数据安全每周观察|工信部等七部门部署推动食品工业数字化转型

政策趋势

一、工信部等七部门部署推动食品工业数字化转型

近日，工业和信息化部会同教育部、人力资源社会保障部等六部门联合印发《食品工业数字化转型实施方案》，加快推动食品工业数字化转型升级。

《方案》重点任务强调，要促进数据资源增值。梳理食品原料供应、研发设计、生产制造、市场销售、质量追溯等重要环节，形成数据要素、知识模型、工具软件等清单。支持数据资源深度挖掘、有序流动、高效利用，以数据要素驱动提升产业链资源配置能力和水平。鼓励开展细分行业工业互联网标识解析二级节点建设，畅通企业内外数据。鼓励企业利用5G、时间敏感网络（TSN）等技术改造升级网络，提升工业控制系统安全防护水平，增强网络安全、数据安全监测预警与应急处置能力。

强化网络和数据安全保障。鼓励企业开展工业互联网安全分类分级管理，研究制定食品工业重要数据识别指南，强化重要数据识别和目录备案、数据安全风险评估、事件应急处置等工作，加强网络和数据安全防护能力建设，提升网络和数据安全防护水平。

壮大优质服务商队伍。培育一批集诊断咨询、技术开发、网络和数据安全防护、系统集成等功能为一体的食品工业数字化转型系统解决方案供应商，鼓励在其他行业数字化转型领域具有成熟经验的供应商进军食品工业，建设一批深耕行业的制造业数字化转型促进中心，研发供给适用解决方案，支持食品企业基于实践探索，开放共享细分场景解决方案。开展数字化转型服务商分级分类评价规范标准研制和贯标，依托行业组织开展服务商能力评估，研究发布和推介优质供应商目录。

二、工业和信息化部等八部门公开征求对《汽车数据出境安全指引（2025版）》的意见

为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，推动建立高效便利安全的汽车数据跨境流动机制，为产业发展营造良好环境，在国家数据安全工作协调机制统筹指导下，工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引（2025版）（征求意见稿）》，拟以规范性文件印发，现面向社会公开征求意见。

《指引》防护技术要求方面强调了数据出境传输安全，数据出境安全监测要求和检查支持要求。其中数据出境传输安全部分指出，汽车数据处理者应当采取以下保护措施：一是采用校验技术、密码技术、安全传输通道或者安全传输协议等措施，保证数据出境传输过程中汽车数据的保密性和完整性。二是汽车数据出境相关系统应当具备对境外数据接收方进行身份鉴权的能力，确保境外数据接收方身份真实性。 数据出境安全监测要求部分指出，汽车数据处理者应当对汽车数据出境传输行为进行安全监测，形成安全日志并留存。检查支持要求部分指出，汽车数据出境相关系统应当具备数据出境安全检查技术支持能力，对数据出境原始流量进行留存，支持数据防篡改和内容解析。

三、两部门发文，到2027年培育生物制造中试能力建设平台超20个

工业和信息化部、国家发展改革委近日印发通知，部署开展生物制造中试能力建设平台培育工作。提出到2027年，力争培育生物制造中试能力建设平台20个以上，服务企业数量超过200家，孵化产品400个以上，有力支撑创新成果的“小试验证—中试扩大—产业化应用”。

通知提出，将坚持逐步培育、分类打造，鼓励国家级实验室、国家级科技创新平台打造中试能力建设平台。坚持市场主导、需求引导，鼓励中试平台按照市场化原则开展有偿服务并实现稳定运营。坚持规范引领、安全可靠，增强平台数据安全、生物安全保障能力。

四、制造业计量领域首个政策性文件发布

近日，工业和信息化部印发《关于制造业计量创新发展的意见》，旨在进一步提升制造业计量能力，夯实计量对构建现代化产业体系的保障作用，加快制造业产业基础高级化。这是我国制造业计量领域首个政策性文件。

围绕发展目标，《意见》部署了强化制造业计量有效供给、深化制造业计量应用赋能、推进制造业计量创新升级等三方面共14项重点任务。在促进计量智能化转型方面，《意见》强调，要加强人工智能、大数据、云计算等前沿技术在制造业计量领域的应用，加大计量标准装置、计量服务的数智化改造力度，优化校准方式和管理模式。推进制造业计量数字化，研究建立制造业计量数据库，加强计量数据的智能化采集、分析与应用，建设重点产业链计量和标准能力提升公共服务平台。推进计量资源的网络化连接，推动计量数据共享，实现计量与制造过程、产品质量管控一体化，提升制造业计量网络化服务能力。

