一、《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见
为规范互联网平台停服数据处理活动,保障数据安全,促进数据依法合理有效利用易游体育,,保护个人、组织的合法权益,维护国家安全和公共利益,近日,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》,并面向社会公开征求意见。
二、《网络安全技术 标识密码认证系统密码及其相关安全技术要求》(征求意见稿)等2项国家标准公开征求意见
全国网络安全标准化技术委员会归口的国家标准《网络安全技术 标识密码认证系统密码及其相关安全技术要求》和《数据安全技术 数据接口安全风险监测方法》现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现该2项标准的意见稿已公开发布并面向社会征求意见。
近日,广东省人大常委会召开《广东省科技创新条例》(以下简称《条例》)新闻发布会,发布《条例》全文,并回答记者提问。
《条例》在地方乃至全国立法层面提出了多项首创性的制度措施,如首次在地方立法中明确设立省基础与应用基础研究基金,首次在立法中提出构建职务科技成果转化全流程单列管理制度体系,首次在立法中提出支持高等学校建立科技发展、国家战略需求牵引的学科设置调整机制,首次在地方立法中提出激发新型研发机构转化动力的创新机制等,全方位全过程多角度引领推动广东省科技创新工作创新发展。
《条例》规定了科研用物资、科研数据跨境流动,明确要求有条件的地级以上市人民政府促进科研用物资跨境自由流动,探索实施科研用物资便捷管理模式,并支持在横琴、前海、南沙和河套的各类创新主体,以及大湾区内的高等学校和科研机构,在国家数据跨境传输安全管理制度框架下,建设固网接入国际互联网的绿色通道。
近日,重庆高新区网信办日常工作巡查发现,重庆哈屋坊科技有限公司开发运营的“饭橘”App存在目录遍历漏洞等网络安全风险和强制用户同意隐私政策,违反必要原则收集个人信息等问题。重庆高新区网信办联合综合执法局、高新区公安分局等部门,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规,对该公司负责人同时也是以上App负责人开展联合执法约谈,要求该公司对违法违规问题限期整改,建立健全网络安全各项管理制度,定期开展安全评估。该公司负责人表示,已认识到问题的严重性和危害性,将严格按照网信等部门工作要求,举一反三全面深入整改,强化日常管理,认真学习互联网相关法律法规,严格落实网络安全主体责任,做到依法办网用网。
重庆高新区网信办表示,将进一步落实属地管理职责,压紧压实属地网络平台网络安全主体责任,严厉打击互联网违法违规行为,全力保障广大网民合法权益,构建清朗网络环境,促进互联网行业健康有序发展。
近日,国家计算机病毒应急处理中心依据相关法律法规及相关国家标准要求,通过互联网监测发现15款移动App存在隐私不合规行为:
《快闪壁纸》(版本1.0.5,应用宝)、《小月日记》(版本1.5.2,vivo应用商店)、《生态环境智慧管理系统》(版本1.5,华为应用商店)、《搞笑内涵》(版本1.3.0,应用宝)、《指尖微小说》(版本1.0.6,vivo应用商店)、《小铁马》(版本3.6.11 ,小米应用商店)、《日语翻译》(版本1.4.7,豌豆荚)。
2.隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。涉及5款App:
《日上锦囊》(版本23.11.7,应用宝)、《紫鸾》(版本2.2.0,应用宝)、《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)、《小铁马》(版本3.6.11 ,小米应用商店)、《科瑞泰Q医》(版本5.0.5,vivo应用商店)。
3.App客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。涉及6款App:
《日上锦囊》(版本23.11.7,应用宝)、《紫鸾》(版本2.2.0,应用宝)、《生态环境智慧管理系统》(版本1.5,华为应用商店)、《装扮魔法少女》(版本1.0.0.4,小米应用商店)、《鸿飞达司机》(版本1.0.26,vivo应用商店)、《小铁马》(版本3.6.11 ,小米应用商店)。
4.App在征得用户同意前开始收集个人信息或打开可收集个人信息的权限。涉及1款App:
5.App未提供有效的更正、删除个人信息及注销用户账号功能,或为更正、删除个人信息或注销用户账号设置不必要或不合理条件;无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,完成核查和处理承诺时限超过15个工作日。涉及2款App:
《搞笑内涵》(版本1.3.0,应用宝)、《日语翻译》(版本1.4.7,豌豆荚)。
6.App未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及4款App:
《生态环境智慧管理系统》(版本1.5,华为应用商店)、《搞笑内涵》(版本1.3.0,应用宝)、《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)、《日语翻译》(版本1.4.7,豌豆荚)。
7.基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。涉及6款App:
《日上锦囊》(版本23.11.7,应用宝)、《小月日记》(版本1.5.2,vivo应用商店)、《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)、《装扮魔法少女》(版本1.0.0.4,小米应用商店)、《帮车宝》(版本5.1.10,vivo应用商店)、《日语翻译》(版本1.4.7,豌豆荚)。
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)、《小铁马》(版本3.6.11 ,小米应用商店)。
9.个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。涉及7款App:
《日上锦囊》(版本23.11.7,应用宝)、《小月日记》(版本1.5.2,vivo应用商店)、《生态环境智慧管理系统》(版本1.5,华为应用商店)、《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)、《小铁马》(版本3.6.11 ,小米应用商店)、《小牛快跑司机端》(版本6.00.5.0002,vivo应用商店)、《帮车宝》(版本5.1.10,vivo应用商店)。
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
近日消息,一项即将发起的集体诉讼表明,一家以“国家公共数据业务”(National Public Data)为名的背景调查公司Jerico Pictures Inc.发生了数据泄露事件,暴露了近30亿人的个人信息。
根据投诉,目前尚不清楚泄露事件的具体发生时间和方式。截至提交投诉时,Jerico Pictures Inc.仍未向受影响的个人发出通知或警告。根据投诉,为开展业务,国家公共数据从非公开来源抓取了数十亿人的个人身份信息——这意味着原告在不知情的情况下向该公司提供了他们的数据。一些被曝光的信息包括社会安全号码、现居地址、几十年来的曾居地址、全名、亲属信息,其中一些亲属甚至已去世近二十年。国家公共数据未立即回应置评请求。原告之一是加州居民Christopher Hofmann,他于7月24日收到了身份盗窃保护服务提供商的通知,告知他的数据在一次泄露中被暴露并泄漏到暗网上。他指控国家公共数据存在疏忽、不当得利、违反信托责任和第三方受益合同的行为易游体育,。Hofmann要求法院要求国家公共数据清除所有受影响个人的个人信息,并对所有收集的数据进行加密。除了金钱补偿外,他还提出一系列其他要求,比如国家公共数据应进行数据分段、开展数据库扫描、实施威胁管理程序,并任命第三方评估人员连续十年对其网络安全框架进行年度评估。Hofmann 和计划发起集体诉讼的原告由Kopelowitz Ostrow PA、Arnold Law Firm和Wucetich & Korovilas LLP等代理。
近日,有研究人员发现了一次大规模的数据泄漏事件,共涉及到大约 900 家公司和组织,其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。
起因是Cybernews 研究小组发现了一个可公开访问的网络目录,该目录属于马里兰州的 Simpli 公司(前身为 Charm City Concierge)。该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣,并使用户能够订购各种服务和产品。
这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉,此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。
受影响的公司包括:Capital One、海军分析中心、美国律师协会、微策略、剑桥联营公司、戴尔、威瑞森、康卡斯特、西部交通、WeWork、信托银行、美国电话电报公司、国家残疾人委员会、能源部、大通银行。
由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务,因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击,将目标锁定在员工可以访问的更敏感的公司系统上。虽然员工凭证是以相对安全的格式存储的,但密码仍有可能被破解,尤其是弱密码。如果员工在多个账户中使用相同的密码,被破解的密码就可以用来登录其他更敏感、与工作相关的终端。此次泄露的数据库还曝光了通过该应用程序发出的指令,其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。
