数据安全每周观察|《数据安全国家标准体系（2025版）》正式发布

政策趋势

一、《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》发布

近日，全国网络安全标准化技术委员会发布《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》，两项标准体系框架分为编制原则、思路和框架、主要内容、下一步标准化工作建议等四部分内容，旨在更好指导下一步数据安全和个人信息保护国家标准研制，为有效保障数据安全、促进数字经济高质量发展提供安全标准依据。

二、全国网安标委发布3项网络安全标准实践指南

近日，全国网络安全标准化技术委员会秘书处发布通知，正式发布《网络安全标准实践指南——互联网平台停服数据处理安全要求》、《网络安全标准实践指南——扫码点餐个人信息保护要求》、《网络安全标准实践指南——学术科技服务平台数据安全要求》三项网络安全标准实践指南。其中：

《网络安全标准实践指南——互联网平台停服数据处理安全要求》旨在规范互联网平台停服数据处理活动，保障数据安全，促进数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《要求》提出了互联网平台停服网络数据处理通用安全要求，个人信息处理安全要求和重要数据处理安全要求，用于指导互联网平台数据处理者开展数据安全保护工作，也可为主管部门和第三方评估机构提供参考。

《网络安全标准实践指南——扫码点餐个人信息保护要求》旨在指导餐饮商家规范扫码点餐服务个人信息处理活动，减少因扫码点餐造成的个人权益损害问题。《要求》规定了扫码点餐服务个人信息保护总体要求和具体要求，适用于规范餐饮商家扫码点餐服务个人信息处理活动。

《网络安全标准实践指南——学术科技服务平台数据安全要求》是根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规编制，旨在规范学术科技服务平台数据处理活动，保障数据安全，促进学术科技数据依法合理有效利用，保护个人、组织合法权益，维护国家安全和社会公共利益。《要求》提出了学术科技服务平台运营者开展数据处理活动的安全保护要求，及其应履行的安全责任和义务，适用于规范学术科技服务平台运营者数据处理活动，也可为有关主管监管部门组织开展相关检查评估提供参考。

三、2项网络安全国家标准获批发布

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第21号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的2项国家标准正式发布，并将于2026年3月1日起正式实施。其中：

GB/T 46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》，规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求；适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动，也适用于主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。

GB/T 46071-2025《数据安全技术数据安全和个人信息保护社会责任指南》，提供组织在数据安全与个人信息保护方面的社会责任指南，涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露，适用于组织自查与第三方评价。

四、高质量数据集、可信数据空间等4个方向19项技术文件发布

为贯彻落实《关于深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》《国家数据基础设施建设指引》《可信数据空间发展行动计划（2024—2028年）》等政策文件要求，充分发挥标准在高质量数据集和国家数据基础设施建设方面的规范和引导作用，在国家数据局指导下，全国数据标准化技术委员会秘书处组织研制了高质量数据集4项技术文件、全国一体化算力网9项技术文件、数据基础设施3项技术文件，可信数据空间3项技术文件，现公开发布。

五、工信部就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见

近日，工业和信息化部就《智能网联汽车组合驾驶辅助系统安全要求》强制性国家标准公开征求意见，该标准填补了我国组合驾驶辅助系统产品安全基线空白，将为行业准入、质量监督和事后追溯提供关键技术依据，有助于全面提升产品安全水平，切实保障人民群众生命财产安全。

对于基础单车道组合驾驶辅助系统、基础多车道组合驾驶辅助系统，标准要求其在符合GB/T 44461.1—2024《智能网联汽车组合驾驶辅助系统技术要求及试验方法第1部分：单车道行驶控制》、GB/T 44461.2—2024《智能网联汽车组合驾驶辅助系统技术要求及试验方法第2部分：多车道行驶控制》相关要求的基础上，满足人机交互、信息安全、软件升级、数据记录等必要的安全要求。

联合国层面相关国际法规主要为UN R171《关于批准车辆驾驶员控制辅助系统（DCAS）统一规定》，组合驾驶辅助系统强制性国家标准在与国际法规保持协调的基础上，充分考虑了我国实际道路交通环境以及系统的实际安全需要，进一步细化形成了符合产业现状和安全需要的技术内容。与UN R171相比，标准对于组合驾驶辅助系统提出包括数据记录、数据元素、数据存储、数据读取等车端数据记录要求，以确保真实和准确地记录车辆运行过程中的关键数据，支撑相关交通事故的调查与分析。

六、国家能源局《能源行业数据安全管理办法（试行）（征求意见稿）》公开征求意见

近日，国家能源局综合司发布关于公开征求《能源行业数据安全管理办法（试行）（征求意见稿）》的通知。

《办法》是能源领域贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规的具体体现，标志着能源行业数据安全监管将进新的阶段。《办法》共六章36条，旨在规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据的合理开发利用。

七、5项大模型行业标准获批正式发布，加速大模型技术创新与应用

近日，工业和信息化部批准了《大规模预训练模型技术和应用评估方法》5项行业标准。该系列标准覆盖大模型的开发、管理、运营等多个阶段，主要包括模型开发、能力评估、应用成效、运营管理和可信要求五部分：

