数据安全每周观察《山东省公共数据资源登记管理工作规范》公开征求意见

  根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第24号），全国网络安全标准化技术委员会归口的3项网络安全国家标准正式对外发布。具体清单如下：

  二、全国网络安全标准化技术委员会关于2024年44项网络安全国家标准项目立项的通知

  近日，全国网络安全标准化技术委员会发布通知，印发了44项网络安全国家标准清单，要求各工作组按照国家标准委和委员会相关规定，认真做好项目的指导工作，监督好各项目的实施进度，各项目牵头单位做好项目的研制工作。

  为认真贯彻落实《中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》《山东省人民政府办公厅关于快速推进数据要素市场化配置改革的实施建议》等文件要求，促进公共数据资源合规高效开发利用，规范公共数据资源登记工作，山东省大数据局近日发布了《山东省公共数据资源登记管理工作规范（试行）》（公开征求意见稿），向社会公开征求意见。

  《规范》根据《中华人民共和国数据安全法》《中华人民共和国个人隐私信息保护法》等法律和法规制定，明确了各级数据主管部门和登记机构的职责分工，强调了数据资源的登记范围及要求，确保所有公共数据资源得到一定效果管理与监督。通过规范化的登记流程，政策旨在提升数据的透明度和安全性，从而促进数据要素的市场化配置。

  《规范》要求，登记机构应建立完整数据资源登记管理责任制，履行数据安全保护义务，谨慎保管登记信息，保存期限不可以少于30年；申请首次登记的，登记主体应当提交主体信息、数据合法合规性来源、数据资源情况、存证情况、产品和服务信息、应用场景信息、数据安全风险评估等申请材料；登记后发现未严格落实数据安全和网络安全保护义务，造成数据泄露、数据被非法利用或存在数据安全风险隐患的经核实认定后由登记机构撤销登记并进行公告。

  近日，江苏省政府办公厅印发《江苏省公共数据授权运营管理暂行办法》，旨在快速推进公共数据资源开发利用，规范公共数据授权运营，培育数据要素市场，更好地发挥数据要素作用。《办法》根据《中华人民共和国数据安全法》《中华人民共和国个人隐私信息保护法》《江苏省公共数据管理办法》等有关法律和法规和规章制定。适用于江苏省行政区域内公共数据授权运营及其相关管理活动。

  《办法》指出，公共数据授权运营坚持“原始数据不出域、数据可用不可见”，维护国家数据安全，保护个人隐私信息和商业机密，充分的发挥市场在资源配置中的决定性作用，更好地发挥政府作用，激发开发主体高效利用公共数据积极性，释放公共数据要素价值，丰富数据产品供给。

  《办法》规定，申请成为开发主体一定要具有明确的数据安全负责人和管理部门、健全的数据安全管理制度和工作机制；开发主体一定要遵守公共数据授权运营实施方案和配套规范要求；建立健全公共数据授权运营安全管理制度，明确参与数据运营相关主体的网络安全、数据安全等安全责任、行为规范和管理要求；建立健全公共数据开发利用合规审查、安全巡查、风险评估、信息共享、监测预警、应急处置、投诉举报、信息公开披露等机制，确保数据接入、加工处理、开发利用、服务支撑等全过程安全可控；制定公共数据授权运营安全事件应急处置预案，发生安全事件时，应当立即采取处置措施，并向数据、网信等相关主管部门报告。落实国家数据分类分级保护制度要求，采用必要技术方法，确保“原始数据不出域、数据可用不可见”；建立合规监测机制，落实公共数据合规高效开发利用要求，确保开发利用行为符合法律和法规、政策和协议规定，维护国家数据安全，保护个人隐私信息和商业机密。

  《温州市企业商业机密保护规定》由2024年8月27日温州市第十四届人民代表大会常务委员会第二十二次会议通过，2024年9月27日浙江省第十四届人民代表大会常务委员会第十二次会议批准，并定于2024年12月1日起施行。

