数据安全每周观察|央行发布业务领域数据安全管理办法

政策趋势

一、中国人民银行发布《中国人民银行业务领域数据安全管理办法》

近日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》（中国人民银行令〔2025〕第3号），自2025年6月30日起施行。

《办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》《网络数据安全管理条例》等法律、行政法规制定，旨在规范中国人民银行业务领域数据的安全管理并促进开发利用。

《办法》共七章五十六条：第一章明确《办法》制定依据、适用范围、管理原则、工作机制等；第二章对数据资源目录、分类分级、制度建设、操作规程等方面作出规定；第三章对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定；第四章从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定；第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定；第六章对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定；第七章对术语定义、解释权、施行日期作出规定。其中，第四章围绕全流程业务数据安全技术提出多项要求。访问控制上，管控账号权限，规范特权账号使用；安全认证方面，保障口令强度，支持多因素认证等。日志记录需规范，明确留存期限。数据收集要验证身份、保障准确。存储时隔离开发测试与生产环境，依数据重要程度落实等级保护，加密高敏感性数据。数据展示、加工、传输等环节均有对应安全措施，如数据展示标识账号和时间，传输优先用专用线路、加密高敏感性数据。此外，还对数据提供、公开及存储介质销毁等作出规定，确保全流程业务数据安全。

二、自然资源部印发地理信息数据分类分级指南

为加强地理信息数据安全保护，促进地理信息数据流通交易和开发利用，自然资源部近日印发《地理信息数据分类分级工作指南（试行）》。

数据分类分级是开展地理信息数据治理，实现数据采集汇聚、加工处理、流通交易、共享利用等全过程保护的前提和基础。《指南》的制定和实施，有利于摸清行业地理信息重要数据和核心数据底数，为强化地理信息数据全生命周期安全、统筹实施数据差异化安全防护提供依据。同时，有助于推进地理信息数据分类分级确权授权使用和流通交易，有序扩大地理信息数据要素供给，充分发挥测绘地理信息数据要素保障作用。

《指南》包括四方面主要内容。一是明确地理信息数据分类分级原则。在数据分类、数据分级、目录管理与更新等各环节均应遵循“科学实用、综合判定、动态更新”原则。二是确定数据分类规则。将地理信息数据分为基础地理信息数据、遥感影像数据和专题地理信息数据三大类，大类下再细分若干中类，同时可根据数据管理实际和应用服务场景再细化分类。三是提出数据分级规则。确定了识别地理信息数据分级因素、开展数据影响分析和综合评估定级的分级规则，同时给出了重要数据、核心数据识别的判定指标。四是明确分类分级管理要求。规定了地理信息重要数据目录申报、审核、认定等相关工作程序，以及动态更新情形与更新管理等若干要求。

三、国家发改委、公安部、国家数据局：全面推行以专项信用报告替代有无违法违规记录证明

近日，国家发展改革委、公安部、国家数据局发布关于全面推行以专项信用报告替代有无违法违规记录证明的通知。

《通知》强调，要按照“谁产生、谁负责”原则，强化数据质量管理，建立数据异议反馈、核查修正机制，持续提高数据的全面性、真实性、准确性。对于已修复的信用信息，专项信用报告应予以展示，并标注“已修复”。

《通知》要求各地区要于2025年9月底前全面开展“信用代证”工作，省级信用牵头部门要建立跨部门协同推进机制，定期对实施进度、实施效果开展跟踪评估，推动办事流程最优化、办事材料最简化、办事成本最小化，实现“一份信用报告代替一摞证明”。加强信用信息安全管理，严肃查处泄露、篡改、毁损、窃取信用信息等行为。采取多种形式做好政策宣传和舆论引导，面向企业和群众做好政策宣传解读，确保信用主体充分知晓和享受便利，营造知信、守信、用信、护信的良好社会氛围。

四、国家互联网信息办公室等七部门联合发布《终端设备直连卫星服务管理规定》

近日，国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、海关总署、市场监管总局、广电总局联合发布《终端设备直连卫星服务管理规定》，自2025年6月1日起施行。

《规定》旨在落实《网络安全法》、《数据安全法》、《电信条例》等法律法规的规定，促进和规范终端设备直连卫星服务健康发展，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

