数据安全每周观察|关于促进数据产业高质量发展的指导意见发布

政策趋势

一、国家数据局发布《关于促进企业数据资源开发利用的意见（征求意见稿）》

近日，国家数据局起草并发布了《关于促进企业数据资源开发利用的意见》，现向社会公开征求意见。

《意见》要求，提高数据治理能力。鼓励企业建立健全数据资源管理制度机制，规范开展数据治理能力评估。大力推广云计算、边缘计算、大数据分析等平台服务，支持企业开发和使用智能化工具，建立覆盖研发、生产、销售、服务、管理等各环节的数据资源体系。落实国家数据分类分级保护制度要求，在防范实质性风险前提下，鼓励企业针对不同敏感级别的数据和数据处理场景，采取差异化的数据安全与合规管理措施，优化对同类型数据处理行为的内部合规审批流程。鼓励企业采用数据空间、区块链、隐私计算、匿名化等技术模式，促进数据安全流动和开发利用。

提升数据安全合规治理效能。完善数据联管联治机制，强化部门协调和央地协同。针对新技术应用和新模式新业态，建立容错纠错、尽职免责制度机制，探索运用“监管沙箱”等模式，构建鼓励创新、弹性包容的治理环境。健全政企沟通机制，稳定企业合规预期。推动制定行业数据分类分级标准，健全数据资源开发利用安全技术规范。健全数据安全管理、个人信息保护认证制度。加强对数据领域违法行为的监管，强化行业自律建设，营造公平竞争、规范有序的市场环境。

激发数字经济发展新动能。制定数据产业发展促进政策，围绕数据采集汇聚、计算存储、流通交易、开发利用和安全治理，培育壮大数据企业。支持企业面向人工智能发展，开发高质量数据集，在制造、农业、商贸流通、能源、交通、广电、医疗、教育、科研、文旅等重点行业领域，打造一批示范带动性强的大模型和小模型，深化“人工智能+”应用赋能千行百业。聚焦无人驾驶、具身智能、低空经济等数据密集型产业发展需求，加速数智融合关键技术创新。发挥行业协会、产业联盟等组织机制作用，推动建立数据开放社区，支持开源数据集建设。健全科学数据开放共享机制，推动高校、科研院所、企事业单位科学数据有序开放，激发企业创新活力。

二、国家数据局发布《关于促进数据产业高质量发展的指导意见（征求意见稿）》

近日，国家数据局发布了《关于促进数据产业高质量发展的指导意见》，并公开征求意见。

《意见》要求，壮大数据基础设施企业，支持企业面向数据安全可信交换、高效流通利用，创新基础设施服务解决方案。聚焦一体化算力、公有云、数据空间和低代码平台等，重点培育一批具有国际竞争力的数据基础设施企业。

提高数据领域动态安全保障能力。一要创新数据安全产品服务，推动基础设施安全、数据安全、应用安全协同发展，加强身份认证、数据加密、安全传输、合规检测等技术创新，培育壮大适应数据流通特征和人工智能应用的安全服务业态。支持企业创新数据分类分级、隐私保护、安全监测、应急处置等数据安全产品和服务。二要加强动态数据安全保障，扩大数据空间、区块链、隐私计算等可信流通技术及模式应用范围，增强数据可信、可控、可计量开发利用能力。建立健全数据安全风险识别、监测预警、应急处置等相关规范，落实数据流通利用全过程相关主体的安全责任。健全数据分类分级标准，加强对涉及国家安全、商业秘密、个人隐私等数据的保护。

监管动态

一、北京市通信管理局关于问题APP的通报

近日，北京市通信管理局依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规，按照工业和信息化部工作部署要求，持续开展APP隐私合规和网络数据安全专项整治。

抽测发现本市部分APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题。截至目前，尚有以下APP未整改或整改不到位，已经被公开通报。

二、“地推”办卡侵犯公民个人信息犯罪团伙落网

近日，福建泉州网安部门成功捣毁一个利用“地推”办卡方式，买卖公民个人信息的违法犯罪团伙，抓获7人。

事件起因于福建泉州警方接到多起群众报警称，家中老人频频接到诈骗电话，险些上当酿成损失。经过警情比对，泉州网安部门民警研判分析，注意到这些涉诈预警电话卡均在近日同一时间段注册，且诈骗电话IP源头均来自同一省份。诈骗分子怎么那么快就拿到了才刚注册不久的电话信息呢？办案民警敏锐察觉到，这可能是一次跨多省份的侵公团伙在作案。