  《规定》要求：市、县(市、区)人民政府应当加强对企业商业秘密保护工作的领导，将其纳入国民经济与社会持续健康发展规划纲要，推动建立完整企业商业机密自我保护、行政保护、司法保护一体的商业机密保护体系，加强相关重大事项的统筹协调和财政保障。

  市、县(市、区)市场监督管理部门负责企业商业机密保护的组织协调、监督管理和服务指导工作。其他相关的单位依据各自职责做好企业商业机密保护相关工作。市场监督管理部门以及其他负有商业机密保护工作职责的单位理应当通过宣传培训、规范引导、创新试点、案例警示等方式，推动企业建立完整商业机密保护制度并避免侵犯他人的商业机密。

  企业应当强化商业秘密自我保护意识和能力建设，依据自己行业特点、技术方面的要求、竞争优势，按照商业机密保护管理和服务规范，采取比较有效措施加强涉密信息、涉密区域、涉密人员、涉密载体等的商业机密保护内部控制和规范管理。企业应当对本单位合法拥有的技术信息、经营信息等商业信息进行核查、识别，确定需要纳入商业机密管理的商业信息范围，并能够准确的通过需要采取文字、数据、符号、图形、图像、视频和音频等方式记录商业机密。企业应当采取与商业机密的商业经济价值、获取的难易程度等因素相适应、合理且具有针对性的保密措施，防止商业机密泄露。

  手机作为移动互联网通信工具，在我们的日常工作和生活中占据着至关重要的地位。无论是传统的通话联系、发送消息功能，还是新型的移动网络办公、个人移动应用服务，手机都以其强大的功能和便捷性，为咱们提供了极大的便利。然而，在享受手机带来的方便快捷服务的同时，我们也应注意，若在日常工作和生活中不正确使用，手机可能会带来诸多失泄密风险隐患。

  杭州市某局办公室一级调研员李某某违规将1份秘密级文件交给借调人员朱某某，用以文稿起草中参考。朱某某违规用手机拍摄其中2页，并存储在手机中。同年底，朱某某将文件图片发至单位微信工作群，供其他同事参阅，造成泄密。案件发生后，朱某某受到党内警告处分，李某某受到通报批评并取消当年评优资格处理。

  某区工作人员施某某看到同一办公室收文人员接收到上级党委1份内部文件后，用手机拍摄该文件，利用微信点对点方式发送给某银行工作人员何某，何某接收到图片后，将文件编号截去，利用微信点对点方式发送给某公司职员徐某某，徐某某又将该图片发送至同学微信群，从而引发该内部文件在网上大范围扩散、炒作，给相关工作造成极大被动。案件发生后，施某某、何某受到党内严重警告、行政记过处分，徐某某受到行政警告处分，其他有关人员也受到了处分。

  某省属高校下属机构工作人员莫某某到省外出差期间，违规复印涉密合同。回校后，莫某某将2份涉密合同复印件等材料交给某学院教师汤某某，汤某某让学生用手机APP扫描该涉密合同复印件，并存储在连接互联网的电脑中。此后，汤某某、莫某某与该校其他人员、省外某公司人员之间多次利用微信转发含有该涉密合同的PDF文档。案件发生后，汤某某受到党内警告处分，莫某某受到行政警告处分，其他4名有关人员受到取消年度评优资格等处理。

  某省属某高校从OA办公系统接收了1份上级下发的文件，文件标注属于工作秘密。此后，该校高某某、陶某先后通过学校OA办公系统转发文件，杨某某收文后，未注意到文件附件中有关保密要求，擅自将文件发至微信工作群进行传达部署。事后，杨某某、陶某、高某某等分别受到诫勉、责令检查和谈话提醒等处理。

