数据安全每周观察|5项国家标准公开征求意见

政策趋势

一、《数据安全技术 未成年人产品和服务个人信息保护要求》等5项国家标准公开征求意见

近日，全国网络安全标准化技术委员会归口的《数据安全技术 未成年人产品和服务个人信息保护要求》等5项国家标准已形成标准征求意见稿，并公开征求意见。

二、《政务大模型应用安全规范》公开征求意见

近日，全国网络安全标准化技术委员会组织制定的技术文件《政务大模型应用安全规范》已形成征求意见稿。根据《全国网络安全标准化技术委员会技术文件制订工作程序》，现将该技术文件面向社会公开征求意见。

《规范》指出，模型部署应做好应用部署中的安全防护包含，在应用管理层面，应对大模型人机交互接口和API接口进行用户身份识别及权限控制，最小化设置访问权限，根据业务场景限制接口调用频率，一般用户禁用 push、delete、pull 等高风险操作，应具备对恶意行为用户暂停服务、阻断访问的管控能力。外挂知识库接入的数据，应遵循应用场景必要原则，由本单位负责大模型应用管理、数据安全的部门，会同提供数据的业务部门开展必要性评估。不应将本部门人事、财务等敏感业务数据接入大模型向其他部门提供服务。应对外挂知识库接入的数据进行清洗过滤，包括文本、图像、音频、视频、文件等按照 GBT 45652-2025 中对于数据内容风险的划分，去除数据中的违法不良信息错误数据，涉及个人信息等敏感内容的，应进行脱敏处理，数据内容中不应含有违法不良信息、错误数据。

三、民航局发布两项数据安全标准，8月实施

近日，中国民用航空局发布《民航领域数据分类分级要求》（MH/T 3039 - 2025）与《民用航空数据安全监测预警技术要求》（MH/T 3038 - 2025）两项行业标准，并将于2025年8月1日起正式实施。这两份标准紧密围绕民航领域数据安全，从数据分类分级的基础规范到数据安全监测预警的技术操作，构建起较为完善的防护体系，为行业数据处理者提供了全面、细致且具有实操性的指导，对于推动民航行业数字化转型、保障数据安全、维护行业稳定发展具有重要意义。

《民航领域数据分类分级要求》详细规定了数据分类分级的基本原则、规则及实施流程。在数据分类上，提供了业务应用、数据管理、数据对象等多维度分类方法。从业务应用维度来看，将民航领域数据划分为宏观调控数据、安全监管数据、市场管理数据等九个一级类别，在宏观调控域下，进一步细分出行业发展、经济运行等二级类别；同时，充分考虑到个人信息的特殊性，将其单独识别归类，便于进行针对性的精准管理。

在数据分级方面，明确影响数据分级的要素，包括群体、区域、重要性、精度、规模等。通过对数据一旦泄露、篡改等可能对国家安全、经济运行、社会秩序等影响对象造成的危害程度进行分析，将数据级别从高到低分为核心数据、重要数据、一般数据三个级别。像民用航空器事故相关的飞行数据记录器数据、超过100万人的旅客个人信息等，一旦被泄露或篡改、损毁，可能直接危害国家安全等，故而被确定为重要数据；而超过1亿人的旅客个人信息等，一旦被非法使用或共享，可能直接影响政治安全，则属于核心数据。

《民用航空数据安全监测预警技术要求》确立了数据安全监测预警的基本原则，如安全合规、及时准确、全面覆盖、持续优化、最小影响等。在数据安全监测方面，对数据收集、存储、使用和加工、传输、提供、删除等各个环节提出详细监测要求。在数据收集环节，要对收集工具状态、核心数据收集情况、数据源可靠性等进行监测；数据存储环节，需监测备份执行结果、访问行为、存储加密状态等。

在数据安全预警方面，根据数据级别和数据量级，将预警级别从高到低分为红色预警（Ⅰ级预警）、橙色预警（Ⅱ级预警）、黄色预警（Ⅲ级预警）和蓝色预警（Ⅳ级预警）。当涉及核心数据的数据安全事件即将发生或正在发生时，发布红色预警；涉及重要数据等情况时，发布橙色预警等。并且对预警发布、响应、升降级或解除等流程进行规范，确保在数据安全事件发生时，能够迅速、有效地应对，最大程度降低损失。

