数据安全每周观察|5项数据领域推荐性国家标准计划下达

政策趋势

一、5项数据领域推荐性国家标准计划下达

近日，国家标准化管理委员会下达2025年第十批推荐性国家标准计划，其中，全域数字化转型、数据服务能力评估、数据利用管理、数据匿名化流通等5项推荐性国家标准计划由全国数据标准化技术委员会归口管理。

二、《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南公开征求意见

为有效应对人工智能技术快速发展与应用带来的新风险、新挑战，全国网络安全标准化技术委员会秘书处组织编制了《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，现对以上2项网络安全标准实践指南面向社会公开征求意见。

三、国家卫健委等五部门发文，促进人工智能+医疗卫生应用

近日，国家卫生健康委办公厅、国家发展改革委办公厅、工业和信息化部办公厅、国家中医药局综合司、国家疾控局综合司五部门联合发布《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》，明确2027年、2030年两阶段发展目标，从基层应用、临床诊疗、患者服务到中医药、公共卫生等八大方向部署24项重点任务。

《意见》强调规范安全监管。一要创新监管方式和预警机制。加强对人工智能研发、审评、准入、应用等各环节监管，开展应用监测评估。建立大模型应用评测验证，从医疗质量安全、个人隐私和数据安全等方面开展穿透式监管，加强动态监测和预警。

二要强化数据安全和个人隐私保护。加强医疗卫生机构和科研机构等的安全防范，建立临床数据授权运营管理制度，制订数据安全管理和个人信息保护负面清单，建立健全智能应用数据安全防护体系，促进数据规范流通共享。

加强组织保障。要加强制度建设。鼓励各地加强人工智能科研保障、职业支持和人才评价机制，加强定价、支付、分配等配套政策建设，加大经费保障力度。建立网络数据安全和个人信息保护管理办法，确保人工智能发展安全、可靠、可控。

四、全国首个数据产业集聚区和数据要素产业园培育政策出台

近日，福建省数据局发布了《福建省数据产业集聚区和数据要素产业园培育工作指引》，旨在统筹布局、有序规范培育打造一批省数据产业集聚区和数据要素产业园。

《指引》重点任务强调，数据产业集聚区应突出特色产业发展方向，选取一个或多个重点领域，因地制宜探索差异化的数据产业细分赛道发展路径，创新数据企业培育机制，促进多业态融合发展，逐步形成产业链协同发展格局，打造以数据产业为主体的数字产业集群。建设内容包括但不限于以下任务：

培育壮大数据产业细分赛道。围绕数据资源集聚、数据技术创新、数据流通利用、数据创新应用、数据安全治理等数据产业重点领域，做大做强数据产业规模。瞄准人工智能大模型、智能体、无人驾驶、具身智能、低空经济、卫星应用、生物制造、健康医疗、元宇宙、未来网络等数据密集型新兴产业和未来产业，引进培育一批基于人工智能的智能原生企业和典型数据企业，打造具有核心竞争力的数据产品、模型服务和软硬件解决方案，培育数据产业新赛道、新优势；深化数据要素赋能电子信息、新能源、纺织服装、文化旅游等传统产业转型升级，培育一批深刻理解行业特点、高度匹配产业需求的数据应用企业，打造一批可复制可推广的数据产业发展典型案例，推动数据要素更好服务产业升级和高质量发展。

五、北京发布数据要素综合试验区建设实施方案

近日，中共北京市委、北京市人民政府发布《关于建设数据要素综合试验区 深化数据要素市场化配置改革的实施意见》，明确以数据要素市场化配置改革为主线，统筹数据发展和安全，构建国家数据要素综合试验区“243”建设框架，建设国家数据管理中心、国家数据资源中心和国家数据流通交易中心，打造国家数据科技创新策源地和发展高地。

《意见》提出，要以数据要素市场化配置改革为主线，统筹数据发展和安全，夯实数据基础制度、基础设施“两大基础”，打通数据供给、流通、应用和安全“四个环节”，构筑数据技术创新、要素服务和产业发展“三大体系”，建设国家数据管理中心、国家数据资源中心和国家数据流通交易中心，打造国家数据科技创新策源地和发展高地。

