数据安全每周观察|《数据安全产品分类指南》等国标征集参编单位

政策趋势

一、《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》发布

为贯彻落实《生成式人工智能服务管理暂行办法》要求，指导生成式人工智能服务提供者等有关单位做好安全应急响应工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》。

《指南》描述了生成式人工智能服务安全事件的分类、分级方法和生成式人工智能服务安全应急响应过程的管理措施和技术方法，适用于生成式人工智能服务提供者以及相关部门开展安全应急响应活动。

二、交通运输部印发《交通运输行业高质量数据集建设方案》

近日，交通运输部印发了《交通运输行业高质量数据集建设方案》，系统部署交通运输行业高质量数据集建设任务。

《方案》以数据为中心，应用为牵引，遵循急用先行、系统推进的原则，优先解决行业人工智能应用最迫切的场景，着力提高数据集供给数量和质量，完善行业高质量数据集服务体系，健全行业高质量数据集标准规范，营造行业高质量数据集建设生态，加快构建行业高质量数据集供给体系，培育壮大交通运输新质生产力，支撑打造智能综合立体交通网。

《方案》围绕“多模态覆盖、多场景贯通、多任务协同”的思路，提出建设行业通识数据集，并综合考虑场景应用需求必要性、技术可行性、经济可行性、数据基础条件等因素，面向基础设施、交通装备、运输服务、行业治理、绿色低碳、安全保障、科技创新等7个业务领域，提出公路基础设施状态监测、航道运行风险评估与智能监测、多运输方式物流运输成本优化等39个行业专识数据集建设场景。

三、两部门印发《工业园区高质量发展指引》

近日，工业和信息化部联合国家发展改革委印发《工业园区高质量发展指引》，引导工业园区特色化、集约化、数智化、绿色化、规范化发展。

《指引》强调，要促进实数深度融合。一是加强新型信息基础设施建设应用。推进5G、千兆光网、IPv6、移动物联网等园区网络基础设施部署，推动工业互联网进园区。支持适度建设或有效利用数据存储与计算基础设施，加强园区内算力资源统筹调度。鼓励有条件的园区打造人工智能、云计算等新技术设施，提升开源操作系统应用水平，夯实园区数字化智能化发展基础。

二是提高园区数字化服务能力。鼓励有条件的园区建设面向主导产业的高质量数据集，促进数据资源的高效利用和安全共享。加强园区经济运行监测分析，结合经济形势、产业态势、区位条件等，开展产业运行研判和风险预警。基于数字化智能化技术建设园区综合管理服务平台，提升招商引资、资产管理、物业管控等全方位综合服务能力。探索建设高标准数字园区。

四、《人工智能服务未成年人伦理规范共识》正式发布

为进一步加强未成年人网络保护工作，推动人工智能技术健康有序发展，《人工智能服务未成年人伦理规范共识》于近日在北京文化论坛重要成果专场正式发布。

《共识》聚焦人工智能服务未成年人面临的现实挑战，从健康优先、内容保障、隐私守护、规则清晰、透明可信、协同共治、伦理先行等七个方面提出行业规范，倡导人工智能服务提供者在产品设计、内容管理、隐私保护、心理健康引导等方面切实履行社会责任，共同营造安全、健康、可信的数字环境。

《共识》强调，要严格保护未成年人个人数据。呼吁加强未成年人的个人信息保护，确保其数据的最高安全标准。遵循相关法律和标准规范，确保数据的安全性，防止信息泄露或滥用，为未成年人提供坚实的隐私保障。

五、福建发布《福建省促进数据产业高质量发展行动计划（2025—2027年）》

近日，福建省发展和改革委员会、福建省数据管理局印发《福建省促进数据产业高质量发展行动计划（2025—2027年）》。

《计划》强调，要梯度培育数据企业。探索构建“种子数据企业—创新数据企业—标杆数据企业”三级梯度培育体系，培育壮大综合型数据企业和数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施等专业型数据企业。建立省数据企业培育库，常态化开展数据企业入库工作，形成种子数据企业名单。支持数据企业按规定申请高新技术企业和专精特新企业认定，遴选培育一批创新能力强、发展潜力大的创新数据企业和规模实力领先、具有行业引领效应的标杆数据企业。