四、高质量数据集4项技术文件公开征求意见

为贯彻落实《国家数据基础设施建设指引》《国家数据标准体系建设指南》等文件要求，加快规范和引领高质量数据集建设，高效赋能行业发展，在国家数据局指导下，以前期研究工作为基础，全国数据标准化技术委员会秘书处牵头研制了高质量数据集4项技术文件，现已形成技术文件征求意见稿，并面向社会公开征求4项技术文件意见。

五、国家互联网信息办公室发布《国家信息化发展报告（2024年）》

近日，《国家信息化发展报告（2024年）》发布会在京召开。《报告》坚持以习近平总书记关于网络强国的重要思想为指导，深入贯彻落实党中央、国务院关于信息化发展的重要部署，系统总结我国信息化发展成就，分析面临的新形势新挑战，阐明下一步重点任务，为推进我国信息化发展凝聚理念共识、提供指引参考。

《报告》提出，2025年是“十四五”规划收官、“十五五”规划谋篇布局之年，也是全面深化网信领域改革、推进网络强国建设的关键一年。要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，深入贯彻党的二十届三中全会精神和2025年全国两会精神，以更大力度、更实举措推进信息化发展迈上新台阶。一是坚持自立自强，加快推动网络信息技术创新和产业生态发展；二是坚持驱动引领，加快推动信息化赋能新质生产力发展；三是坚持为民惠民，加快推动信息化发展成果更多更公平惠及全民；四是坚持系统观念，加快优化完善信息化健康可持续发展的环境；五是坚持全球视野，加快推进多层次网络空间国际交流合作。

六、工业和信息化领域人工智能安全治理标准体系发布

近日，人工智能标准行—工业和信息化部人工智能标准化技术委员会第一次成员大会在北京召开。会上，标委会发布了《工业和信息化领域人工智能安全治理标准体系建设指南（2025版）》。指南以人工智能赋能新型工业化为主线，遵循统筹发展和安全的基本原则，旨在构建工信领域人工智能安全治理体系。

指南全面贯彻落实党的二十大和二十届二中、三中全会精神，坚持统筹人工智能发展和安全的基本原则，旨在完善人工智能标准工作的顶层设计，强化全产业链标准工作的协同性，统筹推进标准的研究、制定、实施以及国际化进程，为推动我国人工智能产业高质量发展提供坚实技术支撑。

下一步，工业和信息化部人工智能标准化技术委员会将深入推进人工智能安全治理标准体系建设，加大在治理能力、基础安全、网络安全、数据安全、算法模型安全、应用安全、赋能安全等重点领域的标准研制力度，积极参与国际标准法规协调制定，推进关键标准的宣贯实施。充分发挥产业主体在人工智能安全治理的重要作用，加速培育壮大人工智能产业，构建安全、可靠、繁荣的人工智能产业发展环境。

监管动态

一、依法惩治帮助信息网络犯罪活动及相关犯罪典型案例

近日，最高人民法院、最高人民检察院、公安部联合召开新闻发布会，发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》、依法惩治帮助信息网络犯罪活动及相关犯罪典型案例。其中：

案例二：被告人邓某某、王某某帮助信息网络犯罪活动、被告人黄某帮助信息网络犯罪活动、侵犯公民个人信息案——依法严惩利用GOIP设备提供通讯传输支持行为，依法保护公民个人信息安全。

案例中“邓某某、王某某帮助信息网络犯罪活动、黄某帮助信息网络犯罪活动、侵犯公民个人信息案”，被告人邓某某、王某某、黄某等人架设具有远程操控、异地拨号、伪装来电号码和支持多张电话卡同时拨号等功能的GOIP设备，为电信网络诈骗犯罪提供通讯传输支持。

二、售卖7万余条学生个人信息，售卖者和购买者均获刑

近日，据岳阳市岳阳楼区人民法院消息，审结了一起侵犯公民个人信息犯罪案件。谭某、徐某系岳阳某医疗机构员工，徐某曾向谭某咨询哪里可以获取学生个人信息，后来谭某在工作中发现，医院的数据共享盘内存有大量在校学生信息数据，遂与徐某共谋将学生信息数据进行下载并出售，两人分工明确，谭某负责下载学生信息数据，徐某负责对外联系买家进行售卖，获利平分。

