数据安全每周观察|《网络交易合规数据报送管理暂行办法》印发

政策趋势

一、市场监管总局印发《网络交易合规数据报送管理暂行办法》

为规范网络交易合规数据报送和管理活动，提高网络交易监管效能,促进平台经济持续健康发展，市场监管总局根据《电子商务法》《网络安全法》数据安全法》个人信息保护法》网络交易监督管理办法》等有关法律法规规章,制定并印发《网络交易合规数据报送管理暂行办法》。

《办法》指出，网络交易合规数据报送应当统筹发展与安全，坚持依法、必要原则,保护网络交易经营者和消费者合法权益，保守商业秘密,保护个人隐私，不得干扰网络交易平台经营者和平台内经营者的正常经营活动。各级市场监管部门应当严格遵守网络安全、数据安全、个人信息保护、保密等相关法律法规规定,依法保障个人信息权益和网络交易合规数据安全。

各级市场监管部门应当采取必要措施对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密，不得泄露或者非法向他人提供。自然人、法人和非法人组织认为市场监管部门的网络交易合规数据处理活动侵犯其个人信息、商业秘密等合法权益的,可以依法申请行政复议或者提起行政诉讼。

二、中共中央办公厅 国务院办公厅提出关于健全社会信用体系的意见

社会信用制度是市场经济基础制度。为健全社会信用体系，经党中央、国务院同意，中共中央办公厅 国务院办公厅提出健全社会信用体系的意见。

意见指出，要加强经营主体信用建设。强化经营主体信用管理，支持经营主体完善合规经营制度、管控信用风险，引导经营主体诚信经营、守信践诺。以公共信用综合评价为基础，建立企业信用状况综合评价体系。在确保保密和敏感信息安全前提下，加强国有企业信用状况披露。鼓励经营主体主动向信用服务机构提供信用信息，不断健全信用记录。

强化信用信息归集共享。强化全国信用信息共享平台信用信息归集共享“总枢纽”功能，坚持以共享为原则、不共享为例外，统一归集各领域信用信息，根据需求按规定向有关部门提供信用信息服务，定期开展归集共享质效评估。推动全国信用信息共享平台与行业信用信息系统深度联通、数据共享。研究加强区块链等技术在信用信息管理等方面的应用，在保障信用主体合法权益和信息安全的前提下，提升商业合同信息、产业链信息、交易信息等共享水平。

加强信用信息安全保护。建立信用信息安全管理追溯和侵权责任追究机制，明确信息传输链条各环节安全责任。严格落实安全保护责任，规范信用信息处理程序。提高信用信息基础设施安全管理水平。建立健全信用信息安全应急处理机制。

三、中共中央办公厅 国务院办公厅提出关于完善价格治理机制的意见

中共中央办公厅 国务院办公厅提出关于完善价格治理机制的意见。

意见指出，要建立健全符合数字经济发展需要的数据市场规则。加快制定符合公共数据要素特性的价格政策，促进公共数据安全高效开发利用。在公共数据授权运营中，用于公共治理、公益事业的公共数据产品和服务有条件无偿使用；用于产业发展、行业发展的公共数据产品和服务有条件有偿使用，按照补偿成本、合理盈利的原则确定收费标准并动态调整。

四、《网络安全标准实践指南——移动互联网未成年人模式技术要求》正式发布

近日，全国网络安全标准化技术委员会秘书处编制并发布《网络安全标准实践指南——移动互联网未成年人模式技术要求》。

《指南》要求，未成年人模式下，涉及收集未成年人个人信息的，在收集未成年人个人信息时，应遵循最小必要原则，不应因为未成年人或者其监护人不同意处理非必要个人信息或者撤回同意，拒绝未成年人使用基本功能服务；必须收集未成年人个人信息时，个人信息的收集、存储和处理应满足GB/T 35273-2020的要求；采取安全措施保护未成年人个人信息安全，防止泄露、改、损毁丢失；应为未成年人或其家长提供便捷的复制、更正、补充、删除未成年人个人信息的功能；在传输、处理和存储未成年人敏感个人信息时，应满足敏感个人信息处理相关标准的要求。

五、国家数据局正式发布第二批20个数据领域常用名词解释

近日，国家数据局正式发布《数据领域常用名词解释（第二批）》，其中对数据产权、数据产权登记、衍生数据、企业数据、数据交易机构、数据产业、数据标注产业、可信数据空间、数据基础设施等20个数据领域常用名词作了官方释义。

