数据安全每周观察|多部门联合印发推动物流数据开放互联相关方案

政策趋势

一、国家发展改革委等部门印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》

近日，国家发展改革委、国家数据局、中央网信办、交通运输部、海关总署、市场监管总局、国家铁路局、中国民航局、国家邮政局、中国国家铁路集团有限公司制定并印发了《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》。

《方案》强调筑牢安全保障。要建立健全物流数据开放互联安全防护体系。压实相关部门和单位安全管理责任，制定完善网络安全、数据安全事件应急预案，及时处置相关安全威胁和事件，并按照规定向有关主管部门报告。落实物流数据分类分级保护要求，鼓励加强区块链、隐私计算等技术应用，促进数据可信交互，切实保障数据安全。

二、国家卫健委等部门印发《医务人员互联网健康科普负面行为清单(试行)》

近日，国家卫生健康委、国家中医药局、国家疾控局联合印发《医务人员互联网健康科普负面行为清单(试行)的通知》。

《通知》指出，近年来，公众对健康知识的需求日益增强，互联网已成为公众获取健康科普信息的重要途径，但个别医务人员以健康科普名义“带货”“打广告”、违规泄露医疗信息，违背了健康科普初衷、损害了医疗行业形象。

《清单》强调内容包含：不得泄露患者个人信息，或未经患者授权同意，展示可识别个人身份的影像、图片或文字。不得滥用人工智能技术，发布未经核准真实性、科学性，或未添加显著人工智能生成合成标识的健康科普内容。

三、广东八部门联合印发《促进广东省注册会计师行业高质量发展工作措施》

近日，广东省财政厅、广东省委网络安全和信息化委员会办公室、广东省委金融委员会办公室、广东省发展和改革委员会、广东省商务厅、广东省人民政府国有资产监督管理委员会、国家金融监督管理总局广东监管局 、中国证券监督管理委员会广东监管局八部门印发了《促进广东省注册会计师行业高质量发展工作措施》，明确提出，要建立健全会计师事务所信息安全管理制度，实施数据分类分级管理，并指导会计师事务所提高数据安全管理和个人信息保护水平。

根据《办法》，会计师事务所应依据相关法律法规以及被审计单位所在行业的数据分类分级标准，识别核心数据、重要数据和一般数据，并对核心数据与重要数据的存储、日志记录与传输等环节作出明确规定。被审计单位则有义务通过业务约定书、确认函等形式，向会计师事务所告知审计资料中所涉及的核心数据与重要数据相关信息。在数据存储方面，存储重要数据的系统应满足网络安全三级及以上等级保护要求，而存储核心数据的系统则应达到四级保护标准。在日志管理方面，涉及核心数据的日志留存时间不少于三年，涉及重要数据的日志不少于一年，其中向他人提供、委托处理或共同处理重要数据的相关日志，留存时间同样不少于三年。

此外，会计师事务所的审计工作底稿应按规定存储在境内。事务所不得在业务约定书或类似合同中加入向境外监管机构提供境内项目资料数据的条款。如境外监管机构确因监管需要调取境内审计工作底稿，应通过跨境监管合作机制依法获取，且相关底稿出境须办理审批手续。会计师事务所还应建立审计工作底稿出境的逐级复核机制，切实落实数据安全管控责任。

监管动态

一、警惕“过保”网络设备成境外间谍“帮凶”，国家安全部发布提醒

国家安全部近日发布安全提醒，指出大量超出技术支持期限的路由器、摄像头等联网设备正成为境外间谍情报机关和黑客组织的攻击目标。这些设备因固件和应用程序中存在未修复漏洞，极易被自动化工具识别并利用已知漏洞获取控制权。

一旦设备被成功入侵，攻击者可将其作为中转节点，对内网设备实施扫描窃取敏感信息，或向外部目标发起攻击。单点漏洞突破可能引发连锁反应，导致大规模数据泄露和服务中断事件。

