数据安全每周观察|可信数据空间标准化研究报告研讨会在京召开

政策趋势

一、公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》

近日，公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》，自2025年7月15日起施行。

《办法》根据《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》《未成年人保护法》等法律法规制定，旨在实施可信数字身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，支撑数字经济健康有序发展。

《办法》主要规定了四个方面内容：一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式；二是明确了使用国家网络身份认证公共服务的效力、应用场景；三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任；四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。

《办法》严格依照《个人信息保护法》等规定，充分保护公民个人信息权益。在信息收集方面，对用户选择使用网号、网证登记、核验真实身份的，除法律、行政法规另有规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息。国家网络身份认证公共服务平台所收集的信息仅限网络身份认证所必要的信息，不收集其他信息，不会影响用户正常使用互联网应用。

二、国家密码管理局对《电子印章管理办法》公开征求意见

为了加强电子印章规范管理，推动电子印章应用，服务政务活动和经济社会数字化发展，根据《中华人民共和国电子签名法》、《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及印章管理有关法律法规，国家密码管理局会同有关部门研究起草了《电子印章管理办法（征求意见稿）》，现向社会公开征求意见。

《办法》强调，电子签章应当使用有效的电子印章，遵照国家有关法律法规和标准规范，保证电子签章数据的真实性、完整性和不可否认性。电子签章过程信息应当被记录并保存，实现电子签章行为可追溯、可定责。电子签章验证应当按照国家有关标准规范核验电子签章数据的真实性、完整性和不可否认性，并核验电子印章在电子签章时的有效性。

电子印章管理全过程应当建立完善的信息保护制度，采取必要措施确保电子印章相关信息的安全，并对收集的单位（组织）和个人的信息严格保密防止未经授权的访问以及信息泄露、篡改或者毁损、丢失。电子印章相关信息系统的建设，使用和运行维护应当符合国家密码管理、网络安全、数据安全等相关法律法规和标准规范。涉及国家秘密信息的电子印章相关信息系统的建设、使用和运行维护，还应当按照国家保密管理有关规定执行。

三、最高法发布《关于审理政府信息公开行政案件适用法律若干问题的解释》

近日，最高人民法院发布《关于审理政府信息公开行政案件适用法律若干问题的解释》，明确法院审理政府信息公开案件中应避免泄露涉及国家秘密、商业秘密、个人隐私或者法律、法规和国家有关规定中要求应当保密的政府信息。

对于在政府信息公开行政案件审理过程中，若因举证、质证及裁判失当，有可能导致涉及国家秘密的政府信息被泄露，从而产生不良后果的情形，《解释》第六条中对政府信息涉及国家秘密以及公开可能危及国家安全、公共安全、社会稳定的情形下被告的举证责任作出特别规定，既保障社会公众依法获取政府信息的权利，也保护国家秘密、商业秘密和个人隐私，在司法层面为保障知情权与维护信息安全提供了切实可行的方法。

《解释》明确，人民法院审理政府信息公开行政案件，应当视情采取适当的审理方式，以避免泄露涉及国家秘密、商业秘密、个人隐私或者法律、法规和国家有关规定中要求应当保密的政府信息。“视情采取适当的审理方式”是指按照案件的具体情况采取适当的审理方式。根据行政诉讼法的规定，审理方式包括公开审理和不公开审理两种。根据行政诉讼法第五十四条的规定，人民法院公开审理行政案件，但涉及国家秘密、个人隐私和法律另有规定的除外。该条虽然没有规定商业秘密，但是商业秘密的保护在其他法律如《中华人民共和国反不正当竞争法》、《中华人民共和国民营经济促进法》中均有规定。不公开审理并非指人民法院采取书面审理的方式，而是开庭审理但是不对案外人公开的方式，即不允许其他人员旁听，也不允许采访报道等。此外要强调的是，不公开审理仅是审理过程的不公开，对于审理的结果仍然应当公开。

四、北京市人民政府办公厅印发《以高水平开放推动服务贸易和数字贸易高质量发展实施方案》

为贯彻落实《中共中央办公厅 国务院办公厅关于数字贸易改革创新发展的意见》、《国务院办公厅关于以高水平开放推动服务贸易高质量发展的意见》，立足首都城市战略定位，紧抓“两区”建设契机，进一步提升开放水平，全面推动本市成为示范引领全国、开放辐射全球的服务贸易和数字贸易发展高地，北京市人民政府办公厅今日制定并印发《以高水平开放推动服务贸易和数字贸易高质量发展实施方案》。