YD/T 6520.1-2025《大规模预训练模型技术和应用评估方法 第1部分：模型开发》规定了大模型在开发过程中的能力要求，旨在评估数据管理、模型训练、模型管理和模型部署四大维度的规范性与成熟度，涵盖数据获取与处理、训练方式与框架、版本回溯、模型微调与转换等关键能力。

YD/T 6520.2-2025《大规模预训练模型技术和应用评估方法 第2部分：模型能力》规定了大模型的技术和服务能力要求，旨在通过智能语义、视觉、语音及跨模态等多方面任务评估大模型的技术能力，以及大模型在服务稳定性、鲁棒性、响应时间、开放程度和并发性等方面的服务成熟度。

YD/T 6520.3-2025《大规模预训练模型技术和应用评估方法 第3部分：模型应用》规定了大模型在应用阶段的能力要求，旨在评估工程路径、运营能力、管理能力和服务能力等方面的成熟度，包括大模型的知识库管理、工具链完备性及应用服务的安全可靠性。

YD/T 6520.4-2025《大规模预训练模型技术和应用评估方法 第4部分：可信要求》规定了大模型全生命周期的可信能力要求，旨在评估技术层面的数据可信、算法模型可信、基础设施可信能力，以及业务层面的应用可控性和业务可信度。

YD/T 6520.5-2025《大规模预训练模型技术和应用评估方法 第5部分：模型运营》规定了大模型工程化落地和运营阶段的能力要求，旨在评估数据工程、模型调优、模型交付、服务运营以及平台资源管理调度等方面的能力。

八、国家互联网信息办公室关于《促进和规范电子单证应用规定（征求意见稿）》公开征求意见的通知

近日，国家互联网信息办公室发布《促进和规范电子单证应用规定（征求意见稿）》，并向社会公开征求意见。

《规定》根据《中华人民共和国电子签名法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国海商法》等法律、行政法规制定,旨在促进和规范电子单证推广应用，提高货物贸易和运输数字化水平，降低全社会物流成本，保障电子单证活动当事人合法权益，维护国家安全和社会公共利益。

《规定》规定，电子单证系统运营者和用户在处理电子单证数据时应当遵守《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定，加强电子单证数据分类分级保护，保障电子单证系统的数据安全，维护电子单证系统用户及相关主体的个人信息权益。电子单证数据的存储，应当依其所属行业和类型，符合相关主管部门制定的关于数据存储和数据安全的规定。

国家有关主管部门依据各自职责，对电子单证系统建设运营和电子单证业务进行监督检查，电子单证系统运营者、电子单证系统相关服务支持方和相关当事人应当依法予以配合。有关部门实施监督检查，不得妨碍被检查对象正常的生产经营活动。参与监督检查的相关机构和人员，对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密，不得泄露或者非法向他人提供。

电子单证系统运营者、电子单证系统相关服务支持方和相关当事人违反本规定条款的，由有关主管部门依照《中华人民共和国电子签名法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚；法律、行政法规没有规定的，由有关主管部门依据职责予以警告、责令限期改正；拒不改正或者情节严重的，责令暂停提供相关服务；构成犯罪的，依法追究刑事责任。

九、《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》公开征求意见

近日，国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》，并向社会公开征求意见。

《规定》根据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规和国家有关规定制定，旨在指导规范大型网络平台设立、运行个人信息保护监督委员会，对个人信息保护情况进行监督，促进大型网络平台个人信息保护合规水平提升，保护个人信息权益。

《规定》规定，担任监督委员会外部成员应当符合的条件包含：符合本规定第四条规定的独立性要求；具备履行职责的专业素质，熟悉个人信息保护、数据安全相关法律法规、国家标准等，从事个人信息保护相关工作不少于3年；具备良好的声誉，能够客观公正、独立廉洁地履行职责；具有正常履行职责的身体条件、工作时间等；具有良好的个人品德，不存在违法犯罪、重大失信等不良记录；法律、行政法规规定的其他条件。

大型网络平台服务提供者违反本规定的，依照《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

十、国家信息中心承担的《东莞市数据要素市场化配置改革行动方案（2025-2027年）》正式发布

近日，由国家信息中心信息化和产业发展部暨智慧城市发展研究中心承担编制的《东莞市数据要素市场化配置改革行动方案（2025-2027年）》正式发布。

《方案》提出，把握好数据要素市场化配置改革在数据工作中的主线地位，将数据要素作为经济社会发展的关键要素，将可信数据空间作为推动数据要素合规高效流通的基础设施，将数据产业发展作为培育壮大数字领域新质生产力的关键动力，将东莞打造成为数据要素高效可信流通先行区、制造业数据市场化价值化标杆区、粤港澳大湾区数据产业集聚示范区。

