全球数据安全观察 PDF Free Download
1 / 34/34
100%
大数据协同安全技术国家工程研究中心
全球数据安全观察
总第 137 期 2023年第 18 期
(2023.05.29-2023.06.11)
目录
政策形势 ...................................................................................... 1
1、《国务院 2023 年度立法工作计划的通知》印发 ............. 1
2、《个人信息出境标准合同备案指南(第一版)》发布 ... 1
3、国家密码管理局关于《商用密码检测机构管理办法(征求
意见稿)》和《商用密码应用安全性评估管理办法(征求意
见稿)》公开征求意见 ............................................................. 2
4、《山西省政务数据安全管理办法》印发 ........................... 2
5、《上海市电信和互联网行业首席数据官制度建设指南 (试
行)》印发 .................................................................................... 2
6、《四川省企业首席数据官制度建设指南(试行)(征求意
见稿)》发布 .............................................................................. 3
7、《北京市促进通用人工智能创新发展的若干措施》印发
...................................................................................................... 3
8、《深圳市加快推动人工智能高质量发展高水平应用行动方
案(2023—2024 年)》印发 .................................................... 4
9、中国证券业协会印发《证券公司网络和信息安全三年提升
计划(2023-2025)》 ................................................................ 4
10、《网络安全标准实践指南—网络数据安全风险评估实施
指引》发布 .................................................................................. 5
技术、产品与市场 ..................................................................... 6
1、Verizon 发布 2023 年度数据泄露调查报告 ...................... 6
2、IDC:2026 年中国数字化转型支出规模预计超过 6000 亿
美元 .............................................................................................. 7
3、IDC:2023 第一季度中国 IT 安全硬件市场规模约 33.5 亿
元 .................................................................................................. 8
4、2023 OWASP API 安全 Top 10 正式发布 ........................ 9
5、之江实验室发布《生成式大模型安全与隐私白皮书》 . 10
业界观点 .................................................................................... 11
1、白小勇:密码安全一体化,打造实战型数据保护 ......... 11
2、张震宇:强化数字要素世界的保障能力,全面构筑安全堡
垒 ................................................................................................ 13
3、王一鸣:数字经济四大发展趋势 ..................................... 14
4、李振华:数据要素流通与数字技术支撑 ......................... 15
5、王丹阳、侯宁:数据要素市场建设中的企业数据合规分析
.................................................................................................... 17
数据安全事件 ........................................................................... 20
1、FTC 对亚马逊旗下 Alexa 和Ring 的隐私侵权行为处以
3080 万美元罚款 ...................................................................... 20