《方案》要求，深入开展数据跨境流动便利化综合配套改革，提升数据跨境服务中心能级，规范和培育数据服务市场，推动个人信息匿名化处理技术试点应用。探索制订自动驾驶、生物基因等行业数据分类分级指南和重要数据目录，以重点领域企业数据出境需求为牵引，明确重要数据识别标准，加强数据安全保护。

推广数据安全管理认证等制度，提升企业数据安全防护能力。发挥专门法院作用，在商事纠纷、知识产权保护等方面为数字贸易纠纷当事人提供公正、透明、高效的司法服务保障。推出一批数据保护、数据流通等领域的典型司法案例，加大宣传推广力度，为国内外数字领域治理司法实践提供参考。

建立部门间服务贸易相关数据共享机制，定期开展服务贸易数据采集、整理与分析。健全服务贸易重点企业联系制度，扩大直报企业范围。跟踪数字贸易新业态、新场景和新模式，深化数字贸易统计方法，推动在具备条件的区域率先实施。

五、浙江省制造业高质量发展（数字经济发展）领导小组办公室关于印发《行业产业大脑建设指南（2025年修订版）》的通知

为深入贯彻《浙江省数字经济创新提质“一号发展工程”实施方案（2023-2027）》等文件精神，进一步深化省工业领域细分行业产业大脑建设应用，助力“415X”先进制造业集群发展，浙江省制造业高质量发展（数字经济发展）领导小组办公室组织编制《行业产业大脑建设指南（2025年修订版）》，对产业大脑的定义、发展方向、技术路径、业务模式、管理机制等内容进行修订和迭代。

行业产业大脑的建设坚持系统规划、集成融合；市场主导、政府引导；数据为基，安全为要的原则。需充分激发企业与社会的创造力，鼓励生态共建，提升综合竞争力。以业务场景为牵引，进行产业数据采集、归集、治理、分析、可视化，探索数据确权、数据流通、数据交易等业务模式，为企事业单位、各类社会组织和各级政府等提供数据服务（产品），创造经济价值或社会价值。

《指南》强调，鼓励行业产业大脑基于行业数据仓，建设行业可信数据空间。鼓励行业产业大脑应用先进技术，探索人工智能与产业深度融合应用，积极打造工业语料库、高质量行业数据集、训练垂类大模型等。

六、兵团数据局印发《兵团数字中国建设2025年行动方案》

为加快推进兵团数据要素市场化配置改革，全方位提升数字化发展水平，更好促进数字化赋能兵团经济社会发展，近日，兵团数据局印发《兵团数字中国建设2025年行动方案》。

《方案》明确，2025年兵团数字中国建设，将以数据要素市场化配置改革为主线，加快融入全国一体化数据市场，因地制宜发展以数据为关键要素的数字经济，加快推进城市全域数字化转型，提升数字政务智能化水平，一体化推进数字基础设施扩容提质，持续深挖人工智能等数字技术应用场景，以数字化驱动生产生活和社会治理方式变革，全面提升兵团数字中国建设水平。

《方案》提出，2025年将重点围绕“体制机制创新行动、兵团品牌铸造行动、‘人工智能+’行动、基础设施提升行动、数据产业培育行动、数字赋能提升行动、数字人才培育行动、数字化发展环境优化行动、‘两重’‘两新’项目谋划行动”等9大专项行动，开展30项重点任务。《方案》逐项明确牵头部门、责任部门，推动形成横向打通、纵向贯通、协调有力的一体化工作推进格局，确保按期完成兵团2025年数字中国建设各项目标任务。

七、青岛印发《数字青岛2025年行动方案》

近日，青岛印发《数字青岛2025年行动方案》，明确今年将深化“人工智能+”“数据要素×”行动，深入实施七项重点工程，涵盖数字经济、数字政府、数字文化、数字社会、数字生态文明五大提质工程及数据基础设施筑基工程、综合保障体系配套工程，纵深推进54项重点工作，加快发展新质生产力。