立足东莞市“科技创新+先进制造”城市特色，《方案》构建了“1+4+15”的改革框架，部署4大重点任务、15项具体举措。《方案》提出，到2027年建成城市可信数据空间和2个以上行业可信数据空间，形成不少于30个行业级高质量数据集，打造10个国家和省级“数据要素×”优秀案例，数据产品服务交易规模突破8亿元。

监管动态

一、国家网信办发布近期数据安全、个人信息保护相关执法典型案例

近期，全国网信系统认真贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规，持续加大网络安全、数据安全、个人信息保护相关执法工作力度，各地网信部门依法查处一批涉网页篡改、数据泄露、违法违规处理个人信息、新技术新应用未经评估上线等违法违规案件。其中:

山东某医学检验有限公司数据泄露案。

网信部门工作发现，该企业某系统相关数据被搜索引擎爬虫爬取。经查，涉事系统开启目录浏览功能，存在目录遍历和未授权访问漏洞，未正确配置防火墙入侵防护策略，未按照规定留存相关网络日志。相关搜索引擎爬虫通过遍历请求爬取了网站组织架构和文件，导致系统相关数据泄露。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取技术措施和其他必要措施保障数据安全，造成数据泄露后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

浙江某科技股份有限公司数据被窃取案。

网信部门工作发现，该企业FTP系统相关数据被窃取。经查，该企业为方便共享、打印系统文件，将涉事系统设置为允许匿名访问，并设置云服务器安全组规则不生效，长期存在未授权访问漏洞，导致涉事系统相关数据被窃取。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

重庆某科技公司数据被窃取案。

网信部门工作发现，该企业用于汽车租赁服务的“OA信息系统”相关数据被窃取。经查，该企业涉事系统3306端口开放MySQL数据库服务，未设置用户密码，存在弱口令漏洞，导致涉事系统相关数据被先后窃取159次。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

广东某保险代理有限公司数据被窃取案。

网信部门工作发现，该企业提供保险代理服务的后台系统相关数据被窃取。经查，该企业涉事系统存在越权遍历访问漏洞，攻击者可通过遍历URL ID的方式批量获取数据，且该企业购买的云防火墙服务已过期，未按照规定留存相关网络日志，导致涉事系统相关数据被窃取。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

湖南某科技股份有限公司数据存在泄露安全风险案。

网信部门工作发现，该企业内网数据库相关数据存在泄露安全风险。经查，该企业内网数据库存在未授权访问漏洞和弱口令漏洞，某软件研发工程师为工作便利，将合作项目中掌握的大量用户数据拷贝至企业内网数据库，并打开企业内网的公共互联网访问端口，导致内网数据库相关数据暴露在互联网上。该企业未依法履行网络安全、数据安全保护义务，未建立网络安全和数据安全管理制度，涉事系统未采取技术措施和其他必要措施保障数据安全，存在数据泄露安全风险，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

北京某科技有限公司运营的App超范围收集个人信息案。

网信部门工作发现，该企业运营的App违反必要原则，收集与其提供的服务无关的个人信息。经查，该企业开发的App在用户未使用任何功能情况下，后台运行时收集上传用户应用程序安装、卸载信息。用户使用上传AI头像等功能时，调用非必要存储权限。相关行为超出了实现个人信息处理目的最小必要范围，违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规。属地网信办已依法责令其改正，并予以警告、罚款处罚。

上海某科技有限公司违法违规收集人脸信息案。

网信部门工作发现，该企业运营的自动售货机存在违法违规收集人脸信息等问题。经查，该企业运营的自动售货机在用户支付环节存在未经同意收集人脸信息等问题，同时该企业存在未建立个人信息保护影响评估制度、相关系统存在SQL注入高危漏洞等问题，违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告处罚。

二、公安部网安局公布6起不履行网络安全、数据安全、个人信息保护行政执法案例

近日，公安部网安局公布6起不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。其中:

河南公安机关侦办的某学校系统遭攻击导致数据泄露案。

2025年3月，不法分子在境外网上兜售舞钢市某学校个人信息数据。河南公安机关网安部门查明，相关数据泄露源头为该校智慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储，系统未设置访问控制、安全认证等技术措施，导致系统数据被犯罪嫌疑人网络攻击窃取，且该校在委托第三方公司处理业务数据和个人信息时，未在合同中明确接收方的数据安全保护义务并监督其履约。当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

安徽公安机关侦办的某电子商务公司旅客购票信息泄露案。

2025年5月，安徽合肥某电子商务有限公司旗下网站内的旅客购票信息遭泄露。安徽公安机关网安部门查明，由于该公司网络和数据安全保护意识薄弱，未制定网络安全管理制度和个人信息保护制度，未开展等级保护工作，未按规定要求留存网络日志数据，未采取技术防护措施，未及时处置系统漏洞风险，导致相关数据被犯罪嫌疑人批量爬取。当地公安机关已依法对该公司予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

