数据安全每周观察|工业企业数据安全能力成熟度模型正式发布

政策趋势

一、《网络安全标准实践指南——工业企业数据安全能力成熟度模型》正式发布

为落实《中华人民共和国数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》相关要求，引导工业企业逐级提升数据安全能力成熟度水平，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——工业企业数据安全能力成熟度模型》。

《指南》提出了工业企业数据安全能力成熟度模型，规定了工业企业数据全生命周期安全和通用安全的成熟度等级要求，适用于指导工业企业开展数据安全能力建设，以及对工业企业数据安全能力成熟度等级进行评估。

二、《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引（征求意见稿）》公开征求意见

为防范部署使用OpenClaw类智能体的安全风险，提升部署使用OpenClaw类智能体的管理能力，秘书处组织编制了《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引（征求意见稿）》。 现根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，对《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引（征求意见稿）》面向社会公开征求意见。

三、《数据 基础术语（征求意见稿）》等22项国家标准征求意见

根据国家标准化管理委员会下达2025年第二批、第九批、第十批、第十二批推荐性国家标准计划，由全国数据标准化技术委员会归口《数据 基础术语》等22项国家标准。近日，该22项国家标准已形成征求意见稿，并面向社会广泛征求意见。

四、工信部等九部门联合印发《推动物联网产业创新发展行动方案（2026—2028年）》

近日，工业和信息化部等九部门联合印发《推动物联网产业创新发展行动方案（2026—2028年）》，明确将通过推动物联网设备创新升级、提升物联网平台服务效能、培育物联网应用场景、夯实物联网网络底座、营造物联网产业发展生态等五大举措，推动物联网产业创新发展，进一步加速物联网技术全面融入生产、消费和社会治理各领域，促进数字经济和实体经济深度融合，助力发展新质生产力。

《方案》提出，释放物联网数据价值潜能。推动制定统一的物联网数据标准，促进产品数据跨品牌、跨终端、跨平台互联互通。推进行业高质量数据集建设，提高数据的汇聚、处理分析和共享服务能力。指导物联网相关企业履行数据分类分级、重要数据识别报备、安全防护、风险评估等责任义务，提升数据安全保护水平。

加强物联网安全监管。推动实施网络安全标识管理，加速国内外网络安全标识互认，有序引导企业自愿参加。面向物联网网络安全威胁和违规使用，强化网络安全风险监测评估和防护。涉及电信业务经营的企业，应依法取得相应许可。基于区块链网络分布式数字身份服务体系，建设物联网设备分布式身份认证机制。加强物联网设备进网管理，推动物联网与标识解析体系融合发展，打造“一物一码一号一数据”管理体系，提升联网设备精细化管理水平。

五、《数字虚拟人信息服务管理办法（征求意见稿）》公开征求意见

近日，国家互联网信息办公室起草了《数字虚拟人信息服务管理办法（征求意见稿）》，现向社会公开征求意见。

《办法》根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》、《未成年人网络保护条例》、《网络数据安全管理条例》等法律、行政法规制定，旨在促进数字虚拟人信息服务健康发展和规范应用，保障公民、法人和其他组织的合法权益。

《办法》指出，数字虚拟人服务提供者和服务使用者应当依照法律、行政法规规定，在特定目的和范围内开展数据处理活动，使用具有合法来源的数据并落实数据安全保护责任，采取相应的技术措施和其他必要措施保障数据存储、传输安全，防止数据泄露或者不当使用。

数字虚拟人服务提供者和服务使用者应当建立数字虚拟人服务安全风险监测、预警和应急处置、防沉迷提示等机制，建立完善内容导向管理制度；配备与经营规模相适应的技术能力和人员力量，采用人工智能、大数据等技术手段和人工审核相结合的方式，加强对数字虚拟人服务风险的识别、监测和预警，记录并留存日志信息。发现使用数字虚拟人服务从事违法活动的，应当及时采取身份动态核验、警示、限制功能、终止服务等措施；发现存在重大风险的，应当立即暂停或者终止数字虚拟人服务，注销数字虚拟人并消除影响。

数字虚拟人服务提供者应当与技术支持者、服务使用者签订服务协议，明确保障内容安全，以及数据收集、使用、存储规范等权利义务内容。

提供网络信息内容传播服务的服务提供者应当建立完善内容导向管理制度，配备与经营规模相适应的技术能力和人员力量；履行内容安全管理责任，优化内容审核和账号管理机制，加强对其用户发布的信息的管理，及时处置违法和不良信息，并留存日志信息。