《方案》聚焦“10+1”创新型产业体系建设，提出构建数字产业领域梯次培育赛道。同时，在产业集群培育方面，支持高端软件、人工智能省级数字经济产业集群建设，高水平建设中国软件名城；在创新主体培育方面，力争数字经济领域专精特新中小企业不少于300家。围绕产业数字化，《方案》聚焦工业、农业、服务业数字化转型，提出一系列重要任务。如，加快发展“产业大脑+晨星工厂”，上线10家以上工业互联网平台；推动600家试点企业完成数字化改造，打造100家数字化转型企业标杆。

《行动方案》围绕数据基础制度、数据高质量供给、数据开发利用、数据产业生态培育进行部署，提出探索培育认定一批数据要素型企业。

监管动态

一、公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用

依据《网络安全法》、《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，在应用宝中发现35款移动应用存在违法违规收集使用个人信息情况，并予以通报。

1、未以结构化清单的方式逐一列出收集、使用个人信息规则。涉及12款移动应用如下：

《智慧AI聊天》（版本1.4.0）、《虚拟恋爱AI》（版本1.1.3）、《轻抖》（版本V3.2.400）、《剪辑软件》（版本1.1.2）、《视频剪辑》（版本26.9.82）、《爱剪》（版本V1.0.0）、《视频编辑剪辑cut》（版本1.0.2）、《妙剪》（版本1.55）、《智能出行》（版本1.0.2）、《创游世界》（版本1.56.0）、《AI音乐学园》（版本7.1.1）、《台铃电动》（版本3.3.5）。

2、实际收集的个人信息超出用户授权范围。涉及18款移动应用如下：

《智谱清言》（版本2.9.6）、《Wink》（版本2.7.0）、《剪印》（版本24.03.26）、《抖影视频剪辑》（版本1.2.8）、《Pr视频剪辑》（版本2.7.5）、《爱剪辑》（版本80.21.0）、《免费剪辑视频》（版本v1.1.8）、《剪辑软件》（版本1.1.2）、《AI视频成片》（版本3.2.0）、《视频剪辑》（版本26.9.82）、《妙剪》（版本1.55）、《自律锁机》（版本24.08.10）、《画世界》（版本2.9.8）、《QCY》（版本4.0.8）、《智能出行》（版本1.0.2）、《创游世界》（版本1.56.0）、《AVmini》（版本4.2.0.12）、《小白学习打印》（版本4.17.4）。

3、个人信息保护政策中描述收集的个人信息与业务功能无直接关联。涉及2款移动应用如下：

《AI智能秘书》（版本1.0.25）、《抖影视频剪辑》（版本1.2.8）。

4、在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限。涉及8款移动应用如下：

《AI智能秘书》（版本1.0.25）、《智慧AI聊天》（版本1.4.0）、《AI对话专家》（版本1.0.17）、《QCY》（版本4.0.8）、《来音吉他》（版本3.5.8）、《台铃电动》（版本3.3.5）、《Wow》（版本1.16.5）、《猫箱》（版本1.57.0）。

5、申请的可收集个人信息的权限与业务功能没有直接关联。涉及1款移动应用如下：

《AVmini》（版本4.2.0.12）。

6、提前要求用户授权当前未使用的特定功能所需的权限。涉及2款移动应用如下：

《AI剪辑》（版本20.5）、《视频剪辑王》（版本1.2.3）。

7、提前要求用户填写当前未使用的特定功能需要的个人信息。涉及2款移动应用如下：

《小白学习打印》（版本4.17.4）、《台铃电动》（版本3.3.5）。

8、实际收集的个人信息与业务功能没有直接关联。涉及2款移动应用如下：

《Kimi》（版本2.0.8）、《Wink》（版本2.7.0）。

9、实际收集个人信息的频率与业务功能没有直接关联。涉及10款移动应用如下：

《ChatGreat》（版本1.1.3）、《虚拟恋爱AI》（版本1.1.3）、《轻抖》（版本V3.2.400）、《免费剪辑视频》（版本v1.1.8）、《剪辑软件》（版本1.1.2）、《妙剪》（版本1.55）、《创游世界》（版本1.56.0）、《AVmini》（版本4.2.0.12）、《台铃电动》（版本3.3.5）、《Wow》（版本1.16.5）。

