2025年第3周安全周报 | 本周安全要闻速览
● 四部门印发《关于促进数据标注产业高质量发展的实施意见》
国家发展改革委、国家数据局、财政部、人力资源和社会保障部对外发布的《关于促进数据标注产业高质量发展的实施意见》(以下简称《实施意见》)提出,到2027年,数据标注产业专业化、智能化及科技创新能力显著提升,产业规模大幅跃升,年均复合增长率超过20%。数据标注产业是对数据进行筛选、清洗、分类、注释、标记和质量检验等加工处理的新兴产业。培育壮大数据标注产业对于提升数据供给质量、推动人工智能创新发展具有重要支撑作用。为促进数据标注产业高质量发展,《实施意见》围绕深化需求牵引、增强创新驱动、繁荣产业生态、优化产业支撑等四方面提出13条具体政策举措。
来源:国家数据局
● 工信部印发《关于加强互联网数据中心客户数据安全保护的通知》
工业和信息化部办公厅发布关于加强互联网数据中心客户数据安全保护的通知,在与客户、第三方服务商等签署的合同协议中,根据合作模式、内容等,明确各方数据安全保护责任义务。建立健全客户数据安全管理制度,明确数据安全负责人和管理部门,强化客户数据安全管理保障措施。建立客户管理机制,按照客户类别和数据保护需求,提供差异化安全保护措施供客户选用。结合数据处理流程,明确数据访问、操作、销毁等重点环节的安全策略和流程机制,并做好数据隔离等保护措施。在实施可能影响客户数据安全的高危操作和对外提供客户数据前,应告知客户并取得授权。根据业务实际情况,通过冗余设计等,提高业务连续性和稳定性。建立客户数据安全事件应急预案,定期开展应急演练。因IDC业务经营者原因引发客户数据安全事件时,立即启动应急处置措施,及时告知客户,并按有关要求向电信主管部门报告。
来源:工业和信息化部
● 六部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》
国家发展改革委等六部门近日印发的《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》提出,到2027年底,规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建,数据合规高效流通机制更加完善,治理效能显著提升,为繁荣数据市场、释放数据价值提供坚强保障。提出,强化个人数据流通保障。完善个人数据权益保障机制。防范数据滥用风险。依法严厉打击非法获取、出售或提供数据的黑灰产业,加强敏感个人信息保护,限制超出授权范围使用个人信息。依法依规惩处利用数据开展垄断、不正当竞争等行为,维护各方主体权益和市场公平竞争秩序。近期,有关数据产业的政策利好频出,2025年数据产业有望迎来加速发展。比如,1月6日,国家发展改革委等部门联合印发《国家数据基础设施建设指引》,这意味着我国开启新一轮以数据为中心的数字基础设施布局。1月13日,国家发展改革委等部门联合印发的《关于促进数据标注产业高质量发展的实施意见》公开发布,这意味着我国数据领域首份有关数据标注产业的文件出炉,整个数据标注产业将迎来加速期,年均复合增长率将超过20%。
来源:国家发展改革委
● 四部门发布《涉及国家安全事项的建设项目许可管理规定》
国家安全部部长陈一新签署第5号部令,公布《涉及国家安全事项的建设项目许可管理规定》(以下简称《规定》),自2025年3月1日起施行。《规定》由国家安全部、国家发展和改革委员会、自然资源部、住房和城乡建设部联合制定。这是贯彻落实党的二十大和二十届三中全会精神的重要举措,是细化完善《反间谍法》配套制度的重要成果,是严格规范建审许可工作的重要依据,对统筹高质量发展和高水平安全、提升国家安全机关依法行政水平,具有重要意义。《规定》共6章38条,包括总则、安全控制区域管理、涉及国家安全事项的建设项目许可、涉及国家安全事项的建设项目监督管理、法律责任、附则等内容。《规定》严格在上位法赋权范围内细化建审许可工作程序,注重与建设项目领域法律法规对接,维护国家法制统一,形成制度保障合力。国家安全部有关负责人表示,国家安全机关将认真贯彻落实《规定》各项要求,依法依规开展建审许可工作,加强与有关部门协作,保护公民和组织合法权益,更好运用法治思维和法治方式维护国家安全。
来源:央广网
● 国家计算机病毒应急处理中心监测发现16款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、《168运友物流》(版本3.9.93,应用宝)等16款移动App存在隐私不合规行为。其中,9款App存在隐私政策难以访问、未声明App运营者的基本情况;8款App隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等;6款App个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意;1款App未建立并公布个人信息安全投诉、举报渠道;10款App基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确;2款App处理敏感个人信息未取得个人的单独同意;3款App个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源: 国家计算机病毒应急处理中心
