国际动态/事件盘点
1
欧盟《网络安全条例》生效实施
欧委会1月8日消息:欧盟《网络安全条例》于2024年1月7日正式生效。该条例规定了欧盟实体建立内部网络安全风险管理、治理和控制框架的措施,并设立一个新的机构间网络安全委员会(IICB)监督和支持欧盟机构实施网络安全措施。条例对欧盟计算机应急响应小组 (CERT-EU)进行了扩展授权,使其成为威胁情报、信息交换和事件响应协调中心、中央咨询机构和服务提供商,并将其更名为欧盟网络安全服务中心,但仍保留简称“CERT-EU”。
下一步,按照该条例规定的时间表,欧盟机构将建立内部网络安全治理流程,并逐步实施该条例中的网络安全风险管理措施。IICB将尽快成立并投入运营,其目标是确保对CERT-EU在其扩展的授权范围内进行战略指导,为实体提供指导和支持,并监督条例实施。此前,欧盟委员会于2022年3月公布《网络安全条例》草案,2023年6月,欧洲议会和欧盟理事会就该条例达成政治协议。
2
美国联邦贸易委员会就位置跟踪数据问题首次与数据公司达成和解协议
2024年1月9日,总部位于弗吉尼亚州的数据公司Outlogic(前身为X-Mode Social)已与美国联邦贸易委员会(以下简称“FTC”)达成重大和解,这是FTC有史以来首次与数据公司达成数据跟踪和解协议。在该项和解协议中,Outlogic承诺停止出售用于跟踪用户个人行踪的敏感地理位置数据。
Outlogic出售的原始位置数据与移动广告ID相关联,而移动广告ID是与每个移动设备相关联的唯一标识符。这些原始位置数据没有经过匿名处理,能够将消费者的移动设备与他们访问过的地点进行匹配。该公司向从房地产到金融等行业的数百家企业出售消费者位置数据,用于广告或品牌分析等目的。
根据美国联邦贸易委员会的指控,直到2023年5月,该公司都没有采取任何措施,从其出售的原始位置数据中删除敏感位置。FTC称,Outlogic没有采取合理、适当的保障措施,防止其出售的精确位置数据被下游企业使用,从而将消费者的敏感个人信息置于风险之中。此外,Outlogic出售的位置数据所包含的信息不仅侵犯了消费者的隐私权,还使他们面临潜在的歧视、身体暴力、精神痛苦和其他伤害。FTC还指控该公司没有采取必要的技术保障措施和监督措施,以确保满足一些安卓用户提出的退出跟踪和个性化广告的要求。
美国联邦贸易委员会主席Lina M. Khan表示:"地理位置数据不仅可以显示一个人住在哪里、与谁在一起,还可以显示他们寻求哪些医疗服务等私密信息。通过首次禁止企业使用和销售敏感位置数据,FTC表明了未来开展数据保护工作的决心,我们将限制企业收集、出售或披露消费者敏感位置数据,以保护美国公民免受企业不法监控的侵害。”
X-Mode Social是一家成立于2013年的美国科技公司,是美国从事位置数据研究领域的领头公司。
3
英国NCSC发布全新中小企业实用安全指南
1月11日英国国家网络安全中心(NCSC)发布了一份面向中小企业(SMB)的新指南,旨在帮助中小企业在使用在线服务时减少网络攻击的潜在影响。
英国国家网络安全中心(NCSC)表示,其使用在线服务安全指南专门针对那些可能无法获得专门IT和支持人员的组织。
该指南包含10页简单实用的建议,从选择正确的服务和备份数据到域名安全,创建和保护用户/管理帐户以及保护它们免受恶意软件的侵害。还有关于如何使用流行云服务的内置安全功能以及如何在攻击后恢复被黑客入侵的帐户或服务的指导。
根据一份英国政府报告,从2023年4月起,三分之一(32%)的英国企业在过去12个月内遭受过安全漏洞或网络攻击,而中型企业的这一比例上升至59%。
4
黎巴嫩贝鲁特国际机场遭遇网络攻击
参考消息网1月8日报道据法新社1月7日报道,据黎巴嫩国家通讯社称,贝鲁特机场7日成为网络攻击目标。当地媒体播放的图像显示,航站楼屏幕上出现了反真主党的信息。
报道引用黎巴嫩国家通讯社的消息称:“对机场出发和到达屏幕的网络攻击扰乱了行李检查系统。”报道还说,当局正在努力恢复机场大屏,“并维持机场的正常运转”。
此外阿拉比亚电视台援引安全部门消息人士的话称,因遭病毒入侵,贝鲁特机场需对所有系统进行重新编程。