10、未向用户提供更正或补充其个人信息的具体途径。涉及1款移动应用如下：

《ChatGreat》（版本1.1.3）。

11、广告存在误导、欺骗用户行为。涉及5款移动应用如下：

《AI Genie》（版本2.9.0）、《虚拟恋爱AI》（版本1.1.3）、《免费剪辑视频》（版本v1.1.8）、《视频剪辑王》（版本1.2.3）、《视频编辑剪辑cut》（版本1.0.2）。

二、上海市通报5起泄密典型案例

近日，中共上海市委保密委员会办公室、市国家保密局依法依规查处了一批违反保密法律法规的案件，并对其中5起典型案例予以通报。

1.未按规定保密提醒导致涉密敏感材料外泄。某区级机关干部路某在交付相关材料给招标代理公司时，未按规定进行保密提醒，招标代理人员戴某某将其中一份涉密敏感材料通过互联网上传并引发炒作。案件发生后，路某受到党内严重警告处分，所在部门主要负责人王某某被责令深刻检查，招标代理公司相关责任人戴某某被扣发绩效奖金。

2.在微信群中违规传发涉密文件。2022年3月，某区级部门工作人员经单位领导刘某某、董某某同意后，将两份秘密级文件通过区政务外网下发至街镇，某镇工作人员秦某某又通过政务外网下发至村居委，某村工作人员张某违规将文件下载并转发至微信工作群。案件发生后，张某受到政务警告处分，秦某某、刘某某被诫勉谈话，董某某被批评教育。

3.用手机拍摄涉密材料并通过微信转发。2022年4月，某市级机关干部曾某违规通过手机拍摄了1份机密级材料的部分内容，并通过微信转发给他人，造成扩散传播。案件发生后，曾某受到政务记大过处分。

4.通过QQ软件传输涉密文件。2022年6月，某区级机关干部宋某违规将1份机密级文件通过QQ软件传发给本单位同事顾某某。案件发生后，宋某受到政务警告处分及取消当年评优资格等处理。

5.在微信群中发布工作秘密。2022年6月，某高校工作人员倪某将1份内部敏感信息发布在微信工作群中，后造成扩散传播。案件发生后，倪某受到组织严肃批评教育，并被责令作出书面检查。

三、重庆市江北区积极开展社区物业领域使用人脸识别技术专项整治

为贯彻落实《个人信息保护法》、《网络数据安全管理条例》、《人脸识别技术应用安全管理办法》等法律法规，治理个人信息安全突出问题，根据全市2025年滥用人脸识别技术专项治理工作安排，5月22日，在市委网信办指导下，江北区委网信办前往辖区某物业企业开展使用人脸识别技术专项工作检查。

此次检查重点关注使用人脸识别技术较频繁的社区物业领域，通过现场交流、资料查阅、技术检测等方式，对该物业企业人脸信息收集、存储、使用、传输、销毁等环节的个人信息处理活动开展全方位检查评估。

检查发现，该物业企业存在未严格落实“告知—同意”个人信息处理规则、未制定个人信息保护工作制度规范、未对人脸信息分类分级管理、未按要求加密存储数据等7项风险隐患。该物业企业相关负责人表示将立即开展问题整改，建立健全个人信息特别是人脸信息保护工作制度和技术防护措施，强化网络安全、网络数据安全和个人信息保护教育培训，提升工作人员合规意识，切实保障广大业主个人信息安全。

四、重庆某医院小程序存在数据泄漏风险 被依法约谈

据网信重庆报道，近日，在市网信办指导下，重庆高新区网信办联合重庆高新区公安分局、公共服务局依法对属地某医院履行网络安全主体责任不到位的行为开展约谈。

经网络安全日常巡查，属地某医院小程序系统存在水平越权漏洞等网络安全问题，该漏洞存在患者敏感数据泄漏风险。重庆高新区网信办高度重视，迅速开展相关处置工作。

根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规，重庆高新区网信办在约谈中深刻剖析问题根源，阐明可能导致的不良影响和后果，责成该院严格落实网络安全主体责任，切实抓好整改，定期开展网络安全培训，持续加大安全投入。该院相关负责人表示，将严格按照要求做好问题整改并举一反三，切实做好网络安全技术防护。

