2025年第30周安全周报 | 本周安全要闻速览
● 国家网信办正式开展个人信息保护负责人信息报送工作
根据《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章规定,国家互联网信息办公室7月18日就开展个人信息保护负责人信息报送工作有关事项进行了公告:
一、信息报送要求
根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定,处理100万人以上个人信息的个人信息处理者,应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。
二、信息报送时间
(一)自本公告发布之日起,个人信息处理者处理个人信息达到100万人的,应当自数量达到之日起30个工作日内完成信息报送。
(二)本公告发布前,个人信息处理者处理个人信息数量已经达到100万人的,应当在2025年8月29日前完成信息报送。
(三)报送信息发生实质性变更的,应当在变更之日起30个工作日内办理信息变更手续。
三、信息报送方式
个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《个人信息保护负责人信息报送系统填报说明(第一版)》,准备相关材料并履行信息报送手续,也可从中国网信网首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
四、法律责任
未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的,依照有关法律法规规章的规定处理。
来源:网信中国
● 《网络安全标准实践指南——摇一摇广告触发行为安全要求》发布
为解决移动智能终端摇一摇广告乱跳转问题,规范摇一摇广告的展示和触发行为,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——摇一摇广告触发行为安全要求》。本《实践指南》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求,适用于规范摇一摇广告的展示和触发行为,也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。
来源: 全国网络安全标准化技术委员会
● 《网络安全标准实践指南——扫码点餐个人信息保护要求》公开征求意见
为指导餐饮商家规范扫码点餐服务个人信息处理活动,减少因扫码点餐造成的个人权益损害问题,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求,秘书处现组织对《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》面向社会公开征求意见。如有意见或建议,截止时间为于2025年8月4日前。
来源:全国网络安全标准化技术委员会
● 欧盟新人工智能法案 8 月生效,AI大模型面临合规考验
欧盟《人工智能法案》(EU AI Act)即将于 8 月 2 日起对生成式 AI 模型生效,该法案旨在规范 AI 技术,确保其安全、透明并尊重人权。此前,众多欧盟国家和行业呼吁 “暂停时钟”,延迟法案实施,理由是重要指导方针、标准和合规工具尚未准备就绪。不过,欧盟委员会发言人明确表示,针对生成式 AI 模型的法律截止日期不会变动,不存在 “暂停时钟”“宽限期” 或 “暂停” 的情况。虽然 AI 委员会正讨论给予签署方 “宽限期”,但这仅适用于自愿性的行为准则,AI 法案的相关规则仍于 8 月 2 日生效。另外,欧盟委员会针对 GPAI 规则的指南草案中,已包含一年的合规宽限期,这意味着监管机构实际将于 2026 年 8 月 2 日开始执行相关规则,而对于 2025 年 8 月 2 日之前已上市的模型,法案则从 2027 年 8 月 2 日起适用。
来源:TechRepublic
● 特朗普将发布三项人工智能行政命令,铺开全面行动计划
特朗普总统计划在7月23日正式推出《人工智能行动计划》前,签署三项聚焦人工智能的行政命令。这三项行政令分别聚焦于构建人工智能就绪基础设施、推动美国人工智能技术出口,以及确保大型语言模型中不出现“觉醒AI”或偏见信息。第一项命令由能源部牵头,解决数据中心能源和许可问题,发布新建数据中心招标;第二项命令联合美国国际开发金融公司和进出口银行,加速AI技术海外推广;第三项命令针对联邦政府采购的AI工具,清除“觉醒AI”概念及意识形态偏见,由白宫AI主管和高级政策顾问主导设计。此外,行动计划强调推动联邦政府内部AI应用,设立由国土安全部主导的AI信息共享与分析中心,发布针对AI的网络安全指南,更新美国国家标准与技术研究院的AI风险管理框架,移除其中关于多样性、公平性及气候变化的内容。计划还致力于扩大国内基础设施规模,简化数据中心许可,发展相关教育与培训项目,并在国际舞台上抵制中国技术治理影响,保持美国科技竞争力。白宫科技办公室发言人表示,该计划将为联邦AI政策提供具体、可操作的路线图,预计将在未来几日内正式发布。
来源:Nextgov
● 英国政府确认全面禁止公共部门与关键基础设施支付勒索软件赎金
英国政府宣布对NHS、地方议会、学校及电网、交通和电信等关键国家基础设施运营商实施勒索软件赎金支付禁令,并对私营部门支付行为设立严格通知要求。新法规要求所有涉AES‑256或RSA‑2048加密事件的组织通过强制报告协议向政府通报,政府将依据针对特定犯罪集团(尤其是俄罗斯及其他敌对国家背景组织)的制裁情报,审查拟议付款是否合法。通知制度将为国家网络威胁情报共享平台提供IoC与TTP数据,增强公共与私营部门协同防御。政府还建议组织实施隔离备份与灾难恢复演练,采用NCSC的Cyber Essentials认证与早期预警服务,以及DNS过滤、Web应用防火墙和多因素认证等纵深防御措施。过去勒索软件每年导致数百万美元损失,2023年大英图书馆数据泄露和NHS相关患者死亡事件凸显其危害。安全部长丹·贾维斯表示,此举旨在打击网络犯罪商业模式,切实保护国家关键服务安全。
