数据安全每周观察| 数字水印技术实现指南等3项国家标准发布

政策趋势

一、GB/T 45909-2025《网络安全技术 数字水印技术实现指南》等3项国家标准发布

近日，GB/T 45909-2025《网络安全技术 数字水印技术实现指南》，GB/T 20988-2025《网络安全技术 信息系统灾难恢复规范》，GB/T 22080-2025《网络安全技术 信息安全管理体系要求》三项国家标准正式发布，并将于2026年1月1日正式实施。

1.国家标准GB/T 45909-2025《网络安全技术 数字水印技术实现指南》发布，本标准提出了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议，并给出了常见数字水印算法、典型安全场景等相关信息。

2.国家标准GB/T 20988-2025《网络安全技术 信息系统灾难恢复规范》发布，本标准确立了信息系统灾难恢复工作原则，提出了信息系统灾难恢复生命周期，规定了信息系统灾难恢复应遵循的基本要求，描述了灾难恢复能力等级划分和测试评价方法。

3. 国家标准GB/T 22080-2025《网络安全技术 信息安全管理体系要求》发布，本标准等同采用国际标准ISO/IEC 27001:2022，规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求，给出了根据组织需求所剪裁的信息安全风险评估和处置的要求。

二、国家数据局综合司 市场监管总局办公厅关于印发数据流通交易合同示范文本的通知

为推进数据基础制度建设，降低数据流通交易成本，促进数据合规高效流通使用，国家数据局、市场监管总局制定并印发了《数据提供合同（示范文本）》、《数据委托处理服务合同（示范文本）》、《数据融合开发合同（示范文本）》、《数据中介服务合同（示范文本）》。

以上合同范本都是依据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》以及相关法律法规，为维护合同当事人的合法权益，推动数据共享共用，促进数据有序流动，便于合同当事人使用。同时，《数据提供合同（示范文本）》、《数据委托处理服务合同（示范文本）》、《数据融合开发合同（示范文本）》3份合同示范文本的数据安全要求部分都提出了以下要求 ：

1.各方应当严格依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》以及其他用的法律法规处理标的数据。

2.各方均应采取必要的技术和管理措施，保障数据安全，防止数据泄露、丢失或被非法访问。在发生数据泄露或其他安全事件时，当事人应立即采取补救措施，减轻损害后果，并及时向相对方通报事件详情和所采取的应急措施。

3.标的数据的提供过程涉及跨境传输的，应依照数据跨境流动相关法律法规或政策规定办理，各方负有相互配合的义务。

《数据中介服务合同（示范文本）》提出，各方应当严格依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《网络数据安全管理条例》以及其他相关法律法规处理标的数据。

三、2025年护航新型工业化网络安全专项行动启动

为深入学习贯彻习近平总书记关于新型工业化的重要论述，全面贯彻落实中央经济工作会议精神和全国新型工业化推进大会部署，扎实推进2025年护航新型工业化网络安全专项行动，工业和信息化部近日印发《2025年护航新型工业化网络安全专项行动方案》。

《方案》强调突出重点管理，提高企业网络安全防护水平。一要推动分类分级扩面提质，梳理建立防护重点企业清单。二要聚焦重点企业防护提升，开展网络安全贯标达标试点。三要夯实优势产业安全基础，提升重要车联网平台安全防护能力。四要组织开展工业控制系统网络安全评估。五要推动重点工业控制产品网络安全检测认证。六要服务重点产业链企业，统筹开展网络安全赋能工作。七要聚焦安全保障需求，强化网络安全“护企惠企”。八要全面提升安全认识，加强新型工业化网络安全宣贯。

四、国家卫生健康委发布《关于进一步加强医疗机构电子病历信息使用管理的通知》

近日 ，国家卫健委发布《关于加强医疗机构电子病历信息使用管理的通知》，强调要从加强医疗机构内部管理，规范电子病历信息使用，强化卫生健康行政部门监管等方面，加强医疗机构电子病历信息安全。