  近年来，境外间谍情报机关有明确的目的性地策反发展我重要涉密单位人员，实施窃密活动，非法搜集窃取我国家秘密。

  张某曾是某国家机关的核心涉密人员，工作中接触掌握大量国家秘密。离职后，张某成为了境外间谍情报机关拉拢策反的重要目标，几经周旋下，性格软弱、难以抵挡金钱诱惑的张某沦为了被对方控制利用的“提线木偶”。在某国家机关任职期间，张某作为核心涉密人员，虽多次接受保密教育，却对单位里“繁琐”的保密规定不以为意，在交换文件数据的过程中经常将单位的涉密U盘与个人U盘混用，在个人U盘中留存了大量的涉密文件资料。从原单位离职后，张某未及时向单位报告上面讲述的情况。殊不知，对工作纪律和保密规定的漠视为张某埋下了泄密的种子。当张某从境外间谍情报机关处得知自己非法持有的国家秘密“价值连城”时，其内心对金钱的渴望成为了浇灌这粒种子的祸水。从越过红线到突破底线，从违反纪律到违法犯罪，张某在对方持续的金钱攻势和情感拉拢中，深陷犯罪的泥潭无法自拔。

  朱某是张某在原单位任职时要好的同事。张某离职后，两人仍经常聚会，无话不谈。朱某不知道的是，张某频频与其接触，其实就是境外间谍情报机关的指使安排。面对张某有意无意的刺探，朱某没过多防备便将自己掌握的国家秘密和盘托出，甚至将参加涉密会议后私自留存的材料也提供给了张某。“脑袋里的秘密，连帽子也不能知晓”这句警示标语一直挂在朱某的办公室内，可面对朋友的“嘘寒问暖”和“热情款待”，朱某却未能坚守底线，被这段所谓友谊拉下了水。

  国家安全机关侦查发现，张某向境外间谍情报机关提供了大量绝密级、机密级国家秘密，严重危害我国家安全。最终，张某被依法判处死刑，剥夺政治权利终身并处没收个人全部财产，朱某被依法判处有期徒刑六年。

  汪某某原系某涉密单位公职人员，是单位和家人心中的好青年，却因投资虚拟币亏损，欠下巨额债务，被境外间谍情报机关拉拢策反，一步步走上了犯罪歧途。

  一天，汪某某因高额债务所累在网络论坛中发帖“求兼职”，并表明公职人员身份很快，有境外人员联系汪某某，表示愿意提供可观报酬，换取其所在单位生产任务、研究进度等“有偿信息”。面对金钱诱惑，汪某某保密底线开始松动，犹豫再三后还是向对方提供了少量内部资料换取报仇。作案后，汪某某也曾忐忑不安，但一想到“几张照片、几份文件就能换取大量金钱”，理智逐渐丧失，贪念侥幸最终占据上风，窃密的黑手越伸越远。经国家安全机关侦查发现，汪某某向对方提供绝密级、机密级国家秘密，通过虚拟币充值、交易变现等形式获取间谍经费折合人民币100余万元。最终，汪某某因犯间谍罪被人民法院判处无期徒刑，剥夺政治权利终身。

  《中华人民共和国刑法》规定，参加间谍组织或者接受间谍组织及其代理人的任务，危害国家安全的，处十年以上有期徒刑或者无期徒刑。《中华人民共和国保守国家秘密法》规定，国家秘密受法律保护，任何危害国家秘密安全的行为，都必须受到法律追究。《中华人民共和国保守国家秘密法实施条例》规定，机关、单位实行保密工作责任制，承担本机关、本单位保密工作主体责任。

  近日，天宁区检察院办理了一起利用爬虫技术非法获取“小红书”APP系统数据案。天宁区检察院以非法获取计算机信息系统数据、非法控制计算机信息系统罪，对被告单位常州某网络公司与被告人陈某、钱某、周某提起公诉。法院依法判处常州某网络公司罚金二十万元，判处陈某等3人有期徒刑三年，缓刑五年至四年不等，罚金二十万元至十万元不等。

  起因是，“小红书”APP数据信息遭爬取。2021年12月初，某信息科技公司安全部门工作人员欧阳在上网时发现，近期有3300余账号向该公司旗下的“小红书”APP发送引流私信，但“小红书”APP前端登录接口没有一点记录。公司安全部门发现这些引流私信系某AI智能互动平台发出。该平台由常州某网络公司开发，在未授权的状态下，能突破“小红书”APP的前端验证防护机制，对用户昵称、笔记评论信息等数据来进行爬取，再通过技术方法向“小红书”APP注册用户发送私信、投放相关商户的广告，直接分走了“小红书”APP的用户资源，造成了其客源和经济上的损失。半个月后，经前期侦查，嫌疑犯陈某、钱某、周某等人被公安机关抓获归案。