5
谷歌旗下Mandiant遭黑客攻击
1月8日,谷歌旗下安全公司Mandiant声称其X平台账号在启用双重验证的情况下仍遭到黑客入侵。黑客将账号名称改为Phantom,并发布加密货币诈骗广告。Mandiant已成功收回相关账号。
据Mandiant表示,他们作为安全专家,为账号启用了双重验证,但仍“匪夷所思”地遭到黑客入侵。黑客利用未知零日漏洞绕过验证,发布“加密钱包”钓鱼网站广告,声称向新注册用户发放免费加密货币。
Mandiant已展开调查,发现多个非营利组织和公众人物的X平台账号也遭遇类似劫持。具体攻击手法仍在调查中。
国内动态/事件盘点
1
2023年工业和信息化领域数据安全典型案例名单公布
1月8日,工信部发布通知,公布2023年工业和信息化领域数据安全典型案例名单,案例共72项,涉及数据安全基础共性、数据安全监测分析、数据安全体系整体设计实施等4个方向,其中,工业领域典型案例34项,电信和互联网领域典型案例38项。
详见:
https://www.miit.gov.cn/zwgk/wjgs/art/2023/art_bebfbf274e5a4c2ba4a34dc697aee06f.html
2
金管总局新年首批公布罚单,三家银行合计被罚1000万元
1月5日,金融监管总局机关层面公布的2024年行政处罚的首批罚单出炉:建设银行、中国银行、中信银行合计被罚1000万元。其中,中国银行和中信银行被罚的原因均为信息系统领域的问题。
详见:
https://baijiahao.baidu.com/s?id=1787339657953475197&wfr=spider&for=pc
3
境外机构在我国海域周边投放航空信息窃密设备
1月6日,国家安全机关工作发现多个境外机构以免费提供设备、共享航空信息为诱饵,依托网络社交平台面向境内航空爱好者精准招募“志愿者”,并跨境邮寄大小接近普通智能手机的便携式信号接收设备,远程指导“志愿者”在我国渤海、东海、南海周边省份航空枢纽附近投放,以实现对周边一定范围内飞机的型号、高度、经度、纬度、速度、航向等信息的自动采集,并将上述数据实时传输到境外机构指定的服务器上。这些境外机构不仅窃取民用航空数据,甚至还能窃取军用航空器等敏感数据信息。
详见:
https://mp.weixin.qq.com/s/7HNLRAoAnOpv_i3Rd5xA4g
4
国家安全机关破获一起英国秘密情报局(MI6)间谍案
近期,国家安全机关破获一起英国秘密情报局(MI6)利用第三国人员从事对华间谍活动的案件。
外籍人员黄某某,系境外某咨询机构负责人。2015年,英国秘密情报局(MI6)将黄某某发展,建立“情报合作关系”。此后,MI6指使黄某某多次入境中国,指导其以公开身份为掩护,为英方刺探搜集涉华情报,物色人员供MI6策反。MI6还在英国等地对黄某某进行专业情报培训,配赋专用间谍器材进行情报交联。
经缜密侦查,国家安全机关及时发现黄某某从事间谍活动的犯罪证据,依法对其采取刑事强制措施。经保密部门鉴定,黄某某向英方提供机密级国家秘密9份、秘密级国家秘密5份、情报3份。
案件侦办期间,国家安全机关及时通报并安排领事探视,依法保障了黄某某各项合法权利。
详见:
https://mp.weixin.qq.com/s/lvLuIwWAuJ7mYCdGTEONkg
5
网信部门依法查处花椒直播、天天吉历App等破坏网络生态案件
近日,针对花椒直播、天天吉历APP、超级手电筒APP、大姨妈APP等网站平台破坏网络生态问题,国家网信办指导北京市、上海市网信办,依据《网络安全法》《网络信息内容生态治理规定》等有关规定,依法约谈上述网站平台负责人,责令限期整改、从严处理责任人,整改期间采取自行暂停新用户注册、暂停问题版块信息更新等处置措施。
网信部门将持续聚焦人民群众反映强烈的网络生态领域违法违规突出问题,加大网络执法力度,督促网站平台履行主体责任和社会责任,切实维护网民合法权益,营造清朗网络空间。
详见:
https://mp.weixin.qq.com/s/ZAv53Ah6BIRvpPIr9fQZ-Q
6
北京多家公司因不履行网络安全保护义务被处罚!
