2025年第4周安全周报 | 本周安全要闻速览

为贯彻落实《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》，规范公共数据资源登记工作，构建全国一体化公共数据资源登记体系，促进公共数据资源合规高效开发利用，国家发改委等发布了《公共数据资源登记管理暂行办法》。明确了公共数据资源登记的基本要求，形成全国一体化的公共数据资源登记体系，为建立公共数据资源底账、提高公共数据资源可用性奠定基础。从登记要求、登记程序、登记管理、监督管理等四个方面，明确了登记工作相关主体权利义务和工作流程。针对“谁来登记、谁来负责登记”，确定了登记主体的范围，以及登记机构的基本条件。针对“登记什么”，要求对纳入授权运营范围的公共数据资源进行登记，鼓励对未纳入授权运营范围的公共数据资源进行登记。针对“怎么登记”，规定登记工作按照申请、受理、形式审核、公示、赋码等程序开展，明确首次登记、变更登记、更正登记、注销登记等登记申请类型，以及登记材料提交与审核要求。

为贯彻落实《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》，加强数据基础制度建设，规范公共数据资源授权运营，促进一体化数据市场培育，释放数据要素价值，国家发改委等发布了《公共数据资源授权运营实施规范（试行）》。着眼建立国家层面统一的制度环境，明确授权运营应把握的主要原则和实施路径，是推动公共数据资源价值有序释放的重要保障，为规范化开展公共数据资源授权运营提供指引。重点从基本要求、方案编制、协议签订、运营实施、运营管理等五个方面，明确了授权运营工作的决策流程、实施路径和管理要求。其中，明确了授权运营工作中“管理机构”“实施机构”“运营机构”等核心主体的概念和责任边界，明确授权数据的安全管理要求，以及授权侧、运营侧、管理侧各类主体的权利义务。强化对关键环节的管理，细化了实施方案编制和授权运营协议签订需要考虑的主要要件，建立规范的授权运营实施要求，明确授权条件、运营模式、退出机制等，推动有条件的地区或部门做到管运适度分离。

为贯彻落实《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》，建立公共数据资源授权运营价格形成机制，促进公共数据资源合规高效流通使用，国家发改委等发布了《关于建立公共数据资源授权运营价格形成机制的通知》。基于公共数据资源授权运营机制的特点，旨在通过建立符合公共数据要素特性的价格形成机制，更好促进公共数据资源运营机构健康规范发展。聚焦公共数据授权运营这一关键环节，基于运营机构特殊角色定位，对公共数据运营服务费实行政府指导价（上限价格）管理，既保障运营机构健康可持续发展，又防止其形成垄断利润。主要包括五方面内容：一是明确定价范围和管理形式。二是规范定价程序。三是明确最高准许收入和上限收费标准制定办法。四是建立定期评估调整制度。五是加强指导监督。

多家主要科技公司签署了更新后的《行为准则》，旨在加大打击网络仇恨内容的力度。该准则已纳入欧盟技术立法，包括《数字服务法》（DSA）。自2016年首次创建以来，Meta、Google、Microsoft、TikTok等公司已支持该准则。根据修订后的准则，科技公司需与非营利或公共组织合作，监控投诉流程并确保在24小时内处理至少60%的仇恨内容通知。此外，公司将实施自动检测工具以减少仇恨内容，并提供推荐系统性能及非法内容传播的数据。各国还将发布基于种族、民族、宗教、性别认同和性取向等因素的仇恨内容分类信息。这一举措被视为在欧盟法律框架下构建更安全、更包容的互联网环境的重要一步。

美国商务部发布《生成人工智能和开放数据：指南和最佳实践》，旨在推动公共数据集更易于生成人工智能工具利用。该79页指南提供了可操作步骤，包括提高文档可用性和可访问性、提供人类和机器可读的数据文档，以及适当使用开源软件和格式。指南还建议各机构发布结构化和广泛的元数据，并探索数字签名以保护数据完整性。商务部数据治理委员会组建的专家工作组于2023年底启动指南起草工作，并于2024年5月公布四份安全人工智能开发草案。未来更新将重点关注数据资产的人工智能准备程度评估指标。

欧洲刑警组织主席在达沃斯世界经济论坛上呼吁大型科技公司与执法机构加强合作，允许警方访问加密数据以打击犯罪。他强调，匿名并非基本权利，执法部门需要获取加密信息以确保民主原则的遵守。然而，这一立场遭到数字权利专家的强烈反对。他们认为，匿名是言论自由的重要组成部分，且在加密系统中创建“后门”可能导致安全漏洞，反而被犯罪分子利用。科技公司如苹果、Meta（WhatsApp所有者）和Signal也拒绝削弱加密系统，认为这会损害用户隐私和安全。欧洲刑警组织近年来在打击勒索软件、贩毒等犯罪活动中取得显著成效，但扩大对私人通信的访问权限仍面临争议。一些欧盟国家对此持怀疑态度，导致相关立法进展缓慢。德博勒还呼吁在调查中扩大人工智能的使用，以应对混合威胁。

在特朗普就任总统前几天，美国国土安全部运输安全管理局（TSA）发布决定，将两项针对管道的网络安全指令的期限延长一年。根据1月17日发布于《联邦公报》的一则公告，TSA表示，已批准延长Pipeline-2021-01和Pipeline-2021-02系列安全指令的有效期，并对后者进行了部分修订，以“提升其有效性并提供更多清晰性。”这些针对管道运营商的网络安全要求，始于2021年Colonial Pipeline的勒索软件攻击事件。该事件导致美国主要汽油输送服务一度中断。自最初指令发布以来，美国其他运输网络也成为威胁行为者的目标，包括货运和客运铁路及相关系统。情报部门评估称，外国支持的黑客多年来持续潜伏在美国关键基础设施网络中，这些系统发生勒索软件攻击的可能性正在增加。基于这些问题以及俄乌战争等地缘政治威胁，TSA在1月17日的公告中指出，延续并更新管道安全指令十分必要。指令的修订重点在于提升其有效性并应对新兴网络威胁。TSA还将Pipeline-2021-02安全指令的要求调整为“更注重绩效而非指令性”。公告中提到：“基于绩效的方式通过要求实现关键的安全成果，提高了安全性，同时允许所有者/运营者采取最适合其特定系统和业务的安全措施。”

OpenAI发布了一项新的经济计划，旨在加强美国在人工智能（AI）领域的全球领导地位，确保公平获取技术并刺激经济增长。该计划提出了一个“智能规则”框架，旨在帮助美国从AI的机遇中获取最大利益，同时降低潜在风险。OpenAI强调，AI具有巨大的经济潜力，能够通过发展数据中心、芯片工厂和能源设施等基础设施来推动产业转型并创造就业机会。然而，随着中国等国家的竞争加剧，美国需加速创新以保持领先地位。计划的关键领域包括确保国家安全、制定技术使用标准以及通过基础设施发展和吸引投资来最大化经济机会。此外，OpenAI呼吁防止利用AI压迫公民或威胁国际安全，并建议制定统一的联邦规则以促进竞争和投资。该计划被视为“活文件”，将根据新数据和经验不断更新。