  据周某交代，其组织开发的AI智能互动平台主要是依靠前端网站、爬虫程序、私信程序、后台数据库进行运营。商户使用AI智能互动平台需要先充值，兑换成积分，1积分为1块钱，充值商户如需发送私信广告，则会消耗一定积分。该网络公司的收入就是商户在平台上实际消耗的积分。经查，2019年6月至2021年12月间，该网络公司就通过上述方式非法所得653万余元。

  2023年4月，该案移送天宁区检察院审核检查起诉。承办检察官经审查认为，常州某网络公司、陈某、钱某、周某等人采用技术方法，获取计算机信息系统中存储的数据，并对该计算机信息系统实施非法控制，其行为均触犯了《中华人民共和国刑法》第二百八十五条第二款、第四款、第三十条、第三十一条的规定，构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

  近日，湖南省互联网信息办公室在工作中发现，湖南某信息技术有限公司未落实网络安全等级保护制度，未采取对应的技术措施和其他必要措施保障数据安全，系统存在未授权访问漏洞，网络安全日志大量缺失，严重损害数据安全。湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对该公司责令改正，给予警告，并处对该公司、主管人员和直接责任人员分别罚款五万元、二万元和一万元的行政处罚。

  湖南网信部门表示，将持续关注网络安全、数据安全和个人隐私信息保护，严肃查处网络安全、数据安全、个人隐私信息保护领域的违法违反相关规定的行为，切实维护网络安全、数据安全和广大网民的合法权益，全力构建安全稳定的网络环境。

  六、公告送达处罚文书未对身份证号、住所等信息脱敏，上海杨浦检察对多家行政机关发出检察建议

  近年来，公民个人信息安全慢慢的受到重视。除了人们熟知的电商、外卖、社交等互联网应用场景中存在个人隐私信息泄露风险外，上海市杨浦区人民检察院在履职过程中发现，辖区内多家行政机关利用互联网公告送达涉自然人的行政处罚、行政强制法律文书时，对自然人身份证号码、地址等个人隐私信息未采取加密等安全技术措施。

  根据《中华人民共和国个人隐私信息保护法》第5条、第51条，个人隐私信息处理者处理公民个人信息，应当遵循合法、必要、对个人权益影响最小原则。公告送达《行政处罚决定书》，通过公告当事人姓名、违法时间、地点、事由、处罚依据等案情基本情况，公告送达《责令限期拆除违反法律建筑决定书》，通过公告当事人姓名及违反法律建筑位置、违法事由等基本情况，已能明确指向案件当事人，保障其知情权、参与权，确保公告的有效性与针对性。在送达中公示自然人身份证号码等已超出履行法定职责所必要的范围和限度，可能会造成公民个人隐私信息泄露、非法利用的风险。

  杨浦检察院遂依法向相关行政机关制发检察建议，督促其对公示在互联网的行政案件个人隐私信息进行审核检查并立即处理，防范个人隐私信息泄露风险，并依照有关规定法律规定建立和完善个人隐私信息处理规则，依法保护个人信息权益，规范个人信息处理活动。

  收到检察建议后，相关行政机关第一时间与检察机关座谈会商并达成整改共识。在保证行政法律文书送达效力的基础上，将对身份证号码、住所等关键信息采取打马赛克等方式来进行处理，确保案件当事人个人隐私信息数据安全，并形成由执法科室负责拟定法律文书、法制科室负责内容审核、办公室负责信息发布的个人信息处理规则，确保个人信息安全。此外，还将充分的发挥业务指导职责，对存在同类问题的街道开展“一对一”指导，并将个人隐私信息保护、数据安全教育纳入业务培训工作中。