五、市场监管总局《网络交易平台规则监督管理办法(征求意见稿)》公开征求意见

近日，为规范网络交易平台经营者制定、修改和执行平台规则相关活动，维护网络交易秩序，保护平台内经营者、消费者合法权益，促进平台经济健康可持续发展，市场监管总局会同国家网信办组织起草了《网络交易平台规则监督管理办法(征求意见稿)》，现向社会公开征求意见。

《办法》共九章43条。第一章为总则，包括制定依据、概念、适用范围、基本原则4条具体内容。第二章为规则制定、修改，包括公示要求、提示和告知义务、设置便利检索功能、征求意见基本要求等12条具体内容。第三章为规则执行，包括告知义务、申诉处理、申诉权利保障、举证责任要求、平台规则执行团队要求5条具体内容。第四章为信息、网络及数据安全保护，包括信息安全管理条款的特别规定、个人信息保护条款的特别规定、网络及数据安全条款的特别规定、未成年人网络保护条款的特别规定4条具体内容。第五章为平台内经营者权益保护，包括不合理限制的禁止性规定、不合理收费的禁止性规定、违约金的禁止性规定3条具体内容。第六章为消费者权益保护,包括消费者保护总体要求、防止差异化定价、保障会员权益3条具体内容。第七章为外部监督制度，包括社会共治、合规自律、组织评审3条具体内容。第八章为监督管理，包括工作原则和机制、监管执法、约谈整改3条具体内容。第九章为法律责任，包括违反规则制定相关义务、违反程序性义务、违反信息网络及数据安全保护义务、侵害平台内经营者权益、侵害消费者权益、实施6条具体内容。

六、关于下达2项网络安全推荐性国家标准计划的通知

近日，国家标准化管理委员会下达的推荐性国家标准计划，其中《网络安全技术 区块链共识机制安全要求》和《网络安全技术 移动互联网未成年人模式技术要求》2项国家标准由全国网络安全标准化技术委员会归口管理。

七、《山西省数据流通安全治理工作实施办法》公开征求意见

近日，山西省数据局牵头起草并发布了《山西省数据流通安全治理工作实施办法（征求意见稿）》，现向社会公开征求意见。

《办法》根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》《国家数据基础设施建设指引》《关于加强数据资产管理的指导意见》《关于加快公共数据资源开发利用的意见》《个人信息保护合规审计管理办法》《山西省数据工作管理办法》等政策法规，结合山西省实际制定，旨在贯彻落实中共中央国务院《关于构建数据基础制度更好发挥数据要素作用的意见》（中发〔2022〕32号）关于强化数据安全管理要求，维护国家安全、公共利益，保护自然人、法人和非法人组织的合法权益，促进数据依法合理利用。
《办法》坚持“统筹发展和安全，兼顾效率与公平”的原则，强化全省数据安全治理体系建设，为促进数据要素合规高效流通利用，繁荣数据市场生态，释放数据要素价值提供保障。

数据基础安全管理方面强调，数据基础设施建设应按照国家信息安全战略和相关法律法规，结合具体业务需求，通过可信接入、安全互联、跨域管控和全栈防护等安全管理，建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力，提供应对芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。在硬件安全方面，应按照法律法规要求采用符合国家安全标准的硬件设备。确保数据流通全过程中的物理安全。芯片、服务器、网络设备、存储介质等各类硬件设备应具备防篡改、防盗窃的防护能力，应定期进行硬件安全审计和维护，及时更换过时或存在安全隐患的设备，防止因硬件漏洞导致的数据泄露或损坏。在软件安全方面，应部署满足安全等级防护要求的软件系统，采用加密技术、数据沙箱、数字签名等安全技术保障数据流通过程中的保密性与完整性，通过入侵检测和防御系统实现实时监控和应对潜在安全威胁。按照国家网络安全等级保护、数据分类分级保护要求和商用密码应用安全性评估相关要求，开展等级保护测评和商用密码应用安全性评估，鼓励数据基础设施建设主体开展数据管理能力成熟度（DCMM）和数据安全能力成熟度（DSMM）认证。

八、关于印发《海南省智能工厂梯度培育工作方案（2025—2027年）》的通知

为贯彻落实工信部等六部委联合发布的《智能工厂梯度培育行动实施方案》（工信厅联通装函〔2024〕399号）等文件要求，加快构建智能工厂梯度培育体系，海南省工业和信息化厅、海南省发展和改革委员会、海南省财政厅、海南省国有资产监督管理委员会、海南省市场监督管理局、海南省大数据发展中心联合印发《海南省智能工厂梯度培育工作方案（2025—2027年）》。