来源:Cybersecuritynew
● 纽约出台网络安全新规并设250万美元供水系统拨款
纽约州宣布针对服务人口超过3 300人的供水和废水处理系统推出新的网络安全法规,要求其建立全面的安全计划、定期风险评估并实施技术防护和事件响应机制;对服务人口超5万的系统则需额外指定高管监控网络活动。州政府还在2026财年预算中预留250万美元专项拨款,用于支持合规所需的风险评估、漏洞扫描及员工培训等工作。公众将于9月前对拟议规则提出意见,受监管实体须于2027年初前完成合规。根据估算,中小系统的年度网络安全支出可达15万美元,大型系统可达500万美元,资产清查和记录维护等单项成本最高可达13.5万和5.4万美元。该政策旨在填补审计中发现的网络成熟度不足漏洞,与EPA和CISA指导保持一致,同时为资源匮乏的市政机构提供必要支持,以应对不断升级的网络威胁。
来源:The Record
● 美国能源部主办CyFERS峰会联合40州强化能源行业网络安全
美国能源部网络安全、能源安全和应急响应办公室(CESER)于盐湖城举办为期三天的“能源韧性网络安全峰会”(CyFERS),汇聚来自40个州的80余位州政府领导人、能源企业代表和国家实验室专家,共同商议能源行业持续演变的网络威胁应对策略。峰会通过专题研讨与实战演练相结合的方式,重点探讨威胁情报收集与信息共享机制,梳理网络风险与物理风险交叉影响路径,并演练应急响应与恢复流程。CESER主任亚历克斯·菲茨西蒙斯(Alex Fitzsimmons)在开幕式上强调,美国产业竞争力与国家安全高度依赖能源系统韧性,须通过联邦与州层面深度协作来构建零信任、防御纵深和持续监测能力,以支撑人工智能和制造业前沿应用。本次峰会还契合特朗普总统行政命令提出的“强化州和地方准备能力”要求,由全国州能源官员协会(NASEO)、全国州长协会(NGA)和全国监管公用事业委员会(NARUC)等机构联手组织,搭建了跨部门协调与资源调配平台。CESER SLTT项目经理Megan Levy表示,此次活动不仅提供了可量化的策略与工具,并促进了各州之间的经验交流,将有效推动各地根据自身需求定制网络安全框架,提升全美能源基础设施的整体防御水平。
来源:Industrial Cyber
● 美国海岸警卫队发布MTSA监管设施与船舶网络安全FAQ
美国海岸警卫队网络安全、能源安全和应急响应办公室(CESER)本周发布《海上运输系统(MTSA)最终规则网络安全常见问题解答》,为所有悬挂美国国旗的船舶、外大陆架设施及MTSA监管场所提供遵循2026年1月生效的网络安全强制要求的指导。即便网络安全计划尚未正式获批,受监管实体也必须立即依照已批准的设施安全计划(FSP)、外大陆架设施安全计划(OCS FSP)或船舶安全计划(VSP)开展合规工作,并由符合CySO知识标准的个人或机构提供网络安全培训,培训记录需覆盖法规要求的所有主题。所有IT与OT系统均须纳入网络安全评估,评估须在2027年7月16日前完成并每年复审,网络安全审计则需每年或在所有权、措施变更时进行;如需申诉,可向相关港口船长(COTP)申请复审。网络安全计划可与现有VSP/FSP合并,五年一周期续签;每半年和每年均需分别组织演习与综合演练,测试计划各组成部分及整体有效性。若发生缺陷,海岸警卫队可通过MTSS C或CPT等渠道提供支持,且网络安全检查可与其他安全审查同步进行。
来源:Industrial Cyber
● 丹麦将声音和人脸纳入《版权法》保护,以治理深度伪造风险
近日,丹麦的一项法案因采用一种颇为罕见的方式解决深度伪造相关问题而登上新闻头条,该方法即:《版权法》。据《卫报》(The Guardian)报道,丹麦文化大臣雅各布·恩格尔-施密特(Jakob Engel-Schmidt)解释称,他们“发出了一个明确的信息,即每个人都有权拥有自己的身体、自己的声音和自己的面部特征,而显然,现行法律并未以这种方式保护人们免受生成式人工智能(AI)的侵害”。据美国有线电视新闻网(CNN)报道,该大臣认为,“拟议的法律将有助于保护艺术家、公众人物和普通人免受数字身份盗窃之害”。该提案的第8、10和19项包含了一些对法律最具实质性的修改。除其他措施外,第8项提议新增第65(a)条,要求表演者和演艺人员事先同意以数字方式生成其模仿形象并向公众提供,并在其去世后设定50年的保护期。第10项引入了新的第73(a)条,重点关注“对自然人个人身体特征的逼真数字生成模仿”,要求在向公众提供此类模仿形象之前,需获得被模仿者的事先同意。这项专有权在被模仿者去世后也将持续50年,且不适用于漫画、讽刺、模仿、拼贴、批评或类似目的的使用。丹麦版权法修订案一旦获批,理论上将赋予丹麦民众要求在线平台在未经同意分享此类内容时予以删除的权利。该法案还将涵盖未经同意对艺术家表演进行“逼真的数字生成仿冒(realistic, digitally generated imitations)”的行为。违反拟议规则的行为可能会使受影响者获得赔偿。该法案还将涵盖未经同意对艺术家表演进行“逼真的数字生成仿冒(realistic, digitally generated imitations)”的行为。违反拟议规则的行为可能会使受影响者获得赔偿。
来源:清华大学智能法治研究院