《规定》在总则中明确提出“坚持发展和安全并重、促进创新和依法治理相结合”的基本原则，并合理划定安全红线，有效防范网络安全、数据安全、个人信息泄露风险。《规定》指出，如要求服务提供者履行网络安全、数据安全和个人信息保护义务，落实网络安全等级保护制度、通信网络安全防护制度、数据分类分级保护等制度，要采取必要措施保障数据和个人信息安全；履行电信网络诈骗风险防控义务，建立反电信网络诈骗内部控制机制和安全责任制度等。

《规定》构建了覆盖终端设备准入、服务运营监管、数据安全防护的全链条合规管理体系，形成“源头可溯、过程可控、风险可防”的治理闭环。其中，在终端设备管理方面，《规定》明确许可准入机制，要求服务提供者需取得相关许可和核准，仅可支持连接在境内合法运营的卫星通信系统；在数据安全保障方面，《规定》衔接《数据安全法》和《个人信息保护法》，要求服务提供者落实数据分类分级、安全防护等制度，并进一步细化数据本地化存储规则。

五、《浙江省推进“人工智能+教育”行动方案（2025—2029年）》印发

为进一步推动人工智能与教育深度融合，加快发展新质生产力，推动全省教育高质量发展，近日，浙江省教育厅等四部门印发《浙江省推进“人工智能+教育”行动方案（2025—2029年）》。

《方案》重点任务指出，要筑牢智能教育安全防护体系：推进数据分类分级、加密、脱敏、权限管控、态势感知等重点能力建设，加强人工智能语料数据全生命周期安全防护和个人信息隐私保护。健全人工智能服务备案和进校园审核机制，强化模型安全、算法安全和内容安全管控。

六、《可信数据空间标准体系建设指南（2025年版）》（征求意见稿）以及《可信数据空间 能力要求》（征求意见稿）发布

近日，第八届数字中国建设峰会—可信数据空间分论坛在福建福州成功举办。

会上，中国工程院院士邬贺铨、谢建新，中国科学院院士梅宏、徐涛，中国信息通信研究院院长、可信数据空间发展联盟轮值理事长余晓晖，国家数据发展研究院姜江副院长分享了对可信数据空间发展趋势和实践路径的思考，中国信息通信研究院总工程师、可信数据空间发展联盟秘书长敖立发布《可信数据空间标准体系建设指南（2025年版）》（征求意见稿）以及《可信数据空间 能力要求》（征求意见稿）。

监管动态

一、关于15款App和16款SDK个人信息收集使用问题的通报

根据中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》《网络数据安全管理条例》、《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定，中央网信办组织对App、SDK收集使用个人信息行为进行检测，并对存在问题的App和SDK运营者予以通报。

1.墨迹天气tv版、医家等15款App存在未逐一列出收集使用个人信息的SDK，未准确列出SDK收集使用个人信息的目的、方式、范围等问题。

2.CTP穿透采集、金仕达穿透采集等16款SDK收集使用个人信息，存在未提供个人信息收集使用规则，未说明自行或协助App响应用户个人信息权利请求的措施，未及时响应用户个人信息投诉举报等权利请求等问题。

二、上海市通信管理局关于侵害用户权益行为APP的通报（2025年第三批）

近日，上海市通信管理局依据《个人信息保护法》、《网络安全法》《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规，组织第三方检测机构对本市移动互联网应用程序进行抽查，共发现15款APP及小程序存在侵害用户权益行为，并予以通报。

三、广东省通信管理局公开通报7款未按要求完成整改APP

依据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等法律法规，按照工业和信息化部《关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）等工作部署，广东省通信管理局持续开展移动应用程序专项治理工作，对截至目前还未完成整改的7款APP予以通报。

四、金融机构未按规定开展风险评估和报送评估报告、数据安全管理风险评估报告要素不全，央行开出罚单

近期，中国人民银行对部分金融机构开出多项罚单，处罚原因主要集中在数据安全方面。具体问题包括：未按规定开展风险评估及报送评估报告；数据安全管理风险评估报告要素不全；未采取必要措施保障数据安全；数据处理活动风险监测不到位；未明确数据安全负责人和管理机构，未落实数据安全保护责任；未及时处置数据安全漏洞风险等。

