数据安全每周观察|李强签署国务院令公布《政务数据共享条例》

政策趋势

一、李强签署国务院令公布《政务数据共享条例》

《政务数据共享条例》经2025年5月9日国务院第59次常务会议通过并公布，自2025年8月1日起施行。

《条例》根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律制定，旨在推进政务数据安全有序高效共享利用，提升政府数字化治理能力和政务服务效能，全面建设数字政府。

《条例》要求，开展政务数据共享工作，应当遵守法律法规，履行政务数据安全保护义务，不得危害国家安全、公共利益，不得损害公民、法人和其他组织的合法权益。政府部门应当明确本部门政务数据共享工作机构。政务数据共享工作机构负责本部门政务数据共享具体工作，应该建立健全本部门政务数据共享中数据安全和个人信息保护制度，组织开展本部门政务数据共享安全性评估。

上级政府部门应当根据下级政府部门履行职责的需要，在确保政务数据安全的前提下，及时、完整回流业务信息系统收集和产生的下级政府行政区域内的政务数据，并做好系统对接和业务协同，不得设置额外的限制条件。下级政府部门获得回流的政务数据后，应当按照履行职责的需要共享、使用，并保障相关政务数据安全。政府部门应当建立健全政务数据共享安全管理制度，落实政务数据共享安全管理主体责任和政务数据分类分级管理要求，保障政务数据共享安全。

政府部门应当采取技术措施和其他必要措施，防止政务数据被篡改、破坏、泄露或者非法获取、非法利用。政府部门应当加强政务数据安全风险监测，发生政务数据安全事件时，立即启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并按照规定向有关主管部门报告。

政务数据平台建设管理单位应当依照法律、行政法规的规定和国家标准的强制性要求，保障平台安全、稳定运行，维护政务数据安全。政府部门及其工作人员在开展涉及个人信息的政务数据共享活动时，应当遵守《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规的规定。

政府部门及其工作人员泄露、出售或者非法向他人提供政务数据共享工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息的，或者在政务数据共享工作中玩忽职守、滥用职权、徇私舞弊的，依法给予处分；构成犯罪的，依法追究刑事责任。

二、《网络安全技术 信息安全管理体系审核指南》等4项国家标准（征求意见稿）公开征求意见

近日，全国网络安全标准化技术委员会归口的《网络安全技术信息安全管理体系审核指南》等4项国家标准现已形成标准征求意见稿，并面向社会公开征求意见。

三、《算力互联互通行动计划》印发

近日，工业和信息化部印发《算力互联互通行动计划》，提出到2026年，建立较为完备的算力互联互通标准、标识和规则体系。

《计划》指出，夯实算力网络和数据安全保障，一要强化算力网络安全保障。完善信息通信网络安全防护管理体系，指导算力基础设施建设、互联调度、运营服务等不同主体落实国家和行业网络安全管理要求、标准规范。发挥基础电信网络资源优势，推动建设国家算力网络基础安全服务保障平台，打造“云、网、边、端”一体协同的安全态势感知和防护能力，持续提升算力网络安全综合保障水平。二要增强数据安全保护能力。强化数据安全保护，指导算力服务企业、基础电信运营商严格履行数据安全保护责任义务。提高数据安全服务水平，在算力互联互通过程中，各有关主体进一步明确安全责任界面，提高数据安全管理能力，协同算力使用方强化数据安全保护，形成数据安全保护合力。

四、关于开展人脸识别技术应用备案工作的公告

近日，国家互联网信息办公室根据《人脸识别技术应用安全管理办法》（国家互联网信息办公室、中华人民共和国公安部令第19号，以下简称《办法》）规定，就开展人脸识别技术应用备案工作有关事项发布公告。

一、备案对象

根据《办法》第十五条规定，应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者，应当向所在地省级网信部门履行备案手续。

二、备案时间

（一）自2025年6月1日起，应用人脸识别技术处理的人脸信息存储数量达到10万人的，应当自数量达到之日起30个工作日内履行备案手续。

（二）2025年6月1日前，应用人脸识别技术处理的人脸信息存储数量已经达到10万人的，应当在2025年7月14日前履行备案手续。

（三）备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。

三、备案方式

人脸识别技术应用备案采用线上方式。请直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《人脸识别技术应用备案系统填报说明（第一版）》，准备相关材料并履行备案手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。

