政策趋势
一、《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》(征求意见稿)等2项国家标准公开征求意见
全国网络安全标准化技术委员会归口的《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》和《信息技术 安全技术 网络安全 第6部分:无线网络访问安全》2项国家标准现已形成标准征求意见稿。全国网络安全标准化技术委员会秘书处依据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该2项标准征求意见稿面向社会公开征求意见。
二、2项网络安全国家标准获批发布
根据2024年11月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第29号),全国网络安全标准化技术委员会归口的2项网络安全国家标准正式发布。具体清单如下:
三、中共中央办公厅 国务院办公厅关于推进新型城市基础设施建设打造韧性城市的意见
为深化城市安全韧性提升行动,推进数字化、网络化、智能化新型城市基础设施建设,打造承受适应能力强、恢复速度快的韧性城市,增强城市风险防控和治理能力,中共中央办公厅 国务院办公厅提出关于推进新型城市基础设施建设打造韧性城市的意见。
意见指出,推进新型城市基础设施建设打造韧性城市的重要任务是,实施智能化市政基础设施建设和改造。深入开展市政基础设施普查,建立设施信息动态更新机制,全面掌握现状底数和管养状况。建立涵盖管线类别齐全、基础数据准确、数据共享安全、数据价值发挥充分的地下管网“一张图”体系,打造地下管网规划、建设、运维、管理全流程的基础数据平台,实现地下管网建设运行可视化三维立体智慧管控。强化燃气泄漏智能化监控,严格落实管道安全监管巡查责任,切实提高燃气、供热安全管理水平。
保障网络和数据安全。严格落实网络和数据安全法律法规和政策标准,强化信息基础设施、传感设备和智慧应用安全管控,推进安全可控技术和产品应用,加强对重要数据资源的安全保障。强化网络枢纽、数据中心等信息基础设施抗毁韧性,建立健全网络和数据安全应急体系,加强网络和数据安全监测、通报预警和信息共享,全面提高新型城市基础设施安全风险抵御能力。
四、中国人民银行等七部门联合印发《推动数字金融高质量发展行动方案》
近日,国家数据局组织召开全国数据系统投资工作视频会。会议深入学习习近平总书记关于构建以数据为关键要素的数字经济的重要指示精神,贯彻落实党的二十大和二十届二中、三中全会部署,总结数据系统2024年投资工作,部署2025年投资重点任务。
会议要求:一要统筹自上而下和自下而上,确保项目质量。围绕影响数据事业发展的重点问题,谋划并组织实施一批具有示范带动作用的重大项目。充分考虑不同行业、不同地区的发展情况,组织一批符合地方实际、满足应用需求的项目。二要统筹抓好“硬投资”和“软建设”,发挥政策组合效应。要把项目建设和数据领域的配套改革结合起来,充分发挥规划引领作用,推进适数化改革,出台有针对性和操作性的配套制度和政策。三要统筹把握当前和中长期任务安排,有序分步推进。2025年数据系统投资工作既要与“十四五”规划落实相结合,做到“项目跟着规划走、资金跟着项目走”,还要与“十五五”发展需求衔接。
五、《山东省公共数据开放工作细则》公开征求意见
近日,山东省大数据局牵头研究起草并发布了《山东省公共数据开放工作细则》,现向社会公开征求意见。
《细则》依据《山东省公共数据开放办法》(省政府令第344号)及相关法律、法规,结合山东省实际制定,旨在规范和促进山东省公共数据开放利用。
《细则》规定,依法依规获取各类开放公共数据的公民、法人和其他组织,是公共数据利用主体,可向公共数据开放主体反馈数据利用中发现的各类数据安全风险和质量问题;对于使用有条件开放公共数据的,应定期向公共数据开放主体报告数据利用情况、成果与效益产出情况。
公共数据实行统一目录管理。公共数据开放主体应当根据法律、法规,参照《山东省公共数据开放办法》等有关规定,对本单位收集和产生的公共数据进行评估,按照无条件开放、有条件开放和不予开放三种类型确定开放属性;按照《山东省公共数据共享工作细则》相关要求,依托一体化大数据平台开展公共数据资源目录编制和数据汇聚。公共数据为有条件开放的,公共数据开放主体应当在合法合规前提下,从应用场景、利用反馈、技术能力、数据安全、信用要求等方面,设定与开放数据风险相匹配的合理的开放条件,不得设置为规模性、地域性等歧视性条件;不予开放的,公共数据开放主体应当明确有关依据。
