六部门联合印发《纺织工业数字化转型实施方案》

政策趋势

一、六部门明确4大行动18项措施推动纺织工业数字化转型

近日，工业和信息化部等六部门联合印发《纺织工业数字化转型实施方案》，聚焦新一代信息技术赋能行动、新模式新业态创新应用行动、产业高质量发展行动、夯实支撑基础行动等4个方面提出18项具体工作任务。

加快工业互联网部署。深化“5G+工业互联网”融合应用，探索工业互联网标识在纺织行业全产业链的生产过程管理、质量追溯等方面的融合应用；鼓励建设服务于中小企业的工业互联网平台，为数据汇聚、建模分析、知识复用、应用创新提供载体支撑。鼓励企业实施工业网络安全分类分级管理，建立健全企业内部网络安全管理制度，研究制定纺织工业重要数据识别指南，强化重要数据识别和申报、数据安全风险评估等工作，加强网络和数据安全防护能力建设，提升网络和数据安全防护水平。

壮大服务队伍。聚焦研发设计、质量管控、生产制造、网络和数据安全防护、运维服务等关键环节，培育一批既深耕行业又懂数字化的制造业数字化转型促进中心，推动服务商产品性能的测评和应用验证，形成优质解决方案推广目录。制定服务商分类分级评价规范，引导服务商提升全流程服务供给水平。构建纺织企业数字化转型评估指标体系，鼓励企业广泛开展自评估，按需精准对接解决方案服务商。

二、《网络安全标准实践指南——互联网平台新型腐败预防和处置要求（征求意见稿）》公开征求意见

近日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——互联网平台新型腐败预防和处置要求（征求意见稿）》，根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，现组织对《网络安全标准实践指南——互联网平台新型腐败预防和处置要求（征求意见稿）》面向社会公开征求意见。

《指南》依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国刑法》《中华人民共和国公司法》《中华人民共和国劳动法》等法律法规制定，规定了互联网平台新型腐败预防和处置要求，适用于互联网平台企业开展流量操控、数据舞弊、权限寻租、榜单造假等新型腐败问题的预防和处置。

日常风险防控方面，《指南》要求，互联网平台企业应开展常态化日常风险防控工作，明确数据监控策略并充分识别数据异常行为，通过风险监测、数据防泄露等技术手段对数据处理异常行为进行监测、预警、拦截；利用技术手段对流量分配进行监控，及时发现异常波动并分析人为操纵可能性，保障业务相关算法的公平与透明。

三、《可能影响未成年人身心健康的网络信息分类办法（征求意见稿）》公开征求意见

为落实《未成年人网络保护条例》要求，进一步强化未成年人网络保护，保障未成年人合法权益，国家网信办会同国家新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、广播电视等部门，起草了《可能影响未成年人身心健康的网络信息分类办法（征求意见稿）》，现向社会公开征求意见。

《未成年人网络保护条例》第22条明确了危害未成年人身心健康的信息的种类，《办法》作为配套文件，主要是细化《条例》第23条可能影响未成年人身心健康的信息的具体种类、范围、判断标准和提示办法，进一步健全完善未成年人网络保护制度，营造有利于未成年人身心健康的网络环境。

《办法》根据《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《未成年人网络保护条例》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规规定制定，旨在营造有利于未成年人身心健康的网络环境，进一步明确可能影响未成年人身心健康的网络信息的具体种类、范围、判断标准和提示办法。

四、《网络安全技术 软件安全开发能力评估准则》等4项国家标准（征求意见稿）公开征求意见

全国网络安全标准化技术委员会归口的《网络安全技术 软件安全开发能力评估准则》等4项国家标准现已形成标准征求意见稿，根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，现将该4项标准征求意见稿面向社会公开征求意见。