四、法律责任

未按照《办法》规定履行备案手续的，依照有关法律、行政法规的规定处理。

五、关于公开征求《网信部门行政处罚裁量权基准适用规定（征求意见稿）》意见的通知

为进一步规范网信部门行政处罚行为，保护公民、法人和其他组织的合法权益，国家互联网信息办公室研究起草了《网信部门行政处罚裁量权基准适用规定（征求意见稿）》，现向社会公开征求意见。

《规定》根据《中华人民共和国行政处罚法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网信部门行政执法程序规定》等法律、法规、规章和国家有关规定，结合网信工作实际制定，旨在规范网信部门行政处罚行为，保护公民、法人和其他组织的合法权益，

《规定》指出，对于违法行为严重危害网络信息内容安全、网络运行安全、网络数据安全的，违法处理个人信息或者处理个人信息未履行个人信息保护义务情节严重的，应当从重处罚。

六、数字广州建设2025年工作要点发布

近日，广州市印发实施《数字广州建设2025年工作要点》，围绕打造更高水平的数字广州，提出十个方面共计32项重点工作，对2025年全市数字经济、数字政务、数字文化、数字社会、数字生态文明等“五位一体”全域数字化转型进行系统部署，赋能“12218”现代化产业体系建设。

在深化数据要素市场化价值化方面，《要点》明确，今年广州将持续推进数据资源开发利用，拓展“数源工程”，完善数据流通治理体系，支持城市可信数据空间建设，开展国家数据流通利用基础设施试点和国家物流数据开放互联试点。发布一批数字广州建设场景机会清单，繁荣数据产业生态，打造更多“数据要素×”标杆示范，发展“数据即服务”“模型即服务”等新业态。

《要点》强调，要加强数字广州建设整体统筹，高标准编制数字广州建设“十五五”规划。提升数字安全保障能力，筑牢数据和网络安全屏障积极融入数字湾区建设，健全数字人才梯度培育体系，持续打造更高水平的数字广州。

监管动态

一、国家级重点实验室工作人员王某在其个人联网计算机内违规存储了1000余份涉密文件和敏感资料被查

近年来，境外间谍情报机关对我实施网络攻击窃密愈演愈烈，各种手段层出不穷，对我国家安全构成威胁，需引起警惕。国家安全部最近报道了一起相关事件：

某国家级重点实验室工作人员王某，为了盲目追求工作的方便快捷，故意绕开审批监管手续，在其个人联网计算机内违规存储了1000余份涉密文件和敏感资料。某天，王某收到一封主题为“会议通知”的电子邮件，邀请其参加所属研究领域的一场学术会议。王某未作甄别就直接下载并阅读了该邮件的附件，导致其使用的个人计算机被境外间谍情报机关植入特种木马程序，并被秘密控制长达三个月。王某个人计算机内违规存储的文件资料全部被窃取，造成重大失泄密事件。

境外间谍情报机关试图利用境内个别OA系统漏洞，对我党政机关、科研院所、重点企业和关键基础设施实施网络攻击窃密活动。国家安全机关工作掌握，某科研单位使用的OA系统由于长期未进行漏洞修补和杀毒软件更新，导致其服务器被境外黑客攻击并植入木马病毒，最终造成该单位重要数据被窃取倒卖。

二、某公司售楼处违规采集人脸信息 被行政处罚

据网信重庆报道，近日，大渡口区网信办联合建委、公安、市场监管、检察院对属地某公司涉嫌违法违规处理个人(人脸)信息行为进行联合调查，依法对履行主体责任不到位的某公司作出行政处罚。

经查，该公司在售楼处私自安装人像采集设备，在未真实、准确、完整地向个人告知采集人脸信息，以及未取得个人单独同意情况下，累计收集、存储客户信息1.2万余条，含人脸信息5000余条，并主要用于与购房人身份信息、中介机构、置业顾问匹配营销，违反《中华人民共和国个人信息保护法》《网络数据安全管理条例》等有关规定。大渡口区网信办依据《网络数据安全管理条例》，对该公司作出责令限期整改，给予警告，并处1万元罚款的行政处罚。