云南公安机关侦办的某科技公司APP数据泄露案。

2025年4月，云南公安机关网安部门集中开展侵犯公民个人信息打击整治工作，打掉一批侵犯公民信息的犯罪团伙，查明部分公民个人信息数据泄露源头为云南某科技有限公司开发的“通讯录”APP。经查，该公司因内部管理混乱，缺乏用户身份信息核对机制，对公民信息数据未尽到保护责任，保护措施不力，导致大量公民个人信息泄露，被犯罪嫌疑人非法获取并贩卖。当地公安机关已依法对该公司和实际负责人予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。

上海公安机关办理的某跨国公司不履行个人信息保护义务案。

2025年5月，多家媒体报道境外某时尚消费品牌发生数据泄露事件，中国大陆地区用户也陆续收到该公司警示短信。上海公安机关网安部门查明，该品牌中国公司未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向境外总部传输用户个人信息，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”，未对收集的个人信息采取加密、去标识化等安全技术措施。当地公安机关已依法对该公司予以行政处罚并责令限期改正。

三、工信部通报29款存在侵害用户权益行为的APP

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现29款APP存在侵害用户权益行为，并予以通报。

四、因“科技外包管理 数据安全管理 系统开发测试”等 建行 招行 光大 民生银行被处罚

根据近期国家金融监督管理总局行政处罚信息公示列显示：中国民生银行股份有限公司、招商银行股份有限公司、中国建设银行股份有限公司、中国光大银行股份有限公司因“科技外包管理 数据安全管理 系统开发测试”等被处罚。

中国民生银行股份有限公司：系统使用管控不到位、基础软件版本管理不足、生产运维管理不严等，罚款590万元。

招商银行股份有限公司：数据安全管理不到位，警告并罚款60万元。

中国建设银行股份有限公司：个别信息系统开发测试不充分、信息科技外包管理存在不足等事项，罚款290万元。

中国光大银行股份有限公司：信息科技外包管理存在不足、监管数据错报等事项，罚款430万元。

五、招商银行易通金服因“网络安全 数据安全”等被罚

近日，中国人民银行山东省分行开出两张罚单，涉及“网络安全、数据安全”等违规行为。其中，中国人民银行山东省分行对招商银行股份有限公司济南分行警告、通报批评，罚款137.8万。中国人民银行山东省分行对易通金服支付有限公司警告、通报批评，没收违法所得3346.05元，罚款180万。

招商银行股份有限公司济南分行存在的违法违规行为包含：违反金融统计相关规定；违反账户管理规定；违反商户管理规定；违反数据安全管理规定；违反网络安全管理规定；违反反假货币业务管理规定；占压财政资金；违反信用信息提供相关管理规定；未按规定履行客户身份识别义务。

易通金服支付有限公司存在的违法违规行为包含：违反预付卡管理规定；违反特约商户管理规定；违反清算管理规定；违反网络安全管理规定；未按规定报送可疑交易报告。

六、北京农商银行因“网络安全 数据安全”等被罚185万

近日，根据国家金融监督管理总局北京监管局行政处罚信息公开显示：北京农商银行及相关责任人因互联网相关系统安全管理违反审慎经营规则、网络安全管理不符合监管要求、数据安全管控措施不符合监管要求、数据报送不准确、违规开展债券包销业务。对北京农商银行罚款185万元，对韩继炀给予警告并罚款5万元，对武凌给予警告。

七、某运输公司OA系统存在漏洞形成数据泄露风险被处罚

近日，青海省互联网信息办公室依法对省内某运输公司存在的不履行网络安全保护义务违法行为进行行政处罚，对该公司予以警告，责令改正违法行为。

经查，该公司OA系统存储一定数量的个人敏感数据，数据库直接暴露在互联网端，利用系统漏洞可以查看、复制存储的数据，形成数据泄露风险。该公司未能履行网络安全和数据安全保护义务，存在网络安全违法行为。省互联网信息办公室依据《中华人民共和国网络安全法》第五十九条第一款规定，对该公司作出责令改正，予以警告的行政处罚。

八、家长收到“私人订制”补习班电话，网警侦破侵犯公民个人信息案

近日，新疆乌鲁木齐市公安网安部门在工作中发现，有人频繁致电小初高学生家长，精准推销“私人订制”补习班，能清晰说出学生具体信息，疑似个人信息被泄露。

针对此情况，乌鲁木齐市公安机关成立专案组，迅速开展侦查工作，发现天山区两家机构存在非法购买公民个人信息的违法行为，专案组立即对涉案人员开展调查。经查，犯罪嫌疑人刘某非法收集学生个人信息，并向某机构工作人员冯某出售，冯某又将信息转卖另一家机构工作人员邵某。

目前，乌鲁木齐市公安机关已依法对刘某、冯某、邵某3人采取刑事强制措施，案件正在进一步侦办中。

九、90后博士考公入职1个月 因泄露重要数据被抓

据“保密观”微信公号8日发文，一些新入职人员初到岗位，就造成失泄密事件，给国家和个人都带来难以挽回的损失。以下是一例典型案例：

杨某是一名90后，具有博士学位。2022年9月底，杨某作为新录用公务员（试用期1年）在某省直单位工作，主要从事文件收发等工作，其于当年10月先后2次将2份涉密文件带回家中，并上传至境外网站。2022年10月底，杨某在其住处被抓获。杨某作为国家工作人员，违反保密规定，故意泄露国家秘密，情节严重，被以故意泄露国家秘密罪，判处有期徒刑一年零二个月。