1.数据产权，是指权利人对特定数据享有的财产性权利，包括数据持有权、数据使用权、数据经营权等。

2.数据产权登记，是指数据产权登记机构按照统一的规则对数据的来源、描述、内容等的真实性、合规性、准确性等情况进行审核，记载数据权利归属等信息，并出具登记凭证的行为。

3.数据持有权，是指权利人自行持有或委托他人代为持有合法获取的数据的权利。旨在防范他人非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。

4.数据使用权，是指权利人通过加工、聚合、分析等方式，将数据用于优化生产经营、提供社会服务、形成衍生数据等的权利。一般来说，使用权是权利人在不对外提供数据的前提下，将数据用于内部使用的权利。

5.数据经营权，是指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。

6.衍生数据，是指数据处理者对其享有使用权的数据，在保护各方合法权益前提下，通过利用专业知识加工、建模分析、关键信息提取等方式实现数据内容、形式、结构等实质改变，从而显著提升数据价值，形成的数据。

7.企业数据，是指企业在生产经营过程中形成或合法获取、持有的数据。

8.数据交易机构，是指为数据供方、需方提供数据交易服务的专业机构。

9.数据场内交易，是指数据供方、需方通过数据交易机构达成数据交易的行为。

10.数据场外交易，是指数据供方、需方不通过数据交易机构达成数据交易的行为。

11.数据交易撮合，是指帮助数据供方、需方达成数据交易的行为。

12.数据第三方专业服务机构，是指为促进数据交易活动合规高效开展，提供数据集成、质量评价、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议调解、风险评估、人才培训、咨询服务等第三方服务的专业化组织。

13.数据产业，是指利用现代信息技术对数据资源进行产品或服务开发，并推动其流通应用所形成的新兴产业，包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等。

14.数据标注产业，是指对数据进行筛选、清洗、分类、注释、标记和质量检验等加工处理的新兴产业。

15.数字产业集群，是指以数据要素驱动、数字技术赋能、数字平台支撑、产业融通发展、集群生态共建为主要特征的产业组织新形态。

16.可信数据空间，是指基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，是数据要素价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。可信数据空间须具备数据可信管控、资源交互、价值共创三类核心能力。

17.数据使用控制，是指在数据的传输、存储、使用和销毁环节采用技术手段进行控制，如通过智能合约技术，将数据权益主体的数据使用控制意愿转化为可机读处理的智能合约条款，解决数据可控的前置性问题，实现对数据资产使用的时间、地点、主体、行为和客体等因素的控制。

18.数据基础设施，是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。

19.算力调度，本质是计算任务调度，是基于用户业务需求匹配算力资源，将业务、数据、应用调度至匹配的算力资源池进行计算，实现计算资源合理利用。

20.算力池化，是指通过算力虚拟化和应用容器化等关键技术，对各类异构、异地的算力资源与设备进行统一注册和管理，实现对大规模集群内计算资源的按需申请与使用。

六、关于发布2025年度第一批网络安全国家标准需求的通知

为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国网络安全标准化技术委员会秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了2025年度第一批网络安全国家标准需求清单。

七、河南省人民政府办公厅发布关于促进数据产业高质量发展的实施意见

为贯彻落实党中央、国务院决策部署，加快促进全省数据产业高质量发展，近日河南省人民政府办公厅发布了关于促进数据产业高质量发展的实施意见。

意见要求统筹数据产业布局。支持各地立足产业基础和数据资源，布局建设数据产业集聚区，构建特色鲜明、优势互补的“一区多园”产业格局。支持郑州市统筹建设数据要素专业园区，大力发展数据资源、数据服务、数据安全、人工智能等产业，打造全省数据产业核心区。鼓励其他地方因地制宜建设数据标注、数据应用、算力服务等专业园区，赋能卫星遥感、中医中药、商贸物流等产业园区转型发展。围绕资源汇聚、技术创新、应用牵引、算力支撑等方向，推进数据资源和数据基础设施共建共享，积极引进国内龙头、骨干企业落户数据产业集聚区。

强化数据安全治理。完善数据安全保障体系，提升数据安全风险识别、监测预警、应急处置等管理水平，落实国家数据分类分级保护制度，安全使用涉及国家安全、商业秘密、个人隐私的数据。加强身份认证、隐私计算、数据脱敏加密、安全传输、移动智能终端安全芯片及组件等技术产品研发和产业化。鼓励数据企业加快关键信息基础设施国产化，深化信创产品和服务在人工智能、元宇宙、区块链等新一代信息技术中应用创新，推动数字经济与实体经济深度融合。