五、《山西省公共数据资源登记管理细则》公开征求意见

近日，山西省数据局发布《山西省公共数据资源登记管理细则（征求意见稿）》并向社会公开征求意见。

《细则》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《山西省数字经济促进条例》《山西省数据工作管理办法》等法律法规和制度规范，按照《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》《公共数据资源登记管理暂行办法》和《山西省关于促进数据要素市场化配置改革的实施意见》等要求，结合山西实际制定。旨在深入推进数据要素市场化配置改革，加快促进公共数据资源合规高效开发利用，积极融入全国一体化公共数据资源登记体系，规范山西省公共数据资源登记工作。

《细则》指出，登记机构应建立健全数据资源登记管理责任机制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息，保存期限不少于二十年。

全省公共数据资源登记工作实行分级监督管理。省级数据管理部门会同网信、公安、财政、司法行政、市场监管、政务信息管理等有关部门，建立跨部门协同监管机制，研究公共数据资源登记工作重大事项，协调解决重大问题。涉及重大或特别重大的数据安全事件，应及时报送省数据安全工作协调机制办公室。

六、《湖南省国家数据要素综合试验区建设方案（2025—2027年）》

近日，湖南省人民政府办公厅印发《湖南省国家数据要素综合试验区建设方案（2025—2027年）》。

《方案》重点任务包含：构建数据流通安全治理体系。制定完善数据流通安全治理的实施方案、公共数据分类分级指南，明晰企业数据流通安全规则，强化个人数据流通安全保障。加强数据流通安全技术应用、丰富数据流通安全服务供给、完善数据流通安全责任界定机制，有效防范数据安全风险。

构建数据安全防护体系。推进省数据安全防护及监控平台、省网络安全协调指挥平台、马栏山视频文创园数据安全防护平台、长沙数据网络安全大脑暨科创研发总部基地等建设，提升公共数据和企业数据安全风险分析、监测监管和处置能力。支持数据安全防护平台云服务化，发布服务目录清单，为中小企业提供数据安全合规服务。

大力发展数据产业。聚焦“4×4”现代化产业体系，加强数据产业规划布局。出台加快数据产业高质量发展的政策措施，探索建设一批数据产业集聚区，培育一批数据企业孵化器，孵化一批“专精特新”“独角兽”“瞪羚”企业，发展壮大一批数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施等细分领域企业。

七、《无锡市数据条例》发布 8月1日起正式施行

近日，无锡市人大常委会举行新闻发布会，就正式发布的《无锡市数据条例》进行解读并接受媒体提问。《条例》将于8月1日正式施行。

《条例》要求，数据主管部门应当健全公共数据统筹协调机制，推动公共数据汇聚、治理、共享、回流等工作，并会同有关部门健全完善公共数据质量监督管理制度规范。公共管理和服务机构应当按照法定权限、范围、程序和相关标准收集、共享、开放公共数据保证数据的真实性、准确性、完整性、时效性。同时，无锡市数据主管部门应当统筹推进本市统一的公共数据目录建设，组织编制公共数据目录，并及时发布和更新。

《条例》规定，要依法保护个人、组织享有的数据持有、使用、经营等合法权益。鼓励个人、组织在依法设立的登记机构对数据的持有、使用、经营等权益进行登记。经登记机构审查后取得的数据权益登记凭证，可以作为开展或者参与数据流通交易、数据资源会计处理、数据企业认定、融资担保等活动的证明。

《条例》明确，个人信息相关数据的处理活动应当遵守有关法律、法规规定。收集个人信息相关数据时，应当限于实现处理目的的最小必要范围。对承载个人信息的数据，数据处理者应当按照个人授权范围依法依规采集、持有、托管和使用。

监管动态

一、国家网络与信息安全信息通报中心通报64款违法违规收集使用个人信息的移动应用

据国家网络与信息安全信息通报中心通报，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，64款移动应用存在违法违规收集使用个人信息情况。

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《云听》（版本2.8.0.008，红旗EQM5 车载App）、《厦心健康管理中心》（版本4.36，微信小程序）、《找朋友》（版本1.2.3，应用宝）等10款移动应用。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及《黑岩阅读》（版本4.2.1，微风下载站）、《乐教乐学》（版本1.0.281，PP助手）、《拓词》（版本14.23，PP助手）、《听》（版本2.8.0.008，红旗EQM5 车载App）等25款移动应用。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及《诚通证券》（版本6.0.3.0，百度手机助手）、《海峡银行》（版本4.0.0，VIVO应用商店）、《兴业证券优理宝》（版本8.9.0，VIVO应用商店）等14款移动应用。