十、房产公司职工出售客户信息逾万条，31人涉嫌犯罪落网

近期，上海市公安局奉贤分局在“净网2025”专项行动中，全链条捣毁一房产交易领域侵犯公民信息的犯罪团伙。

警方介绍了该案案情：2024年11月26日，奉贤警方收到辖区一房地产经纪公司负责人报案，称其公司独家房源信息疑似遭到“泄露”，有数名业主反映屡遭不明身份的房产中介来电，干扰业主正常生活。接到报案后，奉贤警方迅速抽调网安、属地派出所等多部门警力，组成专案组展开全面侦查。

经初步调查研判，专案组很快锁定该公司内部客服任某培存在重大作案嫌疑。为进一步还原犯罪事实，专案组对接公司技术团队，深入企业内部开展溯源调查，查明任某培利用职务便利，在网络平台发布所谓“可查询房源业主手机号码”的广告吸引买家，待买家明确需求房源后，任某培即通过内部工作账号调取房东电话号码，以“独家房源”为噱头，以每条100元至500元的高价出售公民个人信息。

截至案发，任某培已累计非法获取、出售公民个人信息超1万条，涉案资金达300余万元。专案组继续循线深挖，依托“科技+人力”，发现由任某培发展的周某、田某鹏、路某等10余名代理销售人员，层层转卖相关信息非法牟利。截至目前，该案共抓获犯罪嫌疑人31名，所有涉案人员因涉嫌侵犯公民个人信息罪，均已被依法移送检察机关审查起诉，案件后续办理工作正有序推进中。

警方提示：公民个人信息安全关乎每个人的切身利益，《中华人民共和国刑法》《中华人民共和国个人信息保护法》等法律法规已明确规定，任何非法获取、出售、提供公民个人信息的行为，都将依法受到严厉惩处，切勿心存侥幸、触碰法律红线。

十一、陕西警方成功侦破一起特大侵犯公民个人信息案

近日，陕西公安网安部门成功侦破一起特大侵犯公民个人信息案，抓获2名主要犯罪嫌疑人，移交属地处理260人，查获涉案公民个人信息数据一批，彻底斩断了一条隐藏在网络空间中大规模贩卖公民个人信息的黑色产业链。

今年5月，陕西岚皋工作中掌握一条涉及侵犯公民个人信息犯罪的线索。经梳理线索、深挖扩线，一个集收集、加工、转卖、应用于一体的犯罪团伙逐渐清晰。该团伙组织人员在全国各类展会现场大量搜集参展商名片，并将包含姓名、电话、公司名称、职务等敏感信息整理成电子表格，数量极为庞大。在全面掌握该团伙组织架构、作案手法、活动区域及核心证据后，网警分赴上海、广东等地同步开展收网行动，成功抓获何某等2名主要犯罪嫌疑人，现场查获电脑、手机、硬盘等涉案电子设备数十台。

经查，涉案公民个人信息涵盖多个行业领域。目前，该案已移送检察机关审查起诉。

十二、公安网安部门依法查处迪奥（上海）公司未依法履行个人信息保护义务案

据国家网络与信息安全信息通报中心通报，今年5月，多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件，中国大陆地区用户也陆续收到迪奥官方警示短信。对此，公安网安部门组织对迪奥（上海）公司依法开展行政调查。

经查，迪奥（上海）公司存在三项违法事实：一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。二是向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据《个人信息保护法》规定，对迪奥（上海）公司依法予以行政处罚。

十三、Coinbase内部人员拍摄出售敏感信息 69000名用户受到影响

近日，据报道最近的一份法庭文件显示， Coinbase数据泄露事件源于与其合作的一家外包客户支持公司，泄露了超过69.000名客户的数据。

根据文件，Coinbase印度承包商TaskUs的客户支持员工AshitaMishra涉嫌从2024年XNUMX月开始的几个月内窃取了敏感用户信息。调查人员称，Mishra使用她的工作电脑拍摄内部记录，然后将这些照片卖给了犯罪分子。

据报道，米什拉每张照片收费约200美元，有时一天最多拍摄200张照片，从中获利超过500.000万美元。她与印度办公室的其他员工也参与其中，文件称这是一个“中心辐射式”的阴谋。当局从她的手机中恢复了超过10.000条记录，包括姓名、电子邮件、电话号码、地址和部分隐藏的政府身份证件。总体而言，此次泄露事件暴露了至少69.461名Coinbase用户的个人数据，使他们容易受到有针对性的网络钓鱼和欺诈。

十四、奢侈品开云集团遭黑客袭击 数百万顾客信息恐外泄

近日，英国广播公司（BBC）报道，奢侈品牌古驰（Gucci）、巴黎世家（Balenciaga），以及亚历山大·麦昆（Alexander McQueen）的法国母公司开云集团（Kering）遭黑客袭击，可能有数百万名顾客资料被窃。