2、微软预计将为领英违反 GDPR 一案支付超过 4亿美元罚
款 ................................................................................................ 21
3、微软为 XBOX 侵犯儿童隐私支付 2000 万美元罚款 . 21
4、南昌市网信办依法对某股份有限公司作出行政处罚 ..... 22
5、美国 HPHC 遭到勒索攻击导致超过 250 万人的信息泄露
.................................................................................................... 23
6、西班牙大型银行 Globalcaja 遭到来自 Play 的勒索攻击 23
7、法国海外省疑遭勒索软件攻击,政务网络已瘫痪数周 . 24
8、BlackCat 勒索软件勒索澳大利亚商法巨头 .................... 25
9、Scrubs & Beyond 泄露 400GB 的用户和银行卡详细信息
.................................................................................................... 25
10、生物技术公司 Enzo Biochem 近250 万人的临床数据被
盗 ................................................................................................ 26
11、本田被曝存在 API 漏洞,客户数据正处于高风险状态
.................................................................................................... 27
12、德国医疗保健招聘平台 Pflegia 泄露敏感的求职者信息
.................................................................................................... 27
13、英国航空公司、BBC 和 Boots 受到 Zellis 数据泄露的
影响 ............................................................................................ 28
1
政策形势
1、《国务院 2023 年度立法工作计划的通知》印发
6月6日,国务院办公厅关于印发《国务院 2023 年度立
法工作计划的通知》国办发〔2023〕18 号。其中,拟提请全
国人大常委会审议保守国家秘密法修订草案;预备提请全国
人大常委会审议电信法草案、人工智能法草案;拟审议商用
密码管理条例、未成年人网络保护条例、网络数据安全管理
条例;预备制定政务数据共享条例。
https://www.gov.cn/zhengce/content/202306/content_6884925.h
tm
2、《个人信息出境标准合同备案指南(第一版)》发布
5月30 日,国家互联网信息办公室发布《个人信息出境
标准合同备案指南(第一版)》,对个人信息出境标准合同备
案方式、备案流程、备案材料等具体要求作出了说明。
http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
2
3、国家密码管理局关于《商用密码检测机构管理办法(征求
意见稿)》和《商用密码应用安全性评估管理办法(征求意
见稿)》公开征求意见
6月9日,国家密码管理局对《商用密码检测机构管理
办法(征求意见稿)》和《商用密码应用安全性评估管理办法
(征求意见稿)》进行公开征求意见。
http://www.sca.gov.cn/sca/hdjl/2023-
06/09/content_1061072.shtml
4、《山西省政务数据安全管理办法》印发
近日,山西省人民政府办公厅印发《关于印发山西省政
务数据安全管理办法》,从安全制度、安全管理、安全保障以
及安全责任等几个方面对山西省政务数据提出要求。
https://www.shanxi.gov.cn/zfxxgk/zfxxgkzl/fdzdgknr/lzyj/szfbgt
wj/202306/t20230602_8663910.shtml
5、《上海市电信和互联网行业首席数据官制度建设指南 (试
行)》印发
6月6日,上海市通信管理局印发《上海市电信和互联
网行业首席数据官制度建设指南 (试行)》,从企业 CDO 制度
的建立、企业 CDO 的职责、企业 CDO 的职责、企业 CDO
3
备案机制 4个方面提出主要任务,以落实“浦江护航”数据安
全专项行动任务要求。
https://mp.weixin.qq.com/s/djM0eJxHve4-ia-8-lkGuQ
6、《四川省企业首席数据官制度建设指南(试行)(征求意
见稿)》发布
5月30 日,四川省经济和信息化厅就《四川省企业首席
数据官制度建设指南(试行)(征求意见稿)》向社会征求意
见。征求意见稿中从建设原则、各方职责、岗位设置、岗位