1.湖南平江农村商业银行股份有限公司

据中国人民银行岳阳市分行行政处罚决定信息公示表（岳银罚决字〔2025〕3号）显示，湖南平江农村商业银行股份有限公司存在13项违法行为，中国人民银行岳阳市分行2025年4月2日对其作出“警告，罚款48.3万元”的行政处罚决定。

2.中国民生银行股份有限公司岳阳分行

据中国人民银行岳阳市分行行政处罚决定信息公示表（岳银罚决字〔2025〕5号）显示，中国民生银行股份有限公司岳阳分行存在5项违法行为，中国人民银行岳阳市分行2025年4月2日对其作出“警告，罚款10.4万元”的行政处罚决定。

3.大方富民村镇银行股份有限公司

据中国人民银行毕节市分行行政处罚决定信息公示表（毕银处罚〔2025〕0001号）显示，大方富民村镇银行股份有限公司存在10项违法行为。中国人民银行毕节市分行2025年3月13日对其作出“警告，罚款59.6万元”的行政处罚决定。

4.高平市太行村镇银行股份有限公司

据中国人民银行晋城市分行行政处罚决定信息公示表（晋市银罚决字〔2025〕1号）显示，高平市太行村镇银行股份有限公司存在5项违法行为，中国人民银行晋城市分行2025年3月21日对其作出“警告，并处罚款人民币26万元”的行政处罚决定。

公示的处罚案例中，存在未按规定开展风险评估、报送评估报告以及评估报告要素不全等问题。表明，相关机构在落实数据安全风险评估要求时，未能全面覆盖监管规定的必要内容，导致评估工作流于形式，无法有效反映数据安全管理的真实状况。风险评估是金融机构数据安全管理的重要环节，其目的是通过对数据处理活动的系统性分析，识别可能影响数据安全的风险点，为后续的安全措施提供依据。金融机构应进一步完善风险评估机制，全面覆盖数据处理活动的各个环节，准确识别潜在风险。风险评估工作需覆盖数据的全生命周期，重点关注数据分类分级、数据处理活动记录、技术措施执行情况等关键环节，评估报告应涵盖数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境等重点内容，并及时向主管部门报送完整的评估报告。

五、四川网警揭露个人信息泄露背后黑手

近期，四川南充仪陇县网安部门在工作中发现，本地小区业主经常接到骚扰电话，严重影响正常生活与工作，疑似个人信息被泄露。

经调查发现，仪陇县多家装修公司及家具、电器、门窗商家为谋取私利，长期跟踪打探本地小区新建楼盘开盘情况，非法获取购房业主的个人信息，然后组织员工拨打业主电话进行精准营销。

专案组在进一步侦查中，摸清了本地家装公司及电器销售商家非法获取公民个人信息的渠道来源，涉及企事业单位“内鬼”、行业内部互换、物管公司、楼盘销售工作人员等，他们为了谋取利益，将工作中获取的公民个人信息以出售或者互换的方式提供给装修公司、电器商家用于电话销售，给群众造成极大的困扰与危害。

根据《个人信息保护法》第十条规定：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

六、四川达州公安网安部门破获2起侵犯公民个人信息案

近日，四川达州公安网安破获两起侵犯公民个人信息案。

案例一：

犯罪嫌疑人肖某、杨某长期流窜于达州达川、渠县、大竹等地，专门在人员密集场所，以虚假宣传、赠送餐纸等方式诱导群众提供手机号及验证码，后以10元、15元、30元不等的价格将这些信息出售给不法平台，获取非法利益。这些平台获取用户的手机号和验证码后，用于注册社交平台账号，进而实施网络传销、网络赌博等违法犯罪活动。肖某、杨某两人通过这种手段非法获利68000余元，受骗群众多达2000余人。目前，属地公安机关已对两人采取刑事强制措施。

案例二：

犯罪嫌疑人李某等7人在达州达川、高新、大竹等人员密集场所，通过免费发放纸巾、面条等小礼品的方式，诱导群众参与活动，在群众毫无察觉的情况下，他们私自获取公民的手机号码、验证码、人脸认证等关键个人信息，并利用这些信息在网络平台上大量注册实名账户。之后，李某等人将这些账号以10至60元不等的价格非法出售。经调查发现，这些账号被用于涉黄、恶意引流等违法犯罪领域，造成了严重的社会不良影响。截至目前，李某等人通过上述违法犯罪行为非法获利共计6万余元。目前，6名涉案人员已被采取刑事强制措施，1人被行政处罚。