下一步，大渡口区网信办将联合相关部门，开展房地产、商超等领域个人信息处理相关问题专项整治，依法查处违法违规处理个人信息行为，切实维护人民群众合法权益和个人信息安全。

三、睢县农信社因“因违反网络安全、数据安全管理规定等”被罚64.4万

近日，中国人民银行商丘市分行发布的行政处罚信息显示，睢县农村信用合作联社因“未按照规定报送可疑交易报告；违反信用信息采集、提供、查询及相关管理规定；违反网络安全管理规定；违反数据安全管理规定”等8项违法行为，被警告，并被罚款64.4万元。

同时，行内2人被罚。时任该农信联社理事长靳某先对“未按照规定报送可疑交易报告”负有责任，被罚款2.2万元;时任该农信联社信用管理部主任贾某娜对“违反信用信息采集、提供、查询及相关管理规定”负有责任，被罚款1.4万元。

该罚单中，有2项违法行为分别指向网络安全、数据安全问题。据了解，近期有多家银行收到类似的罚单。

四、乌克兰情报部门声称入侵俄战略轰炸机制造商，窃取4.4GB机密数据

近日，乌克兰国防部主情报局（GUR）宣称成功入侵了俄罗斯航空航天和国防公司图波列夫（Tupolev）。该公司负责研发俄罗斯的超音速战略轰炸机。

据乌克兰媒体报道，GUR内部消息人士透露，军事情报黑客攻入图波列夫系统并窃取了4.4GB的机密信息。这些被盗数据包括图波列夫人员的个人资料、内部通信（包括公司管理层交换的信息）、采购文件、工程师和设计师的简历以及闭门会议记录。

消息人士表示，GUR黑客在图波列夫网络内潜伏了相当长的时间，足以收集可用于未来行动的其他信息，这些信息可能用于入侵俄罗斯国防部门的其他组织。"获取的数据价值难以估量。对乌克兰情报部门而言，图波列夫的运营几乎没有任何秘密可言，"匿名消息人士告诉《基辅邮报》。

黑客还篡改了图波列夫的官方网站，添加了一张爪子抓着飞机的猫头鹰图像。目前，该网站重定向到俄罗斯国有企业联合航空制造公司（UAC）的网站。

五、MongoDB配置错误导致超880万条患者记录暴露

近日，有研究人员发现一起影响美国公民医疗数据的大规模数据泄露事件。约270万患者档案和880万预约记录被公开暴露，任何掌握数据库位置的人都能不受限制地获取这些高度敏感的医疗信息，这种大规模医疗敏感数据的泄露为各类恶意活动敞开了大门。

此次泄露是由一个未受保护的MongoDB数据库引起的。虽然数据所有者尚未得到官方确认，但数据库中的线索指向牙科营销公司Gargle。该公司为牙科诊所提供营销、SEO和网站开发服务。该公司在收到相关通知后，已将数据集安全保护起来，但尚未对此事发表评论。

泄露的数据包括患者姓名、出生日期、电子邮件、地址、电话号码、性别、图表ID、语言偏好、账单详情以及带有患者元数据、时间戳和机构参考的预约记录。这类泄露很可能源于一个常见且经常被忽视的漏洞，即由于人为错误，数据库在没有适当身份验证的情况下被暴露。

此次泄露规模之大，严重违反了《健康保险可携性和责任法案》(HIPAA)的合规要求。该法案明确规定，所有处理患者数据的机构必须实施严格的安全措施对敏感医疗信息进行全面保护。

六、合规管理公司出现合规问题：Vanta系统漏洞导致客户数据交叉泄露

合规管理公司Vanta近日确认，一个系统漏洞导致部分客户的私人数据被暴露给其他Vanta客户。此次数据泄露是产品代码变更所致，而非外部入侵造成。

该公司于5月26日发现问题，修复工作将于6月4日完成。此事件导致少于20%的第三方集成中的部分数据被暴露给其他Vanta客户，受影响的客户不到Vanta总客户数的4%。根据Vanta官网信息，该公司拥有超过1万家客户，这意味着此次数据泄露可能影响数百家Vanta客户。

