数据安全每周观察|《网络数据安全风险评估办法》公开征求意见

政策趋势

一、国家互联网信息办公室关于《网络数据安全风险评估办法（征求意见稿）》公开征求意见的通知

近日，国家互联网信息办公室起草了《网络数据安全风险评估办法（征求意见稿）》，现向社会公开征求意见

《办法》根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规制定，旨在规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用。

《办法》强调，处理重要数据的网络数据处理者（以下简称重要数据处理者）应当每年度对其网络数据处理活动开展风险评估。《办法》鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。风险评估工作应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577）等有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。

网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行的义务包含：为评估机构开展风险评估工作提供必要支持，包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等；在限定时间内完成风险评估，承担评估费用，情况复杂的，报有关部门批准后可以适当延长；在完成风险评估后将评估机构出具的评估报告报送有关部门，评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章；按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。

二、关于48项网络安全国家标准外文版项目立项的通知

根据《国家标准委关于印发<网络安全国家标准外文版专项行动计划>的通知》，全国网络安全标准化技术委员会归口的48项网络安全国家标准外文版，近日正式立项并印发清单。

三、国家能源局发布《能源行业数据安全管理办法》

为落实《中华人民共和国数据安全法》等法律法规，国家能源局制定并印发《能源行业数据安全管理办法（试行）》，自2026年7月1日起施行。

《办法》根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规制定，旨在规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益。

《办法》能源行业数据保护要求部分强调，能源数据处理者开展数据处理活动，应建立健全数据安全管理制度，明确数据全生命周期各环节的管理要求；定期组织开展能源行业数据安全知识和技能教育培训。能源行业重要数据、能源行业核心数据的处理者应建立数据安全工作体系，加强人员和经费保障，并配合有关部门开展监督检查工作。利用互联网等信息网络开展能源行业数据处理活动的，应落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求。存储处理能源行业核心数据的信息网络，如涉及关键信息基础设施，应在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求；不涉及关键信息基础设施的，应落实四级网络安全等级保护要求。法律法规和国家有关规定要求使用商用密码进行保护的，还应遵守商用密码保护有关规定。

能源行业重要数据的处理者在重要数据的收集、存储、使用、加工、传输、提供、公开、删除等环节，应综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护。按照业务需要和最小授权原则，依据岗位职责设定数据处理权限，控制重要数据的接触范围，发生人员变动时应及时调整权限。加强对数据共享、调用的安全管控，采取技术措施定期监测数据共享、调用情况，并配备风险隔离、认证鉴权、威胁告警等安全保护措施。因合并、分立、解散、被宣告破产等原因需要转移、销毁能源行业重要数据的，应采取必要的安全保护措施，并事前向省级能源主管部门报告数据处置方案。引起重要数据目录变化的，应及时向数据载体所在地省级能源主管部门报备。

能源行业核心数据的处理者跨不同法人主体提供、转移、共享核心数据的，应采取必要的安全保护措施，并告知数据接收方按照对应级别进行分类分级保护。自当年度1月1日起可能累计达到上一年度末该项核心数据静态总量30%及以上的，应经国家能源局报有关部门组织风险评估；未达到30%的，由省级能源主管部门提出初步评估意见，报国家能源局开展评估。涉及国家机关依法履职、国家机关或企事业单位内部流动的能源行业核心数据除外。

四、北京政数局就《北京市全面深化“一网通办” 推进政务服务数智化发展行动计划（2026-2027年）（征求意见稿）》征集意见

为贯彻落实党中央、国务院关于进一步优化政务服务、提升行政效能、深入实施“人工智能+”行动等决策部署，着眼政务服务标准化、规范化、便利化，全面深化“一网通办”，加快推进政务服务数智化发展，不断优化政务服务体验，擦亮“北京服务”品牌，北京市政务服务和数据管理局牵头起草了《北京市全面深化“一网通办” 推进政务服务数智化发展行动计划（2026-2027年）（征求意见稿）》，现向社会公开征集意见。