提升数据技术创新能力。深化数据创新关键核心技术攻关，依托“揭榜挂帅”机制，支持高校、科研机构及具有创新能力的企业加大数据领域基础研究，开展数据传输计算、汇聚管理、可信流通、开发利用等数据领域核心技术联合攻关，突破一批“卡脖子”技术难题。强化数据技术推广应用和成果转化，支持创建一批省级以上数据领域重点实验室、企业技术中心和数据产业孵化器。

强化数据基础设施支撑能力。加快建设国家数据基础设施（福建）区域功能节点、福州市数据基础设施建设（先行先试）数联网试点等，加强省内外数据基础设施互联互通。落实可信数据空间发展行动计划，鼓励具备条件的企业参与共建企业数据空间、行业数据空间和城市数据空间。对在数据基础设施建设领域获得国家先行先试工作试点、国家优秀（典型）案例的项目，每个给予不超过50万元资金支持。对入选国家可信数据空间创新发展试点的项目，每个给予不超过500万元资金支持。

提高数据安全保障能力。加强数据脱敏、数据水印、数据安全态势感知等数据安全技术应用，推进隐私保护计算、区块链等数据流通利用技术部署。培育壮大适应数据流通特征的安全服务业态，支持企业创新数据分类分级、隐私保护、安全监测、应急处置、流通安全检测评估、安全审计、数据托管等数据安全产品和服务。

六、安徽发布首个数据企业培育认定实施细则

近日，安徽省数据资源局印发《安徽省数据企业培育认定实施细则》，旨在培育安徽省数据领域有影响力的上市公司、单项冠军、专精特新企业，壮大安徽省数据产业，打造安徽省数字经济竞争优势，规范安徽省数据企业培育认定工作，这是国内首个数据企业培育认定的实施细则。

《细则》所称安徽省数据企业，是指在安徽省内依法设立，主要从事数据相关处理活动的数据资源、数据技术、数据服务、数据应用、数据安全、数据基础设施企业等，并按照本细则认定的企业。

《细则》强调，在符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定基础上，经企业和个人授权，申请认定材料可以通过数据共享及企业承诺等方式提供，减少申报材料，具体范围由安徽省数据资源管理局在组织申报时明确。

监管动态

一、警惕“AI换脸”成为窃取个人隐私新手段

近期，浙江杭州警方侦破一起利用“AI换脸”突破相关互联网平台人脸识别认证机制侵犯公民个人信息案件，抓获犯罪嫌疑人4名，查获一批被非法强制登录的网络账号。涉案人员利用生成式人工智能深度合成技术伪造“AI人脸”，突破平台人脸识别认证机制，非法窃取公民个人隐私数据。

该案中，犯罪团伙、互联网平台、个人信息买家均需根据具体行为承担刑事、行政及民事责任。一是实施犯罪的团伙利用“AI换脸”突破互联网平台认证机制，非法获取公民个人信息并出售的行为，涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪，情节特别严重的，可处三年以上七年以下有期徒刑，并处罚金；二是互联网平台未采取有效措施保护注册用户个人信息，导致用户个人信息泄露，可能面临连带的行政处罚和民事赔偿；三是买家出于各种目的非法购买他人信息的行为，可能涉嫌非法获取公民个人信息、侵犯公民个人隐私的违法行为。

二、四川一科技公司因数据泄露被顶格罚款30万元

近日，四川某科技公司近日因购票系统数据泄露被顶格罚款30万元，直接责任人另处5万元罚金，成为四川省首例"双罚制"网络安全案件。此次事件不仅暴露了企业在网络安全保护方面的严重缺失，也反映出一些企业在数字经济快速发展背景下缺乏网络安全核心责任意识的普遍问题。