六、《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》公开征求意见

近日，国家互联网信息办公室起草了《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》，现向社会公开征求意见。

《规定》根据《中华人民共和国个人信息保护法》、《中华人民共和国民法典》、《网络数据安全管理条例》等法律、行政法规制定，旨在支持中小微企业创新发展，简化小型个人信息处理者履行个人信息保护法律法规义务的措施。

《规定》指出，小型个人信息处理者可以通过在组织管理文件中明确个人信息保护内部管理要求、个人信息安全事件应急处置要求等简便方式，建立个人信息保护管理制度、个人信息安全事件应急预案。

发生或者可能发生个人信息泄露、篡改、丢失的，小型个人信息处理者应当立即采取补救措施，按照法律、行政法规规定通知个人，确因客观条件限制无法通过其他方式通知个人的，可以仅通过在经营场所醒目位置张贴公告、在产品服务客户端中弹窗公告等简便方式通知个人，并按照规定通知履行个人信息保护职责的部门；涉嫌犯罪的，应当及时向公安机关报案。

支持个人信息保护认证机构针对小型个人信息处理者开展认证工作，提高服务质量。通过个人信息保护认证的小型个人信息处理者，在认证有效期内可以免予开展个人信息保护合规审计。

七、《天津市网络安全和信息化条例》5月1日起施行

近日，天津市十八届人大常委会第二十四次会议通过了《天津市网络安全和信息化条例》自2026年5月1日起施行。

《条例》共设总则、网络运行安全、网络信息安全、信息化发展、保障措施、法律责任、附则等7章53条。

《条例》明确任何组织和个人不得利用网络数据从事非法活动，不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理。网络数据处理者向境外提供数据的，应当采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向市网信部门和其他有关主管部门报告。 在强化个人信息保护和网络生态治理方面，《条例》明确利用网络处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的，确保其收集、存储的个人信息安全。生成式人工智能服务提供者应当依法承担网络信息内容生产者责任，履行网络信息安全义务。倡导诚实守信、健康文明的网络行为，强化网络内容建设和管理，规范网络传播秩序，依法处置违法信息和不良信息，营造清朗网络空间。

《条例》强调，要强化网信事业发展的基础支撑，加强对网络安全和信息化发展的资金支持，推动知识产权在网络安全和信息化领域的转化应用，搭建交叉学科发展平台，建设一流网络安全学院，加强实用型和创新型人才培养和引进，强化网络安全和信息化人才队伍建设。并对信息化标准制定、行业自律、专家咨询制度等内容作了规定。

监管动态

一、国家计算机病毒应急处理中心通报：13 类个人信息违规行为集中曝光

近日，国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》检测通报，71 款移动应用及小程序存在违法违规收集使用个人信息行为。

本次通报梳理出13 类违规问题，核心包括：未显著提示隐私政策、默认同意授权、隐私政策未完整列明第三方信息收集目的与范围、未经单独同意向第三方提供信息、未提供信息更正删除与账号注销功能、未提供撤回同意渠道、未对未成年人信息制定专项规则、未采取加密与去标识化安全措施、强制人脸识别等。

通报显示，45 款应用存在隐私政策信息披露不全问题，16 款违规向第三方提供个人信息，24 款未提供撤回同意途径，6 款违规收集未成年人信息，18 款未落实加密等安全技术措施，另有 4 款无隐私政策。

二、37 款移动应用违规采集个人信息被通报 九大问题集中暴露

近日，国家网络安全通报中心发布通报，依据网络安全法、个人信息保护法等法律法规，经公安部计算机信息系统安全产品质量监督检验中心检测，37 款移动应用存在违法违规收集使用个人信息行为。

本次通报问题集中为九类：未公开收集使用规则的应用共 21 款，未明示收集使用目的、方式、范围的 7 款，申请权限未同步告知目的的 5 款，征得同意前收集信息的 5 款，超范围收集个人信息的 7 款，提前索取非必要权限的 4 款，未提供个人信息删除途径的 2 款，未提供账户注销渠道的 4 款，注销时超额收集身份信息的 1 款。涉事应用以商城、分期、返利类小程序与 App 为主，覆盖支付宝、微信小程序及多家应用商店渠道。