八、江苏省出台省级层面培育壮大数据企业专项政策

近日，省数据局、省委金融办、省发展改革委、省教育厅、省科技厅、省工业和信息化厅等12个部门，联合印发《江苏省培育壮大数据企业行动方案（2025-2027年）》，这是继2024年国家发展改革委、国家数据局等部门印发《关于促进数据产业高质量发展的指导意见》、省政府办公厅印发《关于加快释放数据要素价值 培育壮大数据产业的意见》后，全国首个省级层面出台的培育壮大数据企业专项落实文件。

《方案》坚持市场主导、创新驱动、特色发展的原则，聚焦数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施等六类企业，持续开展数据企业“增、转、引、育”工作，推动国资国企、行业龙头等新设一批多元经营主体，引导一批传统企业拓展数据业务，招引一批国内外知名数据企业落地江苏。

《方案》强调，要支持网络安全企业拓展数据安全业务。推动网络安全龙头企业拓展面向动态防护要求的数据安全业务，丰富数据安全产品，构建覆盖数据全生命周期的综合业务体系。支持创新型中小企业聚焦数据可信流通技术，加快成长为技术基础好、市场占有率高、核心竞争力强的数据安全企业。

九、《湖南省推进可信数据空间发展行动方案》发布

近日，湖南省数据局发布了《湖南省推进可信数据空间发展行动方案》，其中提到建设互联互通的城市数据空间。以长株潭一体化为核心，在全国率先探索建设都市圈可信数据空间，推动长株潭都市圈数据高效流通与协同应用。

《方案》强调，要保障数据安全，筑牢防护屏障。实施数据分类分级保护策略，建立全方位的安全管理体系，加强动态感知、风险识别与应急处置能力，确保数据流通全过程的安全可控。引入隐私计算、数据沙箱、使用控制、区块链等先进技术，优化履约机制，构建空间合约和履约行为存证体系，提升数据资源开发利用的全程溯源能力，保障各方权益，维护数据市场的公平竞争。

培育数商体系，促进数据市场繁荣。加快数商群体的培育发展，提供数据清洗、加工、分析、可视化等一站式数据服务，满足市场多样化需求。建立数商评价体系，对数商的服务质量、技术水平、数据安全能力等进行评估，引导数商规范发展。鼓励数商与数据提供方、数据需求方建立紧密的合作关系，共同促进数据市场繁荣发展。

十、《上海市公共数据资源授权运营管理办法（征求意见稿）》发布

近日，上海市数据局发布《上海市公共数据资源授权运营管理办法（征求意见稿）》，并公开征求意见。

《办法》依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等法律法规，根据《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》《公共数据资源授权运营实施规范（试行）》等文件要求，结合上海市实际制定本办法，旨在加快推进公共数据资源开发利用，规范公共数据资源授权运营，培育数据要素市场，发展新质生产力，优化营商环境。

《办法》指出，坚持“谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责”的原则，落实数据安全责任。

《办法》强调，实施机构、运营机构、开发主体应当结合公共数据资源授权运营相关职责，落实数据安全主体责任。实施机构应当建立健全对公共数据安全合规流通的监测、审计和溯源机制，落实公共数据分类分级安全管理要求，加强技术支撑和数据安全管理。运营机构应当建立健全授权范围内公共数据的全生命周期安全合规管理制度，加强内控管理、技术管理和人员管理，确保数据来源合法可溯、去向可查、行为留痕、责任可究。开发主体应当确保开发的公共数据产品和服务符合法律法规和标准规范要求，保护个人信息权益、知识产权、商业秘密等不受侵害。市数据主管部门会同市行业主管部门和市网信、公安等建立健全公共数据分类分级、风险评估、监测预警、应急处置工作体系，以及全流程安全监管体系，建立针对网络安全、数据安全、个人信息保护等的协同监管机制，严格管控未依法依规公开的原始公共数据资源直接进入市场。

监管动态

一、浙江省通信管理局通报5款侵害用户权益行为的APP

近期，浙江省通信管理局依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益治理工作，对群众关注的实用工具、即时通信、网络社区等类型APP进行检查，并书面要求违规APP开发运营者限期整改。