《方案》基础要求强调，一是企业应为规模以上工业企业，企业和产品均具有较强市场竞争力。创新型中小企业、省级专精特新中小企业、国家专精特新“小巨人”企业中的工业企业可参照执行。二是企业申报时未纳入国家企业信用信息公示系统经营异常名录、信用中国网严重失信主体名单，并提供税务机关开具的无欠税证明。企业近三年无较大及以上安全、环保等事故。三是工厂使用的关键技术装备、工业软件、工业操作系统、系统解决方案等安全可控，网络安全和数据安全风险可控。四是企业应建立智能工厂统筹规划、建设和运营的组织机制，拥有一批智能制造专业人才。五是基础级工厂智能制造能力成熟度评估水平达到GB/T 39116-2020《智能制造能力成熟度模型》一级及以上，先进级智能工厂应达到二级及以上，卓越级智能工厂应达到三级及以上，领航级智能工厂应达到四级及以上。

九、加强直播电商监管维护各方主体合法权益《直播电商监督管理办法》面向社会公开征求意见

为加强直播电商监督管理，维护广大消费者和经营者合法权益，促进直播电商健康发展，市场监管总局在充分调研和广泛征求意见的基础上，会同国家网信办研究起草了《直播电商监督管理办法（征求意见稿）》，现向社会公开征求意见。

《办法》分总则、直播电商平台经营者、直播间运营者、直播营销人员服务机构和直播营销人员、监督管理、法律责任、附则等七章，共五十七条。其中强调，直播电商平台经营者应当建立健全账号及功能注册注销、交易行为规范、商品和服务质量保障、消费者权益保护、个人信息保护、网络和数据安全管理、直播营销人员服务机构和直播营销人员管理等机制、措施。

十、武汉市数据局联合四部门印发《三年行动方案》

近日，武汉市数据局联合市财政局、市经信局、市人社局、市投促局四部门印发了《武汉市数据标注产业发展三年行动方案（2025-2027年）》，锚定数据标注产业发展新赛道，为提升数据供给质量、推动人工智能创新发展注入强劲动力。

《方案》坚持目标导向。推动“四个量”落实落细。一是扩容量。依托现有产业基础和资源，打造数据标注基地产业园区；二是抓增量。推动引进培育龙头企业，促进数据要素市场发展；三是盘存量。培育本地特色数据标注企业，打造企业梯队；四是提质量。建立数据标注质量标准，提升数据标注效率成效。

坚持创新引领。一是加强数据标注技术创新。持续推动自主原创、行业领先的数据标注工具开发；二是形成一批高质量行业数据集。鼓励数据标注企业参与建设高质量行业数据集，加强产品在人工智能等领域应用；三是产教融合加强人才培养。鼓励企业、行业组织、院校和培训机构合作开展职业技能培训，不断提升从业人员岗位技能，对符合条件的按规定给予企业培训补贴。

坚持需求牵引。开展线下对接活动，促进产业链协同发展；向数据标注企业开放数据集开发建设场景，推动公共数据标注与开发利用；推进行业高质量数据建设，对通过数据标注形成的高质量数据集和产品应用，给予最高200万元奖励。

监管动态

一、重庆重拳整治滥用人脸识别技术，筑牢个人信息安全防线

近日，《人脸识别技术应用安全管理办法》正式施行，开启了人脸识别技术应用安全治理法治化的新篇章。

近期，重庆各区县相继实施滥用人脸识别技术专项治理工作，全面摸排人脸识别技术应用的重点场景，强化企业机构合规指引，推动行业健康发展。其中，重庆市大渡口区网信办在网络巡查时发现网友留言线索：某售楼处未经本人同意采集人脸信息。大渡口区网信办随即联合建委、公安、市场监管、检察院对该公司涉嫌违法违规处理个人（人脸）信息行为进行联合调查。经查，该公司在售楼处私自安装人像采集设备，在未真实、准确、完整地向个人告知采集人脸信息，并未取得个人单独同意情况下，累计收集、存储客户信息1.2万余条，含人脸信息5000余条。大渡口区网信办依据《网络数据安全管理条例》，对该公司作出责令限期整改，给予警告，并处1万元罚款的行政处罚。

重庆市委网信办相关负责人介绍，专项治理启动以来，重庆市委网信办与相关职能部门密切联动，形成“一盘棋联动”“一体化整治”工作格局，已累计针对高校、物业、汽车、运动健身、金融五大领域60余个人脸识别技术使用场景、15家个人信息处理者开展现场检查，累计发现问题100余个，包括未定期开展个人信息影响评估、未履行告知义务、存储和传输环节技术防护措施不到位等问题。