公共数据利用主体对公共数据进行开发利用时,应当符合有关法律、法规要求,采取必要的防护措施,保障公共数据安全。使用有条件开放公共数据的,应与公共数据开放主体签订公共数据开放利用协议,并定期向公共数据开放主体报告数据开发利用情况。
六、《湖南省优化营商环境条例》发布
近日,《湖南省优化营商环境条例》经湖南省第十四届人民代表大会常务委员会第十三次会议通过并公布,自2025年1月1日起施行。
《条例》根据国务院《优化营商环境条例》和有关法律、行政法规,结合湖南省实际制定,旨在提高服务市场主体的质量和效率,增强要素支撑力度,维护市场主体合法权益,营造更加公平、透明、稳定、可预期的发展环境,激发市场活力和社会创造力,推动经济高质量发展。
《条例》规定,省人民政府及其有关部门应当加快数据基础设施建设,培育数据要素市场,打通数据壁垒,推进公共数据资源开发利用,完善数据产权归属认定、市场交易、权益分配、利益保护、安全管理等制度,强化高质量数据要素供给。
省人民政府应当建立全省统一的涉企政策信息发布平台。除法律、行政法规另有规定或者涉及国家秘密、国家安全等情形外,县级以上人民政府及其有关部门应当对各类惠企政策进行分类梳理,及时清理失效政策文件,依托涉企政策信息发布平台,集中公开涉企政策,及时主动向企业精准推送、发布、解读。
七、《海南自由贸易港数字经济促进条例》发布
近日,《海南自由贸易港数字经济促进条例》经海南省第七届人民代表大会常务委员会第十四次会议通过并正式发布。
《条例》旨在推进数字产业化和产业数字化,打造具有国际竞争力的数字产业集群,促进数字经济高质量发展,加快培育和发展新质生产力,建设开放型数字经济创新高地。
《条例》规定,互联网平台经营者应当建立健全平台管理规则和制度,依法依约履行产品和服务质量保障、网络安全保障、数据安全保障、消费者权益保护、个人信息保护等方面的义务,不得利用数据、流量、技术、市场、资本优势,排除或者限制其他平台和应用独立运行,不得损害中小企业合法权益。
省人民政府及有关部门应当探索构建与高标准经贸规则相衔接的数字经济制度体系和监管模式,加强与“一带一路”沿线国家和地区以及其他国际合作平台在数字经济领域的交流合作,支持参与制定国际规则、标准和协议,推动建立数据确权、数据交易、数据安全和区块链金融的标准和规则,搭建国际会展、论坛、商贸、赛事、培训等合作平台,积极融入全球数字经济体系。
县级以上人民政府及有关部门应当按照数据分类分级保护制度,对本地区、本部门以及相关行业、领域的数据开展分类分级管理,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
数据处理者应当加强数据安全防护,建立健全数据安全管理制度,依法明确数据安全管理机构和人员,开展数据分类分级、数据全生命周期保护、数据安全风险监测,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施保护数据免遭篡改、破坏、泄露或者非法获取、非法利用,制定网络数据安全事件应急预案,加强个人信息保护。
八、《内蒙古自治区数据流通交易管理暂行办法》公开征求意见
近日,内蒙古自治区政务服务与数据管理局起草并发布了《内蒙古自治区数据流通交易管理暂行办法》,现向社会公开征求意见。
《办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络数据安全管理条例》《内蒙古自治区交易场所管理办法》等相关规定,结合自治区实际制定,为规范数据流通交易活动,保护数据要素权益,保障数据安全,促进数据要素自主有序流动。
《办法》规定,主管部门会同有关部门定期开展数据安全检查,指导数据交易场所采取技术手段和其他必要措施,排查数据安全风险,保障数据流通交易安全。
数据交易场所对场内交易过程中获取的各方信息应当保密,未经相关主体授权不得向任何其他方披露,亦不得用于与交易无关的其他用途。数据交易场所应当根据安全职责范围制定数据安全事件应急预案,定期组织应急演练,提升数据安全事件应对能力。数据交易场所应选取有关专业机构或组织,定期开展数据流通交易安全风险评估,不断健全完善数据流通交易安全管理机制,保障交易活动安全。
发生数据安全事件或出现数据安全风险明显加大等情况时,数据交易场所应当立即采取处置措施,并及时告知可能受影响的用户和向有关主管部门报告。
九、一证通查”查询名下互联网账号服务升级,可查互联网应用增至25款