  近年来，随着电商、外卖、社交、工作等互联网应用场景不断丰富，公民个人隐私信息也面临泄露的风险。近日，杨浦区人民检察院召开新闻发布会，公布了一起典型的侵犯公民个人隐私信息案例。

  吴某是某安全科技公司的员工，今年2月，他通过翻墙软件违规访问境外Telegram平台，并在一个聊天群的“资源共享”文件夹内，下载了一个含有公民个人隐私信息的文件，并储存在自己持有的移动硬盘内。经鉴定，文件内共含有1亿条公民个人隐私信息。经杨浦区人民法院审判，吴某以侵犯公民个人隐私信息罪，被判处有期徒刑一年六个月，缓刑一年六个月，并处罚金人民币两千元。杨浦区人民检察院第一检察部检察官吴雯霞和记者说，吴某作为网络安全从业者，没有法律授权的对个人隐私信息的手机、储存或使用的权利，也没获得相关当事人的许可，其违反国家规定违规访问国际互联网的行为就属于“非法获取”。

  线上购买南航机票后，莫名其妙被“拼团”了——南航账户里绑定了不认识的夫妻、子女信息，还能够正常的看到陌生人的姓名、身份证号、手机号、行程单，这是多名网友近日反馈的经历。

  针对这些投诉，南航10月29日在官网回应称，存在“旅客不知情的情况下，第三方违规利用旅客信息，在我司官方渠道注册会员以及购买机票产品赚取差价”的行为。对于这类第三方违规利用旅客信息的行为，南航将加强平台管理，采取对应监管处罚措施。

  订机票遭遇个人隐私信息泄露的事件屡次发生，机票代理商、OTA平台、航空公司，往往各有各的问题，而机票属于不能随意加价的特殊商品，代理商擅自用用户账户订票赚钱，涉嫌违反《个人隐私信息保护法》《明码标价和禁止价格欺诈规定》等。而OTA平台和航空公司没有对用户个人隐私信息采取必要安全保护的方法，也涉嫌违反《个人隐私信息保护法》

  近日报道，台防务部门政风室日前办理所属人员财产申报时出现重大疏失，将该部门内所有必须申报财产的人员名册及个人申报资料，通过电子邮件传送给申报人，以及各军种所属单位。报道称，申报资料从上校以上所有将官及台防务部门负责人顾立雄等个人资料全都流出。更为严重的是，所有情报人员个人资料及真名也全数外流，台防务部门获悉后已紧急回收并进行损害控管。

  这起重大个人资料外泄疏失发生在上周。中时新闻网援引知情人士表述称，台防务部门政风室正进行所有负责财务和采购的人员、上校军衔以上所有将官以及部门负责人的财产申报，因此陆续将申报资料传送给个人。在材料传输过程中，承办人员误将记载所有人员财产资料名册档案，当成附件一并发送给申报人以及各军种承办人员。不少人收到该份资料后，看到从部门负责人以下所有重要将校个人资料，并立刻向上反映。

  最严重的是，台情报局人员身份资料因属于极机密等级，因此在单位内外，全都使用化名。但该份名册，罗列了台情报机构所有申报人员的真实姓名，等同让极机密情报员身份曝光，恐造成极度严重人身危害。台防务部门称，本案将2024年度应申报人名册，循内部电子公文系统，发函请隶属单位办理申报授权作业。经检视册列人员，确有部分身份具敏感性，不宜随文发出，作业程序明显有疏漏。台防务部门还称，已第一时间要求各收文单位，采取公文系统退件等方式，进行风险管控；并针对全案检讨疏责，强化公文作业暨管制流程，以防范类案再生。

  据BleepingComputer消息，跨国电信巨头诺基亚正在调查一起数据泄露事件，有黑客声称获得了该公司及某第三方承包商公司的内部敏感数据。

  据悉，一个名为 IntelBroker 的黑客在网络犯罪论坛BreachForums 发帖出售来自诺基亚的大量源代码，称这些源代码是直接从与诺基亚合作的第三方承包商那里获得。除了源代码，其他敏感数据还包括 SSH 密钥、源代码、RSA 密钥、BitBucket 登录、SMTP 帐户、Webhook 和硬编码凭证。

