表的意见建议，大家就进一步促进数据资源汇聚、流通、开发利用等问题进行了交流研讨，并号召各央企要发挥“排头兵”的带动作用，加强自身数据创新应用的同时，把更多有价值的数据供出来，带动上中下游企业、生态链企业共同用数创新，更好释放数据要素潜能。

三、全国数据标准化技术委员会即将举办2025年第一次“标准周”活动

为落实《全国数据标准化技术委员会2024-2025年工作要点》，促进数据标准各相关方加强数据政策、技术、产业发展的交流研讨，提炼有效实践，形成标准共识，共同推进数据领域国家标准项目研究和制修订工作，全国数据标准化技术委员会2025年第一次“标准周”活动将于2025年3月19日至22日，在四川省成都市举办。

全国数标委2025年第一次“标准周”全体会议将聚焦国家数据工作重要部署，重点围绕数据治理、数据流通利用、全域数字化转型、数据技术、数据基础设施等方向，交流新阶段新理念新格局下的数据政策、技术、产业发展新思路，探讨新技术新应用新业态的标准需求。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。