经过调查摸排，8月份，泉州警方分赴多地抓获兰某、肖某、班某等7名犯罪嫌疑人。据犯罪嫌疑人供诉，该团伙在“地推”售卡过程中，通过操作对象手机，在为对象注册本地电话卡的同时，偷偷利用设备绕过IP验证同时注册省外电话卡，并将电话卡连同个人信息以每条60-80元不等的价格售出。目前案件还在进一步侦办中。

网警提醒：广大群众在遇到“地推”办卡活动时，应切实提高警惕，切勿将手机、身份证等物品交予陌生人私自操作，切勿扫描来历不明的二维码。面对“地推”人员提供的礼品或优惠，要保持理性思考，不要因小失大，陷入不法分子的陷阱。一旦发现个人信息被泄露或遭遇诈骗等不法侵害，应立即向公安机关报案，以便警方及时介入调查处理。

三、湖南省13款侵害用户权益的APP被下架

日前，湖南省通信管理局发布了关于下架13款侵害用户权益的APP的通报。从通报情况看，涉及问题主要为：APP频繁自启动和关联启动违反必要原则；未公开收集使用规则；未明示收集使用个人信息的目的、方式和范围；强制用户使用定向推送功能；账号注销难。

四、山西一银行被罚款！3人被警告

近日，正式挂牌开业仅10个月的山西农商联合银行就收到来自监管部门的罚单。

据金融监管总局山西监管局披露的罚单，山西农商联合银行存在的违法违规问题包括数据安全管理较粗放，存在数据泄露风险；对网上银行外包管理不到位导致发生二级网络安全事件，违反审慎经营规则，被罚款60万元。这是山西农商联合银行收到的首张罚单。

五、Meta、YouTube等巨头被曝长期监视未成年用户，牟利数十亿美元

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。

此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了命令。这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。

联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。

六、供应商泄露用户数据，甲方被罚近1亿元

近日消息，美国联邦通信委员会（FCC）与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元（约合人民币9181万元）的和解协议。该事件源自AT&T的一家第三方云服务供应商。

此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议，一家未具名的公司，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。

被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息，以及针对约8.9万名受影响客户的1%的费率计划名称。除了支付1300万美元的罚款外，AT&T还与政府达成了一项同意令，承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计，以及制定一项“全面的”信息安全计划，以更好地保护敏感的客户数据。此外，该协议要求AT&T加强对其第三方供应商生态系统的监管。

七、法国9500万条公民数据遭到泄露

据Cybernews消息，法国公民经历了一次大规模数据暴露事件，超过9500万条公民数据记录被直接公开在互联网上，涉及数据类型包括姓名、电话号码、电子邮件地址和部分支付信息等，这可能导致他们更易遭受针对性的网络攻击。

目前尚不清楚该黑客的具体信息，不过可以肯定的是，他正在持续囤积法国公民泄露的个人信息，并将其编译在一个数据库中。更糟糕的是，这些数据现在已经被公开了。

该数据泄露事件由Cybernews研究团队与网络安全研究员Bob Dyachenko共同发现，这是一个开放的Elasticsearch服务器（实时数据分析和搜索的工具），无需授权即可访问，并且被命名为“vip-v3”。目前该数据库至少包含了9500万条数据，且已经发现来自于17起数据泄露事件，大小超过30GB。

从泄露的数据库中可以发现一共包含17个部分，每个部分可能对应的是一个独立的安全事件，暴露的文件名暗示泄露可能涉及的公司。安全研究人员表示，鉴于欧盟的规定，在没有用户同意的情况下，无法合法收集、获取和组合如此大量的数据。而且数据暴露在外，没有任何安全措施。这表明数据库的所有者明显无视GDPR，可能有恶意意图。由于数据库已经公开可访问了很长一段时间，很可能其他恶意行为者已经复制了数据，并可能正在将其用于犯罪活动。同时也让暴露的公民面临诸多安全风险，例如身份盗窃、欺诈、钓鱼攻击，或使用数据进行帐户劫持或在社会工程攻击中冒充个人。