经专业技术团队调查取证，该票务管理系统存在多项安全漏洞：系统未按照《网络安全保护基本要求》进行安全分级归档，核心数据库未采用加密格式存储；后台管理权限设置存在严重缺陷，普通员工账号即可访问所有用户敏感数据；系统日志的保留期不足30天，追踪攻击源头极其困难。这些漏洞导致犯罪分子窃取了超过50万条包含用户ID、手机号码、出行信息等敏感数据的记录，并在暗网交易平台上出售相关数据。

三、利用“爬虫”非法爬取餐饮商超及地图数据超8亿条 三名被告获刑

近日，据上海普陀检察报道，在上海市普陀区人民检察院办理的一起案件中，8亿行餐饮商超数据、超300万次地图数据遭非法爬取。检察机关通过高质效办案，成功破解取证与定性难题。

经查，2023年2月初，某知名地图软件公司在日常风控监测中发现异常，有不明用户正持续爬取其数据库中的地理坐标类数据，单日窃取量高达100万-400万条。该数据涵盖商家信息、服务介绍、用户点评、排行及地理位置等核心内容。公司虽迅速启动拦截机制，但对方伪造的请求特征高度模拟真实用户行为。同年5月，该公司向公安机关报案。进一步侦查发现，另一关联互联网平台公司的数据同样被非法爬取。2023年6月，嫌疑人李某某、吴某某先后被抓获归案。

李、吴二人均就职于一家科技公司，主要负责采集数据，生成商业报告卖给客户。面对巨大的数据需求，二人嫌正常浏览方式获取数据效率过低，遂企图通过编写接口直接爬取。然而，因各大平台风控严密，自学技术难以突破，便通过网络平台找到素未谋面的技术“外援”陈某某，双方约定以100万次/400元的价格，由陈某某提供爬取各类平台数据的接口。到案后，李、吴均承认：“自己技术初级，全靠陈某某搞定接口。”2023年7月21日，陈某某在广州被抓获。鉴于该案技术性、专业性强，普陀区检察院依法介入侦查。

经查，李、吴使用陈某某提供的、专门用于绕过验证机制的爬虫接口，非法爬取互联网平台美食、商超类数据共计8亿余行，调用地图软件公司地理坐标类数据达300余万次。2025年6月6日，公安机关以涉嫌非法获取计算机信息系统数据罪将陈某某、李某某等3人移送普陀区检察院审查起诉。

《网络安全法》《数据安全法》明确禁止非法获取数据及提供专门程序工具。本案中，平台数据保护措施属于计算机信息系统安全保护措施，涉案数据具有刑事保护必要性。李某某、吴某某两人违反国家规定，分别采用技术手段侵入计算机信息系统，获取该计算机信息系统中存储、处理或者传输的数据，情节严重，其行为分别触犯了《中华人民共和国刑法》第二百八十五条第二款，犯罪事实清楚，证据确实、充分，应当以非法获取计算机信息系统数据罪追究其刑事责任。

四、民生银行厦门分行因违反“数据安全管理规定”等多项违规被罚款147.96万

近日，中国人民银行厦门市分行发布了罚单，民生银行厦门分行合计被罚款147.96万元，此外相关责任人也被处罚。

罚单显示：民生银行厦门分行的主要违法违规事实（案由）为：违反反假货币业务管理规定；违反数据安全管理规定；未按照规定履行客户身份识别义务；未履行对异常账户、可疑交易的风险监测和相关处置义务；违反账户管理规定。针对上述违法违规行为，中国人民银行厦门市分行对其警告，通报批评，并处罚款合计147.96万元。