2020年至2024年间，谭某、徐某将从医院获取的学生个人信息出售给买家易某，以及多家教育培训机构（已另案处理），共计出售7万余条，非法获利3万余元。易某在结识徐某后，以每条0.5元的价格，先后四次向徐某购买学生信息2.6万条，支付1.3万元。在购得学生信息后，易某又将信息进行了转卖，共计出售学生个人信息7千余条，非法获利7500元。

法院认为，被告人徐某、谭某违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息出售给他人，情节特别严重；被告人易某违反国家有关规定，非法获取公民个人信息后又向他人出售，情节严重，三被告人均已构成侵犯公民个人信息罪。

最终法院判决三被告人均犯侵犯公民个人信息罪，被告人谭某判处有期徒刑二年五个月，缓刑三年，处罚金1.9万元；被告人徐某判处有期徒刑三年，缓刑三年六个月，处罚金2.2万元；被告人易某判处有期徒刑十个月，缓刑一年，处罚金7500元。

三、国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司

近日，英伟达算力芯片被曝出存在严重安全问题。此前，美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全，依据《网络安全法》《数据安全法》《个人信息保护法》有关规定，国家互联网信息办公室于2025年7月31日约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。

四、泄露客户隐私给4S店，保险公司员工被刑拘

近日，一名自称是中国人民财产保险股份有限公司厦门分公司前理赔处员工的周姓网友举报称，其任职期间按直属领导要求，将事故车辆的车牌、电话、地点等千条客户隐私信息违规推送给合作的第三方4S店，被警方处罚后遭公司解雇。

周先生表示，自己是按照直属领导王某布置的任务，将处理的事故车千余条隐私信息通过社交媒体提供给4S店。厦门警方以周先生涉嫌侵犯公民个人信息罪为由，将他从工作岗位带走调查。他认为，泄露客户信息并非他的过错，自己只是按照领导要求工作，没有私下获利，公司不应该辞退他。事发后周先生向分公司总经理、法务部门、理赔部负责人等反映情况，却遭遇不作为、推诿甚至威胁，最终被公司以个人违法为由辞退。今年3月，厦门警方依据《网络安全法》对他作出1500元行政罚款。他的直属领导因侵犯公民个人信息罪被追究刑事责任。他希望通过反映，相关部门对此事给予详细调查，对人保财险厦门分公司的领导层进行追责。

根据该网友晒出的国家金融监管总局厦门监管局2025年5月30日出具的《银行保险违法行为举报告知书》显示：“2025年5月19日关于人保财险厦门市分公司的补充举报材料收悉。关于你反映人保财险厦门分公司‘多年来一直以各种方式违规发送客户信息至各维修厂4S店’的事项，我局决定受理，并按照程序进行调查。”目前人保财险未对此事进行正式回应。

五、美情报机构频繁对我国防军工领域实施网络攻击窃密

国家互联网应急中心（CNCERT）监测发现，近年来，美国情报机构将网络攻击窃密的重点目标瞄准我高科技军工类的高校、科研院所及企业，试图窃取我军事领域相关的科研数据或设计、研发、制造等环节的核心生产数据等敏感信息，目标更有针对性、手法更加隐蔽，严重威胁我国防军工领域的科研生产安全甚至国家安全。自2022年西北工业大学遭受美国NSA网络攻击被曝光后，美情报机构频繁猖獗对我国防军工领域实施网络窃密攻击。以下是2起典型事件：

案例一：利用微软Exchange邮件系统零日漏洞实施攻击

2022年7月至2023年7月，美情报机构利用微软Exchange邮件系统零日漏洞，对我一家大型重要军工企业的邮件服务器攻击并控制将近1年。经调查，攻击者控制了该企业的域控服务器，以域控服务器为跳板，控制了内网中50余台重要设备，并在企业的某对外工作专用服务器中植入了建立websocket+SSH隧道的攻击窃密武器，意图实现持久控制。同时，攻击者在该企业网络中构建了多条隐蔽通道进行数据窃取。

期间，攻击者使用位于德国（159.69.*.*）、芬兰（95.216.*.*）、韩国（158.247.*.*）和新加坡（139.180.*.*）等多个国家跳板IP，发起40余次网络攻击，窃取包括该企业高层在内11人的邮件，涉及我军工类产品的相关设计方案、系统核心参数等内容。攻击者在该企业设备中植入的攻击武器，通过混淆来逃避安全软件的监测，通过多层流量转发达到攻击内网重要设备目的，通过通用加密方式抹去了恶意通信流量特征。