三、医美职员监守自盗贩卖客户信息被刑拘

近日，公安部网安局通报，山西太原迎泽区公安网安部门查处一起侵犯公民个人信息案，当地某美容整形医院职员郝某杰被依法刑事拘留，案件正进一步侦办。

2020 年 10 月至 2025 年 11 月，郝某杰利用工作便利，勾结信息公司从医院内部系统盗取含客户电话、医美项目需求的信息并贩卖牟利，仅 2025 年就贩卖客户信息 8000 余条，相关信息被用于精准电话推销，严重侵扰公民正常生活。郝某杰的行为已触犯《中华人民共和国刑法》相关规定，涉嫌侵犯公民个人信息罪，法律明确此类行为情节严重或特别严重将面临不同程度的刑事处罚，相关部门也借此提醒行业从业者坚守职业底线、相关单位强化信息安全管理，市民发现个人信息泄露及时留存证据并报警。

四、思科遭供应链攻击 泄露内部及客户产品源代码

近日报道，思科内部开发环境遭遇黑客攻击。攻击者利用Trivy供应链攻击中窃取的凭证，成功突破思科安全防线。黑客利用植入恶意的GitHub Action插件，大肆窃取系统凭证与核心数据，盗走多个亚马逊云服务密钥，并在部分思科云账户内执行越权操作。黑客还克隆了超过300个GitHub代码库，这些代码不仅包含思科AI助手等核心人工智能产品，还涉及多款未发布的机密项目。思科已紧急隔离受损系统，全面重装设备并轮换安全凭证。

本次数据泄露事件直接波及思科的企业客户。被盗的代码库中，受害者名单涵盖大型银行机构、业务流程外包公司，甚至包括美国政府机构。

五、软件更新致 API 缺陷 劳埃德银行集团近 45 万客户数据泄露

近日消息，英国劳埃德银行集团因 IT 故障发生数据泄露事件，波及约 447936 名个人客户，涉及 Lloyds、Halifax、Bank of Scotland 三大品牌。

事件起因于 3 月 12 日的夜间软件更新，导致银行应用程序接口（API）出现缺陷，引发应用层访问控制失效。客户登录手机银行查看交易时，在极短时间内可能被同步操作的其他用户看到非本人交易信息，未暴露账号密码，也未开放他人账户登录权限。

泄露信息包含国民保险号码、支付参考号、部分客户的工作单位、薪资及收款人全名等，未泄露账号。本次事件中 114182 名客户查看过他人交易，未造成用户资金损失。

六、某国军官跑步佩戴智能手表引发泄密 国安部发文提示

近日，某国发生一起因智能穿戴设备导致的军事机密泄露事件，引发全球关注。

当时该国某重要军事装备正在执行任务，一名军官跑步时佩戴的智能运动手表持续记录并公开了高精度GPS数据，致使该军事装备实时位置等重要敏感信息泄露，给该国国防安全造成难以弥补的重大损失，也让智能穿戴设备的泄密风险再次走入人们的视线。

智能穿戴设备引发的泄密事件并非偶发个案，近年来在全球范围内反复上演，已然成为信息安全领域的突出痛点。

公开案例1：某团队汇总全球某智能手环6460名用户的健身数据，还原出48处核武器存储场所、18处情报机构办公场所等众多敏感信息。

公开案例2：某国领导人出访前，安保人员在其即将下榻酒店附近跑步并留下数字足迹，致使酒店位置信息提前泄露。

公开案例3：某国特工执勤期间佩戴智能穿戴设备记录跑步路线，致使重要会晤的酒店位置遭到泄露。

公开案例4：境内多个健身APP存在违规收集个人信息问题，可能导致个人位置、工作单位等信息泄露。

七、香港惩教署电脑系统遭黑客非法入侵 6800名人员个人资料泄露

近日，香港惩教署公布，早前发现署方其中一个存有惩教署人员个人资料的电脑系统被黑客非法进入，系统存有约6800名惩教署现职及离职人员个人资料，包括姓名、性别、出生日期、学历等。署方指，未有证据显示相关资料外泄或被公开，但已即时向警方报案。

惩教署发现其中一个存有惩教署人员个人资料的电脑系统被黑客非法进入，经初步调查后，相信事件涉及有黑客非法进入内部知识管理系统，继而透过该系统非法进入另一个储存有惩教署人员个人资料的电脑系统，相关资料包括姓名、性别、出生日期、学历，以及在惩教署的任职经历信息与电邮地址。事件涉及约6800名惩教署现职及离职人员。

署方在事件后已封锁该内部知识管理系统、通知用户更改密码、对署方辖下所有系统作全面检视及启动后备程序，以及要求外判服务供应商就事件展开调查。署方并已即时就事件向警方报案，及向保安局、个人资料私隐专员公署及数字政策办公室报告。