据Vanta的客户透露，泄露的数据"通常包括"员工姓名、角色以及某些工具配置信息，如多因素认证的使用情况等。但是Vanta发言人在回应媒体询问时，未透露事件中涉及的客户数据类型，也未就Vanta员工数据是否泄露发表评论。

七、暗网惊现4.28亿TikTok用户数据，黑客声称利用API漏洞获取敏感信息

黑客"Often9"近日在知名网络犯罪论坛上发帖，声称拥有4.28亿条TikTok用户记录，并将其公开兜售。据称，这些数据包含用户邮箱、手机号码、个人简介、头像URL、个人资料链接、TikTok用户ID、用户名、昵称以及账户状态标记等敏感信息。

黑客解释称，他们发现并利用了TikTok内部API的一个漏洞，该漏洞允许他们提取本不应公开的私人数据。这些数据虽然看起来像是抓取，但实际上是通过可利用的端点完成的，而不是简单的公开爬取。然而，样本数据中许多邮箱和电话号码字段为空或通用，而且黑客账号是新注册的，没有任何信誉背书。此外，该论坛最近曾出现过虚假数据泄露声明，上周就有卖家声称拥有12亿Facebook用户数据，后被证实是假的。

值得注意的是，这并非TikTok首次面临类似声明。2022年9月，另一名黑客曾声称获取了20亿条TikTok记录，包括内部统计数据、源代码和790GB用户数据，但该声明后来被公司否认。

目前，TikTok正在调查这一声称的数据泄露事件。安全专家建议用户保持警惕，考虑更新密码并启用双因素认证。

八、奢侈品牌卡地亚遭遇数据泄露，时尚行业网络攻击频发

奢侈品牌卡地亚近日发布安全公告，确认其系统遭到黑客入侵，导致部分客户个人信息泄露。根据卡地亚发送的数据泄露通知，此次事件中被窃取的信息包括客户姓名、电子邮箱地址及居住国家，但不涉及密码、信用卡号码或银行账户等敏感数据。

卡地亚透露，未授权方临时访问了其系统并获取了有限的客户信息。他们已控制住问题并进一步加强了系统和数据保护。该公司已通知执法机构，并正与外部网络安全公司合作进行事件修复。卡地亚建议客户对可疑通信保持警惕，防范可能的定向攻击。

九、The North Face第四次遭遇凭证填充攻击，用户个人信息泄露

近日，知名户外服装零售商The North Face发布安全公告，警告客户其网站于2025年4月遭遇凭证填充攻击（credential stuffing attack），导致用户个人信息被窃取。

根据提交给佛蒙特州总检察长办公室的数据泄露通知，The North Face于2025年4月23日发现网站存在异常活动，随后的调查确认网站遭遇了小规模凭证填充攻击。此次泄露的信息包括用户全名、购买历史、送货地址、电子邮件地址、出生日期和电话号码。公司强调支付信息未受影响，因为支付处理由外部提供商负责。

凭证填充攻击是一种网络攻击手段，攻击者利用从之前数据泄露事件中获取的用户名-密码组合，自动化尝试登录目标网站。这种攻击之所以可行，是因为许多用户在多个在线服务中重复使用相同的凭证。若账户启用了多因素认证（MFA），即使密码被泄露，此类攻击也会失败。

十、韩国监管机构对迪奥、蒂芙尼展开数据泄露调查

近日，韩国个人信息保护委员会(PIPC)表示对奢侈品牌迪奥(Dior)与蒂芙尼(Tiffany & Co.)的数据泄露事件展开调查，指两家公司未及时发现及上报泄露情况，涉嫌违反信息保护相关法规。这两家品牌均是全球时尚集团路威酩轩集团(LVMH)的子公司。

委员会表示，迪奥直到5月7日才发现1月26日发生的数据泄露事件，这已是100多天后。该公司在三天后的5月10日向委员会报告了此次数据泄露事件。根据《信息通信网络利用促进和信息保护法》，公司必须在发现此类事件后24小时内向韩国互联网安全局或科学信息通信技术部报告。迪奥直到5月13日(在发现数据泄露六天后)才通过其网站和电子邮件通知告知客户。该公司表示，姓名、电话号码、电子邮件地址和邮寄地址均已泄露。

