数据安全每周观察|数据安全技术 政务数据处理安全要求等获批发布

政策趋势

一、《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准获批发布

根据2025年3月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2025年第6号），全国网络安全标准化技术委员会归口的6项国家标准正式发布。

二、关于下达14项网络安全推荐性国家标准计划的通知

近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括由全国网络安全标准化技术委员会归口的14项标准：

三、工业和信息化部办公厅印发《2025年工业和信息化标准工作要点》

近日，工业和信息化部印发《2025年工业和信息化标准工作要点》，强调要加强新兴产业标准建设：优化完善云计算、大数据、区块链、北斗导航等新一代信息技术标准，统筹推进新一代信息技术基础通用、关键技术、产品服务、行业应用、安全治理等标准制定，助力突破一批面向融合应用的新一代信息技术应用产品。加强未来产业标准建设：开展元宇宙、脑机接口、量子信息、人形机器人、生成式人工智能、生物制造、先进计算、未来显示、未来网络、新型储能等标准研究。加强产业基础标准建设：加快基础材料、基础元器件、基础零部件、基础工艺、工程建设、安全生产、网络与数据安全、无线电、质量与可靠性、制造业中试、科技服务业等标准研制。

四、国家数据局组织开展企业、行业、城市三类可信数据空间试点工作

近日，国家数据局发布《关于组织开展2025年可信数据空间创新发展试点工作的通知》，旨在引导和支持可信数据空间发展，促进数据要素合规高效流通，深化数据资源开发利用。

《通知》明确，本次试点工作将组织开展企业、行业、城市三类可信数据空间试点工作，经过两年试点培育，形成一批资源丰富、应用创新、生态繁荣、成效显著的可信数据空间，在数据资源开发利用、数据安全可信流通、数据要素价值共创、数据制度机制创新等方面，形成可复制推广的经验模式，探索数据资源规模化流通利用新模式新路径，积累国家数据基础设施运营经验，支撑全国一体化数据市场建设。

试点工作重点任务包含，打造应用共创模式，构建数据资源高效流通机制，建立产业生态培育体系，构建可持续运营发展模式，推进可落地易复制的技术路径，探索数据空间互联互通。其中，推进可落地易复制的技术路径方面强调，要使用与应用场景、运营模式和规则制度等相适配的技术系统，满足可信管控、资源交互、价值共创和安全管理等数据空间核心功能要求，实现数据安全可信高效流通利用。使用精准满足需求的低成本、轻量化、敏捷化技术方案，匹配多场景功能要求并持续迭代优化。

五、浙江省网信办等三部门印发自由贸易试验区数据出境负面清单管理办法、负面清单（2024版）

近日，浙江省互联网信息办公室、省商务厅、省数据局会同有关部门制定并印发了《中国（浙江）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》。

《办法》根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、国务院《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》和国家互联网信息办公室《促进和规范数据跨境流动规定》等政策法规，结合浙江自贸试验区产业领域实际制定，旨在保障数据安全，保护个人信息权益，促进数据依法有序流动，提升中国（浙江）自由贸易试验区数据出境管理能力及便利度。

六、山东发布数字强省建设2025年工作要点

近日，山东数字强省建设领导小组办公室发布了《数字强省建设2025年工作要点》，旨在着力打造数字强省、智慧山东，加快培育新质生产力，赋能全省绿色低碳高质量发展。

《要点》聚焦数据要素、数字经济、数字政府、数字社会、数字科创、人工智能、数字底座、数字生态八方面，提出27项重点任务。其中，推动数据高效流通方面强调，要深入推进数据直达基层。深化政法、文旅、农业、能源、自然资源等领域跨地区、跨部门、跨层级数据共享利用，推动形成数据流通“绿色通道”。强化数据知识产权保护，引导重点行业、重要产业深入开展数据知识产权登记。强化数字安全方面强调，要统筹推进数字安全体系建设，加强数据收集、存储、使用、加工、传输、提供等全过程安全监管。深化数字安全防护，开展重点领域数据安全态势监测分析，提高联防联动能力。健全数据安全事件通报和应急处理机制，定期开展多部门联合演练。建立完善网络安全能力评估体系和实施指南，持续开展网络数据安全检查评估工作。