下一步，重庆高新区网信办将切实履行好监督管理责任，督促指导属地各单位加强网络安全防护，结合线上监测和线下检查，维护好属地网络安全和数据安全，筑牢网络安全屏障，切实营造清朗网络空间。

五、校园人脸识别暗藏风险，重庆市多部门联合开展专项检查

根据全市2025年个人信息保护专项治理工作安排，为进一步加强个人信息保护，近日，重庆市委网信办、市公安局联动北碚区委网信办、北碚区公安分局组成联合检查组，前往北碚区某校园开展使用人脸识别技术专项工作检查。

检查组重点围绕进出校园、图书馆借还书、会议室申请、档案馆查阅资料、自动打印等14类使用人脸识别技术的场所场景，就人脸数据采集使用、存储、销毁等个人信息保护全生命周期进行实地查看。

通过本轮检查，发现存在人脸识别管理制度不健全、数据加密措施不完善、受理投诉举报不规范等风险隐患。该校个人信息保护相关负责人表示将立即开展问题整改，进一步提升全校个人信息保护意识，健全个人信息保护工作制度，完善技术防护措施，切实保障师生个人信息安全。

北碚区委网信办相关负责人表示，将进一步认真贯彻落实《个人信息保护法》等法律法规，联合相关部门对运动、经营、文旅、教培场所等重点场景深入开展个人信息保护专项治理，着力规范人脸识别技术应用管理，推动企业机构主动履行保护义务，增强人民群众在个人信息保护领域的获得感、幸福感和安全感。

六、海南某网络科技公司部分数据泄露被罚5万元

近日，海南省互联网信息办公室调查证实，海南某网络科技公司存在不履行网络安全义务、数据安全保护义务行为，其相关系统未采取技术措施和其他必要措施保障数据安全，存在未授权访问漏洞，造成部分数据泄露，损害数据安全。

海南省互联网信息办公室依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。海南省互联网信息办公室相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，海南网信部门将持续关注网络安全、数据安全和个人信息保护，会同发改（数据）、工信、公安、市监等主管监管部门不断加大对网络安全、数据安全和个人信息保护领域违法违规行为的监督检查和执法力度。

七、超百个恶意Chrome扩展伪装成合法工具窃取用户数据

安全研究人员最近发现，Google Chrome网上应用商店出现一场大规模恶意扩展活动，涉及100多个伪装成合法工具的恶意浏览器扩展。这些扩展模仿虚拟专用网络、AI助手和加密货币工具等，在提供部分承诺功能的同时，秘密窃取浏览器cookies并执行远程脚本。

研究人员发现了100多个推广这些工具的虚假域名，这些恶意网站包括多个假冒的虚拟专用网络品牌，以及对Fortinet、YouTube、DeepSeek AI和Calendly等知名品牌的仿冒。这些网站包含"添加到Chrome"按钮，链接到Chrome网上应用商店中的恶意扩展，从而增加其合法性。虽然Google已移除DomainTools识别的许多扩展，但仍然有一些存在于Chrome网上应用商店中。这些扩展请求高风险权限，允许它们窃取cookies（包括会话令牌）、执行基于DOM的钓鱼和动态脚本注入。

安装这些扩展的风险包括账户劫持、个人数据盗窃和浏览活动监控。最终，它们为攻击者提供了受感染浏览器的后门，使利用潜力广泛。攻击者还可能使用窃取的会话cookies入侵公司的合法VPN设备或账户，以访问企业网络，造成更具破坏性的攻击。

八、黑客利用SEO欺骗技术窃取员工薪资系统凭证并劫持员工薪资

近日，一种复杂的搜索引擎优化(SEO)投毒攻击被发现经影响了制造业领域的多家组织，使黑客能够窃取员工凭证、访问工资系统并将薪资支付重定向到攻击者控制的账户。

据ReliaQuest研究人员报告，攻击始于员工使用移动设备搜索公司的工资门户网站。恶意行为者已优化欺诈性网站，使其在搜索特定关键词（如"payroll"和"portal"）与公司名称组合时出现在搜索结果顶部。当用户点击这些链接时，他们会被无缝引导至看似组织合法登录页面的网站，凭证在不知情的情况下被窃取。