《计划》要求加强网络安全和数据安全。压实各级安全责任，落实网络和数据安全防护要求，提升一体化政务服务平台防护能力。加强数据全生命周期安全管理，做好政务服务数据分类分级防护，保护个人和企业办事数据安全。强化大模型等新技术的应用安全，防范模型的黑箱、幻觉、算法歧视等带来的风险。加强安全监测预警系统建设，完善应急预案，提高应急处置能力。

五、工信部修订印发《产业技术基础公共服务平台管理办法》

为加快推进新型工业化，筑牢产业技术基础根基，工业和信息化部近日印发新修订的《产业技术基础公共服务平台管理办法》，包括总则、申报、审核发布、运行、动态管理、附则等6章22项条款，自2025年12月5日起施行。

《办法》提出，服务平台申报单位应当明确申报的服务行业领域及服务范围。服务重点行业和领域包括装备、石化化工、钢铁、有色、建材、轻工、纺织、食品、医药、新一代信息技术、生物技术、新能源、新材料、新能源汽车、人工智能、元宇宙、脑机接口等；服务范围主要包括计量检测、标准验证与检测、质量可靠性试验检测、认证认可、产业信息、知识产权、技术成果转化等。

《办法》强调，服务平台应加强自身能力建设，不断提高业务能力、服务开放水平，结合发展实际提升数据开源共享水平，密切关注产业发展动态和技术趋势，探索新业务模式和商业模式，及时调整、优化服务内容，强化数据应用效能，提高服务质量和服务效率，赋能企业发展。

六、河南省政府办公厅印发《河南省复制推广自贸试验区全面对接国际高标准经贸规则推进高水平制度型开放试点措施实施方案》

近日，河南省政府办公厅印发《河南省复制推广自贸试验区全面对接国际高标准经贸规则推进高水平制度型开放试点措施实施方案》，发布七个方面82条举措，明确提出鼓励商用密码产业发展。全面对接国际高标准经贸规则，促进河南省制度型开放水平、系统性改革成效全面提升。

《方案》强调率先实施高标准数字贸易规则，促进和规范数据跨境流动。在国家数据分类分级保护制度框架下，开展重要数据识别工作，支持制定数据出境负面清单，在自贸试验区片区建立数据跨境服务中心。加强相关行业出境数据分类指导，指导数据处理者开展数据出境自评估，提升数据跨境流动便利性。在符合国家数据跨境传输安全管理要求前提下，企业和个人因业务需要可向境外提供数据。落实国家数据安全管理认证制度，鼓励形成符合个人信息保护要求的标准或最佳实践。指导企业按照相关标准规范开展数据处理活动，鼓励采信数据安全管理认证结果。

七、海南省政府公布《海南省促进公共数据资源开发利用办法》

《海南省促进公共数据资源开发利用办法》已经2025年11月25日第八届海南省人民政府第78次常务会议审议通过，现予公布，自2026年2月1日起施行。

《办法》第七章 公共数据安全部分强调，省人民政府营商环境建设主管部门应当会同网信、公安、国家安全、保密行政管理、密码管理等部门和省大数据建设运营机构，建立健全数据共享开放安全管理制度，按照“谁管理谁负责、谁使用谁负责”的原则，明确数据共享开放各环节安全责任主体，督促落实安全管理责任。省人民政府数据主管部门应当会同相关行业主管部门和网信、公安、国家安全、保密行政管理、密码管理等部门建立健全公共数据资源授权运营网络安全、数据安全、个人信息保护等的协同监管机制，督促实施机构落实安全管理责任。公共管理和服务机构应当建立健全本单位、本行业、本领域公共数据开发利用安全管理制度，落实公共数据开发利用安全管理主体责任和数据分类分级管理要求，保障数据安全。自然人、法人、非法人组织在使用依法获得的公共数据过程中，发生公共数据篡改、破坏、泄露或者非法利用等情形的，应当承担安全管理责任。

公共管理和服务机构应当加强公共数据安全风险监测，发生公共数据安全事件时，应当立即启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并按照规定向网信、公安、营商环境建设、数据等行业主管部门和省大数据建设运营机构报告。