八、背调公司发生超大规模数据泄漏，一亿美国人隐私信息暴露

近日，网络安全研究机构Cybernews发现，美国背景调查和公共记录服务公司MC2 Data发生了大规模数据泄露事件，暴露了该公司2.2TB的敏感数据。这些数据中包含超过1亿美国公民的个人信息，严重威胁了个人隐私与信息安全。这是Facebook（2019年5亿）和Linkedin（2021年7亿）之后，近年来美国发生的最严重的数据泄漏事件。

此次泄露事件可能由人为错误导致，因为数据库没有设置密码保护，任何互联网用户都可以轻易访问其中的敏感数据。泄露的数据包括：、电子邮件地址、IP地址、用户代理加密后的密码、部分支付信息、家庭住址、出生日期、电话号码、房产记录、法律记录、家庭成员和亲戚及邻居信息、就业经历等。据报道，此次泄露不仅影响了背景调查针对的个人，还涉及230万MC2 Data的订阅用户，其中包括雇主、房东、执法机构等。他们的个人信息同样暴露，成为网络犯罪分子的潜在目标。

Cybernews安全研究员Aras Nazarovas指出：背景调查服务长期以来面临的一个问题是，网络犯罪分子可以利用这些服务获取受害者的信息。“尽管这些服务不断加强安全措施，试图防止滥用，但此次大规模的数据泄露为犯罪分子提供了‘金矿’，使他们能够更轻松地获取并滥用这些详细的个人资料。”

业界之声

一、深入学习宣传贯彻党的二十届三中全会精神 以深化网信领域改革推进网络强国建设

近日，《中国网信》杂志2024年第9期刊发中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文署名文章。

文章要求，要围绕健全促进实体经济和数字经济深度融合制度，推动制造业高端化、智能化、绿色化发展；加快构建促进数字经济发展体制机制，完善促进数字产业化和产业数字化政策体系；加快新一代信息技术全方位全链条普及应用，发展工业互联网，打造具有国际竞争力的数字产业集群；促进平台经济创新发展，健全平台经济常态化监管制度；建设和运营国家数据基础设施，促进数据共享；加快建立数据产权归属认定、市场交易、权益分配、利益保护制度，提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制等。围绕完善发展服务业体制机制，提出发展产业互联网平台等。围绕健全现代化基础设施建设体制机制，提出构建新型基础设施规划和标准体系，健全新型基础设施融合利用机制，推进传统基础设施数字化改造等。

要坚决贯彻《决定》关于网信领域改革中统筹发展和安全的新部署新要求，既对数字经济发展、核心技术突破等作出重要部署，也对维护网络意识形态安全、网络安全、数据安全作出专门安排，有利于改革举措相互配合、发展安全协同一致。坚持守正创新，既巩固在数字经济发展、网络生态治理、网络安全体制建设等方面的改革成果，同时又着眼新形势新任务新挑战，提出一系列创新性举措，推动网信事业行稳致远。突出重点任务，紧盯网信重点领域、关键环节、突出矛盾，围绕数字经济发展、健全网络综合治理体系、人工智能发展管理、网络安全体制建设等提出一系列改革举措，明确重点任务、指出主攻方向，抓住了主要矛盾和矛盾的主要方面。

二、破解安全困境 推动网络空间命运共同体迈向新阶段

近日，中国社会科学院世界经济与政治研究所国家安全研究室主任、研究员郎平在中国网信杂志发表署名文章《破解安全困境 推动网络空间命运共同体迈向新阶段》。

文章指出，数据安全和人工智能安全是当前新兴的重点安全问题，既全面赋能国家发展又关乎总体国家安全观。数据是数字经济时代最重要的战略资源和新型生产要素，对于数字经济特别是人工智能大模型的发展有着基础性的赋能作用。借助于算力、算法和大数据的发展，生成式人工智能技术已成为引领新一轮科技革命和产业变革的颠覆性技术，也充分展现其赋能各行各业的广阔前景。但数据安全和人工智能安全也牵一发而动全身，它们所带来的安全风险可能影响渗透国家安全的方方面面，如何在国家安全治理中统筹发展和安全成为各国面临的共同的时代挑战。