加强医疗机构内部管理方面，一要明确电子病历范围。电子病历是病历的一种记录形式，指医务人员在医疗活动过程中，使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息，并能实现存储、管理、传输和重现的医疗记录，包括门（急）诊病历和住院病历。二要压实医疗机构主体责任。医疗机构对本单位电子病历信息使用管理承担主体责任，要依法依规严格保护患者隐私，不得以非医疗、教学、研究目的泄露患者的病历信息。医疗机构应明确电子病历信息使用管理的牵头部门，确定各相关部门和人员的职责分工，统筹协调医务、科教、信息等相关部门落实管理责任，指导临床业务部门落实使用主体责任。医疗机构要强化纪检部门的监督职能，加强对电子病历信息使用权限滥用、信息泄露等行为的监管。要将电子病历信息规范使用管理情况纳入行政管理人员和医务人员绩效评价，出现违规操作、泄露信息等不良事件，要依法依规追究相应部门和个人责任。三要健全医疗机构管理制度。医疗机构应当完善电子病历信息系统分级管理制度，规范电子病历的建立、记录、修改、保存、传输等各环节工作流程，以及使用、管理的权限范围。建立电子病历信息使用长效监管机制，预防并及时处置不合理调阅、使用、转发电子病历信息等情形，确保电子病历信息使用合法合规、安全可控。建立应急处置制度，建立健全电子病历信息泄露场景的处置流程。四要落实分级管理要求。医疗机构应当根据电子病历信息的重要程度、敏感级别、使用场景等具体情况，严格实施分级分类访问控制与权限管理。遵循最小可用原则，按照岗位职责、角色任务、使用需求等，明确临床诊疗、教学、管理等相关人员分级访问权限和时限，严禁未经授权查阅、复制、传播或篡改病历信息。发生就医诊疗相关舆情时，要立即封存涉及人员的相关信息，无关人员不得访问浏览记录转发。

规范电子病历信息使用方面，一要规范相关人员使用权限和行为。医疗机构应当为电子病历系统操作人员提供专有的身份标识和识别手段，并设置相应权限。明确操作人员对本人身份标识的使用负责，不得违规收集、使用、传输、透露、买卖患者病历信息或通过网络渠道传播。医疗机构从业人员均应妥善保管个人身份识别介质，依权限规范使用电子病历信息，并由医疗机构根据工作岗位和工作内容定期更新调整其使用权限和时限。参与见习实习和培养培训的学生、进修医生等短期工作人员，需接受医疗机构组织的相关培训，依权限在教学学习活动中规范使用电子病历信息，其使用权限和时限不得超过培训进修学习范围和时长。医疗机构应当与提供信息系统维护和数据分析服务等业务的外部服务商签订严格的保密协议和授权协议，明确其访问电子病历系统的范围、目的和期限，并在服务过程中接受医疗机构监督，确保数据安全。二要保障全流程可追溯。医疗机构要确保电子病历系统历次操作痕迹、操作时间和操作人员等信息可查询、可追溯。支持通过数字水印等技术手段，确保使用过程留痕。医疗机构共享电子病历信息时，应有严格的授权机制和审批流程，确保信息的安全性和防篡改性。医疗机构接收外单位提供的电子病历信息时，应对信息来源的合法性、完整性、安全性进行验证，并参照内部管理要求建立详细的接收、存储、使用记录，实现数据流向可追溯。三要确保数据安全。医疗机构要按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国电子签名法》等法律法规规定，强化数据安全管理。建立电子病历信息安全防护体系，充分利用信息化手段监测电子病历信息使用情况。定期开展安全评估，对异常访问或未经授权的操作及时发出警报并通知上级管理人员，有效防范潜在安全风险。

五、《可信数据空间标准体系建设指南（2025年版）》发布

近日，《可信数据空间标准体系建设指南（2025年版）》正式发布。

《指南》以凝聚共识与协同推进、问题导向与应用牵引、鼓励创新与加速推广、立足国内与开放合作为基本原则，以系统性解决当前可信数据空间发展中认识不统一、标准缺失、实践路径模糊等核心痛点为目标组织开展编制工作，旨在发挥发挥四方面关键作用。