案例二：利用电子文件系统漏洞实施攻击

2024年7月至11月，美情报机构对我某通信和卫星互联网领域的军工企业实施网络攻击。经调查，攻击者先是通过位于罗马尼亚（72.5.*.*）、荷兰（167.172.*.*）等多个国家的跳板IP，利用未授权访问漏洞及SQL注入漏洞攻击该企业电子文件系统，向该企业电子文件服务器植入内存后门程序并进一步上传木马，在木马携带的恶意载荷解码后，将恶意载荷添加至Tomcat（美国Apache基金会支持的开源代码Web应用服务器项目）服务的过滤器，通过检测流量中的恶意请求，实现与后门的通信。随后，攻击者又利用该企业系统软件升级服务，向该企业内网定向投递窃密木马，入侵控制了300余台设备，并搜索“军专网”、“核心网”等关键词定向窃取被控主机上的敏感数据。

六、诺基亚超 9.45 万员工数据因承包商系统漏洞泄露

近日，名为 tsar 0 byte 的威胁行为者宣称，通过利用第三方承包商系统的漏洞，成功侵入诺基亚内部网络，致使超 9.45 万名员工的敏感数据面临风险。此次泄露的数据极为全面，囊括员工详尽信息、内部系统登录凭证、企业核心源代码，以及各类关键技术文档等。

从攻击路径来看，该第三方承包商因工具开发需要，被赋予了访问诺基亚内部基础设施的权限，而威胁行为者正是抓住这一供应链脆弱点，可能借助默认凭证或配置不当的访问控制，实现了初始渗透。这与过往众多针对大型企业的攻击手段相似，黑客常从安全性较弱的第三方供应商突破，进而深入主要系统。

诺基亚方面，其网络安全团队已留意到该事件，并即刻开展全面调查。初步调查显示，暂未发现公司主要系统被直接入侵的证据，但鉴于事件敏感性，诺基亚仍持续密切监测。

七、拉美媒体巨头Albavision爆出大规模数据泄露，黑客威胁公开商业机密

新兴勒索软件团伙GLOBAL GROUP近日宣称攻陷跨国媒体巨头Albavisión，窃取400GB数据并威胁15天内公开。该团伙自2025年6月活跃以来，已攻击29个目标，涉及医疗、媒体等多领域，其特点是采用AI驱动的自动化谈判系统，支持非英语受害者沟通。此前案例显示，该团伙单次勒索金额可达9.5BTC（约100万美元）。

八、法国军工巨头遭重大入侵，多款新型舰艇机密数据或泄露

日前，法国最大的造船企业海军集团疑遭重大黑客攻击，攻击者威胁泄露含军用舰艇作战管理系统源代码等数据实施勒索，13GB 样本被指可信，若该事件属实将威胁法国国家安全。

一名威胁行为者在知名数据泄露论坛上宣布入侵了该集团。攻击者声称已获取法国潜艇和护卫舰使用的作战管理系统（CMS）访问权限。根据攻击者在数据泄露论坛的帖子，网络犯罪分子据称获取了以下内容：军用舰艇CMS的源代码、网络数据、标注不同限制级别的技术文档、开发人员虚拟机访问权限以及机密通信记录等。

值得注意的是，攻击者似乎无意出售数据（数据泄露论坛用户常采取此做法），而是试图通过威胁泄露数据来勒索海军集团。目前尚不清楚数据泄露的真实程度。

九、一款热门女性约会APP遭黑客攻击，超13,000张用户隐私照片泄露

茶 (Tea) 是一个仅允许女性用户注册和发帖的匿名约会APP应用，该应用的主要功能是允许女性发布有关他们约会过的男性的评论内容，但是在前台展示时是匿名的。日前，在4Chan论坛上，有用户发布该应用的部分数据库信息，黑客通过未知方式获得该应用用户图像的访问权，其中还包含了13,000 张用于认证的自拍照和身份证件照片。据了解，本次泄露的数据主要是图片，数据库中不包含电子邮件或者电话号码，影响范围则是 2024 年 2 月前注册的用户。尽管不含其他个人数据，但自拍照和证件照泄露仍然可能会造成严重的安全后果。

