2025年第14周安全周报 | 本周安全要闻速览
● 《中华人民共和国网络安全法(修正草案再次征求意见稿)》发布
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据《十四届全国人大常委会立法规划》,国家互联网信息办公室会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2025年4月27日。
来源:网信中国
● 中央网信办等四部门联合开展2025年个人信息保护系列专项行动
中央网信办、工业和信息化部、公安部、市场监管总局联合发布关于开展2025年个人信息保护系列专项行动的公告。根据公告,《中华人民共和国个人信息保护法》施行以来,中央网信办会同有关部门持续组织开展个人信息保护相关工作,取得了积极治理成效。2025年,中央网信办将会同工业和信息化部、公安部、市场监管总局等部门,进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题,切实维护人民群众在网络空间合法权益,着力提升人民群众满意度、获得感。相关部门将围绕以下重点问题开展系列专项行动:1、App(含小程序、公众号、快应用)违法违规收集使用个人信息。2、SDK违法违规收集使用个人信息。3、智能终端违法违规收集使用个人信息。4、公共场所违法违规收集使用人脸识别信息。5、线下消费场景违法违规收集使用个人信息。6、个人信息相关违法犯罪案件。
来源:公安部网安局
● 《上海市网络数据分类分级和重要数据目录管理办法》公开征求意见
为建立健全网络数据分类分级制度及重要数据目录管理机制,保障网络数据安全,促进网络数据开发利用,依据有关法律法规,上海市网信办会同市数据局起草了《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》,现向社会公开征求意见。意见反馈截止日期为2025年4月28日。
来源:网信上海
● 国家市场监管总局发布《网络交易合规数据报送管理暂行办法》
市场监管总局印发《网络交易合规数据报送管理暂行办法》,自2025年4月25日施行,旨在规范网络交易合规数据报送和管理活动,提高网络交易监管效能,促进平台经济持续健康发展。《办法》共二十一条,主要规定了网络交易合规数据报送范围、报送时限、报送层级,网络交易合规数据利用和管理等内容。一是关于网络交易合规数据。明确为产生于境内的网络交易经营者身份信息、违法行为线索数据、行政执法协查数据、特定商品或者服务交易数据等网络交易监管相关数据。二是关于网络交易合规数据报送。明确了4类数据的报送时限、报送层级和报送内容。其中,网络交易经营者身份信息每年1月、7月,向平台住所地省级市场监管部门报送;违法行为线索数据自平台相关处理决定作出之日起5个工作日内向平台住所地县级以上市场监管部门报告;行政执法协查数据按照《网络交易执法协查暂行办法》的要求报送;特定商品或者服务交易数据按照总局及其授权的省级市场监管部门要求报送。三是关于网络交易合规数据的利用和管理。明确各级市场监管部门可以将网络交易合规数据依法用于监管执法和大数据综合分析应用;可以要求平台经营者更正、补充数据;依法保障数据安全并对履职中知悉的数据保密。四是关于政务数据服务与社会共治。明确总局将根据有关规定或标准提供政务数据服务,支持平台经营者开展身份核实、许可信息验证、信用体系建设和平台内治理等工作。鼓励社会各方合法利用网络交易合规数据参与网络市场治理。
来源:国家市场监督管理总局官网
● 《交通运输行业网络安全实战演练工作规程》行业标准正式发布
近日,由交通运输信息安全中心有限公司承担主要编制工作的《交通运输行业网络安全实战演练工作规程》(JT/T 1545—2025)行业标准正式发布,将于2025年7月1日实施。该标准是国内首部网络安全实战演练领域标准,网络安全实战演练可通过模拟真实网络攻击场景,检验和提升组织的网络安全防护能力,能更好应对日益复杂的网络安全威胁。标准规定了网络安全实战演练流程,适用于指导交通运输行业各级交通运输主管部门、企事业单位和运营者组织开展网络安全实战演练工作。该标准的发布实施将促进实战演练工作管理和实施规范化,完善防护措施,有效应对外部网络攻击,建强网络和数据安全防线,维护交通运输行业信息系统稳定运行。
来源:交通运输信息安全中心
● 欧盟启动"数字欧洲2025-2027"网络安全计划 重点布局AI与后量子加密