职责以及考核和奖惩几个方面提出了首席数据官建设要求。
https://jxt.sc.gov.cn/scjxt/ggtz/2023/5/30/08a7f52e1e474ff7a539
4669c7e7af32.shtml
7、《北京市促进通用人工智能创新发展的若干措施》印发
5月30 日,北京市人民政府办公厅印发《北京市促进通
用人工智能创新发展的若干措施》,提出提升算力资源统筹
供给能力、提升高质量数据要素供给能力、系统构建大模型
等通用人工智能技术体系、推动通用人工智能技术创新场景
应用、探索营造包容审慎的监管环境 5项措施推动本市通用
人工智能实现创新引领和理性健康发展。其中在监管环境要
求中明确指出要加强网络服务安全防护和个人数据保护、持
4
续加强科技伦理治理。
https://www.beijing.gov.cn/zhengce/zhengcefagui/202305/t2023
0530_3116869.html
8、《深圳市加快推动人工智能高质量发展高水平应用行动方
案(2023—2024 年)》印发
6月2日,中共深圳市委办公厅、深圳市人民政府办公
厅印发《深圳市加快推动人工智能高质量发展高水平应用行
动方案(2023—2024 年)》。 方案提出要强化智能算力集群供
给、增强关键核心技术与产品创新能力、提升产业集聚水平、
打造全域全时场景应用、强化数据和人才要素供给。
http://ssia.org.cn/page61?article_id=854
9、中国证券业协会印发《证券公司网络和信息安全三年提升
计划(2023-2025)》
近日,中国证券业协会印发《证券公司网络和信息安全
三年提升计划(2023-2025)》,阐明未来三年全面提升证券公
司网络和信息安全的指导思想、基本原则、总体目标、主要
任务及实施路径。计划围绕国家关于网络和信息安全的具体
要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚
焦防范网络和信息安全风险,明确六类 31 项主要任务要求,
5
形成 32 项具体任务清单。
https://www.sac.net.cn/ljxh/xhgzdt/202306/t20230609_60404.ht
ml
10、《网络安全标准实践指南—网络数据安全风险评估实施
指引》发布
5月29 日,全国信息安全标准化技术委员会秘书处发布
《网络安全标准实践指南—网络数据安全风险评估实施指
引》,给出了网络数据安全风险评估的评估思路、工作流程和
评估内容,围绕数据安全管理、数据处理活动安全、数据安
全技术、个人信息保护等方面制定了数据安全风险评估内容
框架。
https://www.tc260.org.cn/front/postDetail.html?id=2023052915
5314
6
技术、产品与市场
1、Verizon 发布 2023 年度数据泄露调查报告
6月6日,Verizon 发布了第 16 份年度数据泄露调查报
告DBIR(2023 Data Breach Investigations Report)。 DBIR 是
网络安全行业最受期待的报告之一,因为它基于对大量现实
世界事件的分析。在 2023 DBIR 中,Verizon 分析了 16,312
起安全事件和 5,199 起数据泄露事件,核心发现如下:
(1)对于网络犯罪分子来说,社会工程攻击通常非常有
效且利润丰厚。
(2)勒索软件持续成为数据泄露中出现最频繁的行动
类型之一,尽管其实际增长并不明显,但其在统计上保持了
24%的比例。勒索软件已经普遍存在于各种规模和各个行业
的组织中。
(3)74%的泄露事件是人为因素造成的,包括人为错误、
滥用特权、使用被盗凭证或社会工程。83%的泄露事件涉及
外部行为者,攻击的主要动机仍然绝大多数是财务,占其中
的95%。
(4)攻击者访问组织的三种主要方式是窃取凭据、网络
钓鱼和利用漏洞。
https://www.secrss.com/articles/55432
7
2、IDC:2026 年中国数字化转型支出规模预计超过 6000 亿
美元
IDC 最新数据显示,到 2026 年,中国数字化转型支出规
模预计超过 6000 亿美元,五年复合增长率将达到 17.9%,
增速位于全球前列。
硬件主导中国数字化转型支出,但软件和云部署模式支
出增长更快。在中国数字化转型支出中硬件支出在五年预测
中占比最大,未来五年接近五成投资份额将流向硬件市场。
中国发改委公布的《关于数字经济发展情况的报告》指出我
国应适当提前布局数字基础设施,夯实中国数字经济发展的
基础。加强数字基础设施布局如传统基础设施数字化、智能
化改造,提高应用基础设施水平,系统优化算力等规划已成
8
为硬件支出的重要投资方向。IDC 预计,到 2026 年中国数字
化转型硬件市场支出将超过 3000 亿美元。
此外,软件市场增长最高。2021-2026 年软件市场五年复
合增长率(CAGR)超过 20%,增速超过数字化转型整体增
速的 30%。IDC 定义下的软件市场主要由应用开发与部署
(Applications Development and Deployment )、 应 用
(Applications)、系统基础架构软件(System Infrastructure
Software)等软件市场组成。
https://www.secrss.com/articles/55491
3、IDC:2023 第一季度中国 IT 安全硬件市场规模约 33.5 亿