七、工信部CSTIS提醒：防范恶意VS Code扩展程序的风险

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）5月8日发布《关于防范恶意VS Code扩展程序的风险提示》，指出监测发现，攻击者频繁利用伪造的VS Code扩展程序对JavaScript和Python开发者实施攻击，已造成多起企业数据泄露及系统被控事件。

恶意VS Code扩展程序首次发现于2018年，其本质是通过仿冒代码优化工具、智能脚本生成器等实用功能进行伪装，执行加密货币挖矿、窃取用户数据及实施远程控制等恶意行为。该恶意扩展在激活前会智能检测调试环境与安全工具来规避分析。植入成功后，该恶意扩展会窃取源代码、API密钥等敏感信息，并在软件中创建后门，威胁企业信息安全。

八、离职员工为泄愤售卖客户信息换来刑事处罚

近日，山东烟台海阳公安网安部门破获一起侵犯公民个人信息案。某置业公司前员工薛某，因岗位调整心怀不满，将公司客户资料视作"报复筹码"，把自己掌握的1200余条客户隐私信息以一千元价格出售。这些包含姓名、身份证、手机号的信息，被他以每条0.8元的"白菜价"打包出售给叶某，共非法获利1000元。

叶某购买信息后，本计划用于电话营销牟利。从内部泄密到下游倒卖，这条灰色链条虽未完全展开，但已构成完整的犯罪闭环。公安机关及时斩断链条，避免了1200人面临的信息泄露风险。

根据《刑法》第二百五十三条之一规定：非法获取、出售公民个人信息，普通信息达5000条即构成犯罪，敏感信息（如健康数据）50条即可追责。本案中1200条敏感信息已远超立案标准。

九、医疗信息泄露--一条产妇信息售价50元

近日，山东孕妇刘丽(化名)突然收到一条加“好友”申请：“××月子中心，为您提供专业产后服务。”她心头一紧——几天前，她刚在当地一家医院和妇幼保健院做完产检，并且此前从未在任何机构留下孕产信息，但对方电话、住址、怀孕周数，各种隐私信息对方了如指掌，刘丽立即拨打12345投诉。

次日，医院客服联系她：“可能是××月子中心冒用医院名义进行推销。”工作人员坦言，这类事件“并非第一次发生”，医院承诺彻查此事，并希望刘丽配合取证追责。刘丽的遭遇并非个例。近年来，从明星病历外泄到普通患者就诊记录被贩卖，医疗信息泄露俨然形成一条成熟的黑色产业链。

记者近日在社交平台以“就诊信息”“病历”等关键词进行搜索，发现不少包含隐晦话术的帖子，比如可cx(即查询)“地址出行”“定位追踪轨迹”“开房”“流水”“档案”“记录(社保记录、医保记录、医疗记录等)”等。其中一个帖子的信息，指向一个IP归属地为境外的社交账号。记者私信该账号咨询“如何查询某人医疗记录”，对方发来一张“业务单”，上面写着能够查询他人手机定位、身份证正反面信息、婚姻记录、社保记录、医保记录、医疗记录、学籍学历、全部资产等信息。其中，查询医疗记录需提供手机号、身份证号码、城市，查询结果包含所有医疗记录、医保记录、住院记录，出单时间为1至2天，售价为1200元。

该账号曾于今年4月中旬发布一条名称为“历史医疗记录，医保记录，精准出;婚前健康检查、堕胎记录等个人隐私随便查”的帖子，正文内容包含两张图片，附有某人的就医记录、消费记录、社保缴费三个选项。在就医记录一栏，可以看到定点医疗机构名称、经办时间、开始时间、结束时间、就诊凭证类型、医疗类别、病种名称、住院诊断名称、手术操作名称等信息。其中，在“病种名称”一栏，有月经不规则、病毒性皮疹、流行性感冒、月经紊乱、人流术后、抑郁状态、难免性流产等信息。