近日,在《中华人民共和国反电信网络诈骗法》正式施行两周年之际,工业和信息化部推出的“一证通查”服务升级版,“一证通查”查询名下互联网账号服务新增接入今日头条、携程旅行、拼多多、饿了么、爱奇艺、小红书、大众点评、贝壳找房、链家等9款互联网APP,用户本人名下手机号码关联互联网账号的可查范围扩增至25款,详见下图:
十、《电信网络诈骗及其关联违法犯罪联合惩戒办法》正式施行
近日,由公安部会同国家发展和改革委员会工业和信息化部中国人民银行联合印发的《电信网络诈骗及其关联违法犯罪联合惩戒办法》正式施行。
《办法》提出的惩戒对象包括:因实施电信网络诈骗犯罪活动,或者实施与电信网络诈骗相关联的帮助信息网络犯罪活动,妨害信用卡管理,侵犯公民个人信息,掩饰、隐瞒犯罪所得、犯罪所得收益及组织他人偷越国(边)境、偷越国(边)境等犯罪受过刑事处罚的人员。
十一、海南自由贸易港国际数据中心发展规定
近日,《海南自由贸易港国际数据中心发展规定》经海南省第七届人民代表大会常务委员会第十四次会议通过,并正式发布。
《规定》根据《中华人民共和国海南自由贸易港法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、法规,结合海南自由贸易港实际制定,旨在促进海南自由贸易港国际数据中心发展和数据跨境安全有序流动。
《规定》规定,在海南自由贸易港内开展国际数据中心业务,应当遵守中华人民共和国法律法规,履行网络安全、数据安全和个人信息保护义务,接受政府和社会的监督,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
省人民政府及商务、网信、数据、外事等主管部门应当加强与“一带一路”沿线国家和地区以及其他国际合作平台在数据安全治理、数据开发利用等领域的交流合作,积极参与数据跨境流动国际规则制定。
省网信部门应当会同有关主管部门统筹推进数据跨境综合服务平台建设,向国际数据中心业务运营者提供出境数据分类指导、数据出境评估、数据合规咨询等服务,促进数据安全有序流动。统筹协调国际数据中心及相关业务的网络和数据安全监督管理工作,会同有关主管部门建立健全风险评估、信息共享、监测预警、应急处置等安全保障机制,指导国际数据中心及相关业务运营者建立安全保障体系,保障网络和数据安全。
十二、国家信息中心发布《人工智能行业应用建设发展参考架构》
近日,国家信息中心公共技术服务部研究编制的报告《人工智能行业应用建设发展参考架构》正式对外发布。
《报告》报告从算力基础、数据服务、模型服务、应用开发、运维平台、运营平台等六个方面,提出人工智能行业应用建设的共性能力和特性能力。通过构建一套技术架构统一、数据规范统一、标准体系统一的参考架构,摆脱企业服务模式不同带来的限制,降低供需边际成本,有效发挥规模效应,促进应用创新,激发市场活力,持续推动产业健康高效发展。
监管动态
一、“众包窃密”的拼图陷阱
近年来,国家安全机关工作发现,境外间谍情报机关利用众包模式对我开展窃密活动,手法尤为隐蔽,需引起警惕。
“众包窃密”即,境外间谍情报机关将情报搜集任务分解,利用有关众包模式平台广泛招募人员,派发信息搜集任务,再将个体搜集的零散信息数据分析整合,最终完成窃密活动。值得注意的是,因其依托合法互联网平台,并将窃密任务分解,“化整为零”再“化零为整”,使得多数众包平台及任务参与者难以辨别任务背后的真实企图,众包模式使远程窃密更具伪装性、隐蔽性。国家安全机关工作发现,个别境外间谍情报机关借此大肆搜集我海洋水文、矿产分布、能源储备、高精度地理信息等敏感数据,对我国家安全造成危害。
国家安全机关提示:维护国家安全人人有责。我们在日常工作生活中,要增强保密意识,不随意在网络上透漏敏感信息,不参与来源不明的信息收集活动,对境外情报机关“众包模式”的窃密威胁保持警觉。
二、英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取
近日,英国电信控股公司BT集团(前身为英国电信)宣布,由于遭受Black Basta勒索软件攻击,该公司已关闭部分服务器。
目前尚不清楚威胁行为者是否从这家电信巨头那里窃取了数据。但目前Black Basta勒索软件团伙已在其Tor泄露网站上将BT集团列入受害者名单。该团伙声称已窃取500GB数据,包括财务数据、组织数据、用户数据和个人文件、保密协议、机密数据等。作为数据泄露的证据,该团伙公布了多张截图,包括护照和其他文件的图片。
三、I-O Data路由器零日安全缺陷遭攻击利用,用户数据面临严重威胁