元
IDC《2023 年第一季度中国 IT 安全硬件市场跟踪报告》
显示,2023 年第一季度中国 IT 安全硬件市场厂商整体收入
约为 33.5 亿元人民币(约合 4.9 亿美元),同比增长 7.8%。
IDC 定义下的网络安全硬件市场分别由统一威胁管理
(UTM)、基于 UTM 平台的防火墙 (UTM Firewall) 、安全内
容管理(SCM)、入侵检测与防御 (IDP)、虚拟专用网(VPN)、
传统防火墙 (Traditional Firewall) 构成。
总体来看,2023 年第一季度中国网络安全硬件市场数据
表现如下:
9
基于 UTM 平台的防火墙市场规模仍保持第一,2023
年第一季度总体市场规模约为 11.4 亿元人民币;
全行业客户对远程办公接受度有所提高,疫情过后对
VPN 的部署需求仍然存在。同时,在“密评”等合规政
策的加持下,中国 VPN 市场同比增速达到 11.4%;
政府、金融、运营商三大行业用户仍为网络安全硬件
的投资主力。教育、医疗、制造、交通等行业在政策
利好以及自身需求的拉动下,展现出新的需求点。
https://www.secrss.com/articles/55492
4、2023 OWASP API 安全 Top 10 正式发布
2023 年6月5日,OWASP 正式发布了 2023 版API 安
全Top 10 列表。首版 OWASP API Security Top 10 发布于
2019 年。
API1:2023 - Broken Object Level Authorization 对象级别
授权失效。
API2:2023 - Broken Authentication 认证失效。
API3:2023 - Broken Object Property Level Authorization
对象属性级别授权失效。
API4:2023 - Unrestricted Resource Consumption 不受限
的资源消耗。
10
API5:2023 - Broken Function Level Authorization 功能级
授权失效。
API6:2023 - Unrestricted Access to Sensitive Business
Flows 不受限访问敏感业务流。
API7:2023 - Server Side Request Forgery 服务器端请求伪
造。
API8:2023 - Security Misconfiguration 安全配置错误。
API9:2023 - Improper Inventory Management 存量资产管
理不当。
API10:2023 - Unsafe Consumption of APIs API 的不安全
使用。
https://mp.weixin.qq.com/s/9jQ1C-oINOi3cyoeHJB7sA
5、之江实验室发布《生成式大模型安全与隐私白皮书》
生成式大模型如 ChatGPT 已经在学术研究和社会生活
中带来了重大变革,显示了通向通用人工智能的潜力。然而,
研究人员也意识到生成式大模型面临数据和模型安全隐患。
美国白宫与谷歌、微软、OpenAI、Anthropic 等公司的 CEO
们召开会议,讨论 AI 生成技术的风险和负责任开发,制定
有效监管措施。国内的生成式大模型技术也在发展,但需同
时关注安全问题,避免潜在危害。之江实验室的人工智能与
11
安全团队发布了 ChatGPT 安全与隐私问题白皮书,旨在为技
术人员提供指导,并为 AI 政策制定者提供依据。
https://mp.weixin.qq.com/s/lX7oI7_VBVCBcWkimjOoVA
业界观点
1、白小勇:密码安全一体化,打造实战型数据保护
2023 年6月9日,以“创新·应用”为主题的 2023 密码丰
会在北京丰台成功召开。炼石创始人、CEO 白小勇受邀出席,
并发表《密码安全一体化,打造实战型数据保护》的主题演
讲。
法律法规培育密码产业肥沃土壤。近年来,在国家“十四
五”规划、二十大报告战略指引下,《 网络安全法》《 密码法》
《数据安全法》《 个人信息保护法》相继施行,“四法四例四
规”配套规章细化到省部级、技术标准细化到场景级。尤其是
2023 年4月14 日,《 商用密码管理条例》( 简称“《商密条
例》”)由国务院常务会议审议通过,自 2023 年7月1日起
施行。密码法规体系健全完善,有力推动全行业推广密码应
用。
实战与合规辩证推动基于密码安全一体化的数据保护
发展。从技术实战来看,安全建设呈现“一实战、双合规”的
12
辩证统一,密码技术贯穿始终。不论是攻防演练还是合规整
改,本质上是解决实战对抗的问题,所以实战是检验数据安
全能力的唯一标准。但是,实战对抗对应着偶发的、高技术
水平的对抗风险,对于绝大部分企业来说,难以具备持续性
的资源投入应对。而合规建设可将这种对抗性风险转变成常
态的、可重复验证、可被审计的非对抗风险,合规更容易被
复制推广。当然,合规需求也是来自于实战的最佳实践,实
战与合规的需求是辩证统一的。在炼石看来,数据安全合规
分为过程合规和结果合规。从过程看,密码作为一种直接作
用于数据的技术手段,合规、正确、有效地使用密码技术,
可以满足《密码法》等法定要求的“数据安全过程合规”。从
结果看,DSM 数据安全管理认证、PIP 个人信息保护认证等
是《数据安全法》《个人信息保护法》以及配套法律法规的落
地手段,体现了“数据安全结果合规”。