夯实数据要素基础环境，一要建立健全数据基础制度。组织推动数据产权结构性分置制度落地，鼓励数据复用融合、创新创造及有序流转。创新数据流通交易制度，完善场内场外结合的交易规则体系，培育壮大场内交易，规范引导场外交易。引导形成数据要素由市场评价贡献、按贡献决定报酬的收益分配机制，保障各参与方依法依规享有收益权利。健全数据安全治理制度，完善数据流通交易责任界定机制，提升数据流通风险防范能力。推动数据要素综合性立法。围绕重点行业领域数据流通合规指引、数据资产管理、平台数据合规供给、数据跨境流动等制定一批特色创新制度。发挥北京市数据标准化技术委员会作用，率先在数据基础设施、数据技术、数据流通、安全保障等方面出台系列标准。

二要超前部署数据基础设施。构建高速互联、高效调度、开放普惠、安全可靠的数据基础设施体系。加快互联网协议第六版（IPv6）规模部署和应用，建设新型互联网交换中心，提升网络承载和互联互通能力。高水平谋划一体化算力网，建设算力监测平台，升级算力服务平台和算力互联平台，实现算力监测管理和调度服务。深入推进国家数据流通利用基础设施建设试点任务，综合数场、可信数据空间、数据元件、区块链、隐私计算等技术方向，建设数据流通利用增值协作网络，打造可信数据传输通道、受控式数据开发空间和安全透明的协作环境。鼓励建设行业数据流通平台并推动互联互通。分类推进企业、行业、城市、个人、跨境五类可信数据空间建设，提升可信管控、资源交互及价值共创能力。鼓励围绕数据质量评价、价值评估等建设一批数据服务平台，促进数据资源的价值挖掘。

强化多维度数据安全保障。一要健全数据安全治理机制。发挥本市数据安全工作协调机制作用，推动包容审慎监管。针对数据流通中的新技术、新产品、新模式、新业态，探索建立“监管沙盒”、尽职免责等机制，构建鼓励创新、弹性包容的安全治理环境。落实数据分类分级保护制度，加快应用或出台医疗健康、教育教学、金融服务、自动驾驶等重点领域数据分类分级标准。推动保险机构设计数据领域保险产品，合理分散风险。发挥行业协会规范引导作用，强化守信激励和失信惩戒，营造数据行业自律氛围。

二要提升数据安全技术能力。深化数据脱敏、隐私计算、区块链等数据安全技术的研究与应用，提升数据全生命周期安全保障能力。支持数据安全技术创新，引导企业按照数据分类分级保护要求，采取不同的安全技术开展数据流通。支持数据安全服务机构加强核心技术攻关和产品创新应用，提升安全服务效能。鼓励龙头链主企业、大型平台企业面向市场提供安全合规产品和服务。

六、西安市数据局印发《西安市公共数据资源登记管理实施细则（试行）》

近日，为深入贯彻落实党中央、国务院关于加快公共数据资源开发利用的决策部署，促进和规范市公共数据资源登记工作，西安市数据局印发《西安市公共数据资源登记管理实施细则(试行)》的通知。

《细则》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，按照 《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》《国家发展改革委国家数据局关于印发<公共数据资源登记管理暂行办法>的通知》和《陕西省数据和政务服务局关于印发<陕西省公共数据资源登记实施细则(试行) >的通知》等文件要求，结合西安市实际制定，旨在落实国家关于构建全国一体化公共数据资源登记体系的要求，促进市公共数据资源合规高效开发利用，规范公共数据资源登记工作管理。

《细则》强调，公共数据资源登记工作应当维护国家安全和公共利益，保护国家秘密、商业秘密、个人隐私和个人信息权益，遵循依法合规、公开透明、标准规范、安全高效的原则。

监管动态

一、国家安全部提示：警惕手机里的窃密“炸弹”

近日，“国家安全部”发布案例，提醒警惕指尖上的泄密风险。

1.即时通讯工具的泄密隐患。有公开案例显示，某县教体局收到省委一份秘密级文件后，局长批示传达到各学校落实。该局办公室借调人员胡某为求快速传达，将文件全文直接拍照发至各漾饹迦校校长工作群。某校校长张某未仔细查看文件内容，便将照片转发至该校教师工作群，导致文件立即在多个群扩散，造成泄密。案件发生后，胡某、张某均被给予党纪政务处分。