十、黑客利用 Steam 漏洞，通过早期访问游戏窃取用户数据

黑客通过 Steam 平台的抢先体验游戏植入信息窃取恶意软件，这一安全事件凸显了游戏平台在早期访问阶段的安全漏洞。

事件中，攻击者利用抢先体验游戏审核机制相对宽松的特点，将信息窃取 malware 嵌入游戏安装包。当用户下载并运行该游戏时，恶意程序会秘密收集设备信息、浏览器数据、账户凭证等敏感内容，并将其发送至黑客控制的远程服务器。

Steam 作为全球知名的游戏分发平台，其抢先体验模式允许开发者提前发布未完成版本以获取反馈，但这也给了黑客可乘之机。此类攻击不仅威胁用户个人信息安全，还可能导致账户被盗、财产损失等连锁反应。

十一、安联人寿称多数美国客户数据遭网络攻击被盗

安联人寿保险公司的母公司表示，黑客窃取了其在北美 140 万客户的大多数个人信息。

安联在给英国广播公司的一份声明中表示：“2025 年 7 月 16 日，一名恶意威胁行为者侵入了北美安联人寿保险公司（Allianz Life）使用的第三方云端 CRM 系统。”安联德国母公司还表示，黑客“利用社会工程技术获取了安联人寿大多数客户、金融专业人士以及部分安联人寿员工的个人身份信息”。

据该公司称，此次数据泄露仅与安联人寿有关，其在向美国缅因州总检察长提交的法律文件中披露了此次数据泄露事件。但没有具体说明有多少人受到影响。该保险公司在声明中表示，已采取“立即行动”遏制违规行为，并已通知联邦调查局。该公司表示，“没有证据表明安联人寿网络或其他公司系统遭到入侵，包括我们的保单管理系统”。

业界之声

一、关于征集数据安全评估标准化应用实践案例的通知

为持续强化网络安全国家标准实施应用，提升标准实施成效，全国网络安全标准化技术委员会秘书处拟围绕网络安全重点主题，分批开展网络安全标准化应用实践案例征集活动。本次案例征集聚焦数据安全评估主题，包括但不限于数据安全风险评估、数据安全能力成熟度评估、数据安全管理认证等方向，面向各行业领域数据处理者等遴选一批保障数据安全评估的标准化应用实践案例。

二、关于开展“清朗·成都世运会网络环境整治”专项行动的通知

为做好成都世运会保障工作，中央网信办秘书局发布通知，自8月1日起开展为期20天的“清朗·成都世运会网络环境整治”专项行动。专项行动围绕世运会举办，集中整治以下6类突出问题：

（一）散布涉世运会及相关地区公共政策、社会民生领域虚假信息，捏造可能引起恐慌的灾难事故、违法犯罪、食品产品质量问题等谣言，特别是在权威辟谣信息发布后仍大肆造谣传谣的行为。

（二）发布有关人群、地域歧视的信息，煽动群体对立，恶意损害举办城市及相关地区形象等。

（三）未经许可擅自开展涉世运会相关互联网新闻信息服务活动；利用人工智能技术制作和发布有关虚假赛事视频。

（四）使用相同或者相似名称、域名、标识、页面等，假冒仿冒世运会的网站、移动应用程序、快应用、小程序；在账号名称、头像、简介、直播间或短视频背景等环节假冒仿冒相关地区官方机构、新闻媒体等。

（五）组织“人肉搜索”，故意泄露运动员、裁判员、教练员等个人隐私信息，诱导实施网络暴力；实施拉踩引战、互撕谩骂等体育饭圈不良行为，影响运动员备战和赛事举办。

（六）片面、歪曲传播突发事件信息，假冒当事人或相关人员身份发声，关联翻炒旧闻旧事。

三、北京市纵深推进违法违规收集使用个人信息专项治理

为贯彻落实中央网信办、工业和信息化部、公安部、市场监管总局《关于开展2025年个人信息保护系列专项行动的公告》工作部署，进一步规范北京市公共场所收集使用人脸识别信息活动和线下消费场景中收集使用个人信息活动，在今年上半年开展民生消费领域数据安全和个人信息保护专项整治工作基础上，北京市委网信办会同市公安局、市市场监督管理局、市教委、市住建委、市交通委、市商务局、市文化和旅游局、市文物局、市体育局、市园林绿化局、市邮政管理局等部门进一步固化工作机制，拓展行业领域，丰富治理内容，持续在全市范围内开展违法违规收集使用个人信息治理。