今年以来,北京市公安局网安部门大力加强网络秩序清理整顿,积极开展网络安全检查,对多家不履行网络安全保护义务的单位依法予以处罚。涉及数据泄漏、弱口令账号、密码爆破、网站篡改等方面。
详见:
https://mp.weixin.qq.com/s/WNrkCZheo_s4GrKiFO6O9w
7
标准动态
1、5项网络安全国家标准正式发布
根据2023年12月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第20号),全国信息安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体清单如下:
详见:
https://mp.weixin.qq.com/s/HFzrQzhc2O9Ks7uK2-zf7A
2、工信部印发《国家汽车芯片标准体系建设指南》
工业和信息化部近日印发《国家汽车芯片标准体系建设指南》,提出到2025年,制定30项以上汽车芯片重点标准,明确环境及可靠性、电磁兼容、功能安全及信息安全等基础性要求,制定控制、计算、存储、功率及通信芯片等重点产品与应用技术规范,形成整车及关键系统匹配试验方法,满足汽车芯片产品安全、可靠应用和试点示范的基本需要。到2030年,制定70项以上汽车芯片相关标准,进一步完善基础通用、产品与技术应用及匹配试验的通用性要求,实现对于前瞻性、融合性汽车芯片技术与产品研发的有效支撑,基本完成对汽车芯片典型应用场景及其试验方法的全覆盖,满足构建安全、开放和可持续汽车芯片产业生态的需要。
详见:
https://mp.weixin.qq.com/s/_K4Rr4_25DBX9OhxelFOqg
3、工信部就《云计算综合标准化体系建设指南》(征求意见稿)征求意见
为充分发挥标准对云计算产业的引领规范作用,持续完善标准体系,工业和信息化部组织有关单位编制完成了《云计算综合标准化体系建设指南》(征求意见稿)。《指南》明确,到2025年,云计算标准体系更加完善。推进修订参考架构、术语等基础标准,优先制定云计算创新技术产品、新型服务应用和重要缺失领域的关键标准。开展云原生、边缘云、混合云、分布式云等重点技术与产品标准研制,制定一批新型云服务标准,面向制造、软件和信息技术服务、信息通信、金融、政务等重点行业领域开展应用标准建设。
详见:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/rjy/art/2020/art_6890cf732f3d4be9b50eb9a593535ff0.html
4、《信息安全技术 网络安全产品互联互通告警信息格式》(征求意见稿)等4项国家标准面向社会公开征求意见
详见:
https://mp.weixin.qq.com/s/TYJVomfgteeb9uy6jBVjPw
8
最新政策法规动态
1、国家发展改革委 国家数据局印发《数字经济促进共同富裕实施方案》
据国家发展改革委官网消息,为推动数字技术和实体经济深度融合,不断做强做优做大我国数字经济,通过数字化手段促进解决发展不平衡不充分问题,推进全体人民共享数字时代发展红利,助力在高质量发展中实现共同富裕,国家发展改革委、国家数据局近日印发《数字经济促进共同富裕实施方案》(以下简称《实施方案》),围绕“推动区域数字协同发展”“大力推进数字乡村建设”“强化数字素养提升和就业保障”“促进社会服务普惠供给”四个方面提出13项具体措施。
详见:
https://www.ndrc.gov.cn/xxgk/zcfb/tz/202401/t20240105_1363120.html
2、国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》
为深入贯彻党的二十大和中央经济工作会议精神,充分发挥数据要素乘数效应,赋能经济社会发展,近日,国家数据局会同中央网信办、科技部、工业和信息化部、交通运输部、农业农村部、商务部、文化和旅游部、国家卫生健康委、应急管理部、中国人民银行、金融监管总局、国家医保局、中国科学院、中国气象局、国家文物局、国家中医药局等部门联合印发《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号,以下简称《行动计划》)。
《行动计划》选取工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域,推动发挥数据要素乘数效应,释放数据要素价值。《行动计划》从提升数据供给水平、优化数据流通环境、加强数据安全保障等3方面,强化保障支撑。