截至目前，尚有5款APP未按要求完成整改，江省通信管理局对其予以通报。

二、重庆网信办通报一批违规的APP/小程序

近期，重庆市通信管理局和四川省通信管理局组织第三方检测机构对川渝两地主流应用商店移动互联网应用程序（App）进行了检查。并对未按要求完成整改的13款App/小程序予以通报。

三、X平台网络安全故障不断，28亿条数据泄露

近日消息，数据泄露论坛 Breach Forums“知名”用户 ThinkingOne 当地时间 28 日表示，X 社交平台于今年 1 月发生了一起异常严重的数据安全事件：存储了28 亿 7341 万 842 条账户个人数据信息的 400GB 数据遭遇泄露。

这一规模远超 X 平台现有的约 3.357 亿个用户，因此该泄露数据集除实际活跃用户外可能还包含了被封禁的机器人账户、非活动账户、已合并账户、非用户实体、开发人员机器人等特殊账户，也无法排除从第三方获得的可能。

ThinkingOne 宣称这些数据“几乎肯定”是心怀不满的 X 员工在裁员潮时窃取的。此类内部人员利用合法访问权限实施的数据窃取，正呈现“数据囤积”新趋势。攻击者不再急于变现，而是长期收集形成数据黑市的“战略储备”。更危险的是，当内部人员掌握安全运维权限时，完全可能将真实攻击伪装成系统故障，制造双重欺骗场景。

四、美国一军事承包商遭勒索软件攻击，300万文件疑被窃取

InterLock勒索软件组织近日宣称对3月1日发生的National Presto Industries网络攻击事件负责。该家电和弹药制造公司此前在3月初向美国证券交易委员会(SEC)提交的监管文件中披露了这一事件，表示正在努力恢复系统，同时已实施临时措施以维持关键功能。

InterLock将National Presto Industries的子公司National Defense Corporation添加到其基于Tor的泄露网站上，证实此次攻击确实使用了勒索软件。该勒索软件团伙声称从公司窃取了大量数据，包括约45万个文件夹，内含近300万个文件。

据报道，InterLock表示曾试图勒索该公司，但谈判未能成功，因为National Defense Corporation认为该事件并非重大事件，被盗信息对他人没有价值，且数据泄露对其财务影响微乎其微。此外，该公司还声称已经恢复了系统，所有操作均已恢复正常。然而，勒索软件团伙声称已加密至少三个National Presto Industries实体的系统，包括为军方和执法部门生产弹药和爆炸物的AMTEC。

五、英国皇家邮政疑遭144GB数据泄露

英国皇家邮政集团（Royal Mail Group）疑似遭遇大规模数据泄露，共计144GB的内部文件、客户信息和营销数据被公开。该事件于2025年3月31日首次在网络犯罪论坛Breach Forum上被用户GHNA披露。

泄露的数据包含293个文件夹和16,549个文件，内容涵盖：客户个人身份信息：姓名、完整地址、邮政编码和配送详情；内部通信：会议视频录像，特别是Spectos与Royal Mail员工之间的Zoom通话；运营数据：配送路线数据集、邮局位置信息和后端SQL数据库；营销基础设施数据：Mailchimp邮件列表导出，显示订阅者元数据和详细同意信息。

GHNA在披露皇家邮政集团数据的同时，还发布了一张皇家邮政集团与德国数据分析和性能管理公司Spectos之间Zoom会议录像的截图，并称数据再次由 Spectos 提供，让人怀疑本次数据泄露经由第三方供应商Spectos实现。黑客GHNA自2024年底以来活跃于Breach Forums，通过泄露或出售多个高知名度组织的访问权限而声名鹊起。而Spectos多次出现在GHNA的泄露材料中，包括内部文档和录制的视频通话。

六、人为疏忽导致150万张约会应用私密照片遭泄露

近日，超过150万张个人照片因人为错误而泄露并在网上公开可访问。这些泄露的照片中，大量来自小众和边缘群体，包括BDSM爱好者和LGBT社区成员，使情况更为严重。

据调查，此次泄露源自MAD Mobile运营的云平台。该公司为Translove、Chica、Brish和Pink等多个小众约会网站提供技术服务。泄露的内容包括用户身份验证照片、曾被网站版主拒绝的照片，以及用户之间私下共享的私密图片。这些敏感数据的泄露可能导致受影响个人面临严重的个人和社会后果。