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及《微博SDK（Android）》（版本13.10.5，官网）、《太平洋咖啡会员》（版本3.3.0，微信小程序）2款移动应用。

5、未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及《手机游戏联运SDK》（版本3.2.3，官网）、《OnewaySdk-Android》（版本2.6.3，官网）、《云飞扬SDK》（版本1.6.14，官网）、《乌海银行》（版本5.0.1，华为应用市场）等8款移动应用。

6、投诉、举报未在承诺时限内受理并处理。涉及《手机游戏联运SDK》（版本3.2.3，官网）、《云飞扬SDK》（版本1.6.14，官网）等5款移动应用。

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及《黑岩阅读》（版本4.2.1，微风下载站）、《Deep人工智能AI》（版本1.0.7，OPPO软件商店）、《乐教乐学》（版本1.0.281，PP助手）、《拓词》（版本14.23，PP助手）、《智联招聘》（版本8.13.3，360手机助手）等30款移动应用。

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及《云听》（版本2.8.0.008，红旗EQM5 车载App）等4款移动应用。

9、处理敏感个人信息未取得个人的单独同意；个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及《厦心健康管理中心》（版本4.36，微信小程序）、《找朋友》（版本1.2.3，应用宝）等3款移动应用。

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及《黑岩阅读》（版本4.2.1，微风下载站）、《拓词》（版本14.23，PP助手）、《厦心健康管理中心》（版本4.36，微信小程序）、《找朋友》（版本1.2.3，应用宝）等7款移动应用。

11、未采取相应的加密、去标识化等安全技术措施。涉及《手机游戏联运SDK》（版本3.2.3，官网）、《微博SDK（Android）》（版本13.10.5，官网）、《Deep人工智能AI》（版本1.0.7，OPPO软件商店）、《诚通证券》（版本6.0.3.0，百度手机助手）等29款移动应用。

12、没有关闭标志或者计时结束才能关闭广告。涉及《戏曲多多》（版本3.9.1.0，搜狗应用）、《OnewaySdk-Android》（版本2.6.3，官网）2款移动应用。

13、无隐私政策。涉及《SpeechSDK》（版本1.04，官网）、《PI ads SDK》（版本5.0.0，官网）、《电台》（版本3.01.02.059，红旗EQM5 车载App）等6款移动应用。

二、北京两公司因数据安全保护不力受罚

近期，部分企业因未依法履行数据安全保护义务，其相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题，造成数据被窃取，北京市网信办依法对涉案企业进行了查处。

其中，北京某科技公司在开展业务过程中，未对后台业务系统的接口配置访问控制和身份认证等安全措施，导致该系统存在未授权访问漏洞，使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

北京某有限公司在开展业务过程中，为方便系统测试，将ES数据库的9200端口对外开放且未限制访问，导致ES数据库存在未授权访问漏洞，使储存于其中的姓名、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

针对以上违法情况，北京市网信办依据《中华人民共和国数据安全法》第四十五条，分别对上述两个公司作出警告，并处五万元罚款的行政处罚。下一步，北京市网信办将针对数据安全保护义务履行不力，造成重要数据遭窃取的违法违规行为加强监督执法，营造安全稳定的网络环境。

三、非法获取个人信息16万余条被判刑

近日，北京市丰台区人民法院就审理了一起贷款公司负责人非法获取公民个人信息案件，被告人张某所使用的电脑里含有公民姓名及电话号码的信息达到16万余条。

经查，被告人张某开了一家帮助他人贷款的公司，以收取服务费的方式盈利，比如帮助客户办成贷款100万元，按照3至5个点收取手续费，也就是3万元到5万元。张某供述干他们这个行业需要充足的客源，他获取客源的方法，就是在一些贴吧、论坛上搜索可以提供公民个人信息的网友，然后添加微信及微信群，交易价格基本上是一元一条。他第一次就是大概花了500元购买了500条个人信息，然后他把这些公民个人信息下发给公司员工，要求员工逐个拨打介绍公司的贷款业务。