该类账号大量存在于互联网上。据“网信上海”公众号消息，近期，上海市网信办在专项执法行动中发现，一批医疗服务类互联网企业(主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等)未依法履行网络安全、数据安全保护义务，所属系统存在网络安全漏洞，被境外IP访问并窃取。发生个人信息泄露情况，反映出部分医疗服务类互联网企业存在个人信息制度不规范不健全、安全防护不严密、存储不合规等问题。

十、LUMMAC恶意软件V2版变种出现，攻击能力显著增强

近期，网络安全研究人员监测到 LUMMAC 凭证窃取恶意软件已升级为新变种 LUMMAC.V2版，其编写语言从之前的C 语言转换为 C++语言，攻击能力显著增强。

升级后的LUMMAC.V2 攻击目标更加广泛，涵盖浏览器、加密货币钱包、密码管理器等众多应用。它的主要危害是窃取用户的敏感信息，包括登录凭证、个人资料、系统数据等，并压缩通过 HTTP 传输，导致用户隐私和财产安全面临严重威胁。

LUMMAC.V2 传播方式极具欺骗性，借助社会工程学手段，将恶意链接暗藏在与破解软件、热门影视音乐相关的搜索结果中。用户一旦点击，便会被引导至假的安全验证页面，遭遇虚假的 CAPTCHA 挑战，此时ClickFix 技术便开始发挥作用，诱骗用户执行一系列操作。不仅如此，它还会在注册表创建自启项，保证每次系统启动时都能自动运行，持续危害系统安全。

十一、“ClickFix” 助力恶意攻击，一种复杂新型恶意软件加载器肆虐

近期，研究人员发现一种名为 “MintsLoader” 的新型恶意软件加载器，它会释放名为 “GhostWeaver” 的未知后门程序。MintsLoader 采用了将钓鱼邮件和 “ClickFix” 技术相结合的双重攻击方式。攻击者精心制作看似正规的钓鱼邮件，内含恶意的微软 Office 文档或 PDF 文件，内容多涉及金融交易、医疗记录等。用户打开文件后，会被诱导启用宏或点击通知对话框，触发攻击。

“ClickFix” 利用人类心理，通过弹出虚假错误信息，要求用户按特定点击模式操作来绕过安全意识培训。MintsLoader 的感染过程分多个阶段，Office 文档中的 VBA 宏执行后，会下载带有混淆代码的 PowerShell 脚本，该脚本连接到利用域名生成算法躲避黑名单的服务器，下载并执行 GhostWeaver 有效载荷。

而GhostWeaver 会通过计划任务和修改注册表来实现持久化访问，还能检测并禁用终端保护产品。它能在系统中潜伏数周不被发现，窃取敏感数据，如凭证、财务记录和知识产权等。

十二、用户个人数据违规出境，在爱尔兰被罚5.3亿欧元

近日，爱尔兰数据保护委员会(DPC)因TikTok违反欧盟GDPR数据保护法规，非法将欧洲经济区(EEA)用户个人数据传输至中国，对其处以5.3亿欧元(约合6.01亿美元)罚款。

此次罚款包括两部分：因违反GDPR第46(1)条关于数据传输合法性规定被罚4.85亿欧元，以及因违反第13(1)(f)条关于透明度不足被罚4500万欧元。DPC还要求TikTok在六个月内使其数据处理符合规定，否则将暂停所有对中国的数据传输。

DPC副专员Graham Doyle指出，TikTok未能验证、保证并证明中国员工远程访问的EEA用户个人数据得到与欧盟同等水平的保护。TikTok欧洲公共政策与政府关系主管Christine Grahn表示公司不认同DPC的决定，并计划提出上诉，理由是DPC未考虑TikTok新推出的Project Clover数据安全计划。该计划实施了先进的隐私增强技术，确保非限制性数据在中国员工访问前被去识别化。