日本计算机应急响应小组(CERT)近日发出警告,黑客正在利用I-O Data路由器设备中的零日安全缺陷修改设备设置、执行命令,甚至关闭防火墙。这些安全缺陷已经被厂商I-O Data在其官网发布的安全公告中确认,分别涉及信息泄露、远程任意操作系统命令执行,以及禁用防火墙的能力。
具体来说,第一个缺陷属于敏感资源的权限配置错误,允许低权限用户访问关键文件。例如,知道访客账户凭据的第三方可能访问包含身份验证信息的文件。第二个缺陷允许经过身份验证的管理用户在设备上注入和执行任意操作系统命令,这是由于配置管理中的输入验证不足所致。第三个缺陷是固件中的未记录功能或后门,允许远程攻击者在未经身份验证的情况下关闭设备防火墙并修改设置。
业界之声
一、加快建设面向数实融合的产业互联网
近日,清华大学互联网产业研究院院长、清华大学国家治理与全球治理研究院研究员发表署名文章《加快建设面向数实融合的产业互联网》。
文章指出,产业互联网是以可信数据系统为基础,通过产业内各个参与者(包括终端消费者)在可信平台上的互联互通,改变产业内数据采集、流通和使用的方式,以及每个环节创造价值的方式;通过建立智能合约系统,大大降低产业生态的协同成本,并通过激活数据要素丰富产业生态的价值内涵。产业互联网充分体现了数据要素在产业内的价值创造能力,利用大数据、人工智能、区块链等技术加工产业内的数据要素,把数据变成产品价值的一部分,进而形成数实融合的产业现代化新生态。
要以数据资产为新价值源泉。数字时代越来越多的企业意识到所掌握的数据资源的规模、数据鲜活程度,以及采集、分析、处理、开发数据的能力决定了企业的未来核心竞争力。
二、加快建设更高水平开放型经济新体制
近日,《求是》杂志刊发中共国家发展改革委党组的署名文章《加快建设更高水平开放型经济新体制》。
文章提到,建设更高水平开放型经济新体制的重点任务举措包含稳步扩大制度型开放。主动对接国际高标准经贸规则,深化国有企业、数字经济、知识产权、政府采购等领域改革。加快完善市场准入、产权保护和交易、数据信息、社会信用等方面的基础制度,建设高标准市场体系,打造市场化、法治化、国际化一流营商环境。提升政府管理效能,优化行政审批、市场监管、公共服务等,创造更加稳定、透明、可预期的政策环境。积极推动加入《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》,扩大面向全球的高标准自由贸易区网络。
着力建设开放型创新体系和创新生态。统筹推进科技自立自强与开放合作,构建具有全球竞争力的开放创新生态,集聚全球创新资源,加快发展新质生产力。完善数据跨境流动合作机制,构建多层次全球数字合作伙伴关系网络。深度参与全球科技治理,加强在全球创新议题和创新政策中的影响力。不断健全开放型经济安全保障体系。健全经济领域国家安全审查和监管制度,强化贸易、金融、数据等重点领域风险防控,提高安全审查和监管的有效性。完善贸易安全风险管控机制,推动形成多主体协同的贸易摩擦应对机制。健全金融监管体系,加强跨行业跨市场跨区域金融风险识别预警和应对。增强关键信息基础设施安全防护能力,优化数据跨境流动监管机制。加强海外利益保护和投资风险防控,建立健全境外投资保护和救济制度。
三、《国家法规数据库》(2024年下半年版)正式出版
近日,《国家法规数据库》2024年下半年版正式出版发行。
《国家法规数据库》是国家信息中心组编的一款专业的数据库产品。该数据库包含全国人大法律、国务院行政法规、司法解释、部门规章与规范性文件、地方性法规和规范性文件,以及我国参与的双边条约与国际公约等,现有近二十六万余篇法规,是一个较完整的法律法规信息宝典。
四、互联网网盘服务隐私保护白皮书(2024年)
近日,由百度网盘、北理工、中国信通院联合起草的《互联网网盘服务隐私保护白皮书(2024年)》正式发布。
《互联网网盘服务隐私保护白皮书(2024年)》强调了个人信息保护和数据安全的重要性。白皮书指出,网盘服务提供商需从制度、技术和产品隐私设计三个维度来保护用户隐私和数据安全。在制度层面,网盘服务商应建立隐私保护、员工培训、应急响应和合作方管理等具体制度和规范。技术层面上,通过采用多级安全存储架构和多重隐私加密技术,确保用户数据在存储和传输过程中的安全。在产品隐私设计方面,服务商需关注链接分享、文件自定义管理、用户账号保护等,以降低隐私泄露和账号被盗风险。此外,网盘服务商还应积极响应国家监管要求,加快完善互联网网盘服务安全标准及指南,同时积极开展行业自律,以保障整个社会数字资产与隐私数据的安全。
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
相关阅读