经法庭确认，张某所使用的电脑里含有公民姓名及电话号码的信息16万余条。法院经审理认为，被告人张某非法获取公民个人信息，其行为触犯了《中华人民共和国刑法》第二百五十三条之一的规定，已构成侵犯公民个人信息罪，结合被告人的认罪态度、公民个人信息数量、用途、获利等情况，以犯侵犯公民个人信息罪判处被告人张某有期徒刑三年，并处罚金人民币二十万元。目前该判决已生效。

四、辽宁3家银行因“网络安全 数据安全”等问题被罚

近日，中国人民银行辽宁省分行，对3家银行在：数据安全管理、网络安全管理、客户信息保护、未按规定落实反电信网络诈骗相关管理规定等方面的违规行为，进行了处罚。

1.中国人民银行辽宁省分行行政处罚决定信息公示表(辽银罚决字〔2025〕7-8号)：抚顺银行股份有限公司；警告，罚款184.174万元。陈某国(时任抚顺银行股份有限公司风险合规部经理)罚款7.75万元。

2.中国人民银行辽宁省分行行政处罚决定信息公示表(辽银罚决字〔2025〕9-11号)：中国光大银行股份有限公司沈阳分行；警告，罚款229.15万元。张某男(时任中国光大银行股份有限公司沈阳分行副行长)罚款1.5万元。张某(时任中国光大银行股份有限公司沈阳分行法律合规部总经理)罚款1.5万元。

3.中国人民银行辽宁省分行行政处罚决定信息公示表(辽银罚决字〔2025〕12-13号)：交通银行股份有限公司辽宁省分行；警告，罚款116万元。王某禄(时任交通银行股份有限公司辽宁省分行个人金融业务部总经理)罚款1.5万元。

五、上海通管局组织开展2025年上海市电信和互联网行业网络和数据安全检查。

据上海市通信管理局近日公告，上海市通信管理局决定组织开展2025年上海市电信和互联网行业网络和数据安全检查。

本次检查遵循工业和信息化部的有关部署要求以及《关于开展2025年全市网络安全专项检查的通知》要求，旨在落实《网络安全法》《数据安全法》《个人信息保护法》‌《网络数据安全管理条例》《通信网络安全防护管理办法》《工业和信息化领域数据安全管理办法（试行）》等有关规定。检查内容包含：网络和数据安全保障体系建设落实情况，通信网络安全防护工作落实情况，工业互联网企业网络安全防护情况，车联网网络安全防护定级备案管理情况，数据安全保护落实情况，个人信息和用户权益保护工作情况。

六、印度汽车共享平台Zoomcar遭黑客窃取至少840万用户个人信息

近日消息，印度知名汽车共享平台Zoomcar再度陷入数据泄露风波，至少有840万用户的个人信息遭黑客窃取，包括姓名、电话号码、车辆注册号、住址和电子邮箱等敏感数据，甚至还涉及与手机号关联的密码和人脸识别信息。黑客在侵入系统后，通过外部通信向公司员工发出威胁，Zoomcar才意识到数据泄露。

据悉，Zoomcar在发现安全漏洞后，迅速启动了事件响应计划，加强了云端和内部网络的安全措施，提升了系统监控力度，并审查了访问控制。此外，公司还聘请了一家专业的网络安全公司来协助处理此次事件。目前暂无证据显示财务信息或明文密码外泄，也未有勒索软件组织宣称对此负责。Zoomcar已向美国证券交易委员会(SEC)报告该事件。

值得注意的是，这并非Zoomcar首次发生数据泄露——早在2018年，其用户数据曾遭泄露并于2020年出现在地下市场。公司目前正持续调查此次攻击的性质与影响范围。

