01
国际动态/事件盘点
1
美国联邦贸易委员会就消费者对人工智能的担忧发布报告
2023年10月3日,美国联邦贸易委员会(FTC)发表了一篇关于消费者对人工智能(AI)担忧的博文。FTC特别强调了消费者对训练模型所需的大量数据以及随之而来的对消费者保护和竞争的影响的担忧。具体而言,FTC指出,消费者担心在互联网上搜索数据会侵犯版权,而且消费者在互联网上发布的内容可能会在未经其同意的情况下被用于模型的训练,从而取代其谋生能力。FTC还注意到消费者对生物识别数据使用的担忧,特别是被用于模型训练或生成“声纹”的语音记录。值得注意的是,消费者还对通话被录音以及其声音录音可能被用于训练使用其声音的人工智能应用表示担忧。
FTC还注意到消费者对人工智能应用方式的担忧,其特别提到了网络钓鱼电子邮件,随着生成式人工智能产品的语法和拼写错误减少,网络钓鱼电子邮件可能会变得更难发现。语音克隆诈骗等更复杂的机制或将用于敲诈勒索,这也是另一种不断发展的威胁。
2
第十八次联合国互联网治理论坛召开
第十八次联合国互联网治理论坛(IGF)于10月8日至12日在日本京都开幕,今年的主题为“我们想要的互联网——为所有人赋能”。联合国秘书长安东尼奥·古特雷斯在开幕致辞中强调,应共同努力缩小在网络接入和数字治理方面的差距,并强化以人权、以人为本的数字合作方针。开幕当天,该论坛发布了《我们想要的互联网》愿景文件,重申数字治理对经济、社会和环境发展至关重要,期望推进互联网的完整和开放、普及和包容、自由流动和值得信赖、安全和尊重。
本次论坛共设300多个分会场,涵盖八个子主题:(1)人工智能与新兴技术;
(2)避免互联网碎片化;
(3)网络安全、网络犯罪和在线安全;
(4)数据治理与信任;
(5)数字鸿沟与包容;
(6)全球数字治理与合作;
(7)人权和自由;
(8)可持续发展与环境。本次论坛汇聚了全球170多个国家的8千多人参与,是迄今为止规模最大、地域最多元化的互联网论坛。
3
全球数十个黑客组织加入巴以冲突网络战场
FalconFeedsio推特10月9日消息,根据知名网络威胁情报平台FalconFeeds.io的监测,随着巴勒斯坦和以色列在加沙地带军事冲突升级,网络空间对抗也已同步展开,目前已有39支黑客组织围绕冲突实施了攻击活动。其中,包括“孟加拉国神秘团队”、“匿名者苏丹”、“巴基斯坦疯狂团队”、“摩洛哥黑客网络军”、“网络行动联盟”等伊斯兰黑客组织发起了代号为OPISRAEL和OpIsraelV2的行动,对以色列国家电力局、《耶路撒冷邮报》、总会计师网等网站发起攻击,导致部分网站无法访问。“匿名者苏丹”还攻击了以色列“铁穹”导弹防御系统和“警报”应用程序。印度部分黑客组织则对巴勒斯坦国家银行和电信公司等目标发动网络攻击,其中黑客组织“印度网络力量”声称攻击致瘫了哈马斯官方网站。
4
全球最大移动虚拟运营商遭网络攻击,导致数百万用户通信中断
安全内参10月9日消息,英国移动虚拟运营商巨头莱卡移动(Lyca Mobile)确认遭遇网络攻击,导致数百万用户的服务中断。
莱卡移动自称是全球最大的移动虚拟运营商,基于英国网络运营商EE的基础设施开展业务,业务覆盖23个国家/地区,拥有超过1600万客户。
莱卡移动日前发布声明,确认安全事件导致客户无法通过其网站、应用程序或商店完成充值,一些国内、国际通话也受到干扰。
02
国内动态/事件盘点
1
国家金融监督管理总局发布警惕利用AI新型技术实施诈骗的风险提示
当前,AI技术的广泛应用为社会公众提供了个性化、智能化的信息服务,也给网络诈骗带来可乘之机。如不法分子通过面部替换、语音合成等方式,制作虚假图像、音频、视频,仿冒他人身份实施诈骗,侵害消费者合法权益。国家金融监督管理总局发布消费者权益保护风险提示,提醒广大金融消费者警惕新型诈骗手段,维护个人及家庭财产安全。
利用AI新型技术实施诈骗主要有“拟声”“换脸”两种手段,国家金融监督管理总局提示:
一、网络渠道“眼见”不一定为实;
二、转账汇款务必核验对方身份;
三、保护好照片、声音等个人信息。
详见:
http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1131422&itemId=915
2
关于侵害用户权益行为的APP(SDK)通报(2023年第5批,总第31批)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,我部组织第三方检测机构对群众关注的公共服务、休闲娱乐、酒店餐饮等移动互联网应用程序(APP)、小程序、第三方软件开发工具包(SDK)进行检查。发现23款APP(SDK)存在侵害用户权益行为(详见附件),现予以通报。
详见:
https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2023/art_fd943688746f4b88a080cd04a0c6d58a.html
3
数据泄漏被传输境外后擅自删库!某科技公司被上海市网信办依法处罚