五、浙江海盐农商行因“违反网络安全 数据安全保护管理规定等”被罚158.3万

近日，中国人民银行嘉兴市分行行政处罚决定信息公示表显示，浙江海盐农村商业银行因违反金融统计管理规定；违反信用信息采集、提供、查询及相关管理规定；违反账户管理规定；未按规定履行客户身份识别义务；未按规定报送大额交易报告或者可疑交易报告；占压财政存款或者资金；违反反假货币业务管理规定；违反网络安全、数据安全保护管理规定，被中国人民银行嘉兴市分行警告，并处158.3万元罚款。

六、攻击者利用恶意GitHub页面诱使MacOS用户安装窃密软件

LastPass安全研究人员日前警告macOS用户，发现攻击者正在利用虚假GitHub页面，诱导受害者下载Atomic macOS信息窃取程序。

LastPass指出，安全团队追踪到一场针对Mac用户的大规模信息窃取活动。攻击者通过伪造的GitHub仓库诱骗潜在受害者安装冒充多家企业的MacOS软件。在LastPass的案例中，欺诈仓库将用户引导至下载Atomic信息窃取恶意程序的存储库。目前该恶意活动仍在持续，攻击者利用SEO技术将恶意网站推至谷歌和必应搜索结果前列，主要瞄准科技公司、银行及密码管理服务商。目前多家安全团队已共享攻击指标（IoC）以协助检测和应对。

七、拉斯维加斯一赌场再遭黑客“光顾”，部分员工及用户隐私数据泄露

美国拉斯维加斯博彩巨头Boyd Gaming Corporation日前证实遭遇网络攻击，导致其内部IT 系统遭未授权访问，部分敏感数据被窃取，含有员工和用户信息。相关事件信息披露于提交给美国证券交易委员会的8-K报告中。

报告内容显示，本次攻击未影响公司相关业务运营，但攻击者窃取了部分员工及少数用户的信息。目前，Boyd Gaming 已启动受影响方通知流程，将依法告知监管机构及相关政府部门，同时聘请联邦执法机构与外部网络安全专家调查并协助应对。公司表示，由于已经购买相关网络安全保险，预计可以覆盖后续事件调查和法律索赔等相关成本，且此次事件不会对公司近期的财务状况及业务表现产生重大不利影响。

八、汽车巨头Stellantis确认客户数据泄露

近日，全球知名汽车制造商Stellantis集团陷入数据安全危机，该集团旗下包含克莱斯勒、菲亚特、吉普、道奇、Ram等多个品牌。根据官方披露的信息，其北美客户服务系统遭遇第三方平台数据泄露事件，导致大量客户个人信息外流。

集团在声明中确认，此次事件源于为北美客户服务提供技术支持的第三方服务商平台出现安全漏洞。尽管官方仅承认泄露内容包含“联系方式”，但具体泄露的数据类型和受影响客户规模尚未明确。集团发言人拒绝就媒体关于数据泄露范围的进一步询问作出回应，也未披露已通知受影响客户的具体数量。

据网络安全媒体Bleeping Computer调查，此次数据泄露与Stellantis使用的Salesforce数据库遭黑客入侵直接相关。名为ShinyHunters的黑客组织公开宣称对此负责，并声称从数据库中窃取了1800万条客户记录。该组织此前曾多次参与重大数据泄露事件，此次行动再次暴露企业数据安全防护的薄弱环节。

业界之声

一、多维协同强化智能网联汽车网络与数据安全

近日，中国网信杂志发布了北京航空航天大学交通科学与工程学院教授田大新的署名文章《多维协同强化智能网联汽车网络与数据安全》。

文章指出，在技术快速变革的同时，汽车的智能化、网联化深度融合感知、通信、计算与控制技术，其网络安全与数据安全挑战远超传统车辆，呈现多维度、高复杂性的特点，并带来多方面的安全挑战。其中，海量数据流通易引发数据安全与隐私泄露风险。智能网联汽车持续产生实时位置轨迹、驾驶行为习惯、生物特征、车内音视频等海量高价值数据，相关数据在采集、传输、存储、处理、共享等全生命周期各环节均面临泄露、篡改、非法访问等风险。