七、UBS确认供应商遭勒索攻击，13万员工数据泄露

瑞士跨国投资银行UBS Group AG日前确认，其第三方供应商遭受勒索软件攻击后，员工数据被窃取并在网上公开。这些数据可能被用于复杂的诈骗、欺诈和钓鱼攻击，冒充银行员工窃取客户敏感数据甚至资金。

据瑞士媒体Le Temps最先报道，约13万名UBS员工的数据已在网上公开数日。泄露信息包括姓名、电子邮件地址、电话号码、公司职位、员工使用语言和办公地点等。此次攻击由黑客组织World Leaks（前身为Hunters International）实施。该组织简化了勒索软件操作，不再使用双重勒索方法（即加密文件并窃取数据），而是仅窃取数据并威胁在不支付赎金的情况下公开。

被攻击的外部供应商是Chain IQ Group AG，于2013年从UBS分拆出来，提供包括人力资源、IT系统、废物管理、采购和安全服务在内的采购服务。Chain IQ的客户包括Swiss Life Holding AG、AXA S.A.、FedEx Corp.、IBM Corp.、Swisscom AG、KPMG International Ltd.和Pictet Group SA等。目前仅Pictet确认也受到影响。

八、汽车巨头斯堪尼亚确认保险理赔数据泄露并遭遇勒索威胁

近日，斯堪尼亚，这家隶属于大众集团的瑞典重型卡车和发动机制造巨头，确认其金融服务系统遭遇网络攻击。攻击者利用被窃取的外部IT合作伙伴账户凭据入侵系统，窃取了保险理赔相关文件。事件发生于2025年5月28日至29日，黑客通过密码窃取恶意软件获得合法用户凭据，从而访问了“insurance.scania.com”这一保险业务应用。

被盗文件可能包含个人敏感信息和财务医疗数据，具体受影响人数尚未明确。攻击者随后向斯堪尼亚员工发送勒索邮件，威胁公开泄露数据，并在黑客论坛发布部分数据样本。一个名为“Hensi”的威胁行为者在论坛上出售窃取的数据。受影响的保险应用已下线，斯堪尼亚已启动调查并向隐私监管机构通报了事件。公司表示此次事件影响有限，目前正积极应对中。

九、保险公司遭遇勒索软件攻击，巴萨球场重建保险计划遭泄露

法国保险集团SMABTP的西班牙子公司Asefa近日出现在Qilin勒索软件组织使用的暗网论坛上。据报道，攻击者声称从该保险公司窃取了210GB数据，其中包括FC Barcelona巴塞罗那足球俱乐部诺坎普球场重建的保险计划。

Asefa已在其网站上发布通知，确认公司正在应对一起网络攻击，并表示其"核心业务"未受影响，员工已恢复访问企业邮箱，但网站将暂时关闭直至确保所有工具和功能完全安全。调查发现，被盗数据包括公司内部文件、护照、收据和法律协议。研究人员指出，暴露的敏感文件，如护照和内部协议，带来严重的身份盗窃或欺诈风险，可能导致企业间谍活动。特别是泄露的巴塞罗那保险计划，可能暴露这一高知名度客户的财务或运营漏洞。

十、纽约地标550 Madison疑遭黑客入侵，700GB敏感数据或被窃取

Qilin勒索软件组织近日宣称从纽约地标建筑550 Madison Avenue（前AT&T大厦）的运营公司OAC 550 Owner窃取了大量数据。攻击者在其暗网泄露网站上声称获取了高达700GB的数据，并威胁如果不满足其要求将公开更多信息。

建于1984年的550 Madison最初是AT&T总部所在地，后来出售给索尼。目前，该地标建筑由投资公司Olyan拥有，内部入驻了美国-瑞士保险公司Chub Group、法国奢侈品时装零售商Hermès、私募股权公司Clayton, Dubilier & Rice等多家企业。研究人员调查发现，据称从建筑运营商处窃取的五个数据样本包括护照照片、事件报告、抵押转让文件和服务承包商协议等敏感信息。