免改造安全技术打造实战型数据保护。在炼石多年实践
应用中,发现密码应用最大痛点在于,安全机制和业务处理
纽结缠绕、难以改造。对此,炼石创新打造免改造数据安全
技术,无需开发改造应用代码,面向复杂应用系统可以快速
实施密码安全一体化的全面数据保护,重构数据防护边界,
实现防绕过的数据安全机制。
https://mp.weixin.qq.com/s/E6NfUlutQ9nUjbdox_OeYA
13
2、张震宇:强化数字要素世界的保障能力,全面构筑安全堡
垒
随着产业数字化与数字产业化所带来的场景和需求日
益复杂和深化,数字安全已经成为影响企业数字化建设的最
主要安全问题。数字安全除了关注内部信息和操作技术外,
还关注整个数据流转所带来的风险以及场景化的痛点、难点。
领信数科 CEO 张震宇表示,数字安全要匹配数字化全
流程、场景化发展的系统化顶层设计,更好统筹安全和发展。
数字安全时代,有两类新技术将引领时代的发展。一类是围
绕数据的授权使用,另一类是数据的可用不可见。其中,“数
字身份”的概念将越来越趋向于脱虚入实,未来社会的公民既
是实体自然人,也是映射到数字世界的“数字人”。如今,数
字身份已经拥有非常广泛的范围,可以是个人的身份信息,
如用户名、密码、指纹、面部识别等,也可以是组织的身份
信息,如数字证书、访问令牌等。通过身份认证,系统可以
确认用户的身份,并基于其数字身份进行适当的授权和访问
控制,以保护数字资源的安全性和完整性。另一方面数据可
用不可见,目前世界上主流采用的技术就是隐私计算技术,
其中隐私求交、匿踪查询和联邦学习是隐私计算的关键概念。
随着中央提倡数据经济,探索数据交易。数据可用不可见逐
渐成为刚需。
14
随着 ChatGPT 等给人工智能新技术的快速落地,数字
安全面临的挑战愈加多元。随之而来的数字安全需求具有场
景化、流动性、更泛化的业务原生安全需求,市场呼唤更具
创新实力、与时俱进的数字安全企业。张震宇认为,数字安
全企业不仅要能应对人工智能带来的安全威胁,更应该利用
人工智能来解决数字安全问题。
https://www.youxia.org/2023/06/107961.html
3、王一鸣:数字经济四大发展趋势
当前,随着新一轮科技革命和产业变革的深入发展,网
络互联的移动化、泛在化,信息处理的高速化、智能化,计
算技术的高能化、量子化,推动数字技术与实体经济全方位、
全要素、全链条融合发展,正在重新定义产业生态,重塑数
字经济发展格局。从这个意义上说,推动数字经济高质量发
展,需要把握数字经济发展的新趋势和新特征。
人工智能正在成为数字经济发展的新引擎。从生成式人
工智能 ChatGPT 的诞生,可以看出人工智能在向各个领域广
泛渗透,应用场景日趋多元化,必将催生智能制造的新模式
新业态。而 5G 的规模化应用,使得人工智能的发展动能更
加强劲,为我国数字经济创新发展模式,开辟了更为广阔的
前景。
15
数字化转型正在由消费领域向生产领域扩展。随着新一
代数字技术向制造领域的渗透扩散,先进的传感技术、数字
化设计制造、机器人与智能控制系统日趋广泛地运用,制造
业的研发设计、生产流程、企业管理,乃至用户关系,都呈
现了智能化发展趋势。
基于工业互联网的产业生态正在加快构建。制造业的数
字化转型深入推进,促进了生产组织和社会分工向网络化、
扁平化、平台化转变,也推动了工业互联网的产业生态加快
形成。目前我国已基本形成了“综合型+特色型+专业型”的
工业互联网平台体系。
数字技术赋能传统产业绿色低碳转型。数字技术与能源
技术的融合,推动了化石能源的清洁化、清洁能源的规模化
和能源服务的智能化,促进了能源技术向绿色低碳和智能化
方向发展,加快了能源结构从高碳向低碳转变。
https://mp.weixin.qq.com/s/dOgq8ozFpDVPsc2ClVmXxQ
4、李振华:数据要素流通与数字技术支撑
当前,在数据要素流通过程中面临很多挑战。第一是数
据不敢流通,即数据在流通、共享时是否安全合规。第二是
数据不会流通,即在数据流通中使用技术的门槛非常高。第
三是数据流通成本高,即现有数据流通技术使用成本较高。
16
要想破解前述三大挑战,让数据安全、合规、高效地流
通起来,一方面需要制度创新,另一方面需要数字技术行业
的发展。在制度创新方面,已经推出的“数据 20 条”是一个
非常好的起点,数据 20 条中提出了数据的三权分立原则,即
把持有权、加工使用权和经营权进行分离,淡化所有权问题,
这为制度性解决数据相关难题奠定了非常好的基础。接下来,
很重要的,就是通过数字技术行业的发展,支撑相关制度的
落地和数据要素安全、合规、高效地流通起来。
在数据流通相关的数字技术中,数据密态和跨域管控技
术体系发展是关键。数据流通,核心不是自己使用,而是对
外开放提供和利用,那么如何有效保障提供方的权益,消除
安全隐患,从而让数据持有者愿意把数据开放出来让外部使
用,就极为关键。
未来,数据技术行业的发展,应该是“三步走”战略,
逐步突破相应卡点:第一步是让大家“敢用”数字技术,消
除合规不确定性;第二步是让技术“好用、易用”,降低使用
门槛,丰富整个技术行业生态;第三步是让更多的人用得起,
不断降低成本,最终实现全行业“会用易用,渐进普惠”。
https://mp.weixin.qq.com/s/UTGQzX11mX-5A3XDrABZ7A
17
5、王丹阳、侯宁:数据要素市场建设中的企业数据合规分析
随着立法的不断完善,我国数据合规监管越来越深入和