针对这一安全隐患，国家安全部提出三项防护措施:一是定期通过官方渠道查询设备生命周期，对停产且长期未更新固件的设备及时更换：二是对暂时无法替换的设备实施网络访问最小化原则，配置严格访问控制，关闭远程连接等敏感服务，阻断其成为攻击跳板：三是对仍在支持周期内的设备持续关注厂商发布的安全补丁，及时下载安装修复程序，防止安全威胁扩散。

二、工信部通报39款治理违规收集使用个人信息的APP及SDK

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期抽查共发现39款APP及SDK存在侵害用户权益行为，现予以通报。

三、4家金融机构因“信息泄露 数据治理”等 被罚722万

近日，国家金融监督管理总局温州监管分局公布行政处罚信息，对温州地区 4 家金融机构及相关责任人依法作出行政处罚：

1、浙江永嘉农村商业银行股份有限公司及相关责任人

该机构因存在员工行为管控漏洞、统计数据报送不真实等数据管理违规行为，被国家金融监督管理总局温州监管分局罚款人民币 180 万元；相关责任人袁志鹏被给予警告，并处以罚款人民币 5 万元。

2、浙江瑞安农村商业银行股份有限公司及相关责任人

由于违规设立存贷款考核指标、统计数据核算不准确等数据治理问题，该机构被罚款人民币 165 万元；相关责任人万立受到警告处罚，处罚决定由国家金融监督管理总局温州监管分局作出。

3、中国太平洋财产保险股份有限公司温州分公司及相关责任人

该公司因业务信息安全管理缺失导致信息泄露，被国家金融监督管理总局温州监管分局罚款人民币 17 万元;相关责任人刘朝宇被警告，并处以罚款人民币 6 万元；另一责任人陈胜被禁止进入保险业 10 年。

4、浙江乐清农村商业银行股份有限公司及相关责任人

该机构因贷款 “三查” 风控流程执行不到位导致信贷资金挪用、贷款五级分类数据判定不准确等核心业务技术违规，成为此次处罚中罚款金额最高的机构，被罚款人民币 360 万元；相关责任人朱福友、黄招兵均被给予警告，处罚决定由国家金融监督管理总局温州监管分局依法作出。

四、8家银行因违反网络安全 数据安全规定被罚

银行网络安全、数据安全罚单不断。经《银行科技研究社》统计，近期，又有8家银行因相关问题被罚，涉及国有银行、股份制银行、城商行、农商行、村镇银行等。

中国人民银行苏州市分行发布的行政处罚信息显示，江西银行苏州分行因“违反网络安全管理规定；违反数据安全管理规定；违反信用信息采集、提供、查询及相关管理规定”等5项违法行为，被警告，并被罚款67.2万元。

中国人民银行宁夏回族自治区分行发布的行政处罚信息显示，宁夏宁东本富村镇银行因“违反网络安全管理相关规定；违反数据安全管理相关规定”，被警告。企查查信息显示，该行的最大股东为龙江银行，后者持股比例为81.63%。

中国人民银行无锡市分行发布的行政处罚信息显示，无锡滨湖兴福村镇银行因“违反信用信息采集、提供、查询及相关管理规定；违反数据安全管理规定；违反网络安全管理规定”等7项违法行为，被警告，并被罚款31.06万元。企查查信息显示，该行的最大股东为兴福村镇银行，而兴福村镇银行为最大股东为江苏常熟农商银行。

中国人民银行厦门市分行发布的行政处罚信息显示，民生银行厦门分行因“违反数据安全管理规定”等5项违法行为，被警告、通报批评，并被罚款合计147.96万元。

中国人民银行嘉兴市分行发布的行政处罚信息显示，浙江海盐农商银行因“违反信用信息采集、提供、查询及相关管理规定；违反网络安全、数据安全保护管理规定”等8项违法行为，被警告，并被罚款158.3万元。