研究人员在2025年5月发现这一攻击，此前检测到客户的SAP SuccessFactors人力资源平台遭到未授权访问。攻击者专门针对移动设备，因为这些设备通常连接到缺乏企业网络强大安全措施的访客Wi-Fi网络或蜂窝连接。一旦获取凭证，攻击者会立即访问受害者的工资门户，修改直接存款信息，有效地将员工薪资重新路由到自己的账户。为防范此类攻击，组织应为工资系统实施多因素认证，为直接存款变更创建警报，并教育员工仅通过可信方法访问敏感门户。

九、WordPress主题Motors曝严重漏洞，超2.2万网站面临管理员账户接管风险

近日，研究人员在流行的WordPress主题Motors中发现一个严重漏洞（CVE-2025-4322），该漏洞可被未经身份验证的攻击者轻易利用，从而接管管理员账户并完全控制目标WordPress网站。Motors主题主要面向汽车/机动车经销商和租赁服务提供商，目前有超过2.2万个网站可能受到影响。

这个漏洞源于主题在更新用户密码前未正确验证用户身份，使未经身份验证的攻击者能够更改任意用户密码，包括管理员密码，从而获取账户访问权限。攻击者获得的权限允许其注入脚本窃取用户数据、将下载链接指向恶意软件、将访问者重定向到恶意网站、安装后门或窃取底层数据库中保存的数据。

这个漏洞影响StylemixThemes开发的Motors主题所有版本，直至5.6.67版本。Motors主题开发商已于5月14日发布了修补版本。安全专家建议使用Motors主题的WordPress网站管理员立即升级至5.6.68版本，并检查日志中是否有未授权密码更改和访问的证据。如发现网站被入侵或修改的迹象，应立即采取一系列安全措施，包括临时禁用公共访问、检查未知管理员用户、重置所有密码、删除可疑插件和文件等。

十、新型 FrigidStealer 恶意软件伪装系统更新窃取macOS用户凭证

安全研究机构 Wazuh 近日曝光了一款针对 macOS 系统的新型信息窃取恶意软件 “FrigidStealer”，该软件今年初开始活跃，可通过伪装成浏览器更新的钓鱼手段骗取用户权限，进而窃取登录凭证、加密货币钱包等敏感数据，其背后疑似与臭名昭著的 EvilCorp 犯罪集团有关联。

研究发现，相关攻击始于用户访问被篡改的网站时，页面弹出虚假的 “Safari 更新” 提示，诱导下载恶意磁盘镜像（DMG）。用户运行后， 软件会通过 AppleScript 伪造系统权限请求，欺骗用户输入密码，绕过 macOS Gatekeeper 防护机制。成功入侵后，程序将自身伪装为合法应用 “ddaolimaki-daunito”，并通过 launchservicesd 进程实现开机自启，持续驻留系统。

FrigidStealer 利用 Apple Events 跨进程通信技术，静默获取浏览器保存的账户密码、文件系统数据和系统配置信息。其数据外渗手段尤为隐蔽：通过 mDNSResponder 进程将窃取信息伪装成正常 DNS 查询，经加密通道传输至攻击者服务器，而完成任务后会自动终止进程以清除痕迹。目前，该恶意软件已对金融领域的企业和个人用户构成较严重威胁。

十一、债务催收机构数据泄露波及多家医疗机构，Harbin诊所21万患者信息暴露

美国佐治亚州的知名医疗机构Harbin诊所近日披露，其合作的债务催收机构Nationwide Recovery Services (NRS)遭遇网络攻击，导致超过21万名患者的个人信息被泄露。

据调查，黑客于2024年7月5日至11日期间入侵NRS网络系统并窃取敏感数据，事件最初因系统异常活动和网络中断而被发现。然而，NRS直到2025年2月才正式通知Harbin诊所患者数据受到影响，并于3月提供了受影响个人的详细名单。被泄露的信息包括姓名、出生日期、社会安全号码、财务账户详情、担保人数据、地址和医疗信息。尽管NRS表示"没有证据表明此事件已导致身份盗窃或欺诈"，Harbin诊所仍向210,140名受影响患者提供了24个月的免费身份监控服务。

此次数据泄露影响范围远超Harbin诊所。NRS 是一家与美国佐治亚州医疗保健提供商签约的收债机构。今年4月，多家NRS客户也报告受到该事件波及，包括埃尔兰格健康中心、汉密尔顿医疗保健系统（以 Vitruvian Health 名义运营）、埃尔伯特纪念医院、DRH 健康机构、 Rhea 医疗中心等医疗实体，甚至查塔努加市均已确认，共计超过11万人受影响。安全专家对通知延迟表示担忧。