二、重庆多领域开展网络安全和个人信息保护检查

近日，重庆多地积极开展网络安全和个人信息保护检查评估工作，九龙坡区针对人脸识别技术应用展开专项排查，忠县联合多部门深入检查网络与数据安全状况，以务实举措守护重要信息系统和公民个人信息安全，为数字重庆建设筑牢安全屏障。

在市委网信办指导下，九龙坡区委网信办会同行业主管部门，对辖区内重庆市动物园、九龙坡区医保局、九龙坡区精神卫生中心等重点单位开展了人脸识别系统专项检查。本次检查围绕信息系统安全、人脸信息处理规则及应用安全规范三个维度展开，重点核查数据存储加密、访问权限管理、“最小必要”原则落实情况等技术环节，并对人脸识别作为身份验证方式的必要性进行了专业评估。针对检查中发现的安全防护缺失、管理制度不健全、存储数据未加密等问题，现场下达整改通知书，要求相关单位限期整改到位。

忠县县委网信办牵头，联合忠县委国安办、县大数据发展局、县公安局对辖区相关单位开展网络和数据安全检查。本次检查采取自查与抽查相结合的方式，覆盖政务、文化、农业、医疗等多个重要领域，共计11家单位、13个重要信息系统，通过现场访谈及查看工作制度、工作台账、档案资料、经费保障等了解各单位网络安全责任制、数据分类分级保护、等级保护测评制度落实情况，特别是重要信息系统、政务数字化应用安全管理情况，并开展技术检测。

检查发现部分单位在落实党委（党组）网络安全工作责任制、数据分类分级保护以及系统安全防护方面还存在不足。对检查发现的问题，检查组第一时间向相关单位提出了整改意见，明确了整改时间，确保网络安全、数据安全主体责任落实到位，问题隐患全面清除。

三、永善县农信合作联社因“违反网络安全 数据安全管理规定等”被罚71万

近日，中国人民银行昭通市分行发布的行政处罚信息显示，永善县农村信用合作联社因“违反网络安全管理规定;违反数据安全管理规定;向金融信用信息基础数据库提供非依法公开的个人不良信息，未事先告知信息主体本人;未按照规定处理征信异议;未按照规定履行客户身份识别义务”等8项违法行为，被警告，并被罚款71万元。

四、德国数据监管机构对沃达丰处以5140万美元罚款

近日，德国联邦数据保护与信息自由专员(BfDI)对沃达丰德国公司处以总额达4500万欧元(5140万美元)的罚款，原因是其数据保护管理存在严重漏洞，导致客户数据遭受利用。

其中1500万欧元罚款源于沃达丰未能对其代理合作伙伴进行充分监督，致使部分代理员工伪造合同或擅自更改客户协议，构成欺诈行为。另一项3000万欧元罚款则针对沃达丰“MeinVodafone”线上服务与热线系统联用中的身份验证缺陷，漏洞一度允许未经授权的第三方访问用户eSIM配置文件。

此外，BfDI还就其分销系统中存在的安全问题向沃达丰发出正式警告。沃达丰现已更换部分系统、改进流程，并与违规合作方终止合作。

五、软银13.7万用户数据因外包商漏洞被泄露

投资控股公司软银(SoftBank)近日披露了一起重大数据泄露事件，通过被入侵的第三方基础设施，137,156名移动用户的个人信息遭到泄露。该事件发生于2024年12月，但直到2025年3月才被发现。

据日本公共广播公司NHK报道，此次安全事件暴露了大量属于软银和Y! Mobile用户的个人身份信息(PII)。被泄露的数据包括客户姓名、住址和电话号码，这些信息存储在承包电信支持业务的外部服务提供商UF Japan的系统中。所幸此次泄露并未涉及更敏感的金融数据。

调查结果显示，UF Japan设施存在多项关键安全控制失效。主要攻击途径涉及数据处理区域的物理访问控制和周边安全措施不足。安全评估发现，徽章访问系统不足、出入记录机制被破坏，以及高安全区域缺乏生物识别认证协议。肇事者被确认为供应链中另一家合作公司的前雇员，利用这些访问控制漏洞获得了对受限区域的未授权物理访问。软银立即终止了与UF Japan的合同关系，并启动了执法咨询程序。