2.第三方应用的安全风险。有公开案例显示，某迀涉密单位办公室主任孙某出于工作便利考虑，违规拍摄机密级文件，并使用图文识别小程序转化为电子文档。殊不知，其使用的小程序将此涉密内容自动存储在第三方服务器。在孙某自认为操作隐秘，“删除本地文件就万事大吉”之时，小程序开发公司的员工竟将涉密文件打包倒卖。案发后，涉事员工被依法追究刑事责任，孙某也因严重违反保密规定受到严厉处分。

3.朋友圈里的“定时炸弹”。有公开案例显示，某市直机关新任干部蒋某参加市委某会议后，为炫耀公务员身份，擅自将会议领取的秘密级文件首页拍照上传至朋友圈。尽管10分钟后在领导责令下紧急删除照片，但好友截图保存及转发已形成传播链，造成泄密。事后蒋某被给予党纪政务处分。

国家安全部提示：国家安全无小事，指尖泄密勿大意。《中华人民共和国保守国家秘密法》规定，禁止未按照国家保密规定和标准采取有效保密措施，在互联网及其他公共信息网络或者有线和无线通信中传递国家秘密。

二、上海市通信管理局通报下架27款侵害用户权益行为APP（SDK）

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》要求，上海市通信管理局对APP（SDK）违法违规收集使用个人信息等问题开展治理。2025年10月，上海市通信管理局向社会公示了一批存在侵害用户权益行为的APP（SDK）。在规定的整改期限内，经核查复检，以下27款APP（SDK）仍未按照要求落实整改，现对这些APP（SDK）采取下架处理。

三、官方通报70款违规收集使用个人信息的手机软件

近日，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，以下70款移动应用存在违法违规收集使用个人信息情况：

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《7ELEVEN会员》(微信小程序)、《飞傲音乐》(版本3.2.9.搜狗下载)、《飞蚂蚁旧衣服回收》(百度小程序)等23款移动应用。

2、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及《e代驾》(版本9.19.1_202507161732.应用宝)、《阿虎医考》(版本9.1.9.101.抖音应用中心)、《阿那亚》(版本4.1.2.360手机助手)等24款移动应用。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意;App客户端向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未经过用户同意，未做匿名化处理。涉及《可可修图》(版本1.9.7.小米应用商店)、《来电秀彩铃》(版本4.0.408.小米应用商店)、《镭威视云》(版本4.3.0.9.历趣市场)等14款移动应用。

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及《多饭影院》(百度小程序)、《驾考精灵》(版本11.1.5.华为应用市场)、《考试100》(版本6.7.3.华为应用市场)等5款移动应用。

5、未提供有效的更正、删除个人信息及注销用户账号功能。涉及《布丁Pudding宠物上门喂养寄养》(微信小程序)、《宠物家》(微信小程序)等4款移动应用。

6、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及《TA岛宠物》(微信小程序)、《幻休助眠》(版本3.11.2.历趣市场)2款移动应用。

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及《EZView》(版本2.60.80.OPPO软件商店)、《布丁Pudding宠物上门喂养寄养》(微信小程序)、《差旅随行》(版本V4.02.67.360手机助手)等23款移动应用。

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及《阿虎医考》(版本9.1.9.101.抖音应用中心)、《金十数据》(版本6.31.0[960]，应用汇)等3款移动应用。

9、个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及《美年大健康》(微信小程序)1款移动应用。

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及《蜜语宝》(版本1.6.2.应用宝)、《暖暖租房》(百度小程序)、《上维洗衣》(百度小程序)等13款移动应用。

11、未采取相应的加密、去标识化等安全技术措施。涉及《7ELEVEN会员》(微信小程序)、《CAD快速看图》(版本6.1.0.vivo应用商店)、《EZView》(版本2.60.80.OPPO软件商店)等34款移动应用。

12、无隐私政策。涉及《56114物流查询》(百度小程序)、《安能物流》(百度小程序)、《菠萝孕育》(百度小程序)等9款移动应用。

四、Qilin勒索软件组织窃取瑞士Habib Bank 2.5TB敏感数据

Qilin勒索软件组织近日成功入侵瑞士金融机构Habib Bank AG Zurich的服务器，窃取了高达2.5TB的数据，涉及超过200万份文件。被盗数据包含账户余额、护照号码、交易记录以及内部源代码等高度敏感信息。