十三、黑客"NullBulge"承认窃取迪士尼Slack数据

黑客"NullBulge"，一名25岁加州男子Ryan Kramer近日认罪，承认非法访问迪士尼内部Slack频道并窃取超过1.1TB的公司内部数据。

据美国司法部透露，Kramer于2024年初创建了一个恶意程序，在GitHub等平台上将其伪装成AI图像生成工具。这款恶意软件能让Kramer访问安装者的计算机，窃取设备上的数据和密码。据报道，迪士尼员工Matthew Van Andel下载并执行了该程序，从而让Kramer获得了他设备的访问权限，包括存储在1Password密码管理器中的凭证。利用这些被盗凭证，Kramer进入迪士尼的Slack频道，下载了1.1TB的企业数据。随后，Kramer冒充俄罗斯黑客组织"NullBulge"联系Van Andel，威胁称如不配合，将公开其个人信息和迪士尼被盗的Slack数据。在未收到回应后，NullBulge于2024年7月12日在黑客论坛BreachForums上发帖，标题为"DISNEY INTERNAL SLACK"，声称已入侵迪士尼并泄露了1.1TB的被盗数据。

Kramer已对一项访问计算机并获取信息罪和一项威胁损害受保护计算机罪认罪，每项罪名最高可判处五年联邦监禁。他还承认有另外两人下载了他的恶意软件，FBI正在调查这些额外受害者。

十四、知名勒索软件LockBit遭入侵，内部聊天记录数据库遭泄露

近日，LockBit勒索软件组织遭遇重大安全事件，攻击者篡改了该组织的暗网基础设施，并泄露了包含敏感运营细节的完整数据库。此次入侵给这个全球最活跃的勒索软件团伙造成了沉重打击。

安全研究人员已确认泄露数据的真实性，其中包含大量关于该勒索软件运营的关键信息。数据库包括：约6万个用于收取赎金的唯一比特币钱包地址；4442条LockBit运营者与受害者之间的谈判消息（时间跨度为去年12月至今年4月下旬）；为特定攻击定制的勒索软件构建细节。并且，泄露数据中还包含一个用户表，其中75名管理员和关联人员的密码以明文形式存储。

业界之声

一、广州卫生健康行业可信数据空间首批数据集、数据产品发布

近日，广州卫生健康行业可信数据空间成果发布会举行。会议发布了5个数据产品、28个高质量数据集等一系列“广州卫生健康行业可信数据空间成果”。

该发布会是广州深入贯彻健康中国与数字中国战略，践行《"数据要素×"三年行动计划（2024-2026年）》《可信数据空间发展行动计划（2024-2028年）》等系列政策的具体举措。广州以行业可信数据空间为抓手，推动医疗健康数据合规可信流通并释放价值，为全国卫生健康一体化数据市场建设提供实践样板。

据悉，依托卫生健康行业可信数据空间，药械企业、科研机构可以在药械研发、临床试验和药械应用等方面进行场景创新，缩短药械研发周期，赋能生物医药产业高质量发展；通过平台数据还能够改进医疗机构的诊疗过程、提高诊疗效率和服务水平，破解群众“三长一短”的就医痛点。

广州卫生健康行业可信数据空间解决了卫生健康数据“供不出”“流不动”“用不好”的问题。各医疗机构将通过空间破除“数据不出院”的禁锢，各医疗机构仍为数据资源的主体，拥有数据持有权，系统性解决卫生健康数据资源供给的问题，充分释放数据资源价值。在确保“数据不出空间域”和数据持有权不变的前提下，合理确定数据的加工使用权和数据产品经营权，打造可信管控、资源交互、价值共创的数据空间生态系统，高效安全支撑卫生健康行业数据流通。

为推动可信数据空间有效运行，市卫生健康委发布了《广州市卫生健康公共数据开发利用工作方案》和《广州市卫生健康行业数据空间试点工作方案》等一系列管理规定，助推各医疗机构通过空间破除“数据不出院”的禁锢，系统性解决了卫生健康数据资源供给的问题，充分释放数据资源的价值。

未来，广州将打造行业数据共享新模式，通过数据交易和人工智能应用，实现医疗健康领域新质生产力的高度集聚；拓展数据资源与产品服务，将数据资源范围从现有试点扩展到广州地区各级医疗机构；打造更完备的运营体系，打造广州市医疗健康数据共享、平台共建、收益共商的新发展格局；构建更活跃的产业生态，实现数据共享、平台共建、收益共商。吸引全市卫生管理单位、医疗机构、生物医药公司等资源接入数据空间，逐步与粤港澳大湾区其他城市形成互动。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。