《指南》为可信数据空间的健康发展提供了重要保障，将为产业开展创新探索提供统一的参考框架，推动五类可信数据空间能够在标准体系的引导下进行差异化创新发展，同时也保证跨空间、跨行业的数据互联互通和价值共享。

有助于降低产业创新试错成本。《指南》通过建立共识性的规范与体系化的指引，帮助产业界明确创新方向，提升可信数据空间的互信水平和运营效率，提高数据资源开发利用效率。

有助于加速数据产品服务创新。《指南》将明确产业各方参与数据空间的方向和目标，加速数据资源从单纯的资源形态转变为可持续运营的产品与服务，促进数据从价值创造到价值共享的创新发展。

有助于形成共建共创发展生态。《指南》将加快可信数据空间在不同行业、不同领域、不同场景的深度应用，赋能数据要素安全可信流通与价值释放，为数字经济高质量发展注入新动能。

六、可信数据空间发展联盟（TDSA）发布《可信数据空间 能力要求》

近日，可信数据空间发展联盟（TDSA）发布了《可信数据空间 能力要求》，这是首部系统化定义可信数据空间框架及其核心能力要求的指导性文件，为数据要素可信流通提供标准化支撑。

标准提出“1+5”能力框架模型，以“可持续运营”为核心驱动力，从场景应用、数据资源、生态主体、规则机制、技术系统五大核心要素面向可信数据空间运营者提出相关能力要求：

“1-运营要求”——如何确保空间长效运行？

制定战略目标与KPI体系，建立组织治理机制，持续优化流程，构建安全合规体系，并强化资源保障与生态激励机制，实现空间自我造血。

“5-1：场景应用”——如何释放数据价值？

通过需求挖掘、职责分配与主体协同，匹配数据供给侧资源，推动数据产品化与服务化，实现价值闭环和运营推广。

“5-2：数据资源”——如何保障数据可信流通？

规范数据接入登记、分类分级、脱敏处理、发布发现等数据全生命周期管理，构建高质量数据集与数据资源体系，支撑数据利用与价值评估。

“5-3：生态主体”——如何协调多元角色？

定义数据提供方、使用方、监管方等各类主体权责，通过主体接入审核、数据治理协同、履约审计等机制，构建互利共赢的生态协作网络。

“5-4：规则机制”——如何实现有序治理？

建立接入审核规范、互联互通标准、数字合约管理、收益分配模型及纠纷解决机制，为数据流通提供可验证、可执行的规则保障。

“5-5：技术系统”——如何落地技术支撑？

通过中间服务平台（目录管理、身份认证、存证溯源等）和用户节点（数据接入、可信管控等），集成隐私计算、区块链等各类数据技术，实现资源交互、可信管控和价值共创。

七、湖南发布加快公共数据资源开发利用实施意见

近日，湖南省人民政府办公厅发布《关于加快湖南省公共数据资源开发利用的实施意见》。

《意见》强调，要保障公共数据资源开发利用总体安全。一要加强安全管理。强化数据安全和个人信息保护，完善数据流通安全责任界定机制。加强对数据资源生产、加工使用、产品经营等开发利用全过程的监督和管理。加强对人工智能大模型等数据资源开发利用新技术新应用的安全监管与防护。建立健全分类分级、风险评估、监测预警、应急处置等工作体系，开展公共数据利用的安全风险评估和应用业务规范性审查。运营机构应依据有关法律法规和政策要求，履行数据安全主体责任，采取必要安全措施，保护公共数据安全。加强技术能力建设，运用大数据、人工智能、区块链等技术手段，防范数据滥用风险，加强数据出境安全评估，提升数据汇聚关联风险识别和管控水平。依法依规予以保密的公共数据不予开放，严格管控未依法依规公开的原始公共数据资源直接进入市场。二要强化数据安全防护体系建设。强化信息技术应用创新和密码技术应用，推进公共数据资源密码保护，推动全省一体化数据安全防护及监控平台体系建设，提升公共数据和行业数据安全风险分析、监测监管和处置能力，防范发生系统性数据安全风险。促进数据安全大模型、自然语言处理等人工智能技术应用，提升数据安全防护水平。三要增强支撑能力。依托省重大科技攻关揭榜挂帅等政策支持，开展隐私计算、数据加密、安全可信等关键技术研究和攻关，增强公共数据资源安全支撑能力。