六、恶意RubyGems冒充Fastlane窃取Telegram API数据

两个恶意的RubyGems包伪装成流行的Fastlane CI/CD插件，将Telegram API请求重定向到攻击者控制的服务器，以拦截和窃取数据。

RubyGems是Ruby编程语言的官方包管理器，用于分发、安装和管理Ruby库（gems），类似于JavaScript的npm和Python的PyPI。这些软件包拦截敏感数据，包括聊天id和消息内容、附加文件、代理凭证，甚至可用于劫持Telegram机器人的bot令牌。

供应链攻击是由Socket研究人员发现的，他们通过一份报告警告了Ruby开发者社区这一风险。

七、AT&T 8600万条客户记录遭泄露，含解密版社会安全号码

黑客近日公开了据称是AT&T的客户数据库，该数据库据信由ShinyHunters黑客组织于2024年4月通过利用Snowflake云数据平台重大安全漏洞窃取。Hackread研究团队发现，这批数据最早于2025年5月15日出现在俄罗斯知名网络犯罪论坛，并于6月3日被重新上传后开始在其他黑客论坛传播。

截图显示数据已在两个网络犯罪论坛泄露。虽然黑客声称包含7000万条记录，但Hackread确认实际涉及8600万AT&T客户数据。经分析，泄露数据包含以下敏感个人信息，这些数据组合可构成完整的身份档案，极可能被用于欺诈或身份盗窃：全名、出生日期、电话号码、电子邮箱、实际住址、4398万条美国社会安全号码（SSN）。尤为严重的是，攻击者声称出生日期和美国社会安全号码原本经过加密，但现已完全解密并以明文形式包含在泄露数据中。这意味着任何AT&T客户都可能面临SSN泄露风险。

八、基于Rust语言的新型木马针对Chromium内核浏览器进行窃密

近日，研究人员发现一款采用Rust语言编写的新型信息窃取恶意软件，它能够从基于Chromium内核和Gecko内核的网页浏览器中提取敏感数据。
这款名为Myth Stealer的恶意软件代表了网络犯罪策略的显著演变，它将现代编程技术与传统的社会工程方法相结合，以窃取用户凭证和财务信息。自2024年12月下旬以来，该恶意软件一直通过一个组织严密的欺诈性网站和Telegram渠道进行分发。最初，该恶意软件以免费试用形式吸引用户，随后转向订阅模式，网络犯罪分子可以使用加密货币和Razer Gold支付购买每周或每月的访问权限。幕后威胁参与者维护着多个Telegram渠道用于分发、更新甚至发布“客户”评价，展现出其网络犯罪基础设施运营的专业化。

Trellix研究人员在例行的主动威胁狩猎活动中发现了这个完全未被检出的恶意软件样本，揭示了其复杂的架构和规避能力。研究团队发现，该恶意软件针对如Chrome、Firefox、Edge、Opera、Brave以及Discord等通信平台和各种全球使用的专业浏览器。

其分发机制依赖社会工程学，攻击者将恶意软件伪装成合法的游戏软件、作弊工具或流行游戏的测试版。受害者通常通过带密码的RAR压缩包接触到该恶意软件，其密码通常遵循可预测的模式，例如游戏名称后加上 “beta” 或 “alpha”。在某些情况下，威胁行为者会在在线论坛中发布恶意链接，甚至提供显示零检出的VirusTotal报告，以在游戏社区中建立可信度。

业界之声

一、关于征集海南省信息基础设施建设“十五五”规划意见建议的公告

为高质量编好海南省信息基础设施建设“十五五”规划，科学谋划我省未来五年信息基础设施建设蓝图，支撑智慧海南建设和自由贸易港高质量发展，近日，海南省工业和信息化厅面向社会各界征集海南省信息基础设施“十五五”规划（2026—2030年）编制意见建议。征集内容包括但不限于：

通信网络建设：如何部署“双万兆”网络（5G-A、万兆光网），筑牢数字自贸港网络根基。

国际通信发展：如何打造面向东南亚的国际信息通信枢纽，拓展海南数字产业发展的新机遇和新空间。

算力网络布局：如何优化全省算力基础设施布局，满足人工智能、智能网联汽车等未来产业需求。

技术融合前瞻：如何前瞻布局下一代互联网（IPv6+）、6G、量子通信等前沿技术，激发千行百业数字化潜能。

安全韧性并重：如何强化关键设施抗灾能力（如台风防护），保障网络与数据安全。

特色应用牵引：如何结合海南自贸港政策优势及热带特色资源建设相应的信息基础设施，助力跨境数据流动、智慧文旅、智慧海洋、智慧疗养等特色应用的发展。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。