三、2024年度关键信息基础设施安全保护论坛取得圆满成功

近日，2024年度关键信息基础设施安全保护论坛，在北京圆满落下帷幕，取得圆满成功。论坛搭建了一个交流与合作的平台，汇聚行业精英与专家学者，共同研究探讨了国家关键信息基础设施安全综合防护体系建设和“挂图作战”，深入研讨了我国关键信息基础设施安全保护的新思路、新方法、新技术和新举措，进行了广泛而深入的研讨，推动关保联盟成员间的资源共享与协同发展。

会议分析了全球网络空间安全面临的新威胁和挑战，并提到乌克兰危机中的网络安全问题，以及如何从这些事件中汲取教训。互联网核心技术在应对这些新挑战中扮演着越来越重要的角色，包括但不限于路由控制、操作系统安全和数据保护等方面。

会议还介绍了能源化工企业在数字化转型和智能化发展中所面临的新安全威胁，分享了中国石化在开展网络安全技术全景能力评估、实战化运营能力建设、网络安全专项治理行动、基于石化智云的系统全生命周期安全管控、以及工控边界安全防护等方面的实践经验。并探讨了人工智能技术在关键信息基础设施安全保护中的新思考和应用前景。在人工智能时代，数据治理不仅要确保数据质量，还要关注数据的多样性、代表性和标注准确性，以支持AI模型的训练和应用，并对人工智能技术在网络安全领域的未来发展进行了展望，提出了积极应用AI技术解决安全风险、提升网络安全工作效能的策略。

四、中方宣布《人工智能能力建设普惠计划》

近日，“人工智能能力建设国际合作高级别会议”在纽约联合国总部举行。中方在会上提出《人工智能能力建设普惠计划》，引起国际社会广泛关注和积极支持。

《计划》的愿景目标是：提升人工智能数据安全和多样性合作推动数据依法有序自由跨境流动，探索构建数据共享的全球性机制平台，维护个人隐私和数据安全。推动人工智能数据语料库平等多样，消除种族主义、歧视和其他形式的算法偏见，促进、保护和保全文明多样性。确保人工智能安全可靠可控坚持公平和非歧视原则，支持在联合国框架下建立兼顾发展中国家利益的全球可互操作的人工智能安全风险评估框架、标准和治理体系。共同研判人工智能研发与应用风险，积极推进和完善应对人工智能安全风险的技术和政策，确保人工智能设计、研发、使用和应用促进人类福祉。

五、数贸会•数据要素治理与市场化交流活动多项成果发布

近日，第三届全球数字贸易博览会在杭州大会展中心举办，大会包含人工智能新时代的数据安全与治理、创新数据要素流通赋能实体经济发展等多项专题，发布了多项成果，其中：

1.在数据要素治理与市场化交流活动上，杭州数据协同创新未来实验中心正式发布《2024全球隐私计算报告》。报告通过隐私计算产业的发展、2024隐私计算产业的图谱、隐私计算技术的演进和融合、隐私计算产业应用分析、隐私计算与人工智能、隐私计算未来发展等多维度呈现2024年全球隐私计算的最新情况，旨在为社会各界提供参考，助力构建一个安全可靠的数据流通生态，充分释放数据要素的巨大价值。

2.中国联通新成立人工智能与大数据子公司，联通数据智能有限公司正式揭牌成立。联通数据智能有限公司的经营范围涵盖了人工智能理论与算法软件开发、人工智能公共服务平台技术咨询服务、数据处理和存储支持服务、大数据服务、数据处理服务、数字技术服务以及互联网数据服务等多个领域。

3.杭州重塑全国数字经济第一城。杭州明确战略上打造杭州数字经济新引擎、产业发展新地标、制度创新新高地的战略目标，战术上推进数据合规流通成本洼地、数据全产业链聚集地、数据创新应用策源地建设。杭州推出一系列数据产业发展激励政策，启动《杭州市数据流通交易促进条例》地方立法；提出“三数一链”数据流通基础架构，探索实践数据“沙盒监管”机制，推进“一区一园一主业”产业布局，推进支持国家级数据交易所建设，杭州数据交易所累计登记交易金额31.7亿，以数字经济高质量发展推动全国统一大市场建设。