十一、黑客组织通过投毒GitHub仓库攻击信息安全专业人员

Trend Micro研究人员近日发现一个新兴威胁组织"Water Curse"正在通过武器化GitHub仓库，提供看似合法的渗透测试和其他安全工具，实则通过恶意构建脚本和项目文件传递恶意软件。Water Curse主要针对依赖开源工具的供应链，特别是网络安全专业人员、游戏开发者和DevOps团队。

恶意通过软件执行凭证访问、系统枚举和数据分段以便窃取，功能包括：收集Chrome、Edge和Firefox等浏览器配置文件中的密码、自动填充数据、浏览历史记录、Cookie、书签和下载等敏感用户数据；窃取GitHub和ChatGPT的会话信息；创建有组织的暂存目录；使用7-Zip打包数据并准备RDP配置文件，可能用于后续远程访问或横向移动。

十二、LangSmith漏洞可通过恶意代理窃取OpenAI密钥和用户数据

网络安全研究人员近日披露了LangChain的LangSmith平台一个已修复的安全漏洞"AgentSmith"，该漏洞可被利用捕获敏感数据，包括API密钥和用户输入内容。攻击者可利用窃取的OpenAI API密钥未经授权访问受害者的OpenAI环境，导致模型盗窃和系统提示泄露等严重后果，甚至消耗组织的API配额，增加账单成本。

LangSmith是一个用于开发、测试和监控大语言模型(LLM)应用的可观察性和评估平台，同时提供LangChain Hub作为公开提示、代理和模型的存储库。AgentSmith 攻击流程是：攻击者首先创建一个AI代理，并通过Proxy Provider功能将其配置为连接到攻击者控制的模型服务器，然后在LangChain Hub上分享该代理。当用户在LangChain Hub发现并尝试使用这个恶意代理时，所有通信都会被秘密路由通过攻击者的代理服务器，导致数据被窃取。

十三、开源项目GitHub Actions配置不当或导致供应链攻击和敏感凭证泄露

近日，一项安全调查揭示了包括MITRE和Splunk在内的多个知名开源项目的GitHub Actions工作流中存在广泛的安全漏洞。这些漏洞源于不安全的持续集成和持续交付(CI/CD)配置，使项目面临潜在的供应链攻击和敏感凭证泄露风险。

漏洞核心在于GitHub Actions的pull_request_target触发器的错误使用。与在沙箱环境中运行的标准pull_request事件不同，pull_request_target在目标仓库基础分支的上下文中执行，为外部贡献者处理拉取请求时提供仓库机密的访问权和提升的权限。这一根本设计差异创造了安全盲点，恶意行为者可以利用它获取API密钥、部署凭证和管理令牌。这些漏洞源于仓库维护者对GitHub Actions安全模型的根本性误解，导致配置无意中将关键基础设施暴露给外部威胁。

攻击方法涉及提交包含精心设计代码的恶意拉取请求，在自动化工作流程中执行。当仓库使用pull_request_target事件，同时检出贡献者分支中的不可信代码时，就会创建一个恶意负载可以访问仓库机密和高权限GitHub令牌的执行环境。这种漏洞的影响超出了单个仓库，威胁到更广泛的开源生态系统的完整性和可信度。依赖这些项目的组织面临潜在的供应链攻击风险，被入侵的仓库可能成为更广泛组织漏洞的入口点。

业界之声

一、释放数据要素价值，助力谱写中国式现代化新篇章

近日，国家发展改革委党组成员、国家数据局局长刘烈宏受邀赴宁夏，向全区党政干部作题为“释放数据要素价值，助力谱写中国式现代化新篇章”的专题辅导报告。

刘烈宏从“深入学习领会习近平总书记关于数据发展和安全的重要论述精神”“理解数据的特性和规律，把握数据工作的特点”“推动数据要素市场化配置改革，释放数据要素价值”等方面，为大家作了深入细致的解读。刘烈宏指出，要深刻把握加快推进全国一体化数据市场重要意义，充分发挥国家算力枢纽节点作用，希望宁夏在实践中创新探索，立足区域优势，提升算力服务质效，加快推进工业、农业、教育、医疗等重点领域数字化改造，积极融入全国一体化数据市场建设，着力促进数据供得出、流得动、用得好、保安全，在深化数据赋能发展上取得更好成绩。