十二、410GB TeleMessage泄露数据被DDoSecrets收录

非营利组织Distributed Denial of Secrets (DDoSecrets)近日将以色列公司TeleMessage的410GB泄露数据添加到其在线档案中。这些数据来自2025年5月4日TeleMessage遭受的重大数据泄露事件，包含明文消息和元数据（如发送者和接收者信息、时间戳和群组名称）。

此次泄露事件源于一个黑客利用TeleMessage系统中的漏洞，访问了公开暴露的Java堆转储文件，获取了存档消息、政府官员联系信息和后端登录凭证。这一事件引发了对美国政府最高层通信安全的严重担忧，特别是在前国家安全顾问Mike Waltz被发现在内阁会议期间使用TeleMessage的TM SGNL应用后。

为应对此事件，美国网络安全和基础设施安全局(CISA)于5月13日将TeleMessage的TM SGNL消息应用中的关键漏洞（CVE-2025-47729）添加到其已知利用漏洞(KEV)目录中。该漏洞涉及未加密消息存档的存储，允许攻击者访问明文聊天记录。

十三、三款手机监控软件或因泄露数据集体下线

近日，三款几乎相同但品牌不同的手机监控应用程序Cocospy、Spyic和Spyzie已全面下线。这些应用程序今年早些时候被曝出监视了数百万用户手机，允许安装者在目标不知情的情况下访问其个人数据，包括短信、照片、通话记录和实时位置信息。

研究人员揭示，这些应用存在共同的安全漏洞，允许任何人访问安装了这些应用的设备上的个人数据。该漏洞还暴露了320万注册用户的电子邮件地址，这些数据已被提供给数据泄露通知网站Have I Been Pwned。

在报道该泄露事件后，这些监控应用已停止运行，其网站消失，托管在Amazon的云存储也被删除。目前尚不清楚这些监控业务关闭的具体原因，无法联系到运营商进行评论。对于可能受影响的Android用户，可以在手机应用的键盘上输"✱✱001✱✱"并按"呼叫"按钮来检测这些软件。如果安装了恶意软件，这个后门功能会使其显示在屏幕上，用户可以删除这个名为"System Service"的通用应用程序。

十四、50万Catholic Health患者敏感信息或泄露

企业IT服务提供商Serviceaide近日确认，由于数据库配置错误，导致约50万（483,126）名与纽约非营利医疗系统Catholic Health相关的患者的敏感健康和个人信息遭到泄露。

根据Serviceaide网站发布的通知，此次事件源于一个被无意中公开访问的Elasticsearch数据库。泄露发生在2024年9月19日至11月5日期间，于2024年11月15日被发现，完整审查直到最近才完成。虽然没有确凿证据表明数据被下载或滥用，但公司承认无法排除这种可能性。泄露的数据库包含多种敏感信息，根据个人情况不同，可能包括：全名、出生日期、处方数据、社会安全号码、健康保险详情、医疗服务提供者信息、治疗和临床信息、医疗记录和账号、电子邮件地址、用户名和密码。

十五、大众汽车应用程序再曝重大安全漏洞，泄露车主敏感信息

网络安全研究人员Vishal Bhaskar在大众汽车的互联车应用程序中发现了严重安全漏洞，这些漏洞导致全球车主的敏感个人信息和完整服务历史记录被暴露。这些缺陷允许未授权用户仅凭通常可通过挡风玻璃看到的车辆识别号码（VIN）就能访问用户数据。这是大众汽车在6个月内遭遇的第二次重大网络安全事件。此前在2024年12月，该公司的云存储泄露事件已经危及了80万辆电动汽车的数据。

Bhaskar在2024年购买二手大众汽车后发现了这些漏洞。当他尝试将车辆连接到My Volkswagen应用程序时，一次性密码（OTP）被发送到前车主的手机上。后来的研究发现了三个关键安全漏洞：①内部凭证泄露：一个API端点以明文形式暴露了内部用户名、密码、令牌，甚至包括支付处理器和Salesforce等第三方服务的凭证；②通过VIN暴露个人详情：另一个端点泄露了客户资料，包括姓名、电话号码、电子邮件地址、邮政地址和与服务记录相关的注册详情；③完整服务历史可访问：第三个漏洞仅通过输入VIN就能暴露任何车辆的完整服务历史、客户投诉和客户满意度调查结果。