八、福建省数字福建建设领导小组关于印发2025年数字福建工作要点的通知

近日，福建省数字福建建设领导小组印发《2025年数字福建工作要点》。强调要紧抓数字生态优化工程，深化网络空间治理。建立健全数据分类分级保护和安全审查制度。完善生成式人工智能发展和管理机制。做好区块链、深度合成算法等备案核查工作。整治网络平台算法典型问题，推动平台算法向上向善。

同时，要实施数字安全保障提升行动。一要升级完善安全保障体系。建设省数字政府一体化网络安全支撑平台，完善“数字福建安全大脑”平台。建立完善电子政务安全管理和安全接入规范标准体系。加强数据安全密码防护，规范隐私保护等。二要深化信息技术应用创新。持续推动在数字政府建设、重要行业领域信息化建设、关键信息基础设施保护中落实安全可靠技术和产品应用要求。支持信创产业高质量发展，建立全省信创运维服务保障体系，规范信创符合性测试第三方评测管理服务。三要提升密码应用安全。出台密码应用政策规范，建立方案密评制度，完善密评工作机制。推动省政务云业务系统密码应用升级改造，加快省级重要政务信息化系统接入密码服务平台。

监管动态

一、西班牙保险公司Asemas疑遭数据泄露——1100万条记录或被在线售卖

西班牙知名互助保险公司Asemas疑似遭遇重大数据泄露事件。2025年6月26日，一名威胁行为者在暗网论坛发帖，称拥有该公司含1100万条记录的数据库并出售，还附带部分数据样本。Asemas成立于1983年，是西班牙建筑行业相关人员的主要保险提供商。此次泄露的数据包含客户ID、姓名、出生日期等大量敏感个人及财务信息，若属实，受害者可能面临欺诈、身份盗窃等高风险。

二、友邦人寿保险公司疑似遭受网络攻击，大量敏感信息或泄露

美国保险巨头友邦人寿保险公司（Aflac）日前疑似遭受网络攻击，其在美国的超5000万保单持有人等相关群体的敏感信息可能泄露，其中包括客户的健康数据等。6月12日，该公司在检测到网络可疑活动后，立即启动了应急响应措施，还聘请外部专家调查。此次攻击活动有Scattered Spider犯罪团伙活动的特征，该团伙此前已针对多家保险公司等发起攻击。Aflac称及时阻止了攻击，业务未受影响。目前关于攻击是否尝试部署勒索软件及具体受害人数等细节暂不清楚，但已知威胁行为者采用了社会工程学策略。Aflac正在通知相关监管部门及可能受影响的受害者，并提供相关保护服务。

三、澳洲航空遭数据泄露，600 万乘客信息遭黑手

近日消息，澳大利亚航空公司（Qantas）确认其客户数据遭遇严重泄露，而这一切竟然源于一个第三方供应商的失误。这一事件不仅让人对航空业的安全防护产生质疑，更引发了公众对个人隐私保护的深切担忧。

据悉，澳航在一份声明中透露，黑客通过其合作的第三方供应商获取了大量敏感信息，包括客户的姓名、地址、电子邮件和旅行记录等。这一数据泄露事件的规模之大，令人瞠目结舌，数以万计的客户信息可能已落入不法分子之手，给无辜的乘客带来了巨大的安全隐患。更令人愤怒的是，澳航在事件发生后并未及时向公众披露这一信息，导致许多客户在毫不知情的情况下，面临着身份被盗用的风险。