李邑飞在主持中指出，要深学细悟笃行习近平总书记关于数字经济发展重要论述和考察宁夏重要讲话精神，进一步增强发展数字经济的责任感、使命感和紧迫感，推动数字经济高质量发展，为加快建设美丽新宁夏、奋力谱写中国式现代化宁夏篇章提供有力支撑。

二、国家安全部发布个人终端安全指南 预防敏感数据信息泄露

近日，国家安全部发文称，在数字化飞速发展的今天，手机、电脑、智能家电等个人终端已成为我们生活中不可或缺的部分。然而，个人终端在方便日常生活的同时，也存储着一些敏感数据信息，一旦遭受攻击或入侵，不仅会损害个人利益，还可能对国家安全造成危害。为此，国家安全部发布一份个人终端安全指南。

设备丢失带来的风险：设备丢失或被盗会直接引发信息泄露风险。若丢失手机，被别有用心者拾获，密码等加密手段一旦遭破解，该手机的通讯录、聊天记录、照片等隐私数据则将被获取，不法分子甚至能借助其中的支付软件威胁用户财产安全。网络攻击带来的风险：网络攻击形式多样，最常见的就是网络“钓鱼”。攻击者通常会伪造电子邮件、网站、即时通讯消息等，诱导用户点击恶意链接、下载恶意文件，进而窃取用户凭证和数据资料等敏感信息。攻击者甚至可能通过关联入侵其他信息设备，对信息安全造成威胁。软件漏洞带来的风险：不法分子可能通过编写恶意代码，利用软件漏洞入侵终端，自动收集个人数据并上传。同时，一些软件过度索要定位、通讯录权限却缺乏必要的保护手段，可能导致敏感信息泄露。个别恶意软件一旦被植入重要部位，还会干扰通信系统、交通管制等关键设施，危害国家安全。

提高安全意识。警惕“钓鱼”攻击，注意甄别虚假信息，不轻易点击不明链接或打开可疑附件。不通过手机、电脑等个人终端谈论涉密敏感事项，不使用非涉密终端拍摄、传输、发布、转载涉密内容。不随意连接公共场所Wi-Fi，不在公共网络环境下输入敏感信息，谨慎分享个人信息。强化密码管理。完善安防举措，设置具有较高安全性的登录密码，尽量避免使用简单密码或“一码多用”。为重要账户开启双重验证、异常登录报警等安全防护功能，增加安全防护。建议避免长期使用同一密码，不定期更换密码，减少密码被破解的风险。加强软件防护。及时更新操作系统和软件，安装官方发布的安全补丁，修复已知漏洞，防止黑客利用漏洞攻击。从官方或可信来源下载软件，避免安装来路不明的软件。使用可靠的杀毒软件定期扫描系统，查杀病毒和恶意软件，及时发现并清理潜在安全隐患。使用安全工具。启用防火墙，监控和控制进出个人信息终端的网络流量，阻止未经授权的访问。严格管控软件权限，警惕应用软件敏感和超范围权限请求，在最低权限授予条件下安装使用软件。个人终端安全防护，不仅与个人隐私息息相关，更与国家安全紧密相连。每一次安全设置、每一项谨慎操作，都是在为筑牢网络安全防线、守护国家安全贡献力量。广大公民应增强个人终端防护意识，如发现遭受网络攻击，可通过12339国家安全机关举报受理电话、网络举报平台（www.12339.gov.cn）、国家安全部微信公众号举报受理渠道或直接向当地国家安全机关进行举报，共同汇聚起维护国家安全的钢铁长城。

