2025年第25周安全周报 | 本周安全要闻速览

为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，推动建立高效便利安全的汽车数据跨境流动机制，为产业发展营造良好环境，在国家数据安全工作协调机制统筹指导下，工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引（2025版）（征求意见稿）》，拟以规范性文件印发。现面向社会公开征求意见，请于2025年7月13日前反馈。

为指导互联网平台企业展新型腐败问题预防和处置工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——互联网平台新型腐败预防和处置要求（征求意见稿）》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，现组织对《网络安全标准实践指南——互联网平台新型腐败预防和处置要求（征求意见稿）》面向社会公开征求意见。截至时间于2025年6月30日前。

近日，广东省标准化协会发布团体标准《智能体任务执行安全要求》。这一团标的发布，标志着广东省在智能体产业安全管理方面迈出了重要一步，为智能体开发和运营主体提供了明确的行为准则，也为用户权益和数据安全提供了有力保障。该团标的核心内容包括：1、禁止滥用无障碍服务：智能体不得利用无障碍权限或操作系统技术优势操作第三方App，必须通过标准化接口调用的方式协作。2、双重授权原则：智能体在进行用户意图识别、通过第三方App执行任务时，应先通过第三方App授权，并在获得用户授权后执行。3、公平公正原则：智能体的任务决策算法应公平、公正、透明，不得干扰用户选择。4、用户权益保护：智能体通过麦克风、截屏、录屏、共享屏幕等权限获取数据资源时，不得侵害用户及其他主体的数据权益，第三方App有权拒绝不合理操作以保护用户权益。

在英国议会两院获得通过《数据（使用和访问）法案》，目前正等待皇室批准后成为法律。该法案全面覆盖了数据管理的多个方面，旨在平衡数据利用与隐私保护，同时支持公共服务的现代化。其核心是通过立法明确数据访问、共享和保护的规则，为英国的数据驱动经济提供法律基础。主要包括八部分内容：一是客户数据与商业数据的访问。二是数字验证服务。三是国家地下资产登记册。四是出生和死亡登记册。五是数据保护和隐私。六是设立信息委员会。七是关于其他数据使用或访问规定。八是最终条款。该法案提出了对英国数据保护框架的几项修订，包括引入数据处理的“公认合法利益”清单、二次处理的新条件、响应数据主体访问请求的新规定、自动决策相关规定，以及明确数据跨境流动的规则等。

在加拿大卡纳纳斯基斯举行的七国集团（G7）峰会后，美国、加拿大、法国、日本、德国、意大利和英国领导人达成共识，推动人工智能（AI）和量子技术的联合研究及政策制定，以促进创新与全球领导力。G7成员国强调，人工智能的发展应以人为本，确保技术设计和应用的负责任性，兼顾人权、隐私、透明度、公平性和问责制。成员国计划通过“G7人工智能大挑战”和“G7人工智能网络”（GAIN）等内部项目，加速公共部门AI的应用，提升公共服务和政府效率，并促进中小企业利用AI提升竞争力。同时，劳动力培训与国际交流被视为关键推动因素。在量子技术领域，G7国家致力于包容性发展，将历史上边缘化的国家与社区纳入量子产业扩展。峰会宣布成立G7量子技术联合工作组，汇集产业、学术和政府专家，推动政策建议和技术商业化。协议强调，国际合作对激励投资、保障供应链安全、优化基础设施和人才培养至关重要，目标是打造可信赖的生态系统，平衡风险管理与创新释放。该系列协议反映出G7在未来科技竞争中的战略布局，既注重技术突破，也重视社会影响和全球协作。

美国国家标准与技术研究院（NIST）近日发布《5G网络安全设计原则》白皮书，为商业和私人5G网络运营商提供网络基础设施安全设计指导。这份12页的白皮书由NIST国家网络安全卓越中心（NCCoE）开发，是"应用5G网络安全和隐私功能"系列文件的一部分。白皮书重点分析了数据中心和云环境中5G网络面临的安全挑战，指出由于5G流量与其他类型流量共享物理连接和设备，运营商必须采取有效措施实现逻辑隔离。文件将5G流量分为数据平面、信令以及操作维护三类，详细阐述了相应的安全设计原则，包括流量隔离方法和针对性安全工具的集成方案。NCCoE在文件中展示了其底层网络基础设施如何隔离不同类型5G流量的具体实例。NIST表示这些原则已经过实践验证，同时公开征集公众意见，反馈截止日期为2025年7月17日。

在圣彼得堡国际经济论坛期间，莫斯科创新集群基金会与网络安全公司 Positive Technologies 签署战略合作协议，旨在加强莫斯科地区的信息安全能力，并推动技术在城市商业与政府系统中的落地应用。协议内容涵盖多个层面：双方将共同组织教育项目、技术论坛与行业会议；推广Positive Technologies的成熟安全产品，并将其纳入莫斯科创新加速与支持计划。基金会还将协助制定标准，引导创新公司参与市政项目。莫斯科创新集群目前汇聚了超4万家企业成员，提供从专家咨询到产品测试等多项数字化支持服务。基金会首席执行官阿列克谢·帕拉布切夫指出，此次合作将加快安全技术在城市基础设施中的试点应用，为首都打造可复制、可推广的竞争性解决方案。Positive Technologies 商务总监弗拉基米尔·克利亚文则强调，网络安全是城市技术发展的核心保障，与莫斯科集群的深度协作将提升该公司产品的覆盖范围和实际应用能力。此次协议标志着莫斯科加速打造本土科技防御体系，并推动公共与私营领域在网络安全战略上的协同融合。

国际自动化学会（ISA）在布鲁塞尔OT网络安全峰会上发布了全新的ISASecure工业自动化控制系统安全保障（ACSSA）检查和认证计划。该计划基于国际标准ISA/IEC 62443，旨在为工业自动化与控制系统（IACS）提供一致、全面的安全评估框架，解决当前因各站点政策和审计零散导致的安全态势不一致和合规漏洞问题。ACSSA通过审核资产所有者的风险评估流程、规程、服务提供商支持以及控制系统的配置使用，统一评估其是否满足ISA/IEC 62443标准。该计划不仅为资产所有者提供跨站点的安全态势基准，也为保险承保人、产品供应商、服务商、认证机构和监管部门建立了通用、透明的安全合规标准。ISA预计，ACSSA计划将成为全球首个基于ISA/IEC 62443的OT站点评估框架，极大提升工业环境的风险可视性和管理水平。首期三天培训课程将于2025年秋季在ISA总部（北卡罗来纳州达勒姆）启动，年底推出线上课程。ACSSA认证涵盖ISA/IEC 62443系列五个关键部分，成功认证的系统将获得独立第三方合规证书，明确系统的安全符合性与不足。此外，ISA今年4月发布的2025版ANSI/ISA-95标准进一步推动了IT与OT领域的融合，强化了制造业数字化转型和运营控制的通用语言和模型。