公共管理和服务机构委托他人参与建设、运行、维护政府信息化项目，存储、加工公共数据，应当按照国家和本省有关规定履行批准程序，明确工作规范和标准，并采取必要技术措施，监督受托方履行相应的公共数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行公共数据安全保护义务，不得擅自访问、获取、留存、使用、泄露或者向他人提供公共数据。

监管动态

一、“内鬼”利用职务之便非法获取贩卖公民个人信息被抓

近日，福建公安机关网安部门在开展“个人信息保护”系列专项工作中，侦破一起房地产行业“内鬼”贩卖公民个人信息案件，一举抓获违法犯罪嫌疑人19名，实现对辖区内公民个人信息被非法买卖转手犯罪环节的全链条打击，切实斩断了辖区公民个人信息外流渠道，同时强化全链条监管筑牢内部信息安全防线，从源头遏制数据泄漏风险，切实维护了群众个人信息安全。

2024年10月至今，泉州某地产从业人员陈某珍、许某等人为获利，利用职务之便，非法获取多个辖区小区楼盘业主信息，并将包括小区名称、楼号、房号、业主姓名、业主电话等业主隐私信息进行多次买卖。2025年4月，泉州公安机关在工作中发现某中介门店掌握的大量个人房产信息来源存疑，立即对该情况进行调查，发现一个由房地产公司、物业公司“内鬼”和房产中介机构组成的贩卖公民个人信息犯罪链条。目前，陈某等15人被采取刑事强制措施，4人受到行政处罚。

对从业人员的法律提醒：根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到普通入罪标准一半以上的，即构成侵犯公民个人信息罪。

对企业和单位的法律提醒：《个人信息保护法》第六十五条规定，任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。企业和单位若未妥善保护公民个人信息，导致“内鬼”出现泄露信息的情况，不仅要承担民事责任，还可能被处以巨额罚款，相关负责人也可能被追责。

对公民的法律提醒：《个人信息保护法》第四十四条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。公民发现自己的个人信息被非法处理，可以向相关部门投诉、举报，也可以依法向法院提起诉讼，要求侵权方承担相应的法律责任。

二、工信部通报24款存在侵害用户权益行为APP及SDK

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部信息通信管理局对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现24款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

三、包头网信办发布3起网络执法典型案例

据网信内蒙古报道，为深入贯彻习近平法治思想、习近平总书记关于网络强国的重要思想，包头市互联网信息办公室近期持续加大对网络安全、数据安全、网络信息内容领域执法力度，依法查处一批网络违法案件。典型案例如下：

案例一：某医院数据存在泄露安全风险案

某医院信息系统存在未授权访问漏洞，导致用户个人信息暴露在互联网上，存在泄露安全风险。经查，医院信息系统由内蒙古某科技有限责任公司开发运维，源代码存在逻辑缺陷。涉事医院、企业未履行网络安全、数据安全保护义务，未采取必要技术措施保障数据安全，存在敏感个人信息泄露安全风险，违反《网络安全法》《数据安全法》等法律法规规定。网信部门已依法责令其改正，并予以警告处罚。

案例二：多家企业网页篡改案

昆都仑区某文具店、东河区某医院等6个网站首页被篡改显示赌博违法信息。经查，以上企业网站弃用后，未按要求停止域名解析、关闭服务器、终止配套网络服务，也未向通信管理部门注销ICP备案信息，域名到期后被不法分子抢注用于违法活动。涉事单位未及时发现网络安全问题，未采取补救措施，违反《网络安全法》相关规定。网信部门已依法责令其改正，并予以警告处罚。

案例三：某网站平台用户传播违法信息案

某游戏论坛类网络平台用户“星河梦影”上传的游戏插件中含有多张淫秽色情图片。经查，网站平台调用第三方文本、图片审核API，但对特殊文件格式没有审核措施，导致网站平台传播淫秽色情信息。涉事网络平台未严格履行信息内容管理主体责任，未及时发现用户发布的违法违规信息，未采取消除等处置措施，违反《网络安全法》《网络信息内容生态治理规定》等法律法规规定。网信部门已依法约谈网站主体并责令其改正。网站平台已删除违法信息，封禁涉事账号。