开云集团在一份声明中证实发生黑客入侵事件，但没有提到受影响的品牌有哪些。声明说，集团在6月时发现，有“未经授权的第三方临时访问我们的系统，获取了我们一些品牌的有限客户数据”。

十五、国际象棋网站确认发生数据泄露事件 近4500名用户数据被泄露

近日，国际象棋网站Chess.com披露了一起影响部分玩家的数据泄露事件。Chess.com已向部分客户发出通知，告知他们其服务因平台使用的第三方文件传输应用程序数据泄露而受到间接影响。该事件发生于今年6月5日至6月18日期间，该公司于6月19日发现数据泄露事件。

Chess.com立即通知了相关执法部门，并邀请安全专家评估此次泄露事件的范围并加以控制。虽然这一过程取得了成功，但近4500名用户的数据仍被泄露，这些泄露可能包括个人身份信息(PII)，但并未获取任何财务数据。

十六、加拿大理财公司Wealthsimple遭黑客入侵 客户敏感资料被盗

近日，加拿大金融科技公司Wealthsimple表示，该公司于8月30日发生一次安全漏洞事故，导致部分客户的敏感数据泄露，其中社会保险号码、帐户号码等财务资讯、注册过程中提供的身份证明文件及IP地址。

综合加拿大广播公司（CBC）与Global News报道，该个人理财和投资平台表示，其于8月30日检测到客户资料外泄事件，但用户密码和客户资金并未遭到泄漏、存取或盗窃，所有帐户仍然安全。

然而，Wealthsimple承认，这起“事件”可能导致部分客户“个人资讯”外泄。该公司在声明中表示：“被存取的资料包括个人讯息，例如联络资讯、在Wealthsimple注册过程中提供的身份证件、财务资讯（例如帐号、IP地址、社会保险号码或出生日期）。”

十七、新型FileFix攻击利用假Facebook页面窃取用户隐私

近期，网络安全专家发现了一种名为FileFix的新型攻击，黑客利用伪造的Facebook页面来传播Stealc信息窃取工具。该攻击手段旨在窃取用户的敏感信息，包括登录凭据和个人数据。

攻击者通过创建看似合法的Facebook页面，诱使用户下载恶意软件。一旦用户安装了Stealc，攻击者便能够获取其设备上的敏感信息，并将其发送到远程服务器。该恶意软件能够记录键盘输入、截取屏幕和访问浏览器存储的密码，极大地威胁用户的隐私安全。

十八、热门AI应用开发商曝敏感数据泄露，涉用户聊天内容、身份令牌等

巴基斯坦知名生成式AI应用开发商Vyro AI近日遭遇一起严重数据泄露事件，或导致数百万用户的敏感数据泄露。Cybernews研究人员发现，一台配置错误的服务器泄露了高达116GB的实时用户日志，其中包含个人信息和身份验证细节，涉及ImagineArt、Chatly和Chatbotx等热门应用，总下载量超1.5亿次。

据介绍，泄露的数据包括用户输入的AI提示、身份验证令牌和用户代理等。其中，Bearer令牌的泄露尤为危险，攻击者可能借此接管账户、访问聊天记录或进行未经授权的AI相关交易。此外，泄露数据还包括用户提交的AI生成提示，可能包含敏感或个人信息。该服务器自2025年2月起就处于不安全状态，直到4月才被发现，意味着攻击者可能已利用该漏洞很长时间。

十九、巴西一医疗软件公司遭勒索攻击，超 34GB 敏感数据被盗

近日，勒索软件组织 KillSec 宣称对巴西医疗软件供应商 MedicSolution 发起网络攻击，不仅加密了企业系统，还窃取了超 34GB 的敏感数据（含 94818 份文件），数据类型涵盖患者病历、医学检验报告、X 光片影像资料及未成年人医疗记录等核心信息。

技术调查显示，此次攻击的根源在于MedicSolution 未对其 AWS S3 存储桶进行加密处理，导致数据暴露窗口长达数月，最终被 KillSec 组织利用。业内分析认为，这可能是巴西医疗行业遭遇的首起重大供应链攻击，若数据被公开或倒卖，将对患者隐私与医疗行业信任造成严重冲击。

公开资料显示，KillSec 勒索软件组织此前已多次针对医疗领域发起攻击，目标包括美国 Archer Health、秘鲁 Suiza Lab 等医疗机构，同时也曾泄露过沙特空军等非医疗领域的敏感数据。医疗数据因包含个人身份信息、病史、保险记录等高价值内容，已成为勒索软件组织的重点攻击目标。

二十、美国第一金融公司68.9万客户数据泄露

美国第一金融公司American First Finance（AFF）日前披露，因合作方Finwise Technologies一名离职员工违规操作，导致约68.9万客户数据泄露。泄露信息包含姓名、地址、出生日期、社保号、驾驶执照号及贷款详情，时间跨度为2014年1月至2024年4月。