  黑客透露，他们使用默认凭证访问了第三方供应商的 SonarQube 服务器，从而允许下载客户的 Python 项目，其中就包括属于诺基亚的项目。

  诺基亚就该事件发表了一份声明：“诺基亚注意到有报道，称没有经过授权的攻击者已经获得了某些第三方承包商数据及诺基亚的数据。诺基亚认认真真地对待这一指控，我们正在调查。迄今为止，我们的调查尚未发现任何证据说明我们的任何系统或数据受一定的影响。我们将继续重视局势。”

  施耐德电气近日确认，公司的一个开发者平台遭到入侵，黑客声称从该公司的JIRA服务器窃取了40GB数据。施耐德电气表示，该公司正在调查一起针对其内部项目执行跟踪平台的网络安全事件，该平台位于隔离环境中。施耐德电气全球事件响应团队已立即投入应对，目前该公司的产品和服务均未受到影响。

  作为一家法国跨国公司，施耐德电气主要生产能源和自动化产品，产品范围涵盖从大型商场销售的家用电气组件到企业级工业控制和楼宇自动化产品。不久前，一名自称Grep的威胁行为者在社交平台X上宣称，其使用暴露的凭证入侵了施耐德电气的Jira服务器；获取访问权限后，他们使用MiniOrange REST API抓取了40万行用户数据，这中间还包括7.5万个独特的电子邮件地址，以及施耐德电气员工和客户的完整姓名。

  值得注意的是，Grep还表示，他们最近成立了一个名为国际合约机构（ICA）的新黑客组织，该名称源自游戏《杀手：代号47》。该组织声称不会勒索被入侵的公司，但若公司在48小时内不承认遭到入侵，他们就会泄露所窃取的数据。

  黑客Intel Broker近日声称通过第三方承包商成功入侵麻省理工技术评论网站，并在黑客论坛Breach Forums上泄露了290,762名用户的个人数据。据分析，这些泄露的数据可能来自该网站的新闻通讯订阅者名单。

  经过验证，泄露的数据包括用户全名、活动日期、教育背景和电子邮件地址（去重后共1343个）。虽然泄露的信息中并未包含密码、社会安全号码或金融数据等高度敏感信息，但这些个人身份信息仍可能被用于钓鱼诈骗或身份验证攻击，对用户隐私构成威胁。

  作为麻省理工学院旗下的知名科技类出版物，麻省理工技术评论以其对新兴技术及其社会影响的深入分析而闻名。此次数据泄露不仅可能会影响该平台的读者和贡献者的隐私，还可能对出版物的声誉造成挑战。

  近日消息，韩国个人信息保护委员会于11月4日召开第18次全员会议，对Meta Platforms, Inc. 违反个人隐私信息保护法进行了审查，决定对Meta处以216.232亿韩元的罚款和纠正令。韩国个人隐私信息委员会认识到Meta未经同意收集、利用敏感信息的行为，并展开了相关调查。在此过程中，Meta无正当理由拒绝阅览个人隐私信息的投诉和因黑客攻击而泄露个人信息的申报也进行了受理，并一起开展相关调查。

  调查结果为，Meta过去通过Facebook个人资料收集了国内用户约98万名宗教观、政治观、同性婚姻与否等敏感信息，将这一些信息提供给广告商，确认约4000家广告商利用了这一些信息。具体来说，用户在Facebook上点击“赞”的页面、点击的广告等行为信息做多元化的分析，制作并运营了敏感信息相关广告主题（特定宗教、同性恋、跨性别、脱北居民等）。

  《个人隐私信息保护法》规定了与思想、信仰、政治观点、性生活等相关的信息需要严格保护的敏感信息，原则上限制处理，并规定只有在获得信息主体单独同意等正当依据的情况下才能处理。但是，Meta在收集这些敏感信息，利用定制服务等，只在“数据政策”（Data Policy）上进行了不明确记载，没有另外征得同意，也没有采取额外的保护措施。