七、河南发布2025年数据资源发展工作要点

近日，河南省发展和改革委员会发布了《河南省2025年数据资源发展工作要点》，旨在加快数据资源开发利用，释放数据价值。

《要点》包括健全数据资源基础制度体系、强化数据资源高质量供给、推动数据资源开发利用、培育壮大数据产业等方面。其中，强化数据资源高质量供给方面强调，要鼓励企业数据开放共享。实施“国有企业数据效能提升行动”，加快构建省属国企数据资源共享开放、价值共创体系，赋能产业转型升级。支持龙头企业牵头建设场景驱动、技术兼容、标准互通的企业可信数据空间，促进上下游产业链企业数据流动融合利用。建立企业数据互信合作机制，鼓励采取共享开放、交换交易、资源置换、确权登记等多种方式流通数据。依法保护企业具有创新性的数据产品、算法、模型等知识产权。培育壮大数据产业方面要求，要围绕数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施等6类业态，组织各地谋划储备数据产业重点项目，建立省数据产业重点项目库。力争2025年实施重点项目100个以上，总投资200亿元以上。

八、北京发布首个数据要素综合试验区建设实施意见

近日，北京市政务服务和数据管理局发布《北京市关于建设数据要素综合试验区的实施意见（征求意见稿）》。

《意见》强调，要健全数据安全治理制度，完善数据流通安全、数据流通交易责任界定等机制，提升数据流通风险防范能力。推动数据要素综合性立法，围绕重点行业数据流通合规指引、数据资产管理、平台数据合规供给、衍生数据认定、数据跨境流动等制定一批特色创新制度。发挥北京市数据标准化技术委员会作用，推动制定公共数据分类分级、公共数据授权运营、数据匿名化处理、数据流通安全评估等一批急需标准。

强化多维度数据安全保障方面提出，发挥北京市数据安全工作协调机制作用，推动包容审慎监管。针对数据流通中的新技术、新产品、新模式、新业态，探索建立“监管沙盒”机制，构建鼓励创新、弹性包容的安全治理环境。深化数据脱敏、隐私计算、区块链等数据安全技术的研究与应用，提升数据全生命周期安全保障能力。落实数据分类分级保护制度，加快应用或出台医疗健康、自动驾驶等重点领域数据分类分级标准。培育一批第三方安全合规服务机构，鼓励龙头链主企业或大型平台企业开放安全合规服务能力，降低企业数据安全合规成本。推动保险机构设计数据领域保险产品，合理分散风险。发挥行业协会规范引导作用，强化守信激励和失信惩戒，营造数据行业自律氛围。

培育数据产业发展体系方面提出，制定适应数据领域特征的数据产业发展政策，开展数据企业梯度培育，加快培育数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施等领域企业。探索培育一批数据企业专业孵化器，建立孵化器与数据流通交易平台的直通车，助力数据企业孵化成长。优化数据产业空间布局，支持各区基于区域特色，加强数据、人才和技术资源集聚，打造一批协同互补、特色发展、具有国际竞争力的数据产业集聚区，完善集聚区支持政策，便利数据企业用数、用云、用电、用地。

九、广州出台全国首个保障可信数据空间建设的司法政策

近日，广州互联网法院在第三届人工智能法治论坛上，正式发布《广州互联网法院关于以高质量司法服务保障粤港澳大湾区可信数据空间建设的意见》，为粤港澳大湾区可信数据空间建设提供全方位司法保障，这也是国内首个专为可信数据空间建设发布的司法保障政策。

《意见》共12条，立足广州互联网法院实际工作经验，围绕数据权属确权、合同履行、价值分配、退出条款、主体权利保护、竞争秩序、知识产权、数据安全、算法公平、跨境流动、纠纷预防解决以及产学研法交流等多方面提出司法保障举措，构建可信数据空间司法保障体系框架。

数据权属保护方面，《意见》提出要妥善处理数据权益纠纷，准确把握不同类型数据的权属认定标准，平衡各方合法权益。数据流通交易方面，明确依法审理涉数据要素合同履行纠纷，对延迟履行、部分履行、瑕疵履行等违约情形，结合行业标准和合同约定判断履行标准，综合考量数据来源合法性、数据质量保证、数据安全保障、服务能力评估等多维度因素，区分不同情形合理确定违约责任。算法公平方面，《意见》提出妥善审理算法公平与技术侵权纠纷，促进可信数据空间算法规范发展，平衡技术创新与权益保护。对涉算法偏见的侵权责任纠纷，重点审查开发者和使用者是否建立算法透明度机制，是否提供合理解释和申诉渠道，增强算法公平性、透明度和可解释性。