细致,覆盖范围也越来越广泛,整体呈现趋严态势。
APP 监管呈现深入细致的趋势。各部委公开的通报体现
了以下特点:监管主体增加,从统一通报到专项通报,监管
重点逐渐深入细致。
数据出境监管体系初步形成。2021 年,《中华人民共和
国数据安全法》和《中华人民共和国个人信息保护法》正式
实施,加上 2022 年生效的《数据出境安全评估办法》以及一
系列配套规范等,初步形成了我国数据出境监管体系。
企业合规不起诉制度在数据领域落地实施,极大地提升
了企业主动提高自身数据合规能力的积极性,强化了数据合
规工作在减轻刑事责任风险方面的重要性。
然而,由于立法更新迅速、实施细则缺失等原因,企业
数据合规工作面临着一系列挑战。主要包括以下方面:
(1)监管指引不足,合规要求难以落实。
(2)企业整改被动盲目,合规成本难以负担。
(3)企业内部权责难定,合规工作难以推进。
“数据二十条”的出台为企业提升数据合规能力释放了更
强烈的信号。企业若想提升自身的商业竞争能力,充分参与
数据要素市场建设,借数据要素市场建设之东风促进自身发
18
展,可以参考以下思路尽快提升自身的数据合规能力。
(1)抓紧落实数据分类分级。
数据的分类分级不仅对数据安全保护策略的制定和实
施具有重大意义,在企业数据合规的其他方面也具有基础性
作用,企业亟需探索和实施符合本企业经营特点和需求的数
据分类分级制度。企业可以先依据现有指引做好自身的数据
分类分级,对所掌握的数据类型、体量、使用目的等有清楚
的认知,以便能够在未来相关规则和制度明确之时快速调整
和匹配合规要求,缩短合规整改窗口期。
(2)加强数据来源合法合规审查。
若数据来源的合法性无法保证,则后续的数据处理和使
用就如同食用“毒树之果”,将带来重大的合规隐患。“数据二
十条”提出的建立合规高效、场内外结合的数据要素流通和交
易制度,进一步凸显了数据源合规的重要性。
参考《可信数据服务 金融机构外部可信数据源评估要
求》,企业可以从数据本身和数据提供方两个方面重点判断。
首先,针对数据本身,企业应当判断数据获取来源是否真实、
合规、可追溯,数据获取方式是否为合法渠道,尤其关注爬
取数据的合法性;同时,数据通过授权获取的,应当判断授
权是否完整,尤其针对个人信息的授权应当根据相应的法律
要求判断授权是否充分知情、自愿,是否取得单独或书面同
19
意等。其次,通过数据提供方的一些基本情况,也可以辅助
判断数据来源是否存在潜在风险,如数据提供方业务资质、
经营资质、经营实力、经营状况、企业信誉、过往项目经历
等;此外,对数据提供方的数据供应能力的审查也至关重要,
如相关业务流程、内部管理制度、技术能力、硬件设备、配
套服务、合规安全保障能力等。若企业对数据本身的判断较
为模棱两可,那么结合数据提供方自身情况进行综合判断,
可以帮助企业更加准确地判断数据来源的合法、合规性,最
大程度避免合规风险。
(3)培养企业数据合规能力常态化提升意识。
将企业数据合规能力至少可以进一步分为数据合规基
础能力、数据合规通用能力和数据全生命周期合规能力。其
中,数据合规基础能力可以从数据合规的机构设置和人员安
排、企业层面整体的工作规划和方案、数据合规技术工具的
使用等方面进行完善和提升,从企业管理的角度为数据合规
工作的开展奠定基础;数据合规通用能力建设则包括数据合
规风险识别、数据分类分级、个人信息主体权利保障、网络
安全和数据安全、合作方管理以及员工个人信息保护等方面,
要基本涵盖法律法规对于企业数据合规的通用要求;数据全
生命周期合规能力则要结合企业相关业务开展的情况,从数
据的收集、存储、使用、加工、传输、提供等各个环节匹配
20
相关合规要求,并对每个环节进行监督和管理,同时与数据
合规基础能力和通用能力相结合,共同构成企业数据合规能
力体系。
https://mp.weixin.qq.com/s/F8T87jV5YGFvcR_ngT0xjg
数据安全事件
1、FTC 对亚马逊旗下 Alexa 和Ring 的隐私侵权行为处以
3080 万美元罚款
6月5日报道,美国联邦贸易委员会(FTC)对亚马逊旗
下的 Alexa 语音助手和 Ring(智能门铃)安全摄像头的一系
列隐私问题累计罚款 3080 万美元。
其中包括对违反儿童隐私法的 2500 万美元的罚款,因
为他们永久保存了 Alexa 的语音记录,并阻止父母进行删除。
FTC 表示:"亚马逊误导父母,无限期保留儿童的录音,
并无视父母的删除请求,这违反了 COPPA,为了利润侵犯了
隐私”。
在法院的判决中,这家零售巨头被要求删除收集的信息,
包括并不活跃的儿童账户、地理位置数据和语音记录,并禁
止收集这些数据来训练其算法。
https://mp.weixin.qq.com/s/dFVLkbeTbhAO-NPh4KRfWA
21
2、微软预计将为领英违反 GDPR 一案支付超过 4亿美元罚
款
6月1日,微软在其官网的投资者关系板块发布一份关
于爱尔兰数据保护委员会(以下简称“IDPC”)将就领英违
反GDPR 一案对其进行处罚的声明。
微软在声明中表示,IDPC 自2018 年起针对领英(和其他
公司)的定向广告是否违反欧盟通用数据保护条例(以下简称
为 “GDPR”)的投诉开启调查。据声明披露,IDPC 在4月
份向领英发送了一份非公开的初步决定草案,拟议对其处以
约4.25 亿美元罚款。经过审查和分析,微软决定根据当前汇
率在 2023 财年第四季度计提约 4.25 亿美元的企业准备金。
https://www.secrss.com/articles/55416