  Meta以保护法上不是阅览要求对象等为由拒绝了用户的个人隐私信息阅览要求（处理个人隐私信息的期间、通过Facebook登录提供个人隐私信息的现状、Facebook外部活动信息收集依据及同意明细等）。但是，保护法实施令（第41条第1项）规定了第3号个人信息的保留和有效期、第4号第三方提供现状、同意处理第5号个人隐私信息的事实和内容作为阅览对象，个人隐私信息委员会判断Meta拒绝该阅览要求没有正当理由。

  Meta应该对服务中断或未管理的主页采取删除或封锁措施等安全措施，但没有删除未使用的账户恢复页面。对此，黑客在目前未使用的账户恢复页面提交了伪造的身份证，要求重新设置他人账户的密码，Meta在没有对伪造身份证进行充分验证程序的情况下批准了，韩国用户10名个人隐私信息泄露的事实。 委员会判断Meta拒绝该阅览要求没有正当理由。

  因此，个人隐私信息委员会对Meta因违反敏感信息处理限制等相关保护法规定而处以罚款和过失罚款，同时在处理敏感信息时准备合法依据，采取确保安全性的措施，并对用户个人隐私信息阅览要求认真回应。

  近日证实，在Cactus勒索软件团伙最近提出违规索赔后，其IT网络遭到网络攻击。HACLA为加利福尼亚州洛杉矶的低收入家庭、儿童和老年人提供负担得起的公共住房和援助计划。作为一家州特许公共机构，它管理着超过32000个公共住房单元，年度预算超过10亿美元。虽然HACLA没有透露网络攻击的性质，但Cactus勒索软件团伙声称存在违反相关规定的行为，称据称它从受感染的网络中窃取了891GB的文件。勒索软件团伙还上传了一份包含据称被盗文件的档案，以证明他们的说法。Cactus勒索软件于2023年3月出现，受到双重勒索攻击，此后已将260多家公司添加到其暗网数据泄露网站。正如该组织在2023年3月披露的那样，HACLA也在两年前被LockBit勒索软件团伙入侵。

  近日，国家安全部公众号平台发布文章《数据安全至关重要——总体国家安全观学习辅导系列述评（十九）》。

  《文章》指出，数据安全是国家安全的重要组成部分，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，既包括保护数据的完整性、保密性、可用性，又包括保护数据承载的国家安全、公共利益或者个人、组织合法权益。数据安全牵一发而动全身，不仅关乎数据本身的开发利用与安全问题，而且与国家主权、国家安全、社会秩序、公共利益等休戚相关。

  习深刻指出：“要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。”“要维护国家数据安全，保护个人隐私信息和商业机密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。”

  党的十八大以来，以习同志为核心的党中央格外的重视数据安全工作，作出一系列重大决策部署。党的十九届四中全会首次增列“数据”作为生产要素，中国成为首个将数据作为生产要素的国家；加快制定实施数据安全顶层立法，出台《中华人民共和国数据安全法》等法律和法规，构筑起数据安全法治体系；大力促进数据安全技术创新和产业高质量发展，为促进数据要素流动奠定了安全基石。在坚实数据安全支撑下，数字消费、人机一体化智能系统、5G应用等数字技术不断推陈出新，数字化的经济日益彰显出巨大的发展的潜在能力和无穷的创新活力，为经济发展注入新动能。据统计，我国数字化的经济规模由2012年的11.2万亿元增长至2023年的53.9万亿元，数字化的经济占GDP比重达到42.8%，数字化的经济增长对GDP增长的贡献率达66.45%，对培育发展新质生产力发挥了强大支撑作用。