十、《江西省公共数据资源登记管理实施细则》发布

近日，江西省发展改革委（江西省数据局）发布了《江西省公共数据资源登记管理实施细则》，旨在贯彻国家相关法律法规，促进公共数据资源的合规高效开发利用和有序流通，规范公共数据资源登记工作。

《细则》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《江西省数据应用条例》等法律法规，按照国家《关于加快公共数据资源开发利用的意见》《公共数据资源登记管理暂行办法》和《江西省关于落实数据基础制度激活数据要素价值促进数字经济高质量发展的实施意见》等文件要求，结合江西实际制定，明确了公共数据资源登记的基本准则、职责分工、登记要求、程序以及监管机制，确保数据安全和公共利益，保护商业秘密和个人隐私。旨在促进公共数据资源合规高效开发利用和有序流通，规范省公共数据资源登记工作。

《细则》指出，登记机构应建立健全数据资源登记管理责任制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息。申请首次登记时，登记主体应向登记机构提交的材料包含：数据安全风险评估，自行或委托第三方服务机构开展的数据安全风险评估，说明数据存在的安全风险，并提供相应的安全建议和措施，以保障数据的安全性和可靠性。各级数据主管部门会同网信、公安、财政、国家安全、司法行政、市场监管、政务服务等有关部门，建立跨部门协同监管机制，研究公共数据资源登记工作重大事项，协调解决重大问题。涉及重大或特别重大的数据安全事件，应及时报送省数据安全工作协调机制办公室。

十一、《新疆维吾尔自治区数据条例》公布

《新疆维吾尔自治区数据条例》于2025年3月26日，由新疆维吾尔自治区第十四届人民代表大会常务委员会第十九次会议通过，现经新疆维吾尔自治区人民代表大会常务委员会正式发布，自2025年5月1日起施行。

《条例》根据有关法律、行政法规，结合自治区实际制定，旨在加强数据资源管理，促进数据资源有序流通和应用，保护数据权益，保障数据安全，推进数字新疆建设。

《条例》第六章 数据安全部分强调，数据处理者开展数据处理活动应当符合法律、法规的规定，建立数据安全常态化运行管理机制，履行以下数据安全保护义务：建立健建立数据安全常态化运行管理机制，履行以下数据安全保护义务：全全流程数据安全管理制度；实行管理岗位责任制，配备安全管理人员和专业技术人员；组织开展数据安全教育培训；加强数据安全日常管理和检查，对复制、导出、脱敏、销毁数据等可能影响数据安全的行为，以及可能影响个人信息保护的行为进行监督；制定数据安全应急预案，开展应急演练；发生数据安全事件时，立即采取处置措施，启动应急预案，及时告知可能受到影响的用户，并按照规定向有关主管部门报告；加强风险监测，防范数据汇聚、关联引发的泄密风险，发现数据安全缺陷、漏洞等风险时，立即采取补救措施；采取安全保护技术措施，对数据进行分类分级管理，识别、申报重要数据，防止数据丢失、篡改、破坏和泄露，依法申报重要数据出境安全评估，保障数据安全；法律、法规规定的其他安全保护义务。

监管动态

一、国泰世华银行(中国)因数据安全管控不足被罚款

近日，国家金融监督管理总局上海监管局公布一则行政处罚信息。行政处罚信息公开表显示，国泰世华银行(中国)有限公司因数据安全管控不足被罚款30万元。同时，时任国泰世华中国信息科技与数据治理部安全组组长金某某因数据安全管控不足，被警告。

