01
国际动态/事件盘点
1
美国德州地方法院对非法自动呼叫行为处以超过一亿四千六百万美元的罚款
2023年9月6日,阿肯色州总检察长(AG)Tim Griffin宣布,美国德克萨斯州南部地方法院休斯顿分部已于2023年8月15日针对一位个人和Health Advisors of America, Inc.和另一位个人颁发了两项永久禁令,分别涉及案件编号4:20-cv-02021 State of Texas, et. al., v. Rising Capital Group LLC., et.al,并对被告处以两项总计146,153,860美元的罚款,原因是被告进行非法自动呼叫,违反了《联邦电话消费者保护法》《联邦电话营销销售规则》和多个州的消费者保护法法律。此外,法院永久限制并禁止被告及其代理人向上述AG管辖的辖区进行自动呼叫。
2
德国金融监管局网站因DDoS攻击中断多天
德国联邦金融监管局(BaFin)宣布,其网站持续受到分布式拒绝服务(DDoS)攻击影响。BaFin是德国金融监管机构,隶属于财政部,负责监管2700家银行、800家金融机构和700家保险服务提供商。
BaFin公共网站不仅托管了消费者和法规信息、措施、警告,还提供了文件发布空间,专门发布与该机构调查活动和研究成果相关的重要文件。
此外,该网站还托管了注册公司和公开招标的数据库、职位空缺信息,以及违规行为匿名举报平台。自上周五以来,所有这些内容都无法访问。
BaFin表示,其信息技术团队正在积极努力,力争完全恢复公众对网站的访问权限,但无法估计具体页面何时能够恢复。
3
美国联邦贸易委员会对1Health.io, Inc.罚款75,000美元
2023年9月7日,美国联邦贸易委员会(FTC)宣布,在对1Health.io, Inc.的处罚,其中包括75,000美元的罚款,理由是调查后发现该公司违反了《联邦贸易委员会法》(FTC Act)。联邦贸易委员会特别提醒,其已于2023年6月就1Health公司违反《联邦贸易委员会法》的行为对其发出了拟议命令。
值得注意的是,FTC强调,尽管1Health向用户承诺其安全实践将超过行业标准,FTC发现1Health在亚马逊网络服务(AWS)云存储服务的公开“存储桶”中存储了近2400份消费者健康报告和至少227名消费者的原始基因数据,有时还附有姓名。对此,FTC指出,1Health公司在两年多的时间里至少被警告过三次,它将未加密的健康、基因和其他个人信息存储在公众可访问的数据存储桶中。此外,FTC认为,1Health于2020年改变了其隐私政策,扩大了与其共享消费者数据的第三方的范围类型,但对于此行为并未通知受影响的消费者或征得其同意。
4
IBM泄露强生公司患者数据
据GoUpSec消息,强生医疗健康系统公司(“Janssen”)近日通知其CarePath客户,他们的敏感信息在涉及IBM的第三方数据泄露事件中遭到泄露。强生公司向IBM报告了这一情况后,IBM立即修复了安全漏洞并启动了内部调查,以评估是否有人利用了该漏洞。
02
国内动态/事件盘点
1
国家计算机病毒应急处理中心发布《“二次约会”间谍软件分析报告》
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。根据“影子经纪人”泄露的NSA内部文件,该恶意软件为美国国家安全局(NSA)开发的网络“间谍”武器。“SecondDate”间谍软件是一款中间人攻击专用工具,一般驻留在目标网络的边界设备上,嗅探网络流量并根据需要对特定网络会话进行劫持、篡改。
在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络“间谍”行动背后美国国家安全局(NSA)工作人员的真实身份。
详见:
https://wwwhttps://www.cverc.org.cn/head/zhaiyao/news20230914-erci.htm.isc.org.cn/article/17675451357720576.html
2
2023年国家网络安全宣传周开幕式在福建福州举行
2023年国家网络安全宣传周开幕式今天在福建省福州市举行。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席开幕式并讲话,福建省委书记、省人大常委会主任周祖翼出席开幕式并致辞。福建省委副书记、省长赵龙主持开幕式。
本届网安周以“网络安全为人民,网络安全靠人民”为主题,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办。中央和国家有关部委部门负责同志,有关省(区、市)网信办负责同志,福建省有关方面负责同志,专家学者、企业嘉宾、媒体记者等参加开幕式。同日还举行了网络安全技术高峰论坛。
详见:
http://www.cac.gov.cn/2023-09/11/c_1696087902890453.htm
3
中央网信办等开展“清朗·杭州亚运会和亚残运会网络环境整治”专项行动
为依法从重打击境外电信网络诈骗等违法犯罪活动,依法从重打击境内协同犯罪人员,坚决维护人民群众切身利益,近日,最高人民检察院、公安部联合挂牌督办第三批5起特大跨境电信网络诈骗犯罪案件,坚持内外联动,全力打团伙、摧网络、斩链条,深挖组织者、领导者及幕后“金主”,切实维护社会稳定和人民群众切身利益。
详见:
https://www.mps.gov.cn/n2253534/n2253535/c9189704/content.html
4
公安部网安局发布一批不履行数据安全保护义务被罚案例