调查显示，Finwise前员工利用合法访问权限，在离职后仍违规获取并转移客户数据。AFF称已终止与FINWISE合作，通知受影响客户并提供两年免费信用监控服务。此次事件暴露了金融机构在第三方管理及员工权限控制方面的漏洞，即使无证据表明数据被滥用，内部人员违规访问仍可能造成严重后果。金融行业需加强内部监管与数据访问权限管理，以防范类似内部威胁。

业界之声

一、筑牢铁路关键信息基础设施安全保护屏障 为服务国家安全和发展大局作出积极贡献

近期，中国网信杂志发表了郭竹学同志的署名文章《筑牢铁路关键信息基础设施安全保护屏障 为服务国家安全和发展大局作出积极贡献》。

《文章》强调，要强化网络数据安全防护。统筹推进各专业信息系统建设，在物理硬件上实现服务器、存储和网络等硬件设备设施互联互通，在系统软件上实现各专业领域信息系统统型（即信息系统整合、应用合理化和集成）和关联领域互联互通，在数据资源上建立统一的代码、数据标准和接口规范，逐步消除信息孤岛，加快推进全路全域全网络互联互通和数据共享共用。建立网络数据安全保护工作机制与数据安全治理框架，制定实施数据安全风险评估制度，将安全基因深植于数据流转全过程。开展网络数据分级分类管理，完善铁路数据全生命周期安全防护措施，加强数据安全监测预警，提升铁路网络数据安全防护能力。提升网络安全综合防御能力。完善“基础保护—强化保护—协同保护”分层保护机制，形成人防、物防、技防“三位一体”网络安全体系，强化关键信息基础设施实时监测和安全保护。运用人工智能和大数据等技术，强化安全数据汇聚融合、分析挖掘能力，保障铁路关键信息基础设施安全稳定运行。面向工程管理、国铁采购、物资招投标等核心信息系统，推进国密算法应用，实现复杂环境下数据安全交换共享。加强商用密码体系化应用，建设铁路统一密码服务平台和铁路电子认证服务平台，确保密码应用合规、防护有效。设计应用“双签”跨境电子签名方案，实现中国铁路和外方铁路国际联运电子单证授信验证，强化发展国际物流的技术支撑。

二、国际网络安全标准化研讨活动暨全国网安标委2025年第二次标准周全体会议在昆明举办

近日，国际网络安全标准化研讨活动暨全国网安标委2025年第二次标准周全体会议在云南省昆明市举办。主题为“网络安全为人民，网络安全靠人民——以高水平安全守护高质量发展”。

开幕式现场，12387网络安全事件报告平台正式启动。之后举行了网络安全技术高峰论坛，发布了《人工智能安全治理框架》2.0版、《政务大模型应用安全规范》、2025年人工智能技术赋能网络安全应用测试结果等一系列人工智能安全治理方面的标志性成果。

同时，围绕网络安全协同防御、政务信息系统安全、人工智能安全、个人信息保护、数据合规治理、网络安全产业链协同、数据跨境、关键信息基础设施安全保护、云计算服务安全、网络安全标准、智能网联安全、智能终端安全等主题，将举办12场分论坛。

三、《互联网交互式服务安全管理要求》系列标准宣贯培训会在京召开

按照公安部网络安全保卫局有关部署，公安部第三研究所检测认证中心近日在北京举办《互联网交互式服务安全管理要求》系列标准宣贯培训会。

会议指出，《互联网交互式服务安全管理要求》公共安全强制性标准聚焦微博客、即时通信、软件分发平台、云服务、搜索服务、短视频等热门网络应用，从安全管理制度、组织机构、人员管理、访问控制、个人信息保护、违法有害信息防范处置等方面提出了明确要求。各互联网企业要深刻认识标准的重要意义，深入开展标准宣贯培训，压实企业主体责任，抓好标准要求的应用实施。同时，要持续完善检测评估、监督检查等配套措施，及时总结推广优秀标准应用案例，推动标准落地见效。

四、湖北武汉奋力打造“汉数通”数据基础设施 高标准“供数”“通数”“用数”

国家数据基础设施建设先行先试是赋予湖北省数据局和武汉市的重要任务。试点启动以来，湖北省武汉市聚焦隐私保护计算试点任务，全力建设“汉数通”数据流通利用基础设施，奋力打造中部数据流通枢纽节点。

一是保障数据安全供给。坚持科技护航，发挥科创资源优势，组织30余家头部厂商开展两轮测试，验证隐私计算技术路线适用场景。构建一体化数字资源体系，统一编目、归集、治理和供数，实现公共数据资源“一本账”。使用不同技术路线汇聚高、中、低敏感度数据，通过多方安全计算等技术实现数据“可用不可见”。坚持制度筑基，出台公共数据资源管理、分类分级等制度，起草数据跨域管控、隐私计算平台技术要求与测试方法等标准，引导高质量数据集等社会数据接入，为高质量供给、高水平安全提供制度支撑。