中国人民银行怀化市分行发布的行政处罚信息显示：建设银行怀化市分行因“未制定网络安全事件应急预案”等4项违法行为，被警告，并被罚款44.7万元；湖南溆浦农商银行因“未制定网络安全事件应急预案；违反安全管理要求”等5项违法行为，被警告，并被罚款18.4万元。

中国人民银行宁波市分行发布的行政处罚信息显示，宁波甬城农商银行因“违反网络安全管理规定；违反信用信息采集、提供、查询及相关管理规定”等8项违法行为，被警告，并被罚款262.05万元。

五、现代汽车确认遭遇数据泄露，攻击者持续驻留9天获取用户驾照信息

现代汽车美国软件子公司（Hyundai AutoEver America, LLC）已正式确认，公司因协同网络攻击导致客户敏感信息泄露。这家汽车软件供应商通过向受影响用户发送的官方违规通知信披露了事件细节，确认攻击者非法获取了用户姓名、社会安全号码及驾照信息。

根据泄露时间线记录，非法访问活动始于2025年2月22日，攻击者持续访问现代汽车软件公司信息技术环境约9天。公司于2025年3月1日发现入侵后立即启动全面调查，并获外部网络安全专家与执法机构协同支持。最后一次异常活动出现在2025年3月2日，表明公司在此时间窗内成功遏制了事件蔓延。

取证分析显示，此次事件导致多种敏感个人信息外泄，包括客户姓名与政府签发身份证件号码。通知信特别指出社会安全号码和驾照信息属于被泄露数据范畴。公司表示已向受影响用户发送个性化通知，详细说明其具体暴露的数据类型，帮助客户评估个体风险等级。为确定泄露影响范围并识别所有需通知对象，现代汽车软件公司联合第三方网络安全专家完成了对海量取证信息与受影响数据库的深度分析。发现漏洞后，现代汽车软件公司立即切除了未授权第三方对受影响系统的访问权限，并聘请第三方网络安全专家协助开展全面调查与修复工作，同时实施强化安全措施以防范未来类似事件。

六、日立子公司GlobalLogic遭Clop勒索攻击10500名人力资源数据泄露

日立集团旗下的数字工程服务提供商 GlobalLogic近日宣布，因与Oracle E-Business Suite相关的零日漏洞遭Clop勒索软件组织攻击，导致近10500名现任和前任员工的人力资源数据被泄露。

GlobalLogic于2021年被日立收购，目前为近600家客户提供服务。该公司在加利福尼亚州和缅因州提交了数据泄露通知，显示攻击发生于2023年7月，直至10月9日才被发现。泄露的数据包括姓名、地址、社会保障号、工资信息等敏感信息。

攻击者利用Oracle E-Business Suite零日漏洞CVE-2025-61882.在2025年7月10日至8月20日期间侵入GlobalLogic的Oracle平台。该漏洞允许攻击者绕过系统安全防护，直接访问并窃取存储在Oracle EBS中的敏感人力资源数据。调查显示黑客最早于10月9日完成数据外泄，这与Clop勒索团伙自8月初开始针对Oracle EBS系统的攻击时间线高度吻合。

Clop团伙采用双重勒索策略，先窃取数据再实施勒索。尽管GlobalLogic尚未出现在该团伙的泄露网站上，但哈佛大学、Envoy Air等机构已被公开曝光。该团伙此前还曾利用Accellion FTA、MOVEit Transfer等系统的漏洞发动过大规模攻击。

七、数据泄露事件波及瑞典15%人口,隐私监管机构介入调查

瑞典隐私保护局(IMY)正在调查政府主要软件供应商Miljödata的数据泄露事件，该事件导致150万人的个人信息遭到泄露。8月25日,Miljödata在遭遇系统中断后发现数据泄露，攻击者要求支付1.5个Bitcoin以避免在暗网公开被窃信息。