上海市某科技公司相关数据库存在未授权访问漏洞,部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司无视数据安全保护责任,未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚。上海市网信办依据《数据安全法》对该科技公司及公司直接责任人员予以行政处罚。
经调查核实,该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月,公司安装配置了一台Elasticsearch数据库服务器,用于搜集多个应用系统的业务日志,并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,因数据库存在未授权访问漏洞,造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告,未有效履行数据安全保护义务。针对以上违法情况,上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
详见:
https://mp.weixin.qq.com/s/3LKOKFVUM9EMZ_CEdoRVhw
4
浙江省网信办对杭州某科技公司未履行数据安全保护义务依法作出行政处罚
近日,浙江省网信办依据《数据安全法》《行政处罚法》等法律法规,对杭州某科技公司作出罚款5万元的行政处罚,对该公司直接负责人作出罚款1万元的行政处罚。
根据国家网信办移交的问题线索,浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。经查实,该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定。
详见:
https://www.zjwx.gov.cn/art/2023/10/10/art_1694583_58873893.html
5
个人信息保护不当,宁夏6家物业公司被处罚
近日,宁夏石嘴山市6家物业公司因存在信息泄露隐患,被当地公安机关依法予以行政处罚。公安机关严在检查中发现,物业公司的存储数据未经加密处理,办公电脑未设开机密码,对个人信息未实行分类管理、未采取加密及去标识化等技术措施,业主个人信息被泄露的风险极大。
详见:
https://mp.weixin.qq.com/s/eidJTxMy6J38njvR8fUfug
6
标准动态
1、《生成式人工智能服务安全基本要求》(征求意见稿)面向社会公开征求意见
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20231011143225
2、《信息安全技术 存储介质数据恢复服务安全规范》面向社会公开征求意见
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230928103632&norm_id=20221102094529&recode_id=53118
7
最新政策法规动态
1、《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》发布
2023年10月,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。
《征求意见稿》主要内容包括:界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,明确工业和信息化部、地方行业监管部门的职责分工,并确立风险评估工作原则。明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行等。
详见:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e11152265eba4c9c9876a20c63715a1a.html
2、科技部等10部门印发《科技伦理审查办法(试行)》
科技部官网10月8日公布,科技部等10部门日前印发《科技伦理审查办法(试行)》。其中提到,高等学校、科研机构、医疗卫生机构、企业等是本单位科技伦理审查管理的责任主体。从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。其他有科技伦理审查需求的单位可根据实际情况设立科技伦理(审查)委员会。单位应为科技伦理(审查)委员会履职配备必要的工作人员、提供办公场所和经费等条件,并采取有效措施保障科技伦理(审查)委员会独立开展伦理审查工作。探索建立专业性、区域性科技伦理审查中心。
科技伦理(审查)委员会应按照以下重点内容和标准开展审查:
(一)拟开展的科技活动应符合本办法第三条规定的科技伦理原则,参与科技活动的科技人员资质、研究基础及设施条件等符合相关要求。
(二)拟开展的科技活动具有科学价值和社会价值,其研究目标的实现对增进人类福祉、实现社会可持续发展等具有积极作用。科技活动的风险受益合理,伦理风险控制方案及应急预案科学恰当、具有可操作性。