  信息技术革命日新月异，数字经济蓬勃发展，深刻改变着人类生产生活方式，对各国经济社会发展、全球治理体系、人类文明进程影响深远。作为数字技术的关键要素，全球数据爆发增长，海量集聚，成为实现创新发展、重塑人们生活的重要力量，事关各国安全与经济社会发展。共商应对数据安全风险之策，共谋全球数字治理之道，成为当前国际社会面对的一大课题。为应对新问题新挑战，共同构建和平、安全、开放、合作、有序的网络空间，中国坚持联合国的主渠道作用，遵循秉持多边主义、兼顾安全发展、坚守公平正义的原则，统筹各方利益发出《全球数据安全倡议》，为推动制定数据安全全球规则、推进全球数字治理贡献中国智慧，提供中国方案。中国同共建“一带一路”国家积极推进“数字丝绸之路”建设，发起《“一带一路”数字经济国际合作倡议》，深化拓展数字伙伴关系和数字领域政策标准理念对接。在联合国、二十国集团、亚太经合组织、金砖国家、上海合作组织、东盟地区论坛等框架下，中国积极参与数据安全问题的讨论和相关国际规则的制定，提出《二十国集团数字创新合作行动计划》等倡议，激发数字经济潜力，促进经济稳步的增长，推动包容性规则制定，营造开放、包容、公平、公正、非歧视的数字化的经济发展环境，同各方携手努力，共同打造数字命运共同体。

  由于数据自身具有无形性、难以追溯等特点，各类数据的拥有主体多样，处理活动复杂，在采集、传输、存储、使用、删除、销毁等环节，存在数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等一系列风险。特别是近年来，境外间谍情报机关持续加大对我国数据领域渗透力度，妄图窃取我核心数据，危害我国家安全。国家安全机关在以习同志为核心的党中央坚强领导下，贯彻总体国家安全观，坚定履行党和人民赋予的神圣使命，会同有关部门依法严厉打击境外势力对我开展网络攻击、数据窃密以及其他危害关键信息基础设施的违法犯罪行为，严密防范数据安全领域的重大风险挑战，坚决筑牢数据安全屏障，众力并则万钧举。维护数据安全是一项系统工程，需要广泛动员各方面力量共同参与。广大人民群众要绷紧数据安全这根弦，在工作和生活中注重保护国家重要数据及个人敏感数据，警惕境外间谍情报机关窃取我国家核心敏感数据，共筑维护国家数据安全的钢铁长城。

  9月26日，为进一步深化数字中国建设课题研究，完善政策研究体系，增强政策研判能力，为制定实施政策提供有益支撑，国家数据局综合司公开征集2024年度数字中国建设课题项目，其中题目为《全球数字化发展动态跟踪分析研究》。

  11月5日，国家数据局综合司再次开启公开征集，此次包含五个研究题目，分别是：《数字化驱动生态文明发展的机理研究》、《数字中国建设与文化强国战略协同发展研究》、《数据治理国内宏观形势动态分析与预测研究》、《数字中国建设典型案例评价体系研究》、《数字领域前沿热点与重点问题动态跟踪与深度剖析研究》。

  三、关于举办全国网络安全标准化技术委员会2024年第二次“标准周”活动的通知

  近日，全国网络安全标准化技术委员会秘书处发布关于举办全国网络安全标准化技术委员会2024 年第二次“标准周”活动的通知，全国网络安全标准化技术委员会(以下简称“网安标委”)2024 年第二次“标准周”活动旨在促进标准各相关方加强网络安全技术与标准化交流研讨，推进网络安全国家标准项目研究和制修订工作，提升标准研制质量。活动将于 2024 年12月8日至 12月11日在海南省海口市举办。

  本次活动将以“网络安全标准护航新兴未来产业安全发展’为主题，聚焦国家网络安全工作重要部署，重点围绕人工智能安全治理、无人驾驶汽车安全、后量子密码研究、6G安全等领域，交流新阶段新理念新格局下的网络安全政策、技术产业高质量发展新思路，探讨新技术新应用新业态的标准需求。

  活动重点标准主题技术研讨会内容围绕国家网络安全重点工作和技术热点主题，举办人工智能安全标准研究与应用、电子政务应用安全与标准研讨会、数据安全治理与消费者隐私保护、标准护航新型工业化发展等主题研讨会。

  北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

  数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。