泄露的具体原因是人为失误——未能修补系统中的已知漏洞，为黑客提供了可乘之机，最终导致未经授权的访问和敏感数据盗窃。MAD Mobile发言人确认，该漏洞现已得到解决，并强调据他们所知，泄露的信息尚未在网上被欺诈性访问或滥用。然而，这对那些私人信息已被曝光的个人来说，几乎无法抹去造成的伤害。

七、黑客组织攻击纽约大学官网 泄露300万学生敏感信息

近日，一个自称为“Computer Niggy Exploitation”的黑客组织对美国著名高等学府纽约大学(NYU)的官方网站发动了网络攻击。该组织声称此举旨在揭露纽约大学在招生过程中存在的所谓“种族歧视”问题，但同时也暴露了数百万纽约大学申请者的敏感信息。

攻击发生后，纽约大学的官方网站主页一度被篡改，展示了三张图表，据黑客组织称，这些图表分别展示了纽约大学在2024-2025招生录取周期中，被录取学生的平均SAT成绩、ACT成绩以及GPA(平均绩点)。该黑客组织在篡改的页面上特别提及，尽管美国最高法院已于2023年就叫停了高校招生中的“平权法案”(Affirmative Action)，但纽约大学“仍在继续”推行相关做法。他们公布的数据意在暗示，相较于西班牙裔和非裔申请者，亚裔和白人申请者被录取时的平均考试分数和GPA更高。“平权法案”通常指旨在通过在招生、招聘等环节考虑种族、性别等因素，为历史上处于不利地位的群体创造更多机会的政策。美国最高法院在2023年6月29日对两起相关案件做出裁决，实际上终止了在大学招生中将种族作为考量因素的做法。

此次事件造成的后果远比网站页面篡改更为严重。据披露，黑客在攻击过程中获取并公开了四个CSV格式的数据文件。这些文件包含了自1989年以来纽约大学的详细招生记录，涉及多达约300万名被录取学生的申请信息，包括他们的人口统计学数据、居住城市、邮政编码以及国籍等。更令人担忧的是，这些泄露的CSV文件还包含了来自“通用申请”(Common Application)系统的数据，其中不仅有关于被拒绝录取的学生、获得经济资助的学生、通过“提前决定”(Early Decision)项目录取的学生信息，甚至还涉及申请人兄弟姐妹及父母的个人信息。

根据网络安全媒体TheRecord的报道，该黑客组织似乎曾尝试对这些文件进行处理，意图隐去学生的具体身份信息，但显然并未成功。最终，包括申请人的全名、家庭住址、电话号码、GPA成绩、电子邮箱地址在内的大量个人身份信息(PII)被完全暴露在公开网络上。

业界之声

一、杭州打造国家级数据“高速公路”

近日，国家数据基础设施建设（先行先试）杭州市试点项目启动会召开。20家参与建设的企业（涵盖了国内数据、通信、科技等多个领域的头部企业）亮相，标志着杭州市数据基础设施建设迈入政企协同、制度创新的实质性建设阶段。

在试点中，杭州承担数场、数联网、区块链、隐私计算和可信数据空间等5项任务，探索数据基础设施数据流通利用技术路线和实践路径。

在数场建设方面，聚焦数据流通利用“低门槛接入、大规模流通、高效安全利用”等目标需求，以高效流通、价值释放繁荣生态为核心，面向数据要素提供线上线下资源登记供需匹配、交易流通、开发利用、存证溯源等功能，实现数据可见、可达、可用、可控、可追溯，形成具备开放性、融合性、扩展性等特点，支持多场景应用的综合性数据流通利用设施。

在数据空间方面，聚焦“数据流通利用全流程可信可控”目标，建设具有数据广泛可接入、跨域使用可控制、流通动态可监测等能力的可信数据空间，支持多主体分布式接入、数据按约使用、数据可信交付的能力，实现数据流通利用所需的登记、磋商、交易、传输、存储、计算、交付、治理等必要功能以及全链路安全保障。

在隐私计算方面，以数据跨域流通利用的隐私保护、隐私控制、数据可控交付等需求为牵引，建设基于隐私计算的数据流通公共服务能力，支持多方安全计算、联邦学习、可信执行环境、同态加密、隐私信息延伸控制、按需脱敏保护等技术，在不泄露原始数据的前提下，提供联合统计分析、隐私集合求交、隐私信息检索、联合建模预测等隐私计算功能，支持不少于100个数据规模为千万级的联合建模任务并发，服务不少于1000家数据接入主体。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。