八、意大利联合圣保罗银行因客户数据泄露被罚3180万欧元

近日，意大利数据保护机构对意大利联合圣保罗银行处以3180万欧元(约合3641万美元)的罚款，原因是该银行发生了一起影响3500名客户的重大数据泄露事件，并暴露了其内部监控系统的严重缺陷。

根据意大利个人数据保护局(Garante per la protezione dei dati personali)的调查结果，意大利联合圣保罗银行(Intesa Sanpaolo)的一名员工非法获取了3573名客户的敏感银行信息。未经授权的活动持续了很长时间，从2022年2月到2024年4月，期间记录了超过6600次数据查询事件。监管机构强调，这些屡次发生的违规行为长达两年多都未被发现，这表明该银行的内部控制系统存在严重缺陷。未能识别和阻止此类行为，引发了人们对大型金融机构实时监控工具和访问控制有效性的担忧。此次数据泄露事件还涉及一些身居要职的公众人物，这使得事件在合规层面上更加严重。监管机构强调，对于风险较高的账户，特别是政治公众人物和高净值人士的账户，应该采取更严格的安全措施。在开出罚单的同时，意大利当局也承认，联合圣保罗银行已采取纠正措施，加强其内部控制和数据保护机制。

业界之声

一、全国网络安全标准化技术委员会2026年第一次“标准周”活动在珠海举办

近日，全国网络安全标准化技术委员会2026年第一次“标准周”活动在广东省珠海市举办。

会议指出，要强化标准基础保障作用，以标准为牵引，构建立体化、有纵深的网络安全防御体系，为筑牢国家网络安全屏障提供技术支撑。强化标准驱动引领作用，体系化推进人工智能安全标准研制，为新兴未来产业健康发展开辟良好赛道。强化标准规范促进作用，推动数据安全有序流动，为数字经济高质量发展提供安全保障。强化标准交流互鉴作用，推动将优秀国际标准“引进来”和我国实践成果“走出去”，为全球网络空间治理合作搭建桥梁。

会上，与会专家分别围绕人工智能安全与标准趋势、电子产品信息清除强标解读、自然资源行业数据安全保障体系建设、新兴技术领域网络安全国际标准化、网络安全大模型实战技术、智能互联时代打印设备信任、芯片开发与供应链安全等主题分享网络安全技术实践和标准化探索。网安标委秘书处发布了首批网络安全标准化技术研究报告，涵盖智能体安全、智能驾驶网络和数据安全、工业具身智能安全、6G网络内生与边界安全、卫星通信网络安全等主题。

“标准周”活动期间，还组织举办了网络安全产品互联互通、人工智能安全、个人信息保护、低空装备网络安全等4场技术主题交流会和粤港澳标准协同工作研讨会，以及8个工作组会议、国际标准研究组第一次会议、标准优秀实践案例展览等活动。

二、关于征集数据基础设施、高质量数据集等6个方向标准及技术文件验证试点单位的通知

为落实全国数据标准化技术委员会2025年第一次主任委员办公会有关工作要求，现征集数据基础设施、高质量数据集、数据产品、公共数据资源、数据服务、数据匿名化等6个重点方向标准及技术文件验证试点单位，形成一批验证试点应用示范案例。

验证试点目标：通过开展验证试点工作，不断提高标准技术指标的先进性、科学性和适用性，引导政府、行业、企业等各层级力量广泛参与数据基础设施、高质量数据集、数据产品、公共数据资源、数据服务、数据匿名化建设工作，形成成果突出、可复制、可推广的应用示范，为服务数据产业高质量发展提供良好实践。

验证试点标准及技术文件主要有六个方向，一是数据基础设施方向：《可信数据空间 技术架构》 、《可信数据空间 数字合约技术要求》 、《可信数据空间 使用控制技术要求》、《可信数据空间 能力评价要求》。二是高质量数据集方向：《高质量数据集 建设指南》、《高质量数据集 格式要求》、《高质量数据集 分类指南》、《高质量数据集 质量评测规范》、《高质量数据集 数据标注要求》。三是数据产品方向：《数据产品 质量评价通用要求》、《数据产品 描述要求》。四是公共数据资源方向：《公共数据资源登记 实施指南》、《公共数据资源授权运营 监测评估指南》、《公共数据资源开发利用场景实施指南》、《公共数据资源价格形成与收益分配指南》。五是数据服务方向：《数据服务能力评估第2部分：评估要素》、《数据服务能力评估第3部分：实施指南》。六是数据匿名化方向：《数据匿名化流通实施及评估指南》。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。