四、俄罗斯国防承包商惨遭数据重创

据报道，俄罗斯一家防务承包商近日遭遇了大规模的数据泄露，大量的的敏感信息被黑客曝光，仿佛一场网络战争的序幕即将拉开。

这起事件不仅仅是一次简单的黑客攻击，而是对国家安全的直接挑战。泄露的数据包括了与俄罗斯军事项目相关的机密信息，涉及到的内容之广、之深，足以让任何一个国家的安全机构感到不寒而栗。令人震惊的是，这次攻击的背后似乎隐藏着更深层次的阴谋。专家们分析认为，这不仅是一次简单的经济利益驱动的攻击，而可能是国家间的博弈与较量。黑客们的目标不仅是数据本身，更是对俄罗斯防务体系的信心与稳定的直接冲击。这样的事件无疑将引发国际社会的广泛关注，甚至可能引发一场新的网络安全竞赛。

这起数据泄露事件不仅揭示了网络安全的脆弱性，更是对全球网络安全形势的强烈警示。随着网络攻击手段的不断升级，未来的网络战场将愈发复杂，谁能在这场无形的战争中占据上风，谁就能掌握未来的主动权。各国必须警醒，唯有团结应对，才能在这场看不见的战争中立于不败之地。

五、“黑客活动人士”出于政治动机对哥伦比亚大学发动网络攻击并窃取该校学生、员工数据

近日消息，一名黑客活动分子（hacktivist）通过利用大学网络中的安全漏洞，获得了对数据库的访问权限，成功入侵哥伦比亚大学的系统，窃取了大量学生和员工的个人数据，包括姓名、电子邮件地址、学号和其他敏感信息在内的数据。黑客窃取了黑客声称其动机与政治抗议有关，旨在揭露大学在某些社会问题上的立场和行为。这一事件不仅对受影响的个人构成了潜在的隐私风险，也引发了对大学网络安全防护措施的广泛质疑。

哥伦比亚大学在得知数据泄露后，迅速采取了应对措施，启动了内部调查，并与执法部门合作以追踪黑客的身份。同时，学校也向受影响的学生和员工发出了警告，建议他们加强个人信息的保护，监控可能的身份盗用行为。

网络安全专家指出，这一事件凸显了高等教育机构在网络安全方面的脆弱性。许多大学由于资源有限，往往在网络安全投资上有所欠缺，导致其系统容易受到攻击。专家建议，学校应加强网络安全培训，提高员工和学生的安全意识，并定期进行安全审计，以防止类似事件的发生。

业界之声

一、山西组织开展首批企业首席数据官试点申报工作

根据《山西省企业首席数据官制度建设指南（试行）》，确定一批省级CDO试点企业开展试点，推动省内企业开展CDO制度建设，提升企业数据管理意识和能力，引导企业充分挖掘数据要素价值，加快企业数字化转型，培育企业数字化竞争力。

本次申报工作要求，申报企业为具备独立法人资格的制造业企业或数字化服务企业，运营管理规范，近三年财务、经营状况、社会信用良好，无违法违规行为，无重大安全和环保事故；申报企业重视数据管理工作，生产、经营、管理数字化基础较好，具有较大规模数据资源，数据产品和服务能力突出，在行业具有一定影响力；鼓励省属国有企业、省级重点产业链、专业镇企业、专精特新“小巨人”企业、DCMM2级及以上等级贯标企业等积极申报试点。

试点任务共4项，一是制度体系建设，试点企业要建立CDO制度体系，主要包括数据人才制度、数据管理制度、数据评价机制等；二是用数能力建设，试点企业要开展数据战略制定、数据项目研发、数据资产入表、数据应用场景挖掘、数据安全保障等方面工作，持续深化DCMM的推广应用；三是数据文化建设，试点企业要开展数据文化培训，提升员工数据思维能力、数据处理能力、数据应用能力；四是数据价值化建设，试点企业要以CDO为首，利用企业相关生产经营数据，创新管理服务、支持产业研发设计、赋能产业链上下游，开展数字化转型项目建设，推动企业降本增效，探索建立行业数据集，提升企业数字化竞争力。