在开放目录中发现的文件表明,这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。此类泄密事件凸显了使用第三方服务的固有风险,这些服务可能会带来供应链攻击的风险。在这种网络攻击中,威胁者往往会寻找供应网络中的薄弱环节,而不是直接针对一家公司。因此,提供第三方服务的公司和组织应该对网络安全问题格外保持警惕,因为这些公司极有可能会成为攻击者的目标。
党建读物出版社、学习出版社联合出版了《党的二十届三中全会〈决定〉学习辅导百问》,书中收录了王小洪同志的署名文章《推进国家安全体系和能力现代化》。
文章强调,要完善国家安全法治体系、战略体系、政策体系、风险监测预警体系,积极推进太空安全、深海安全、数据安全等重要领域国家安全立法,加强对国家安全有关法律法规执行的检查监督工作,提升国家安全工作法治化水平。要加强网络安全体制建设,完善网络空间治理法律法规,健全网络安全等级保护、关键信息基础设施安全保护、数据安全保护等制度,防范抵御网络攻击,筑牢网络安全“防火墙”。要建立人工智能安全监管制度,加快人工智能立法进程,完善科技伦理监管规则易游体育,,加强分级分类监管,加强对有关风险的动态分析、评估预警、技术攻坚,确保人工智能始终朝着不断增进人民福祉的方向发展。
近日,黔江区委网信办会同区市场监管局、区城管局、区商务委等相关部门,组建工作专班,在全区范围内开展扫码消费领域个人信息保护专项治理,重点整治扫码消费领域个人信息过度采集、强制收集、诱导索取、违规使用等问题。
检查组详细查看相关企业对消费者个人信息收集、处理、保护等情况,要求企业对收集使用个人信息情况开展自查自纠,督促指导企业规范个人信息收集使用行为,做到个人信息采之有界、用之有度、护之有责。检查中发现一家停车收费企业存在不规范收集个人信息的行为,检查组下发了整改通知书,责令限期整改。
此次专项治理,进一步遏制了消费场景个人信息过度索取和肆意滥用等乱象,有效促进了全区消费领域个人信息保护。
为提升智能网联汽车企业网络和数据安全防护水平,保障上路智能网联汽车的安全稳定运行,近日,上海市通信管理局会同市经信委、市交通委组织召开智能网联汽车网络和数据安全管理政策宣贯会,结合“铸盾车联”专项有关任务宣贯2024年度智能网联汽车网络和数据安全管理要求。
会议宣贯了《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等关于智能网联汽车网络和数据安全管理的法律法规和政策要求,介绍了上海地区智能网联汽车网络和数据安全管理的前期工作,并部署各单位落实2024年智能网联汽车网络和数据安全工作任务,推动各智能网联汽车企业加快建立面向智能网联汽车的网络和数据安全管理体系制度、开展智能网联汽车和在线升级服务(OTA)网络安全检测、加强网络安全应急处置管理以及强化数据安全和个人信息保护事件应急管理等。
会议强调,在智能网联汽车领域,网络数据安全是产业发展的前提和保障,智能网联汽车企业要加强与产业主管部门协同配合,保障智能网联汽车上路运行安全,实现网络安全与产业推进的协调发展。智能网联汽车是车联网产业的核心与关键,也是新质生产力、新型工业化和两化融合的代表性方向。要求各智能网联汽车企业高度重视并认真学习网络和数据安全相关法律法规精神,积极配合主管部门监管,贯彻落实安全保障工作,进一步强化智能网联汽车网络和数据安全防护能力,实现以安全保发展、以发展促安全。
上海市通信管理局表示,将在工业和信息化部的领导下,与市经信、交通等智能网联汽车产业主管部门加强沟通协调与信息共享,进一步推进智能网联汽车网络和数据安全管理工作,实现安全与发展齐头并进,护航智能网联汽车产业安全、繁荣和高质量发展。
欧盟《人工智能法案》于8月1日正式生效。该法案是全球首部全面监管人工智能的法规,可能为许多国家和地区在制定人工智能管制规则时提供重要借鉴。
《人工智能法案》根据使用方法而非技术本身造成的影响风险分为四类,风险等级越高,管控越严格。其中,风险最高的情况包括:为唆使犯罪而利用人工智能技术操纵人的潜意识;使用高级监控摄像机等,将人脸识别等生物识别技术实时应用于犯罪搜查等,这些情况是被“禁止”的。第二高风险的情况包括:基于犯罪心理画像的犯罪预测、在入学考试和录用考试测评中应用人工智能。人类有义务保存和管理使用人工智能技术的历史记录。
该法案规定,聊天机器人等人工智能系统必须明确告知用户他们在与机器互动,人工智能技术提供商必须确保合成的音频、视频、文本和图像内容能够被检测为人工智能生成的内容,同时禁止使用被认为对用户基本权利构成明显威胁的人工智能系统。
如果企业涉足“禁止”领域,则被处以3500万欧元或全球年销售总额7%的罚款,以二者之中的更高金额为准进行处罚。如果没有履行除“禁止”以外的其他风险分类中的义务,则根据业务规模等处以1500万欧元或最高不超过全球年销售总额3%的罚款。
据悉,欧盟《人工智能法案》相关规则将分阶段实施,某些规则将在该法律通过6个月后或12个月后生效,而大部分规则将于2026年8月2日开始生效。