据数据泄露追踪网站Have I Been Pwned统计，此次攻击影响超87万账户，泄露信息包括姓名、政府颁发的身份证件号、出生日期、电子邮件地址、电话号码、实际地址和性别。部分被泄露文件还包含医疗证明、康复计划和工伤信息等敏感内容。考虑到瑞典总人口仅1000万，此次泄露影响了约15%的国民。

由于Miljödata为瑞典80%的市政当局提供服务，数据泄露影响了Gotland、Halland、Kalmar等多个地区的政府服务。IMY已对Miljödata及部分受影响行政单位启动调查，评估其是否采取了充分的数据保护措施，可能涉及违反GDPR法规。网络安全专家将Datacarry勒索软件组织归因为此次攻击的幕后黑手，该组织自2024年6月起活跃，使用泄露的Conti勒索软件加密工具实施攻击。

八、《华盛顿邮报》遭遇毁灭性网络攻击，近万名员工敏感数据遭泄露

近日，美国新闻机构《华盛顿邮报》遭遇了一次毁灭性的网络安全事件。黑客利用其内ERP系统（Oracle EBS套件）中一个零日漏洞 成功窃取了近万名（9720名）现任及前任员工与承包商的高度敏感个人身份信息 (PII) 和财务数据。

此次事件的重灾区是Oracle EBS系统。作为广泛使用的大型企业资源规划 (ERP) 平台，该系统统一管理着企业的人力资源、财务和供应链等核心功能，堪称企业的“数据中枢”。

调查于10月27日结束，确认被泄露的数据“含金量”极高，包括：员工全名、银行帐号及路由号码、社会安全号码 (SSN)、税务及身份证号码等。这些数据的泄露使近万名受害者面临严重的身份盗窃和金融欺诈风险。《华盛顿邮报》已向受害者提供了 12个月的IDX身份保护服务。尽管官方通知中未点名攻击者，但安全界普遍将此次攻击指向了臭名昭著的Clop勒索软件团伙。

该团伙以利用大型企业软件（如GoAnywhere, MOVEit）的零日漏洞发起“供应链”式攻击而闻名，堪称ERP杀手。此次针对Oracle EBS的攻击活动是一场波及全球的广泛战役，其他已确认的受害者还包括哈佛大学、美国航空子公司Envoy Air以及日立旗下的GlobalLogic。Clop的暗网泄露网站上还列出了更多疑似受害组织。

业界之声

一、优化停车扫码缴费，佛山出手保护个人信息安全

扫码缴个停车费，先得关注公众号，关不掉的广告，看不完的用户协议……相信不少开车的市民朋友，都曾在停车场遇到过这样的强制体验。近日，媒体报道有市民在停车扫码缴费过程中，频繁遭遇强制关注公众号、无法关闭广告或同意隐私协议等操作，严重影响出行效率与消费体验。此前记者实测发现，仅凭一个车牌号，在佛山多个主流停车应用程序中，即可查询到车主的完整行程轨迹，用户的个人信息安全正面临严峻挑战。

为回应社会关切，近日，佛山市互联网信息办公室、市互联网行业党委联合市交通运输局、市市场监督管理局、市停车场行业协会、市消费者委员会共同发起《佛山市停车场服务行业扫码缴费自律公约》。

《公约》明确要求，各停车场管理单位应提供一步直达缴费页面的二维码，扫码缴费过程中不强制、诱导消费者注册会员、关注微信公众号；未经消费者同意，不发送商业性信息。同时，缴费二维码应张贴于显著位置，便于识别与操作。

停车扫码缴费过程中普遍存在的强制关注公众号、广告弹窗泛滥等问题，不但严重影响了消费者体验，更埋下了个人信息泄露的隐患。这些信息可能被非法获取并用于商业营销甚至诈骗活动，直接威胁消费者人身安全。对此，《公约》提出，管理单位须建立个人信息全流程安全管理制度，切实保障消费者个人信息安全。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。