二是推动数据高效流通。建设多种能力，按照“三统一”要求建设底座，建成数据流通利用平台，实现数据资源登记、开发利用、交易流通、安全监管等全流程能力。融合多类技术，参照国家数据基础设施体系架构，打造隐私保护计算公共服务平台，构建城市可信数据空间，利用公共数据开发域，依托区块链提供合约与存证能力，融合4种技术，按照流通效率匹配技术路线。完成数据基础设施互联互通接入测试，加速融入全国一体化数据市场。

三是促进数据便捷使用。以应用为牵引，规划7类30个场景，依托一体化平台归集治理数据，在绿波车速引导、商保核保等场景开展授权运营和流通交易试点，丰富跨主体、跨地域、跨行业场景。以服务换便捷，开发部署SaaS轻量化连接器，无需下载即可直接使用；规划建设线下服务中心，设计人性化平台交互，实现数源单位“一键注册”、数据需求方“一键用数”。加强产业生态培育，组织800余家企业1万人次参加主题培训，激发市场活力，以场景化带动数据要素市场化、价值化。

五、西安市“五位一体”协同发力 打造“丝路数港”西部数据流通新枢纽

西安市作为全国数据基础设施建设的首批试点城市，融合可信数据空间、数据元件和隐私保护计算三条技术路线，探索“标准引领、平台创新、政策配套、生态筑基、园区聚势”五位一体推进数据基础设施建设。

一是建强基础设施，打造枢纽能力新支撑。遵循国家数据基础设施相关标准和技术文件，建成数据接入、加工、流通、应用全链条服务能力。建设城市普惠性可信数据空间，具备智能合规检测、数据安全防护、链上可信存证、跨区域协同开发等核心能力；开发基础型、标准型、拓展型三类接入连接器，降低企业数据接入与交付门槛；推出数据元件源端加工一体机，硬件部署要求降为6台服务器；研发基于专用加速芯片的隐私保护计算平台，计算效率较传统CPU架构提升1-2个数量级。实现与丝路数据交易平台对接互通，并通过互联互通测试和四城联合复杂跨域加工场景验证，初步形成多业务协同、跨区域联动的枢纽能力。

二是创新制度政策，构建优良发展新环境。将试点工作充分融入西安市经济产业发展，通过《西安市加强网云算数安新型基础设施体系建设实施方案（2025-2026年）》《西安市建设软硬一体技术适配和产品开发中心促进信息产业高质量发展行动方案（2025-2027年）》等文件支持本地3500余家软信服企业转型数据服务商，对开展数据交易、建设可信数据空间、建设行业高质量数据集、数据标注、打造典型示范用数场景等情形进行奖补，支持数据技术攻关，以应用场景驱动科技创新与产业发展。

三是培育生态体系，拓展场景应用新空间。以试点为契机，建设“丝路数港”省级数据产业集聚区，深入走访调研25家重点企业，面向社会发布“入港”倡议书，召开3场企业推介会并常态化组织企业沙龙活动，建立“一对一”数商服务机制，按照“全域可见、跨域可用、价值释放”三步走，已接入244家市场主体，登记数据资源176项，上架1080个数据产品，重点支撑打造智游三秦、个人背调、企业评分、智能制造产业链分析等10余个应用场景。

六、贵州研究巩固减负成果优化基层报表数据工作

近日，贵州省召开专题会议，研究巩固减负成果、优化基层报表数据工作。

会议强调，要坚持目标导向、需求导向，深入开展报表摸底精简，按照国家“一数一源”“只报一次”等要求，稳步扩大乡级试点，强化数据标准建设，优化报表台账准入退出机制，推进“一张表”覆盖层级提升、内容丰富拓展。要强化数字赋能，抓好省级统一平台建设，推进数据资源整合共享和系统联通互通融通，推动“一表采集、一网融合、一库共享”，提升智慧化数字治理能力。要加强报表数据全生命周期安全防护，抓好数据分级分类管理，守牢数据安全底线。要强化统筹协调、部门协同，持续探索创新，做实基础保障，更好减轻基层负担、提升基层治理效能。

七、湖北省召开政府常务会议研究强化“算网存用”协同、加快推进数字经济发展等工作

近日，李殿勋主持召开湖北省政府常务会议，听取全省安全生产形势汇报，部署重点工作任务；研究强化“算网存用”协同、加快推进数字经济发展等工作。

会议强调，要科学务实规划建设“数字湖北”，统筹考虑“末端感知、网络互联、数据融通、算力共享、智慧应用、安全监管”六大关键支撑，以数字政府建设为引领，协同推进数字经济、数字文化、数字社会、数字生态建设，加快推动全省经济社会智能化转型。要坚持“算、网、存、用”协同发展，着力强化通算、智算、超算与边缘计算“四算统筹”，优化全省算力布局、提升供给水平；着力强化互联互通和全网络升级，促进算力高效调度与共享；着力推动算法创新和存算协同，优化算力发展生态。要通过全省数字能力建设与数字能力应用的供需两端协同，更好为经济发展赋能、为社会治理增效、为人民生活添彩。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。