二、三星德国遭遇数据泄露 暴露27万客户个人数据

近日，据科技媒体SamMyFans发布博文，称三星于3月29日出现数据泄露事件，暴露了27万客户的个人数据，目前已通过邮件方式，通知受影响的德国用户。

一个自称GHNA的黑客组织攻击了Spectos公司，窃取了144GB的英国皇家邮政(RoyalMail)和三星德国的客户服务数据，包括发件人和收件人的姓名、电话号码、物理地址以及包裹详情。GHNA上周一在Breach Forums网站发布通知，称窃取了293个文件夹、16549个文件，包括发件人和收件人的姓名、电话号码、物理地址以及包裹被盗数据还包括一个Mailchimp邮件列表、一个SQL数据库以及RoyalMail与Spectos之间的Zoom聊天记录。GHNA表示在本次窃取的数据中，还包括27万三星德国客户服务票据。并且这些数据跨越多年，其中大量条目日期为2025年。被盗记录包括人们的全名、物理和电子邮件地址、硬件型号、支付详情以及三星与其德国客户之间的通信。

该媒体称网络犯罪分子分析这些数据，可以定位三星客户，从而实施欺诈等操作。例如，三星数据包括提及家庭地址的购买记录，这可能让犯罪分子能够定位高价电子产品的所有者。

三、GrubHub遭遇重大数据泄露，7000万行用户数据被黑客兜售

近日，由网络攻击者在数据泄露论坛声称掌握了美国食品配送巨头GrubHub的约7000万行数据，包括数百万条哈希密码、电话号码和电子邮件地址。这一声明与该在线食品配送平台今年2月承认的数据泄露事件时间相吻合。

GrubHub在2月曾宣布，公司通过第三方服务提供商遭遇了数据泄露，当时表示哈希密码、电子邮件地址和其他数据被盗，但未具体说明攻击范围。如果黑客的声明属实，这意味着数千万GrubHub用户的数据已被曝光。根据一个密码代表一个账户的计算，受影响的账户数量可能约为1700万。GrubHub在发现入侵后，锁定了攻击者并删除了第三方的账户。最初尚不清楚攻击者是否成功窃取了数据，但最近的声明表明攻击者可能已成功获取了大量客户数据。

四、电商平台WooCommerce疑被入侵，超440万用户数据遭泄露

近日消息，黑客Satanic宣称通过第三方成功入侵广受欢迎的电商平台WooCommerce，并在暗网兜售超 440 万用户数据。泄露的数据涵盖客户和企业层面的信息，包含电子邮件、电话号码、实际地址、社交媒体链接，以及诸如销售收入、员工数量、域名权威排名和平台使用情况等企业数据。黑客称数据库中有 99.8 万个电话号码、4432120 条个人记录、130 万个唯一电子邮件地址，还有企业网站的元数据，如技术栈和支付解决方案等信息。从黑客分享的 1000 行样本数据可见，涉及众多知名网站及机构，像 NIST 官网 “nist.gov”、德克萨斯州官方门户网站 “texas.gov”，以及 NVIDIA、纽约市教育局、俄克拉荷马大学、牛津大学出版社等。据Satanic在Breach Forums上发布的帖子，该数据泄露事件发生于 4 月 6 日，这些数据来自与使用该平台的网站紧密相关的系统，极有可能是通过第三方集成的 CRM 或营销自动化工具获取的。

目前，黑客通过直接消息或 Telegram 出售该数据库。此前，该黑客曾多次宣称发动数据泄露事件。若此次 WooCommerce 数据泄露属实，将成为今年已知的基于 WordPress 的电商平台中规模最大的数据泄露事件之一。截至发稿，WooCommerce 尚未对此事发表公开声明。

五、Medusa勒索软件组织声称攻破美国国家汽车竞赛协会

近日，Medusa勒索软件组织在其暗网泄露网站上宣称攻击了美国国家汽车竞赛协会(NASCAR)，要求支付400万美元赎金，并威胁如不付款将公开内部数据。除NASCAR外，该组织还声称McFarland Commercial Insurance Services、Bridgebank Ltd和Pulse Urgent Care也成为其最新受害者。

目前，该组织已发布了37张与NASCAR相关的文档图片作为证据。对其中一张模糊图片的审查显示，泄露内容包括企业品牌材料、设施地图、含员工联系方式的电子表格以及内部笔记和照片。初步分析表明，泄露文件包含赛道场地详细地图、电子邮件地址、员工姓名和职位，以及与凭证相关的信息，这表明运营和后勤数据确实遭到了入侵。Medusa勒索软件组织最早于2021年被发现，但在过去几年中其活动明显增加。几周前，Medusa因使用被盗数字证书禁用受感染系统上的反恶意软件工具而成为新闻焦点。