详见:
https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247495765&idx=1&sn=e448321562f45f65b4069fd3c0cd97eb&chksm=feb67146c9c1f85051518cd202bbd70748a0568543fad6fb96c2afc2695e1a90fc00772404d4&token=1726441436&lang=zh_CN#rd
3、工信部等八部门联合印发《关于加快传统制造业转型升级的指导意见》
工业和信息化部、国家发展改革委、教育部、财政部、中国人民银行、税务总局、金融监管总局、中国证监会等八部门近日联合印发《关于加快传统制造业转型升级的指导意见》,提出到2027年,我国传统制造业高端化、智能化、绿色化、融合化发展水平明显提升,有效支撑制造业比重保持基本稳定,在全球产业分工中的地位和竞争力进一步巩固增强。工业企业数字化研发设计工具普及率、关键工序数控化率分别超过90%、70%,工业能耗强度和二氧化碳排放强度持续下降,万元工业增加值用水量较2023年下降13%左右,大宗工业固体废物综合利用率超过57%。
详见:
https://www.gov.cn/zhengce/zhengceku/202312/content_6923270.htm
4、《企业数据资源相关会计处理暂行规定》自2024年1月1日起施行
2024年1月1日,《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》)正式施行。数据资产入表是数据资产最终走向数据资本重要的一步,将开启数据要素产业化的大时代。数据资产入表是指将数据确认为企业资产负债表中“资产”一项,在财务报表中体现其真实价值与业务贡献。根据《暂行规定》要求,企业内、外部数据资源确认为无形资产、存货方式入表,同时明确两类数据资源在确认、初始计量、后续计量、收入确认等环节应当遵循的具体准则。
《暂行规定》包括以下四部分内容:
一是适用范围。明确《暂行规定》适用于符合企业会计准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。后续随着未来数据资源相关理论和实务的发展,可及时跟进调整。
二是数据资源会计处理适用的准则。按照会计上的经济利益实现方式,根据企业使用、对外提供服务、日常持有以备出售等不同业务模式,明确相关会计处理适用的具体准则,同时,对实务反映的一些重点问题,结合数据资源业务等实际情况予以细化。
三是列示和披露要求。要求企业应当根据重要性原则并结合实际情况增设报表子项目,通过表格方式细化披露,并规定企业可根据实际情况自愿披露数据资源(含未作为无形资产或存货确认的数据资源)的应用场景或业务模式、原始数据类型来源、加工维护和安全保护情况、涉及的重大交易事项、相关权利失效和受限等相关信息,引导企业主动加强数据资源相关信息披露。
四是附则。《暂行规定》将自2024年1月1日起施行,企业应当采用未来适用法应用本规定。
详见:
https://www.oscca.gov.cn/sca/xwdt/2023-12/13/content_106114http://sh.mof.gov.cn/tongzhitonggao/202312/t20231214_3922300.htm8.shtml
5、财政部印发《关于加强数据资产管理的指导意见》
为深入贯彻落实党中央决策部署,规范和加强数据资产管理,更好推动数字经济发展,近日,财政部制定印发了《关于加强数据资产管理的指导意见》(财资〔2023〕141号,以下简称《指导意见》)。
《指导意见》的主要内容:
针对当前数据资产管理存在的问题,《指导意见》明确,要以促进全体人民共享数字经济红利、充分释放数据资产价值为目标,以推动数据资产合规高效流通使用为主线,有序推进数据资产化,加强数据资产全过程管理,更好发挥数据资产价值。《指导意见》主要包括总体要求、主要任务、实施保障等三方面十八条内容。
一是明确工作原则,即坚持确保安全与合规利用相结合、坚持权利分置与赋能增值相结合、坚持分类分级与平等保护相结合、坚持有效市场与有为政府相结合、坚持创新方式与试点先行相结合。
二是确定主要任务,包括依法合规管理数据资产、明晰数据资产权责关系、完善数据资产相关标准、加强数据资产使用管理、稳妥推动数据资产开发利用、健全数据资产价值评估体系、畅通数据资产收益分配机制、规范数据资产销毁处置、强化数据资产过程监测、加强数据资产应急管理、完善数据资产信息披露和报告、严防数据资产价值应用风险等12方面内容。特别对具有国有属性的公共数据资产管理作出针对性规定,更好对相关主体管好用好公共数据资产提供政策指导。