网信部门提示，网络安全为人民，网络安全靠人民。各企事业单位要以案为鉴，增强风险防控意识，切实履行网络安全和数据安全保护义务。

四、派出所两名辅警盗用副所长数字证书售卖公民信息 牟利11.7万元获刑

近日，派出所两名辅警为谋取利益，盗用副所长的公安网数字证书，通过聊天软件为不法分子提供公民个人信息，二人牟利超11.7万元。从中国裁判文书网获悉，河北唐山路南区法院已对该案作出刑事判决。

王某和陈某原是派出所辅警，今年3月26日至5月10日期间，王某为谋取非法利益，通过聊天软件联系了昵称为“聚XX档”的人，在派出所内私自使用副所长的数字证书，按“聚XX档”要求为其提供公民个人信息。而陈某经王某介绍，在4月21日至5月10日期间，使用同样的方式，盗用数字证书为“聚XX档”及“椰XX档”提供公民个人信息。

法院查明，两人共同为“椰XX档”提供公民个人信息，违法所得人民币7986元(王某分得3600元)。王某出售公民个人信息违法所得共计74152元，陈某违法所得共计人民币48303.33元。法院认为，被告人王某、陈某为牟取非法利益，违反国家规定，向他人出售公民个人信息，情节严重，已构成侵犯公民个人信息罪，应予处罚。考虑到二人退缴全部赃款，酌情对其从轻处罚。2025年11月17日，路南法院作出刑事判决，被告人王某犯侵犯公民个人信息罪，判处有期徒刑二年八个月，并处罚金人民币8万元。被告人陈某犯侵犯公民个人信息罪，判处有期徒刑一年十个月，并处罚金人民币5万元，随案移送的违法所得117199.3元，予以没收，上缴国库。

五、贵州福泉农商行因“网络安全”等被罚140.18万

近日，中国人民银行黔南布依族苗族自治州分行公示一份行政处罚信息（黔南银处罚〔2025〕 0002号），贵州福泉农村商业银行股份有限公司存在10项主要违法违规行为，具体涉及：未按规定报送账户开立、撤销等资料;违反特约商户资金结算管理规定；相关人员不具备反假专业能力；在用现金机具鉴别能力不符合国家和行业标准；未按规定收缴假币；占压财政存款或者资金；提供个人不良信息，未事先告知信息主体本人；未按规定履行客户身份识别义务；未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；提供虚假的或隐瞒重要事实的统计资料。

针对以上违法违规行为，中国人民银行黔南布依族苗族自治州分行作出如下处罚决定：对贵州福泉农村商业银行股份有限公司予以警告、罚款140.18万元；对谭某（贵州某农村商业银行股份有限公司）、彭某（贵州某农村商业银行股份有限公司）、姚某林（贵州某农村商业银行股份有限公司）与袁某黎（贵州某农村商业银行股份有限公司合规风险部）分别处以罚款2.6万元，四人未按规定履行客户身份识别义务负有责任。

六、韩电信公司LGU+人工智能服务用户通话信息遭泄

近日，韩联社报道，韩国移动运营商LGU+的人工智能服务“ixi-O”发生用户通话内容外泄事故，电信运营商信息保护漏洞问题再次浮出水面。

据通信业界消息，LGU+的36名用户的通话摘要、对方电话号码、通话时间等信息被泄露。LGU+方面表示，身份证号码、护照号码等敏感信息和个人金融信息未被泄露，未达到需申报的条件，但公司主动向个人信息保护委员会申报。然而，LGU+在事发14个小时后通过用户举报才知情，难免遭受舆论批评。尤其是，该公司因被怀疑曾通过服务器升级隐瞒遭黑客入侵的事实而正接受民官联合调查，更引发用户担忧。但 LGU+方面表示，此次事故与黑客攻击无关，而因 ixi-O服务器升级过程中发生的错误所致。