六、Twilio旗下SendGrid被曝遭入侵，84.8万企业数据被兜售

近日，黑客Satanic在网络犯罪论坛Breach Forums上声称成功入侵云邮件服务提供商SendGrid（Twilio旗下），并正以2,000美元的价格出售所获数据。据黑客宣称，此次泄露的数据包含84.8万多家企业的完整客户和公司信息。

根据安全研究人员分析的样本数据，泄露信息包括：客户电子邮件、电话号码、物理地址及社交媒体资料；公司域名、收入、员工数量、SEO表现等业务数据；财务信息如营收、运营收入和净利润；员工数据和部分高管信息；公司技术栈信息，包括CMS平台、支付解决方案和CRM工具。样本数据中出现了多家知名企业，包括美国银行、Bazaarvoice和BBC等。每条记录不仅包含基本联系信息，还涵盖网站分析指标、内部邮箱地址、电话号码和后端技术细节。

对此Twilio发言人向媒体澄清说，没有证据表明Twilio或Twilio SendGrid遭到入侵，并表示他们在审查数据样本后，认为这些数据并非来自SendGrid。Satanic随后在论坛上发布了更大规模的样本数据（额外1万行记录），并坚称数据真实性。

七、美国德克萨斯州律师协会确认数据泄露

美国德克萨斯州律师协会（State Bar of Texas）近日向受影响成员发出数据泄露警告，此前INC勒索软件团伙声称已入侵该组织并开始泄露被盗数据样本。

根据发送给受影响成员的通知信，该组织在2025年1月28日至2月9日期间遭遇安全入侵，但直到2月12日才被发现。攻击者从网络中窃取了信息，包括全名和其他在公开数据泄露通知中被编辑的数据。INC勒索软件团伙于2025年3月9日将该组织添加到其暗网勒索页面，声称对德克萨斯州律师协会发动了攻击。威胁行为者已经泄露了据称被盗文件的样本，包括法律案件文件。

德克萨斯州律师协会向数据泄露通知的接收者提供了通过Experian免费的信用和身份盗窃监控服务，受影响用户可以使用附带的激活码在2025年7月31日前注册。此外，协会建议受影响者考虑激活信用冻结或在其信用档案上设置欺诈警报，以减轻数据泄露带来的风险。

业界之声

一、全国网络安全标准化技术委员会将开展2025年第一次全体委员会议暨“标准周”活动

为促进标准各相关方加强网络安全技术与标准化交流研讨，推进网络安全国家标准项目研究和制修订工作，提升标准研制质量，全国网络安全标准化技术委员会2025年第一次全体委员会议暨“标准周”活动将于2025年4月14日至4月17日在江苏省苏州市举办。

本次活动共有6项主要内容。其中，“标准周”全体成员会议将围绕人工智能安全、网络弹性、个人信息保护合规审计、电子产品信息清除等主题，聚焦国家网络安全工作重要部署，交流新阶段新理念新格局下的网络安全政策、技术、产业发展新思路，探讨新技术新应用新业态的标准需求。技术交流会将围绕国家网络安全重点工作和技术热点主题，举办人工智能安全标准与应用、关键信息基础设施安全保护标准与应用、个人信息保护标准与应用、商用密码标准与应用等主题交流。

二、2025年“数据要素×”大赛正式启动

近日，2025年“数据要素×”大赛启动仪式在雄安新区成功举办。

围绕办好大赛，刘烈宏在启动仪式上提出四点希望。一是以大赛为试验田，加快以制度落地推动数据价值进一步释放。希望各方将大赛作为政策落地试验田，探索适应数据特征的产权配置、流通模式和安全治理机制。二是以大赛为助推器，加快以场景应用带动公共数据和企业数据开发利用。希望各方借助大赛平台，探索跨主体、跨行业、跨领域数据协同、复用、融合新路径。三是以大赛为孵化器，加快将数据技术转化为流通设施新底座。希望各方结合场景熟化适用的技术路线，共同为全国数据流通利用基础设施建设添砖加瓦、贡献智慧。四是以大赛为加速器，加快将资源优势转化为人工智能发展新优势。希望各方以行业大模型等人工智能应用为牵引，加快工业、医疗、金融等领域高质量数据集建设。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。