文章强调，为防范智能网联汽车潜在的网络安全与数据安全风险，《智能汽车创新发展战略》提出，从完善安全管理联动机制、提升网络安全防护能力、加强数据安全监督管理等方面构建全面高效的智能汽车网络安全体系。工业和信息化部印发《关于加强智能网联汽车生产企业及产品准入管理的意见》，加强汽车生产企业的数据和网络安全管理，规范软件在线升级等环节。《国家车联网产业标准体系建设指南（智能网联汽车）（2023版）》也将智能网联汽车的网络安全与数据安全作为通用规范，规划相关标准体系建设。在此基础上，为有效强化智能网联汽车的安全防护能力，还需结合其所涉及的终端、网络、云平台等部分，形成“端-网-云”多维协同的网络安全与数据安全防护。

云端平台作为车辆数据的汇聚中心与控制指令的决策大脑，其安全防护关系到大规模智能网联汽车的安全运行，需实现从传统资源防护到智能中枢的转变。在传统云平台安全防护基础上，明确平台安全责任，强化基础设施安全配置、API接口（应用程序编程接口）管控和第三方服务审计。构建数据安全与合规中枢，将云端打造为数据安全治理核心节点，统一实施数据分类分级、加密脱敏、访问控制策略，建立覆盖数据跨境、用户授权、审计追溯的合规管理体系。实现全局威胁分析与协同响应，汇聚端、网、云安全数据，利用人工智能等技术进行全局威胁画像、攻击溯源和预测预警，并下发如批量车辆安全策略更新、区域风险预警等协同防护策略，共同保障智能网联汽车安全。

二、统筹发展和安全 积极应对人工智能治理新挑战

近日，中国网信杂志发布了中国工程院院士、国家保密科学技术委员会主任吴世忠的署名文章《统筹发展和安全 积极应对人工智能治理新挑战》。

文章指出，要准确把握人工智能安全风险。人工智能安全风险已成为全球治理的重要议题，也是构建现代化治理体系的逻辑基点。当前，人工智能安全风险呈现多维度、复合型特征，需要国际社会共同应对。尤其是衍生的应用安全风险，人工智能广泛融入教育、医疗、交通等关键领域，已带来复杂的应用安全风险。一是社会安全风险凸显。数据泄露和滥用、知识产权纠纷、深度伪造诈骗、推荐算法滥用等正给社会治理带来新挑战。二是数据安全风险突出。数据投毒和污染、恶意样本干扰等容易导致数据“喂养”出的模型出现决策偏差。三是网络安全风险持续攀升。自动化工具降低攻击门槛，自适应恶意软件提升攻击隐蔽性，人工智能赋能使网络攻击进入智能化新阶段，直接威胁关键信息基础设施的安全运行。同时，还要注意潜在的国家安全风险。在安全保密战线，智能化手段正被广泛应用于情报获取和分析、窃密与反窃密，安全保密工作面临全新挑战。

文章强调，要主动应对人工智能治理挑战。一要加强统筹规划，以技术和应用创新促进双向赋能。二要加强安全监管，以风险防控为抓手提升治理能力。三要加强伦理规范，以中华文化为根基弘扬中国智慧。四要加强国际合作，以中国方案为引领推进国际治理。其中，加强伦理规范，以中华文化为根基弘扬中国智慧，指加强人工智能安全风险研究。深入研究技术伦理、算法偏见、数据滥用、深度伪造等重点问题，全面掌握技术演进中的安全动态，为精准施策提供科学依据。强化安全测评能力建设。构建自主可控的人工智能技术安全评估体系，制定覆盖全生命周期的技术标准、评估方法与测试工具，实现对人工智能系统安全性、可靠性与可控性的全面检验。实施重点领域分级分类精准防控。对党政机关、关键信息基础设施等核心领域建立专项防护机制。完善安全监测预警系统，强化应急响应能力，确保国家核心系统和关键数据安全。