(三)涉及以人为研究参与者的科技活动,所制定的招募方案公平合理,生物样本的收集、储存、使用及处置合法合规,个人隐私数据、生物特征信息等信息处理符合个人信息保护的有关规定,对研究参与者的补偿、损伤治疗或赔偿等合法权益的保障方案合理,对脆弱人群给予特殊保护;所提供的知情同意书内容完整、风险告知客观充分、表述清晰易懂,获取个人知情同意的方式和过程合规恰当。
(四)涉及实验动物的科技活动,使用实验动物符合替代、减少、优化原则,实验动物的来源合法合理,饲养、使用、处置等技术操作要求符合动物福利标准,对从业人员和公共环境安全等的保障措施得当。
(五)涉及数据和算法的科技活动,数据的收集、存储、加工、使用等处理活动以及研究开发数据新技术等符合国家数据安全和个人信息保护等有关规定,数据安全风险监测及应急处理方案得当;算法、模型和系统的设计、实现、应用等遵守公平、公正、透明、可靠、可控等原则,符合国家有关要求,伦理风险评估审核和应急处置方案合理,用户权益保护措施全面得当。
详见:
https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/fgzc/gfxwj/gfxwj2023/202310/t20231008_188309.html
3、国家密码管理局发布《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》
为规范商用密码检测活动和商用密码应用安全性评估工作,加强商用密码检测机构管理,根据《密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究制订《商用密码应用安全性评估管理办法》和《商用密码检测机构管理办法》,于2023年9月11日国家密码管理局局务会议审议通过,自2023年11月1日起施行。
详见:
《商用密码检测机构管理办法》:https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml
《商用密码应用安全性评估管理办法》:https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml
4、工信部等六部门联合印发《算力基础设施高质量发展行动计划》
工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委等六部门近日联合印发《算力基础设施高质量发展行动计划》,提出到2025年,计算力方面,算力规模超过300 EFLOPS,智能算力占比达到35%,东西部算力平衡协调发展。运载力方面,国家枢纽节点数据中心集群间基本实现不高于理论时延1.5倍的直连网络传输,重点应用场所光传送网(OTN)覆盖率达到80%,骨干网、城域网全面支持IPv6,SRv6等创新技术使用占比达到40%。存储力方面,存储总量超过1800EB,先进存储容量占比达到30%以上,重点行业核心数据、重要数据灾备覆盖率达到100%。应用赋能方面,打造一批算力新业务、新模式、新业态,工业、金融等领域算力渗透率显著提升,医疗、交通等领域应用实现规模化复制推广,能源、教育等领域应用范围进一步扩大。每个重点领域打造30个以上应用标杆。
详见:
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_fcb3aa793e674960b1c00d7e3b6ad448.html
5、国家网信办公布《规范和促进数据跨境流动规定(征求意见稿)》
国家网信办28日发布公告,为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,国家网信办起草了《规范和促进数据跨境流动规定(征求意见稿)》,现向社会公开征求意见。
征求意见稿提出,向境外提供100万人以上个人信息的,应当申报数据出境安全评估。
征求意见稿指出,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
征求意见稿称,符合为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息等情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
详见:
http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm
6、国家知识产权局办公室关于印发《关键数字技术专利分类体系(2023)》的通知、《生成式人工智能服务安全基本要求》(征求意见稿)面向社会公开征求意见
国家知识产权局办公室印发了《关键数字技术专利分类体系(2023)》,该分类体系适用于对关键数字技术专利发展状况进行宏观统计监测,适用于各地方有关部门和社会各界结合实际需要开展相关产业专利统计分析工作。该分类体系包括人工智能、高端芯片、量子信息、物联网、区块链、工业互联网和元宇宙等7个专利分类体系表,采用线分类法将关键数字技术划分为3至5级技术分支。
详见:
https://www.cnipa.gov.cn/art/2023/9/25/art_75_187769.html