本次专项治理聚焦公共场所收集使用人脸识别信息活动和线下消费场景中收集使用个人信息活动，市委网信办组织交通运输、住宿旅游、教育培训、文化体育、物流商贸、休闲娱乐、自动售卖、出行乘车、商超支付、物业管理、快递寄送等行业领域120余家头部企事业单位，召开违法违规收集使用个人信息专项治理培训会，深入解读《个人信息保护法》《人脸识别技术应用安全管理办法》《App违法违规收集使用个人信息行为认定方法》等法律法规政策要求，指导对照自查整改，排查风险隐患和管理漏洞，有效强化各企事业单位主体责任意识，提升个人信息保护合规能力。

目前，各行业主管部门已全面组织本行业领域各企事业单位开展底数摸排与自查整改。后续，各行业主管部门以及市区两级网信部门将对自查整改情况进行抽查核验。对于问题严重或整改不力的，将依法依规开展处置，切实保障广大市民个人信息合法权益。

四、中国网信：重庆以“点线面”立体工作格局加强个人信息保护

近日，中国网信杂志发布文章《重庆以“点线面”立体工作格局加强个人信息保护》。

文章指出，近年来，重庆深入贯彻落实《中华人民共和国个人信息保护法》，创新构建“点线面”立体工作格局，扎实推进个人信息保护，形成全链条监管、多维度发力、全社会参与的良好局面，不断提升人民群众在个人信息保护领域的获得感、幸福感、安全感。

重庆在夯实基础的关键点上精准发力，为构建严密高效的个人信息防护网筑牢坚实根基，为后续协同联动与全面覆盖提供强有力支撑。依托技术平台和线上线下“双网格”机制，开展全市个人信息数据资产统计，建立数据“资产库”，已覆盖全市2万余款APP，1万余个收集使用个人信息的场所，150余个处理个人信息超100万用户数的平台。针对重点行业、重点领域、主要场景违法违规收集使用个人信息问题进行梳理归类，形成典型问题清单，建成问题“样本库”，已汇集200余个违法违规收集个人信息典型问题。

重庆在强化协同的联动线上汇聚合力，着力打破部门壁垒，形成齐抓共管、层层落实的监管态势。市、区两级建立1个网信部门统筹推动，公安、市场监管、检察、通管等4个部门联动，教育、卫健、住建、金融、文旅等N个重点行业主管部门参与的“1+4+N”工作架构，横向建立联席会议机制、信息通报机制、资源共享机制、线索移送机制、联合处置机制、信息发布机制等“六大机制”，纵向加强对区县的指导、督促，形成工作合力。建立转交办工作机制，市级层面的违法违规处理个人信息问题线索由市级个人信息保护主管部门转交至市级行业主管部门核查、调查和处置，区县层面的问题线索由重庆市委网信办统一交办至区县落地。

重庆在推动覆盖的治理面上织密闭环，致力于实现个人信息保护工作从源头到末梢的全链条贯通、多场景治理和专业化探索，积极推动个人信息保护工作迈向更深层次、更广领域的系统性治理。开展前置审查，将“个人信息保护情况”纳入数字重庆建设政务数字化应用上线前置审查要点，实现个人信息保护“关口前移”。开展常态化检查，将个人信息保护相关内容纳入网络安全责任制落实情况现场评估，每月深入部门、区县及重要数据处理者，排查违法违规处理个人信息风险隐患。开展专项评估和技术检测，优化细化个人信息保护评估指标，全面查找不同场景问题隐患，通过“常态+专项”的形式发现一批典型深层次问题。加强问题整改，联动行业主管部门，发出书面整改通知书，指导个人信息处理者对照问题清单逐项整改，整改完成后提交书面报告，并组织问题复查复核。

五、赣州数据基础设施上线运行 助力“赣南数据港”建设

作为全国首批数据基础设施建设试点城市，赣州市深入贯彻习近平总书记关于数字中国建设的重要指示精神，扎实推进数据基础设施建设，以试点建设为契机，高标准打造“赣南数据港”。通过夯实“数联网”基础、深化数据开发利用、强化数据安全保障等举措，释放数据要素活力，推动数据产业创新发展。