蒂芙尼韩国公司也未能及时发现数据泄露。4月份发生的一次数据泄露事件直到5月9日才被发现，并于5月22日(13天后)才报告。该公司仅通过电子邮件通知了部分客户，并未在其网站上发布通知。

PIPC表示，调查将重点确定违规的具体范围、核实是否遵守技术和管理保障措施，并审查这些公司是否违反了韩国的个人信息保护法。报告违规行为和通知客户方面的延迟将成为调查的重点。“如果确认存在任何违规行为，将依法采取适当措施，”委员会表示。

初步调查结果显示，违规行为是使用员工客户管理服务的账户凭证进行的。这两个品牌都使用基于软件即服务(SaaS)的客户管理平台，这些平台也将受到调查。“使用基于SaaS系统的公司应该对员工账户应用双因素身份验证，并实施IP地址限制，以防止未经授权的访问，”委员会表示。

业界之声

一、中央企业高质量数据集建设和标准化研讨会在京召开

近日，中央企业高质量数据集建设和标准化研讨会在北京召开。会上，全国数标委秘书处介绍了高质量数据集标准体系、重点标准研制及验证情况，参会人员围绕高质量数据集建设及重点标准验证分享了工作经验，与会专家围绕高质量数据集下一步标准化工作研提了意见建议。

会议指出，人工智能技术快速发展，高质量数据集作为训练人工智能模型的基础，已成为人工智能赋能千行百业的核心要素。针对当前高质量数据集建设中存在的规范缺失、质量参差、效率不高等问题，全国数标委加快研制高质量数据集技术文件及系列标准，明确高质量数据集的建设路径、格式规范、分类要求、质量评测体系等，推动人工智能模型从能用向好用转变，有力推进各行业领域数智化转型。

下一步，全国数标委将重点开展以下工作：一是加快重点标准研制，聚焦产业共性需求，推进高质量数据集建设指南、格式要求、分类指南、质量评测规范、数据标注、数据合成要求等重点领域标准制定。二是深化标准验证试点，以中央企业为重点开展先行先试，完善标准内容并打造示范案例，加速更多行业推广应用。三是做好标准试点平台工具，提高标准的实用性和可操作性，提高标准验证试点效率，有序推进高质量数据集建设。四是加强国际标准协同，参与并积极承担ISO/IEC JTC1/SC42 WG2国际标准工作，推动高质量数据集国家标准与国际接轨。

二、国家数据局政策和规划司2025年课题委托研究征集公告

为深入学习贯彻习近平总书记关于数据发展和安全的重要论述，全面贯彻党的二十大和二十届二中、三中全会精神，深入落实中央经济工作会议和全国两会决策部署，按照2025年数据工作总体部署，围绕数据领域事关经济社会发展全局的重大问题，充分调动各方力量开展集中研究，国家数据局政策和规划司现向社会公开征集课题研究承担单位。

研究题目：加快推进数据市场化价值化政策研究，“十四五”数字中国建设评估及“十五五”总体思路研究，“十五五”时期数字中国发展重大工程、重大任务谋划研究，数字中国在推进强国建设中的发展定位和目标任务研究，“十五五”时期数据驱动科研范式变革、赋能新质生产力发展的路径研究，“十五五”时期区域数字化协同发展的思路与路径研究，人工智能技术对产业结构调整以及中长期经济增长的影响研究，国家数据产权登记体系研究，衍生数据规则研究，面向人工智能的数据有关制度研究，全球数据基础制度比较研究，数据产权法治体系研究，数据流通安全治理典型案例研究，数据流通安全标准体系研究，培育全国一体化数据市场路径研究，促进数据交易机构高质量发展的政策研究，构建数据市场运行监测评估体系研究，“数据要素×”行动计划阶段性效果评估研究，“数据要素×”场景基础理论及政策研究。其中，数据流通安全标准体系研究要点是，落实《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，研究数据流通安全标准体系，系统梳理现有国内外现有数据安全标准，围绕重要数据脱敏、数据流通安全审计、个人信息匿名化、数据流通交易溯源、重点场景安全治理、敏感数据清单、数据流通安全事故或纠纷处置机制等开展研究，形成数据流通安全标准体系框架和具体需编制的数据流通安全标准清单，为数据流通安全提供有力支撑。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。