3、微软为 XBOX 侵犯儿童隐私支付 2000 万美元罚款
6月6日报道,微软已同意支付 2000 万美元的罚款并
更改儿童数据隐私程序,以解决联邦贸易委员会 (FTC) 对
儿童在线隐私保护法 (COPPA) 违规行为的指控。
据消费者保护机构称,微软涉嫌在未征得父母同意甚至
未通知父母的情况下,收集并保留注册了 Xbox Live 服务的
儿童的个人信息。FTC 表示,在 2015 年至 2020 年间的一
些确认案例中,微软将儿童数据存储在其服务器中长达数年
22
之久,亚马逊无视家长删除孩子数据的请求,并继续使用敏
感的用户信息来训练机器学习算法。
FTC 近期采取密集行动来强调科技公司遵守数据隐私
法规的重要性,尤其是那些处理敏感未成年用户数据的公司。
https://www.bleepingcomputer.com/news/microsoft/microsoft-
to-pay-20-million-for-xbox-children-privacy-violations/
4、南昌市网信办依法对某股份有限公司作出行政处罚
6月7日报道,2023 年4月13 日,江西某股份有限公
司运营的网络智能办公系统疑似遭黑客组织攻击并植入木
马病毒,主机存在受控的风险。经南昌市互联网信息办公室
查明:
①该公司的 OA 系统和服务器内存储了大量敏感数据,
但该公司履行数据安全保护义务不到位,OA 系统感染了可
获取服务器文件管理权限和命令执行权限的木马程序,相关
行为违反了《中华人民共和国数据安全法》第二十七条规定;
②该公司开展数据处理活动未加强风险监测,在发现数据安
全漏洞风险和事件时未采取补救措施,未履行风险监测、补
救处置等义务,相关行为违反了《中华人民共和国数据安全
法》第二十九条规定。
2023 年5月30 日,南昌市网信办依据《中华人民共和
23
国数据安全法》第四十五条的规定,对江西某股份有限公司
处以警告、罚款 50 万元,对直接负责的主管人员处以罚款 5
万元的行政处罚。
https://www.secrss.com/articles/55442
5、美国 HPHC 遭到勒索攻击导致超过 250 万人的信息泄露
媒体 6月1日称,美国医疗机构 Harvard Pilgrim Health
Care(HPHC)在4月份遭到勒索攻击,导致 2550922 人的信息
泄露。调查发现,攻击者于 3月28 日至 4月17 日,从 HPHC
的系统中窃取了敏感数据,涉及姓名、地址、电话、账户信
息、社会安全号码、纳税人识别号和临床信息等。此次事件
影响了该机构从 2012 年3月28 日开始注册的成员。HPHC
将为受影响的个人提供信用监控和身份盗窃保护服务。目前
尚无勒索团伙声称为此事负责。
https://www.bleepingcomputer.com/news/security/harvard-
pilgrim-health-care-ransomware-attack-hits-25-million-people/
6、西班牙大型银行 Globalcaja 遭到来自 Play 的勒索攻击
据6月5日报道,西班牙的一家大型银行 Globalcaja 透
露,它正在处理影响了多个办事处的勒索攻击。Globalcaja 总
部位于西班牙阿尔巴塞特市,管理着超过 46 亿美元的消费
24
贷款。Play 声称它攻击了该银行并窃取了部分信息,包括个
人机密数据、客户和员工文件、护照和合同等。该机构表示,
这并没有影响各实体的交易,电子银行、自动取款机和各办
事处也都在正常运作。该公司没有回应关于是否交赎金的询
问。
https://therecord.media/spain-globalcaja-bank-confirms-
ransomware-attack
7、法国海外省疑遭勒索软件攻击,政务网络已瘫痪数周
6月6日消息,位于中美洲加勒比海的马提尼克岛遭到
网络攻击,致使互联网访问与其他基础设施中断数周,目前
仍在着手应对。
马提尼克岛人口约 36 万,隶属于法国,是欧盟最外围的
地区。公告指出,此次攻击开始于 5月16 日,当地官员被迫
隔离受影响的系统,动员网络安全专家协助逐步恢复正常运
行。
Rhysida 勒索软件团伙表示对此次攻击事件负责,并泄
露了全部被盗文件——其中大部分似乎是政府数据。
https://www.secrss.com/articles/55383
25
8、BlackCat 勒索软件勒索澳大利亚商法巨头
6月9日,据外媒报道,澳大利亚律师事务所 HWL
Ebsworth 向当地媒体证实,其网络遭到黑客攻击,ALPHV
勒索软件团伙开始泄露他们声称从公司窃取的数据。
HWL Ebsworth 是澳大利亚最大的律师事务所之一,年
收入达数亿美元,员工超过 2,000 人。ALPHV 勒索软件团
伙(也称为 BlackCat)发布了 1.45 TB 的数据,其中包含据
称于 2023 年 4 月从律师事务所系统中窃取的超过一百万
份文件。网络犯罪分子威胁说,如果公司不满足他们的勒索
要求,他们将泄露更多文件数据。
该公司的一位发言人在 ABC 上表示,他们不会屈服于
威胁行为者的勒索要求,即使这意味着他们和他们的客户将
不得不承受数据泄露的严重后果。
https://www.bleepingcomputer.com/news/security/blackcat-
ransomware-fails-to-extort-australian-commercial-law-