一是夯实基础，打造数据基础设施。二是深化应用，释放数据要素价值。三是强化保障，筑牢数据安全防线。整合“云、网、数、用、端”各方安全能力，建设综合化、一体化、专业化数据安全平台，实现数据流通全过程安全监管，为数据流通利用主体提供全方位数据安全防护保障服务。

下一步，赣州将进一步完善数据基础设施建设，推动试点城市间数据产品、数据服务及数据凭证互通互认，推出一批跨域数据流通利用典型场景，为全国数据流通利用提供赣州经验。

六、以“四化四数”攻坚，青岛数据流通利用生态加速成势

山东省大数据局、青岛市人民政府围绕数据“供得出、流得动、用得好、保安全”，攻坚数据基础设施试点建设。

一是突出集约化统筹，确保数据供得出。二是突出市场化运营，确保数据流得动。三是突出生态化培育，确保数据用得好。四是突出安全化管控，严守数据安全线。在“隐私计算”试点基础上，融合可信数据空间、区块链等技术。深度参与国家数据局《可信数据空间 技术架构》等标准及技术文件编制，支持海尔卡奥斯参与制定IEEE可信数据空间国际标准，以标准引领试点建设。

下一步，山东省大数据局、青岛市人民政府将以场景为驱动，加强跨区域跨行业数据流通，持续深化政策举措和运营模式创新，为全国一体化数据市场探索更多可复制、可推广典型范式。

七、南昌市率先实现可信数据空间服务平台 打造数据基础设施新标杆

为贯彻落实国家数据基础设施建设先行先试任务，遵循《可信数据空间 技术架构》等全国数据基础设施建设标准草案及技术文件，江西省南昌市发布上线了可信数据空间服务平台，基于该数据基础设施，建设了7个行业空间。初步完成了先行先试任务中的底座平台建设，并在技术、机制、安全、管理、运营五个方面作出创新实践。

在技术方面，以微隔离沙盒和智能策略引擎，实现数据全类型多策略字段级使用控制。集成微隔离沙盒与智能策略引擎，全面支持库表、API、文件等数据格式，构建20余种使用控制策略，实现数据字段级精准控制，实时阻断违规操作。

在机制方面，以零侵入方式构建全域数据流通图谱和模型，实现数据流通全链路溯源。通过零侵入式技术采集数据流通日志，构建数据流通知识图谱与血缘关系模型，实时追踪数据来源、去向及使用情况，为数据质量治理与合规审计提供支撑。

在安全方面，以零信任架构重构全链路身份认证，确保连接主体和终端安全可信。引入零信任安全理念，通过数字证书、分布式标识、区块链技术构建统一身份认证体系，实现跨域访问实时互认与动态控制，形成“来源可溯、用途可控”的安全闭环。

在管理方面，以数据公域私域分层流通，实现数据差异化流通管理。推行“公域+私域”分层模式，满足不同市场主体对数据流通的差异化需求。公域由政府和平台运营方主导，打造开放型数据产品市场；私域围绕核心企业或特定行业构建封闭生态，通过成员准入与权限配置强化协同。

在运营方面，以三维矩阵为核心的运营模式，驱动资源动态调度与价值释放。以业务-技术-生态三维矩阵为核心，建立跨域数据资源调度中枢，通过智能计费模型、弹性配额机制和效能评估算法，打造分级分类的运营能力矩阵形成覆盖供需匹配、服务治理、收益分配的全周期智慧运营模式。联合60余家数商成立数商生态联盟，接入市场主体17个，发布数据产品515个。

下一步，南昌市将持续迭代数据基础设施，推进数据基础设施互联互通，进一步拓展民生、城市治理等领域行业数据空间场景，为全国数据基础设施建设探索更多可复制、可推广案例和经验。

八、辽宁省大连市省市协同加快推进数据基础设施建设 促进东北区域数据要素市场一体化发展

辽宁省大连市认真贯彻党的二十届三中全会关于“建设和运营国家数据基础设施，促进数据共享”的工作部署，加快推进数据基础设施建设，致力构建安全可信、高效便捷的数据要素流通环境。