七、高中生利用ChatGPT绕过企业防护系统，窃取超700万条个人数据

安全内参近日消息，日本西部大阪府一名高中生因对一家网吧运营商发动网络攻击被警方拘捕。据报道，超过700万条个人数据遭到泄露。

据称，这名嫌疑人从小学起便自学编程，并在一项网络安全竞赛中获奖。警方认为，他独自编写了这款恶意软件。该公司注意到了网络攻击并采取了防御措施。随后，嫌疑人据称向ChatGPT询问如何绕过公司的安全系统，并依据相关信息修改了自己的程序。该恶意软件累计实施了超过724万次网络攻击。公司被迫暂停了其应用的部分功能。据报道，嫌疑人大体上已承认指控，并告诉调查人员，他觉得在公司系统中发现漏洞“很有趣”。

八、违规共享上千万患者健康数据，大型医疗集团赔偿超3.3亿元

安全内参近日消息，美国凯撒医疗集团（Kaiser Permanente）已同意支付最高4750万美元（约合人民币3.35亿元），以了结一项合并的集体诉讼。该诉讼源于该机构在官网、患者门户以及移动应用中使用跟踪代码。索赔人称，这些跟踪器非法将患者信息共享给包括谷歌、微软及推特在内的第三方。

2024年4月，该集团的保险部门“凯撒基金会健康计划”首次上报联邦监管机构，称发现了一起因未经授权访问或披露导致违反《健康保险携带与责任法案》（HIPAA）的泄露事件，受影响人数达1340万。这是2024年美国卫生与公众服务部收到上报的第二大健康数据泄露事件，仅次于Change Healthcare遭遇的勒索软件攻击，后者影响了近1.93亿人的受保护健康信息。

针对凯撒的合并集体诉讼指控称，该机构在使用嵌入式跟踪代码时违反了多项联邦和州法律，同时涉及其他法律索赔。这些嵌入式代码将原告及集体成员的敏感信息共享给包括Quantum Metric、推特、Adobe、微软必应和谷歌在内的多家第三方。多项诉讼指控凯撒存在过失、违反默示合同，并违反了联邦《电子通信隐私法》、加州《医疗信息保密法》、佐治亚州《计算机系统保护法》、马里兰州《窃听与电子法》以及其他多个州法律。

业界之声

一、“跨境可信数据空间”沙龙暨数据跨境流通服务体系建设专题研讨会成功举办

近日，国家数研院在北京举办“跨境可信数据空间”沙龙暨数据跨境流通服务体系建设专题研讨会。会议以“跨境可信数据空间与数据跨境流通机制”为主题，邀请来自政府部门、有关单位和重点企业专家代表共同参与研讨。

会上，国家数研院系统介绍了可信数据空间、国际数据中心、数字保税区等数据跨境流通体系建设相关内容，对国家数据局《可信数据空间发展行动计划（2024-2028年）》进行解读，并围绕跨境可信数据空间体制机制创新与实践、数据跨境流通生态培育与公共服务、基于可信数据空间的数据跨境流通先行先试与未来展望等方向进行深入探讨。研讨环节中，与会专家围绕跨境可信数据空间建设与数据跨境流通机制展开深入交流。专家指出，跨境数据传输面临合规成本高、交互安全不确定性风险大、数据交易信任机制不完善及监管滞后等多项挑战。在跨境可信数据空间构建方面，专家认为应通过规范数据跨境清单制度、强化数据分类标准、对接国际法律法规等方式应对现有挑战。专家建议积极探索由多方协同推进的模式，鼓励企业深度参与，共同完善相关机制。同时，呼吁持续深化合作，加快探索切实可行的解决方案，以推动数据跨境流通，激发创新驱动发展新动能。

下一步，国家数研院将梳理吸纳本次研讨会成果，持续深化对跨境可信数据空间与数据跨境流通机制的研究探索，为“十五五”时期数据跨境流动与数字领域国际合作高质量发展提供坚实支撑。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。