该黑客组织威胁将窃取的数据发布到暗网，以此施压银行支付赎金。这种"数据泄露"策略是勒索软件团伙常用的升级手段，旨在制造紧迫感迫使受害者就范。

Habib Bank AG Zurich服务于瑞士、南非、加拿大、阿联酋、英国和美国等地的国际客户。目前该银行已启动危机管理程序，采取安全预防措施防止进一步的未授权访问，并与网络安全专家合作加强防御。银行计划通过数字通信方式通知受影响客户，说明数据泄露情况及应对措施。

五、法国就业局再遭黑客袭击 数万求职者个人资料被盗

近日，据法国新闻网站周三报道，法国公共就业机构 (前“就业中心Pôle emploi”)再次成为大规模网络攻击的受害者。这次袭击由一个俄罗斯网络犯罪集团发动，数以万计的求职者个人信息被盗。

就在三个月前的7月23日，France Travail才刚经历过一起严重的网络攻击，当时有超过34万名求职者的个人资料被盗，包括姓名、出生日期、France Travail账号、邮箱、住址以及电话号码等信息。而本周三晚间，该机构再次确认遭遇新一轮黑客入侵，数据被窃取。

France Travail表示，攻击源头来自俄罗斯的。他们使用一种名为“信息窃取者(infostealer)”的病毒型恶意软件感染求职者的个人电脑，从而在用户不知情的情况下。这意味着，一旦电脑被感染，黑客便能使用受害者的账号合法地登录France Travail系统，浏览或下载更多的个人资料。

目前France Travail尚未确认被盗数据的具体内容或确切人数，仅表示调查仍在进行中。但网络安全专家警告，这些数据极有可能，并被用于以下犯罪行为：通过伪造France Travail、银行或政府邮件、短信等方式，引诱受害者泄露个人或银行信息;利用受害者身份进行虚假交易、贷款或投资欺诈;冒用他人身份实施犯罪、损害声誉或进行金融操作。

六、新闻Slack平台遭入侵致数据泄露

近日，日本最大媒体集团日经新闻披露，其内部Slack平台因员工电脑感染木马导致凭据被盗，攻击者借此读取17368名雇员及合作伙伴的姓名、邮箱与聊天记录。

事件9月被发现后，集团已强制重置密码并主动向个人信息保护委员会呈报，强调未波及机密信源与采访资料。该出版商补充说，此次事件中没有泄露任何与机密消息来源或报道活动相关的信息，并表示为新闻目的收集的个人数据仍然安全。

七、外包巨头Conduent数据泄露波及逾一千万人

近日，美国业务流程外包(BPO)巨头Conduent确认，其于2024年遭遇的网络入侵事件已导致超过1050万人个人信息泄露。泄露数据包括姓名、社会安全号码、出生日期、健康保险及医疗信息等。此次事件最严重的受影响方为俄勒冈州政府，单州受害者数即达1050万，其余德州、华盛顿及缅因州亦有报告。

Conduent此前曾在2025年初遭遇由Safepay勒索团伙声称负责的攻击，后调查发现攻击者早在2024年10月即已入侵系统。尽管目前尚无被盗数据被滥用的证据，事件暴露出大型外包服务商在数据安全防护上的隐患。官方建议受影响用户监控信用记录并启用防欺诈警报，以防身份盗用风险。

SafePay是自2024年9月活跃起来的一支私人勒索软件团伙，已将260多家受害组织列入其暗网泄密站。该团伙常见手法包括在加密受害者系统前，窃取敏感数据，以泄密要挟未付款企业。

八、日本广告巨头电通子公司Merkle遭数据泄露

近日，日本广告巨头电通(Dentsu)披露，其美国子公司Merkle遭遇网络安全事件，导致员工及客户数据被窃取。事件发生后，公司立即启动应急响应并关闭部分系统，以防止进一步扩散。泄露信息包括员工银行与薪资资料、个人联系方式及部分客户与供应商数据。电通已通知受影响个人，并向相关国家监管机构报告。

关于海外企业的网络安全事件：“我们检测到集团海外业务中领先的客户体验管理 (CXM) 公司 Merkle 的部分网络出现异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复正常。我们已按照各市场的法律体系向有关当局报告了该事件，并正在与一家在处理类似案件方面经验丰富的外部网络安全公司合作，继续进行调查。此次事件不会影响日本的网络系统。虽然预计会造成一定的经济损失，但我们将继续密切关注损失的规模和时间。”