三、筑牢人工智能时代的数据安全防线

近日，《中国网信》杂志2025年第5期发布了西安交通大学科教院网络安全法治研究所所长朱莉欣的文章《筑牢人工智能时代的数据安全防线》。

文章指出，在人工智能发展过程中，数据安全问题始终伴随其中。大数据为人工智能提供丰富的语料和训练基础，以大模型为代表的人工智能具有极强的数据挖掘和分析能力，提高了数据的可获取性，促进了数据的流通利用，推动经济社会发展。而数据造假、失真及信息不对称等问题，风险防范意识与人工智能技术发展进程不匹配等矛盾，不仅增加了数据安全风险，还影响人工智能对数据的分析和智能决策。人工智能和数据安全在约束下共生、在博弈中发展，需要在保护数据安全和推动人工智能发展中寻找新的平衡点，利用人工智能实现更广泛的公共利益。

人工智能时代数据安全治理的实现路径：一是持续完善数据安全与人工智能产业发展并重的法治环境。二是持续完善科技伦理审查规范中对数据安全的要求。三是人工智能企业积极承担保障数据安全的社会责任。四是以密码技术推动数据安全发展。五是持续推动数据安全治理国际合作。

文章强调，人工智能“智慧”的本质是人类集体思维的镜像，当我们分析数据安全的挑战时，也是在重新审视自身对秩序、风险与信任的认知范式。当前，人工智能与数据安全的共同发展仍面临双重挑战：技术层面需突破隐私计算效率瓶颈与对抗攻防的动态博弈；制度层面则要构建兼容技术创新与权利保护的治理体系。未来，以“安全增强型AI”（Security-Enhanced AI）为核心的技术路径或将重塑数据安全与人工智能发展的共生边界。

四、国家数据局数字科技和基础设施建设司2025年课题委托研究征集公告

为深入学习贯彻习近平总书记关于数据发展和安全的重要论述，全面贯彻党的二十大和二十届二中、三中全会精神，深入落实中央经济工作会议和全国两会决策部署，聚焦数字科技和数据基础设施建设领域的关键性、前瞻性和基础性重大问题，充分调动各方力量开展集中研究，国家数据据现向社会公开征集课题研究承担单位。

研究题目包含：新型场景下高质量数据集建设路径研究，数据标注产业发展态势监测及商业模式研究，行业数据基础设施建设需求与解决方案研究，数据中心用电统计监测研究，数字人才协同培养模式研究，数字人才指标监测体系研究。

其中，数据标注产业发展态势监测及商业模式研究指出，要围绕数据标注产业高质量发展，梳理数据标注产业发展指标体系，分析数据标注产业核心发展动能与发展瓶颈，持续跟踪调研数据标注领域相关企业动态，研究全球数据标注领域头部企业商业模式及发展路径，总结可复制的经验模式，推动我国数据标注产业生态优化升级。

数字人才指标监测体系研究指出，要研究明确数字人才内涵定义及分类，提出数字人才标准和评价标准体系，确定监测范围和口径。分析当前我国数字人才现状、结构体系，数字人才监测面临的主要问题及深层次原因。结合学历教育、继续教育、社会培训等人才供给方式，明确指数设计原则，研究提出数字人才供需监测指标体系、权重设置和模型架构，明确各指标定义、计算公式、采集来源和范围、采集方式和采集周期的方案。重点跟踪大数据、人工智能、智能制造、集成电路、数据安全等数字领域对数字人才的实际需求情况，运用设计的测评体系对总体或分区域的情况进行综合测评，提出数字人才供需监测的持续改进方向和建议。

五、关于征集人工智能安全标准化应用实践案例的通知

为持续强化网络安全国家标准实施应用，提升标准实施成效，全国网络安全标准化技术委员会秘书处拟围绕网络安全重点主题，分批开展网络安全标准化应用实践案例征集活动。本次案例征集聚焦人工智能安全主题，包括但不限于算法与模型安全、AI系统与平台安全、生成合成内容标识、训练数据与标注安全、生成式人工智能安全等方向，面向各行业领域人工智能服务提供者等遴选一批保障人工智能安全的标准化应用实践案例。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。