一是强化顶层设计，统筹推进试点任务落实。辽宁省数据局在全国率先出台《建设和运营数据基础设施三年行动计划（2025—2027年）》，着力打通数据要素流通利用动脉。二是强化技术支撑，夯实数据流通利用底座。聚焦隐私保护计算技术路线，基于“三统一”要求加快推进接入连接器、基础支撑平台和业务节点建设，实现东北“三省一区”首个数据流通利用基础设施平台网站上线，加速与国家核心节点对接，推动实现“一地注册、全网联通、资源共享”。三是强化生态培育，培育数据要素市场生态。四是强化区域合作，促进数据市场协同发展。

下一步，辽宁省数据局将会同大连市数据局持续优化数据基础设施运营模式，深度挖掘数据应用场景，推动数据要素流通利用，加速释放数据要素千姿百态的乘数效应，为东北全面振兴打造坚实的数据基础新引擎，为全国一体化数据要素市场建设贡献辽宁力量。

八、合肥市“三聚焦”打造特色数据流通利用示范

自2024年10月承担数据基础设施建设（先行先试）任务以来，合肥市加速可信数据空间方向技术攻关、制度建设、能力构建、标准固化、场景示范等，力争将合肥试点打造成为数据流通利用基础设施的示范工程。

一是聚焦跨域安全，健全关键技术与规则。参与国家数据基础设施建设技术文件编制，聚焦数据跨域流通安全，应用跨域隐私计算、区块链存证、数据沙箱等关键技术。结合安徽省国家数据要素综合试验区任务，深化细化行业数据分类分级、重要数据脱敏、衍生数据认定等制度规则的制定、验证、推广。二是聚焦任务清单，构建合肥区域底座。三是聚焦以小见大，打造特色应用与空间。

下一步，立足合肥实际，进一步谋划一批服务民生、城市治理、赋能产业的具体数据空间，聚力打造一流的试点示范场景。

九、温州率先实现六条技术路线融合收敛 构筑数据要素流通利用新范式

温州市作为全国数据基础设施建设的首批试点城市，按照国家数据局工作部署要求，围绕“率先建成、领先应用、技术融合、标准贯通、资源汇聚、全面支撑”目标，将试点任务分为基础建设期、技术验证与标准贯通期、运营推广期三个阶段，注重平台建设同技术验证、场景打造相结合，形成建设、验证、应用、迭代的良性循环。

一是整体规划，多路径协同率先落地。按照“1+1+6+N”体系，协同多方生态力量共建共营，推动多技术路线基于数场融合落地。二是严格对标，深度参与标准编制。三是以用促建，锚定场景筑基聚数。聚焦培育高价值数据场景，打造标杆应用，验证数据基础设施支撑能力。

下一步，温州将持续发挥在全国数据基础设施建设工作中的先锋作用，计划于2025年7月率先完成数据基础设施互联互通测试对接，并依托“百城行动”等创新机制，加快推进与其它试点城市数据基础设施的互联互通与生态协同，为构建全国一体化数据要素流通网络持续贡献温州智慧和温州方案。

十、夯实数据基础设施 激活要素流通新动能 郑州积极打造全国重要的“数仓、数纽、数港”

作为国家数据基础设施建设先行先试城市，郑州市深入贯彻党的二十届三中全会关于“建设和运营国家数据基础设施”的重大部署，以数据基础设施先行先试任务为引领，基于“数据元件”技术路线，积极探索数据要素安全高效流通新模式，高水平建设“数仓、数纽、数港”。一是筑基强基，打造核心“数仓”。二是深化赋能，畅通高效“数纽”。三是开放引领，做强高地“数港”。

下一步，郑州将继续贯彻落实试点任务，推进数据基础设施互联互通，打造数据基础设施建设、运营“中部样板”，形成可复制、可推广经验，在河南省、中部地区乃至全国推广示范。

十一、国家试点牵引，未来网络筑基 南京数据基础设施建设跑出“加速度”

2024年以来，南京市数据局组织南京大数据集团、江苏未来网络集团等企业，以国家数据基础设施建设先行先试为引擎，率先构建数据流通利用的“信息高铁”，积极打造“未来网络之城”，为全国数据基础设施建设积极示范。

一是基础设施底座建设全面提速。依据《国家数据基础设施建设指引》，试点工作已完成接入连接器与基础支撑平台“三统一”功能升级，推动数据开发中心与运营管理中心双核驱动，完成智能驾驶等2类数据的流通业务验证和库表等3类数据交付方式验证，实现数据流通利用闭环管理。二是跨域互联互通取得关键进展。三是生态场景建设实现多点突破。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。