二、关于召开《数据基础设施用例》技术文件研讨会的通知

为进一步完善《数据基础设施用例》技术文件，提升技术文件的科学性、可靠性和实效性，全国数据标准化技术委员会秘书处将于2025年7月11日下午组织召开《数据基础设施用例》技术文件研讨会。本次研讨会将围绕数场、可信数据空间、数联网、数据元件、隐私保护计算平台、区块链网络等6类数据基础设施用例，邀请参编单位专家代表进行实践分享和交流探讨，推进技术文件研制工作。

三、《可信数据空间标准化研究报告》研讨会在京成功召开

近日，《可信数据空间标准化研究报告》研讨会在北京召开。会上，《可信数据空间标准化研究报告》编制组围绕国内外可信数据空间发展现状、趋势、标准化实践等方面进行了交流研讨，进一步明确了可信数据空间技术架构、业务架构、功能技术、业务运营、能力评价、安全保障等重点方向的标准化工作思路。

下一步，编制组将进一步完善《可信数据空间标准化研究报告》，有序推进各章节编制工作，按照《国家数据基础设施建设指引》，加快形成结构严谨、衔接密切、切实可行的可信数据空间标准体系，为可信数据空间标准化工作提供系统性指引。

四、2025全球数字经济大会开幕

2025全球数字经济大会由北京市人民政府、国家互联网信息办公室、国家数据局、新华通讯社与联合国开发计划署共同主办，以“建设数字友好城市”为主题，旨在促进技术、经济、文化等多层面的国际城市间互信合作，共建人本包容、安全可信与可持续发展的全球数字友好合作新范式。

国家发展改革委党组成员、国家数据局局长刘烈宏出席2025全球数字经济大会开幕式并致辞。他表示，北京等地区大力推进城市全域数字化转型，以数据流通、开发利用贯穿城市规划、建设、运行全过程，不断激发城市经济活力，提升城市治理水平，推动城市实现高质量发展、高效能治理、高品质生活的整体协同。要进一步夯实发展基础，将城市作为推进数字中国建设的综合载体，发挥数据要素在赋能全局中的乘数效应，加强技术与机制的协同创新，打造集约统一的数字底座、数据平台。要进一步突出应用导向，充分发挥数据要素和数字技术在城市应急安全管理中的重要作用，打造更具韧性的城市生命线。要进一步推进产城深度融合，深入推进兼顾城市治理现代化与产业体系现代化的城市数字化转型，通过城市全域数字化转型，促进城市数据资源不断丰富汇聚，深化数据资源流通利用和数据要素市场化配置改革，助力数字经济创新发展，形成良性循环，更好促进城市高质量发展。

中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席2025全球数字经济大会开幕式并致辞。他表示，城市是推进数字化转型的综合载体。要强化创新引领，以新动能推动高质量发展，突出原创技术和创新场景分享，因地制宜发展新质生产力，培育城市高质量发展强大动能；强化数字赋能，以新技术支撑高效能治理，积极运用人工智能等新技术，推动城市管理手段、模式、理念创新，赋能基层治理，提升城市治理科学化精细化智能化水平；强化以人为本，以新模式打造高品质生活，推动数字智能技术与公共服务深度融合，加快信息数据互通共享，提升全民数字素养，让城市发展更好造福人民；强化合作共赢，以新格局助力高水平开放，促进不同城市间数字经济交流合作，开展人工智能等领域国际合作，为城市发展营造良好环境、拓展广阔空间。国家互联网信息办公室将继续支持北京建设全球数字经济标杆城市，为增加城市发展活力、持续改善市民生活、推动全球数字经济发展作出更大贡献。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。