十六、黑客勾结员工窃取数据 加密货币交易所损失高达28亿

近日，美股上市公司、知名加密货币交易所Coinbase发布公告称，由于黑客通过贿赂海外员工获取敏感用户数据，要求支付2000万美元赎金，否则将公开所窃信息。

据Coinbase称，攻击者在公司海外合同员工或客服代理协助下，获取了这些客户数据。这些人收受报酬，帮助攻击者访问内部系统。Coinbase在发现这些内部人员未经授权访问系统后已将其解雇，但在此之前，相关数据已被转移出设备。

尽管相关攻击者成功窃取了约占Coinbase客户总数1%的个人身份信息(约100万人)，但他们未能获取客户的私钥或密码，也无法访问Coinbase Prime账户及受影响客户或交易所的热钱包与冷钱包。

根据Coinbase向美国证券交易委员会(SEC)提交的文件显示，此次泄露的数据包括：姓名、地址、电话和电子邮件;打码后的社会安全号码（仅显示最后四位）；打码后的银行账号和部分银行账户识别信息；政府签发的身份证件图像（如驾照、护照）；账户数据（账户余额快照和交易记录）；部分公司内部资料（包括客服可见文件、培训材料和通信内容）。

业界之声

一、《可信数据空间标准化研究报告》研讨会在京成功召开

近日，《可信数据空间标准化研究报告》研讨会在北京召开。本次会议聚焦可信数据空间的技术架构、标准化建设及示范应用等重点内容，组建了《可信数据空间标准化研究报告》编制组，对国内外可信数据空间发展现状及趋势、可信数据空间标准化现状、可信数据空间标准体系建设和下一步标准化工作考虑等内容进行充分研讨并形成编制框架。

会上，编制组相关代表围绕全国数标委《可信数据空间 技术架构》技术文件的推广实施、可信数据空间建设的典型经验做法等做了主题分享。接下来编制组将根据任务分工，加快推进报告编制工作，形成可信数据空间标准体系，为可信数据空间标准化工作提供指导。

二、国家数据局负责同志主持召开“十五五”数字中国建设规划座谈会

近日，国家数据局相关同志在上海主持召开“十五五”数字中国建设规划座谈会，听取上海人工智能实验室、上海交通大学、上海数据集团、东方财富、拼多多等专家和企业代表对数智技术发展、企业数字化转型、数据要素市场建设、平台经济、数据跨境流动和数据安全、数据基础设施建设运营、数字文化、智慧城市等方面的意见建议。

会上，国家数据局相关同志向大家介绍了国家数据局牵头编制“十五五”数字中国建设规划的主要考虑，并就大家关心的问题进行了深入交流。会议指出，有关专家和企业结合各自领域，提出了很好意见建议，规划起草组将会同有关部门认真研究，积极吸纳。同时，国家数据局将进一步加强与企业沟通交流，更好统筹数据发展和安全，积极回应企业的实际关切，为企业创新发展营造更好政策环境。

三、刘烈宏出席2025数据安全发展大会

近日，2025数据安全发展大会在浙江温州召开。国家数据局党组书记、局长刘烈宏出席并讲话。

刘烈宏就推动数据要素价值加速释放提出了三点意见：一是持续推进数据基础制度改革创新，加强数据要素综合试验区建设。二是加快健全数据流通利用基础设施，依托可信数据空间等技术试点，探索可复制、易推广、能持续的运营模式。三是大力推进数据要素市场化价值化实践，将海量数据资源优势转化为经济发展新动能。

刘烈宏指出，为探索数据价值释放路径，国家数据局支持在浙江等10个地方开展数据要素综合试验区建设，2025年围绕数据产权制度落地、数据要素价值释放等部署了8方面35项任务，希望浙江认真推进试验任务，为推进数据要素市场化配置改革积累实践经验。

刘烈宏一行还调研了数据基础设施、温州数据交易中心等展区，与鸿集公司、致一科技、企知道、壹杰医疗、浙江公数、金润国交、麟云科技等企业进行了深入交流。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。