2023年9月6日,公安部网安局发布了江苏省五则不履行数据安全保护义务被罚的案例,涉及医疗、金融、不动产等行业领域,涉案主体包括医学检验机构、医药公司、科技公司、不动产登记中心等。本次案例涉及的违法行为主要包括:
未建立数据安全管理制度;
未采取相应技术措施保障数据安全;
未组织开展数据安全教育培训;
未对数据处理活动开展风险监测和定期风险评估;
系统存在网络安全漏洞、SQL注入漏洞、弱口令等网络安全隐患。
详见:
https://mp.weixin.qq.com/s/Qr56T30Muh7WTTXkwEbfIw
5
香港数码港遭勒索攻击
香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称,已从数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。
一名自称Trigona的卖家在 “暗网” 发出帖文兜售数码港该批机密档案,更图文并茂刊出有关资料,其中涉及疑似是员工的身份证及履历等。卖家更 “大卖关子”,声言除人事部纪录外,还涉及财务、金融科技、租务及发展项目等资料,档案数量达400GB。
记者调查发现,Trigona是国际上恶名昭彰的职业黑客集团,过去多次攻击全球多家企业并进行勒索,拒绝提供赎款者,黑客即公开有关资料兜售。
详见:
https://www.dotdotnews.com/a/202309/07/AP64f93364e4b0449c0b5a491f.html
6
国家网信办对知网(CNKI)做出5000万处罚!
2023年9月6日,国家互联网信息办公室(下称“国家网信办”)发布了其对知网(CNKI)依法作出网络安全审查相关行政处罚的决定。在综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素后,根据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
7
标准动态
关于征求国家标准《信息安全技术 网络安全保险应用指南》(征求意见稿)意见的通知
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230913143935&norm_id=20221102152348&recode_id=53044
8
最新政策法规动态
1、十四届全国人大常委会发布立法计划
9月7日,十四届全国人大常委会公布立法计划,明确了今后5年立法工作蓝图。本次立法规划共包括三类立法项目:第一类项目为“条件比较成熟、任期内拟提请审议的法律草案”(79件);第二类项目为“需要抓紧工作、条件成熟时提请审议的法律草案”(51件);第三类项目为“立法条件尚不完全具备、需要继续研究论证的立法项目”。其中,涉及数据领域的立法包括:
第一类:《反不正当竞争法》(修改)、《网络安全法》(修改);
第二类:《数字经济促进法》;
第三类:有关数据权属和网络治理等方面的立法项目。
详见:
https://mp.weixin.qq.com/s/979PyTEDpGemiLlmDVsxAA
2、工信部等五部门联合印发《元宇宙产业创新发展三年行动计划(2023—2025年)》
为贯彻落实党的二十大精神和《“十四五”规划纲要和2035远景目标》部署,加快培育未来产业新赛道新优势,工业和信息化部、教育部、文化和旅游部、国务院国资委、国家广播电视总局等五部门联合印发《元宇宙产业创新发展三年行动计划(2023—2025年)》,以构建工业元宇宙、赋能制造业为主要目标,以融合新一代信息技术融合创新为驱动,从构建先进元宇宙技术和产业体系、培育三维交互的工业元宇宙、打造沉浸交互数字生活应用、构建系统完备产业支撑、构建安全可信产业治理体系等5方面提出了14条重点任务。
详见:
https://mp.weixin.qq.com/s/b3eYXY4kHR9Mr_Zyp0XnxQ
3、中国资产评估协会印发《数据资产评估指导意见》
为规范数据资产评估执业行为,保护资产评估当事人合法权益和公共利益,9月8日,在财政部指导下,中国资产评估协会制定了《数据资产评估指导意见》(以下简称“《指导意见》”),现予印发,自2023年10月1日起施行。
《指导意见》明确了数据资产的定义,即特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源,并对评估对象、操作要求、评估方法和披露要求进行了详细规定。
详见:
http://www.cas.org.cn/ggl/427dfd5fec684686bc25f9802f0e7188.htm
4、国家网信办发布第二批深度合成服务算法备案信息
根据《互联网信息服务深度合成管理规定》,近期国家网信办公开发布了第二批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。
详见:
https://mp.weixin.qq.com/s/2Mj5bWMjUYXv5UIYw_EakA
5、国家药监局综合司公开征求《药品网络交易第三方平台检查指导原则(征求意见稿)》意见
为指导各地药品监督管理部门更好地开展药品网络交易第三方平台检查工作,督促平台企业依法履行法定义务,落实平台主体责任,国家药监局组织起草了《药品网络交易第三方平台检查指导原则(征求意见稿)》(附件1),现公开征求意见。
详见:
https://www.nmpa.gov.cn/xxgk/zhqyj/zhqyjzh/20230906110910164.html