欧洲网络安全能力中心(ECCC)正式通过"数字欧洲计划(DEP)"首个网络安全工作计划,将在2025-2027年间重点投资三大领域。一是前沿技术布局。投入1.8亿欧元开发基于生成式AI的网络安全系统,提升威胁情报分析能力;建立欧洲后量子密码学测试基础设施,应对量子计算破解风险;专项支持中小企业满足《网络弹性法案》等新规要求。二是关键立法实施;构建欧洲网络安全警报系统(ECAS),整合跨境威胁检测网络;落实《网络团结法案》应急机制,建立成员国互助框架。三是重点领域防护。协调NIS2指令、DORA法规等多项立法要求;专项保护医疗系统网络安全;加强海底电缆等关键通信基础设施监控。ECCC执行董事Luca Tagliaretti表示,该计划将强化欧盟共同网络防御体系,其中AI安全工具开发项目已向成员国开放申请,首轮资助将于2025年Q3启动。
来源:Industrial Cyber
● 欧盟投资13亿欧元推动人工智能和网络安全发展
欧盟委员会近日批准了2025-2027年数字欧洲计划(DIGITAL)工作方案,拨款13亿欧元用于推进对欧盟未来和技术主权至关重要的关键技术。DIGITAL是一项欧盟资助计划,旨在将数字技术带给企业、公民和公共管理部门。该计划总预算超过81亿欧元,重点关注超级计算、人工智能、网络安全、高级数字技能以及数字技术在经济和社会中的广泛应用等关键领域。通过扩大欧洲数字创新中心(EDIHs)网络,该计划帮助工业、中小企业和公共管理部门实现数字转型。DIGITAL工作方案专注于推进欧洲的人工智能、云和数据、网络安全和数字技能。另一个关键优先事项是推进"地球目的地"(Destination Earth)计划,该计划正在开发地球数字模型,以支持气候适应和灾害风险管理;通过EU网络安全储备等计划加强对医院和海底电缆等关键基础设施的保护,将提升网络弹性。该计划还注重通过支持教育和培训机构来提高数字技能,以培养和留住顶尖数字人才。
来源:help net security
● 英国发布《网络安全与韧性法案》政策声明 强化关键基础设施保护
英国科学、创新与技术部(DSIT)正式发布《网络安全与韧性法案》政策声明,拟对现行网络安全监管体系进行全面升级。该法案主要包含三大核心改革:1)扩大监管范围至数据中心等数字服务供应链;2)强化监管机构职权,要求企业强制报告网络攻击事件;3)建立动态调整机制应对AI等新兴技术威胁。政策声明特别指出,当前仅不到10%的基础服务运营商能有效管理供应链风险,而针对NHS和国防部的近期攻击事件凸显立法紧迫性。法案创新性引入四项补充措施:将数据中心纳入关键国家基础设施清单、发布监管机构战略优先级声明、授予国务卿网络安全紧急处置权,以及建立跨部门协同监管机制。英国国家网络安全中心(NCSC)同步推出《特权访问工作站八项原则》,为高风险环境提供操作规范。该立法借鉴欧盟NIS2指令经验,同时针对英国面临的独特威胁进行定制化设计,预计将于2025年议会会期提交审议。
来源:IndustrialCyber
● 日本通过《主动网络防御法案》 授权军方实施先制网络打击
日本国会正式通过《主动网络防御法案》,标志着该国网络安全战略的重大转变。该法案核心内容包括:1)建立网络安全委员会强化威胁分析能力;2)强制要求关键基础设施运营商即时报告网络安全事件;3)授权政府监控跨境通信数据(含IP地址及传输时间);4)设立"网络危害预防官"职位,赋予军方在攻击事件中瘫痪境外服务器的权力。分析人士指出,此举使日本网络防御体系与欧美国家接轨,但Tripwire专家Josh Breaker-Rolfe警告称,法案未明确界定行动授权边界,可能导致执法部门权力过度扩张。值得注意的是,该法案在提升国家网络战备能力的同时,也引发对公民隐私保护的担忧,特别是政府获取电信数据的条款缺乏司法审查机制。日本政府表示将制定实施细则确保权力规范行使。
来源:Dark Reading
● Google全面升级Gmail端到端加密功能 重塑企业数据安全标准
Google在Gmail周年纪念日宣布将面向所有用户推出端到端加密(E2EE)服务。该服务采用分阶段部署策略:首先面向同一组织内用户,继而扩展至所有Gmail用户,最终实现跨邮件服务商的加密通信。此次升级突破了传统S/MIME协议需证书管理的技术瓶颈,用户仅需简单设置即可启用加密,且密钥完全由用户自主控制,有效解决了第三方托管密钥带来的数据主权风险。值得注意的是,非Gmail用户将获得受限版Gmail的访问权限以查看加密邮件。此举被视为对英国政府近期要求科技公司提供加密后门政策的直接回应,此前苹果公司曾因此取消英国iCloud用户的E2EE服务。安全专家指出,Google的加密方案在保持易用性的同时,为受监管行业提供了符合严格合规要求的通信解决方案,预计将显著提升企业敏感数据保护水平。
来源:Dark Reading