giant/?&web_view=true
9、Scrubs & Beyond 泄露 400GB 的用户和银行卡详细信息
6月5日报道,Scrubs & Beyond 以纯文本形式泄露了
400 GB 的用户 PII 和银行卡信息。该数据库于 5月16 日暴
露,研究人员在 5月25 日发现,此后这些信息一直处于可
26
公开访问的状态。目前,服务器拥有超过 100000 条客户记
录,总计 400 GB,且数据库大小和用户数量随着每天新增的
信息而不断增长。泄露信息涉及姓名、电话、地址和内部凭
据等个人信息,以及银行卡号、CVV 代码和 PayPal 支付日
志等财务信息。目前,该公司并未对此事作出回应,也未将
该数据库保护起来。
https://www.hackread.com/scrubs-beyond-leaks-400gb-of-user-
data/
10、生物技术公司 Enzo Biochem 近250 万人的临床数据被
盗
据媒体 6月1日报道,生物技术公司 Enzo Biochem 遭
到勒索攻击,导致约 2470000 人的临床测试信息泄露。Enzo
制造和销售基于 DNA 的测试以检测病毒和细菌疾病,包括
COVID-19 和癌症。该公司在 4月11 日发现客户姓名和测试
信息,以及约 600000 个社会安全号码被访问,目前没有勒索
团伙表示对此次攻击负责。Enzo 称已将其系统与互联网断开
连接,现在仍在调查此事件。
https://therecord.media/clinical-test-data-of-enzio-biochem-
stolen
27
11、本田被曝存在 API 漏洞,客户数据正处于高风险状态
6月7日,据外媒报道,由于允许为任何帐户重置密码
的 API 缺陷,本田的电力设备、船舶、草坪和花园电子商务
平台容易受到任何人未经授权的访问。
本田系统中的安全漏洞是由安全研究员 Eaton Zveare
发现的,几个月前他利用类似的漏洞入侵了丰田的供应商门
户网站。Eaton Works 利用密码重置 API 来重置重要帐户的
密码,然后在其网络上就能拥有不受限制的管理员级别数据
访问权限。
因此,以下信息暴露给安全研究人员,并可能暴露给利
用相同漏洞的威胁参与者:所有经销商的 21,393 份客户订单
(包括客户姓名、地址、电话号码和订购的物品)、3,588 个
经销商用户/帐户(包括名字和姓氏、电子邮件地址,可以更
改任何这些用户的密码)、内部财务报告等等。
https://www.bleepingcomputer.com/news/security/honda-api-
flaws-exposed-customer-data-dealer-panels-internal-docs/
12、德国医疗保健招聘平台 Pflegia 泄露敏感的求职者信息
6月8日报道,德国医疗保健招聘平台 Pflegia 暴露了
数十万份包含敏感用户数据(例如姓名、家庭住址和电子邮
件)的文件。
28
据称,Cybernews 研究团队发现了一个开放的亚马逊网
络服务 (AWS) 云实例,其中包含超过 360,000 个文件。该
团队推断暴露的文件属于 Pflegia。Pflegia 是一个德国招聘
平台,为医院、疗养院、门诊服务和重症监护招聘医疗保健
专业人员。
暴露的 AWS 存储桶包含数十万个包含敏感信息的文
件。大多数文件都是用户提交的简历,其中包含:全名、出
生日期、职业履历、家庭住址、电话号码、电子邮件地址等。
暴露此类数据(归类为个人身份信息 (PII))会给受害者带来
许多危险,因为攻击者可以利用这些数据进行鱼叉式网络钓
鱼攻击和身份盗用。
https://cybernews.com/security/pflegia-recruiter-data-leak/
13、英国航空公司、BBC 和 Boots 受到 Zellis 数据泄露的
影响
6月6日,据外媒报道,由于对薪酬服务提供商 Zellis
的网络攻击事件,BBC 和英国航空公司员工的个人数据已
被泄露和暴露。
该事件是威胁行为者通过对 Zellis 的第三方供应商之一
MOVEit 发动攻击而发生的,Zellis 为英国数百家公司提供
薪资支持服务,包括英国航空公司、BBC、Boots 等。
29
多家安全公司报告称,威胁行为者正在利用 Progress
MOVEit Transfer 文件传输产品中的零日漏洞来窃取组织数
据。MOVEit Transfer 是一种托管文件传输,企业使用它通过
SFTP、SCP 和基于 HTTP 的上传安全地传输文件。该漏洞
是一个 SQL 注入漏洞,未经授权的攻击者可利用该漏洞获
取对 MOVEit Transfer 数据库的未授权访问权限。
近日,Clop 勒索软件团伙宣传他们是 MOVEit Transfer
数据盗窃攻击的幕后黑手,该攻击利用零日漏洞破坏属于
“数百家公司”的服务器并窃取数据。
https://securityaffairs.com/147119/data-breach/zellis-data-
breach-bbc-ba.html
30
如有反馈 邮件请至 nelab@360.cn
《全球数据安全观察》周报
政策形势:政策法规/地方动态/标准动态
技术、产品与市场:技术研究/行业洞察/市场趋势
业界观点:大咖观点/业界报告
数据安全事件:合规事件/数据泄露/数据勒索
编委会:钟力、唐会芳、王雨薇、陈璐