三是强化实施保障,包括加强组织实施、加大政策支持、积极鼓励试点等。
详见:
http://zcgls.mof.gov.cn/zhengcefabu/202401/t20240111_3925710.htm
6、交通运输部公布《铁路关键信息基础设施安全保护管理办法》
近日,交通运输部公布《铁路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第20号,以下简称《办法》),自2024年2月1日起施行。
铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。党的二十大报告明确要求强化网络安全保障体系建设。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。2021年出台的《关键信息基础设施安全保护条例》(以下简称《条例》)对国家关键信息基础设施安全保护予以了系统规范。为全面贯彻落实党中央、国务院关于加强关键信息基础设施安全保护的决策部署,细化落实《条例》规定,有必要制定《办法》,以全面保障铁路关键信息基础设施的安全运行。
《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:
(一)明确铁路关键信息基础设施管理体制。一是明确国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。二是明确国家铁路局作为铁路关键信息基础设施认定主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。
(二)压实运营者主体责任。建立铁路关键信息基础设施全过程保护制度,要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。
(三)加强对铁路关键信息基础设施的监督管理和保障。一是要求国家铁路局制定安全规划,明确保护目标、基本要求、工作任务和具体措施。二是从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面,对铁路监管部门和运营者责任和义务予以明确。三是通过定期开展检查检测、实施行政处罚和政务处分等方式落实监管责任。
详见:
https://xxgk.mot.gov.cn/jigou/fgs/202401/t20240104_3980678.html
7、金融监管总局发布银行保险机构操作风险管理办法
为进一步完善银行保险机构操作风险监管规则,提升银行保险机构的操作风险管理水平,金融监管总局对《商业银行操作风险管理指引》(以下简称《指引》)进行了修订,形成《银行保险机构操作风险管理办法》(以下简称《办法》),现正式发布,于2024年7月1日起施行。
《办法》共六章五十二条及附录,坚持审慎性、全面性、匹配性、有效性原则,主要内容包括:一是明确风险治理和管理责任。明确董事会、监事(会)和高级管理层的责任,界定三道防线的具体范围和职责,压实分支机构和附属机构的操作风险管理责任。二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制,建立健全操作风险的管理信息系统,培育良好的操作风险管理文化。三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、网络安全、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求,建立操作风险情况和重大操作风险事件报告机制,应用操作风险损失数据库等三大基础管理工具以及新型工具。四是完善监督管理职责。金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性,行业协会应当发挥自律和服务作用。五是在《办法》附录中对部分规定内容的含义进行了说明和举例,以便于银行保险机构落实执行。
自《办法》实施之日起,《商业银行操作风险管理指引》(银监发〔2007〕42号)、《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》(银监发〔2005〕17号)废止。
详见:
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1144382&itemId=928