九、宾夕法尼亚大学遭黑客入侵，内部系统遭全面渗透

近日，美国宾夕法尼亚大学(UPenn)遭遇重大数据泄露事件。一名黑客公开声称对上周该校"遭黑客入侵"邮件事件承担责任,并指出实际攻击规模远超校方披露范围，攻击团伙成功突破一名员工的PennKey单点登录(SSO)账户防线,进而获取了VPN网络、Salesforce数据系统、SAP业务平台及SharePoint文件库的完整访问权限,致使大量在校生、校友及捐赠者的敏感信息遭窃,泄露数据涵盖姓名、出生日期、住址、预估净资产、捐赠历史记录,以及宗教信仰、种族归属等高度敏感的隐私数据。

业界之声

一、构建网络空间命运共同体 谱写数智未来美好新篇章

《中国网信》杂志2025年第10期刊发中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文署名文章。

文章指出，中国是构建网络空间命运共同体理念的积极倡导者，也是有力引领者和坚定践行者。十年来，在构建网络空间命运共同体理念指引下，中国不断深化网络空间国际对话交流，与国际社会一道，大力推进数字基础设施建设，加强数字经济国际合作，促进互联网普惠包容发展，共同维护网络空间安全，积极参与全球互联网治理体系改革和建设，携手推动构建网络空间命运共同体迈向新阶段。

文章强调，要朝着构建网络空间命运共同体的宏伟目标阔步迈进。筑牢安全基石，推动网络空间更加和平稳定。始终秉持共同安全的理念，加强网络政策与战略层面对话协商，协同打击网络恐怖主义和网络诈骗、数据窃取等跨国违法犯罪行为，坚决遏制网络空间黑灰产业链蔓延。深化网络安全领域务实合作，促进技术交流与联合研发，推动建立网络安全威胁信息共享机制，共同提升应对高级持续性威胁、关键信息基础设施攻击等风险的能力。积极应对人工智能、量子计算等前沿科技发展带来的安全挑战，为世界各国数字化转型和可持续发展提供坚实安全保障。

二、全面建成基本能力体系，数字重庆的进阶之路

近日，数字重庆建设推进会召开。这是今年重庆第4次举行推进会，也是数字重庆建设的第11次例会。

会议指出，全面建成数字重庆基本能力体系，需要有关键作为。对数字重庆建设而言，目前正是全面形成基本能力的收官冲刺期，当务之急是要围绕“1361”体系能力建设做文章，锚定目标任务，加快补齐短板弱项，扎实推进数字中国建设综合试点，全面建成数字重庆基本能力体系，加快探索超大城市现代化治理新路子。

比如，要增强“1”的支撑能力。一体化平台是数字重庆的“底座”，要聚焦超大城市本质安全、便民惠民等应用场景实战需求，全面提升数据准确性可用性及时性；加快建设AI+综合场景高质量数据集，大力推进城市、医保、汽车等国家可信数据空间试点，开发一批高价值数据产品；守土负责、守土尽责，牢牢守住网络、数据、系统安全底线，不断强化云网数端用一体化安全防护功能。

比如，要提升“3”的实战能力。三级治理中心作为重庆的“超级大脑”，要扭住实战实效这个关键，推动区县治理中心八大板块应用贯通全覆盖，避免只建不用、只贯通不实战；加强线上线下业务贯通融合，提高区县治理中心实战活跃度；进一步用数据流打通决策流、业务流、执行流，迭代打造中心城区缓堵促畅等综合场景，不断增强中心城区多跨协同水平。

三、河北省数据交易服务中心正式成立

近日，河北省数据交易服务中心揭牌仪式在河北省数据和政务服务局举行，标志着河北省数据交易服务中心正式成立。

新成立的河北省数据交易服务中心坚持“政府主导、多方参与、市场运作”原则，主要负责开展数据交易撮合与数据资产化服务。

其中，公共数据由河北省公共资源交易中心数据交易部依托河北省公共数据交易平台开展数据交易服务；社会数据由河北省新智数据发展研究院数据交易服务中心依托河北省数据交易服务平台开展市场化、创新性流通合作。通过双平台差异化运作，打造河北特色数据交易服务模式，推动数据要素由资源向资产、资本转化，助力全省数字经济发展并融入全国一体化数据市场。

据了解，目前河北省数据交易服务中心已推出公共数据产品 26 个、社会数据产品 4个，同时正积极开发更多满足市场需求的数据产品。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。