● 美国CISA发布报告呼吁关键基础设施采用网络安全绩效目标
美国网络安全与基础设施安全局(CISA)日前发布了《网络安全绩效目标采用报告》,旨在强调采用网络安全绩效目标(CPGs)对该国关键基础设施行业的益处。CISA最初于2022年10月发布了CPGs,这是关键基础设施所有者可自愿采纳的实践措施,旨在保护他们免受网络威胁。这份新报告基于CISA从2022年8月1日至2024年8月31日期间,对7791家注册其漏洞扫描服务的关键基础设施组织的分析。数据显示,医疗和公共卫生、水和废水系统、通信以及政府服务和设施等四个关键基础设施领域最受CPGs采用的影响。这四个领域均与CISA有着密切的合作关系。随着CISA加强与所有16个关键基础设施领域的合作伙伴关系,该机构希望CPGs的采用将继续扩大。
来源:The Hacker News
● 欧盟发布应对医院勒索软件攻击行动计划,未提供新资金支持
欧盟委员会宣布了一项旨在降低医疗保健行业网络攻击风险的“行动计划”。该计划针对近年来欧洲医疗行业频发的勒索软件攻击,提出了一系列指导措施,但未提供新的资金支持,而是建议利用现有资源。欧盟委员会承认,网络安全资金有限且是普遍挑战,医疗系统的安全保障主要依赖成员国自身。该计划要求欧盟网络安全局(ENISA)建立专门针对医院和医疗保健提供者的网络安全支持中心,提供指导和服务目录,但不会直接提供支持。成员国被建议通过网络安全券等方式为医疗机构提供财务援助。此外,计划还指出,许多医疗机构缺乏实施云服务安全措施的资源,并建议云服务提供商将基本安全措施作为标准功能。欧盟委员会表示,网络安全应被视为保护患者护理和数据的投资,而非开支。医院可通过“数字欧洲”和“地平线欧洲”等现有计划获得资金支持。该计划目前进入磋商阶段,预计于2025年第四季度完善并实施。
来源:Therecord
● 中情局局长提名人拉特克利夫力挺《外国情报监视法》第702条,称其为“不可或缺”
美国国土安全部(DHS)发布《公共部门生成人工智能部署手册》,旨在帮助联邦、州和地方政府官员负责任地使用生成式人工智能(GenAI)技术,以改善公共服务。该手册基于DHS试点项目的案例研究,展示了GenAI在加强调查线索、制定灾害缓解计划和创新移民官员培训中的应用。手册提供了公共部门组织推进GenAI使用的七类可行步骤,涵盖政策、技术和行政方面:开发增强任务的GenAI用例、建立联盟和促进有效治理、利用工具和基础设施、负责任和安全地使用AI、衡量进度和定义成功、培训员工和聘用技术人才,以及寻求用户反馈。例如,组织应将GenAI部署与优先任务相结合,并确定试点范围以改进特定流程。国土安全部部长Alejandro Mayorkas强调,安全利用GenAI潜力需要政府、行业、学术界和民间社会的合作,呼吁培育负责任、以使命为中心的创新文化。
来源:Therecord
● 美国CISA发布人工智能网络安全协作手册
美国网络安全与基础设施安全局(CISA)于1月15日发布了"联合网络防御协作组织(JCDC)人工智能网络安全协作手册"。该手册是CISA与联邦、国际和私营部门合作伙伴通过JCDC共同制定的, 旨在促进人工智能(AI)社区之间的自愿信息共享,加强集体网络防御能力,应对不断涌现的新威胁。随着AI技术的快速采用,新的漏洞和风险将持续涌现,重塑AI驱动系统的威胁环境。这本手册将作为一个活文档,促进政府、行业和国际伙伴之间的协作,并适应不断演变的AI安全环境的挑战。本手册为包括AI提供商、开发者和采用者在内的AI社区提供关于如何自愿分享可操作的事件信息的重要指导,并阐述了主动信息共享如何能够增强运营协作,提高AI系统的恢复能力。CISA局长珍·伊斯特利表透露,这本手册汲取了约150名来自政府、行业和国际伙伴的AI专家在两次动态桌面演练中提供的见解和专业知识。该手册与CISA的AI路线图和2024年JCDC优先事项保持一致。据了解,该手册将定期更新,以应对AI驱动的不断演变的挑战。
来源:CISA
● 拜登签署行政命令加强国家网络安全创新
美国总统拜登签署了一项名为《关于加强和促进国家网络安全创新的行政命令》的政策文件,旨在应对日益严峻的网络威胁,特别是来自敌对国家和犯罪分子的攻击,尤其是东方大国对美国政府和关键基础设施的持续网络威胁。该命令强调保护美国关键基础设施、提升软件供应链透明度、加强联邦系统网络安全,并推动人工智能在网络安全中的应用。命令要求联邦机构采用安全的软件开发实践,确保软件供应商遵守安全标准,并通过第三方验证机制提高透明度。此外,命令还要求加强联邦通信系统的加密和身份管理,推动量子计算和后量子密码技术的应用,以应对未来网络安全挑战。命令还特别提到,将利用人工智能技术提升网络防御能力,并通过试点项目探索其在关键基础设施中的应用。最后,命令要求各机构在采购过程中纳入最低网络安全标准,并推动联邦信息系统向零信任架构过渡。
来源 网空闲话plus