三、《数据安全技术 数据安全产品分类指南》等13项国家标准公开征集参编单位

日前，全国网络安全标准化技术委员会网站发布公告，为了切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集《数据安全技术 数据安全产品分类指南》等13项国家标准参编单位，具体标准名称如下：

1.《数据安全技术 数据安全产品分类指南》标准

2.《网络安全技术 基于多信道的证书申请和应用协议》标准

3.《数据安全技术 个人信息保护合规审计专业机构服务能力要求》标准

4.《网络安全技术 人工智能应用安全分类分级方法》标准

5.《网络安全技术 人工智能技术涉及未成年人应用安全指南》标准

6.《网络安全技术 云计算服务安全责任划分指南》标准

7.《网络安全技术 消费类智能联网设备安全要求》标准

8.《网络安全技术 网络安全漏洞分类分级指南》标准

9.《网络安全技术 集成电路芯片通用安全规范》标准

10.《网络安全技术 信息安全治理》标准

11.《数据安全技术 个人信息安全规范》标准

12.《数据安全技术 数据安全从业人员能力建设指南》标准

13.《网络安全技术 人工智能安全能力成熟度评估方法》标准

四、重庆发起个人信息保护八大倡议

近日，2025年重庆网络安全宣传周启动仪式在綦江区举行。为凝聚行业共识、扛起守护责任，来自不同领域的8名行业代表，以守护公众数字权益为己任，共同发出关于个人信息保护的倡议，呼吁全社会携手筑牢数字安全屏障。倡议内容包含：

实行全生命周期管理，做个人信息的保护者。从个人信息收集、存储、使用到传输、提供、删除，制定完备的企业内部管理制度和操作规程，严防个人信息泄露。

履行保护义务，做个人隐私的护航者。对个人信息实行分类管理，制定并组织实施个人信息安全事件应急预案，定期开展个人信息保护影响评估和合规审计。

强化技术防护，做网络数据的捍卫者。采用匿名化、去标识化等技术手段，不断提升信息系统防入侵、防泄露、防窃取能力。

五、数据要素综合试验区创新成果暨新模式新场景对接会并在安徽开展调研

近日，2025世界制造业大会——数据要素综合试验区创新成果暨新模式新场景对接会在安徽合肥举办。国家发展改革委党组成员、国家数据局局长刘烈宏出席会议并致辞。

会议强调，要以制度建设为基础，不断夯实一体化数据市场发展底座。数据领域情况新、变化快，只有在实践中积累经验、总结规律，才能真正构建适应数据特征、符合发展实际的制度规则。要以应用场景为牵引，培育壮大繁荣有序的数据市场生态。“数据要素×”行动深入实施，带动更多主体投入市场建设。数据市场还处在起步阶段，促进数据交易机构发展，既不能超越发展阶段，高估其功能作用；也不能低估建设难度，需在改革实践中探索发展路径。要以设施联通为依托，加快破除一体化数据市场运行壁垒。数据的生产、流通和利用具有很强的技术依赖性，数据安全合规高效流通离不开数据基础设施支撑。

六、刘烈宏出席2025世界制造业大会

近日，国家发展改革委党组成员、国家数据局局长刘烈宏出席在安徽合肥举办的2025世界制造业大会并致辞。

会议强调，要加大数据领域的投入，制造业企业要像重视技术研发、设备更新一样重视数据资源的开发利用，在数据采、存、算、管、用全过程增加投入力度，加快行业高质量数据集建设，赋能“人工智能+”在行业、在企业得到落地。要加力投资数据产业，积极培育数据资源、技术、服务、应用、安全、基础设施等各类型数据企业。要培育为优质数据付费的市场意识，像购买先进设备、引进高端技术一样，形成“为高质量数据付费”的共识，让数据在流动中使用、在使用中增值，真正形成数据供得出、流得动、用得好、保安全的良好局面。要共同防范和破除“内卷式”竞争，企业尤其是数智化能力强的龙头企业，要靠创新驱动和数据驱动来发展。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。