一、国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》并公开征求意见

　　为促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法（征求意见稿）》，现向社会公开征求意见。

　　《办法》根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《中华人民共和国认证认可条例》等法律法规制定，旨在便利个人信息出境活动，规范个人信息出境个人信息保护认证工作，保护个人信息权益，促进个人信息高效便利安全跨境流动。

　　《办法》规定，履行个人信息保护职责的相关部门、专业认证机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，并采取相应的技术措施和其他必要措施，保障相关数据不得泄露或者非法向他人提供、非法使用。国家促进个人信息出境个人信息保护认证活动的国际交流与合作，推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认。

　　《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过，现予公布，自2025年1月1日起施行。

　　《条例》强调，网络数据安全管理工作坚持中国的领导，贯彻总体国家安全观，统筹促进网络数据开发利用与保障网络数据安全。国家鼓励网络数据在各行业、各领域的创新应用，加强网络数据安全防护能力建设，支持网络数据相关技术、产品、服务创新，开展网络数据安全宣传教育和人才培养，促进网络数据开发利用和产业发展。网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的，应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则。个人请求查阅、复制、更正、补充、删除、限制处理其个人信息，或者个人注销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。

　　为促进数据产业高质量发展，近日，国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发了《关于促进数据产业高质量发展的指导意见》。

　　在培育多元经营主体方面，《意见》明确，要培育数据资源企业、做强数据技术企业、扶持数据服务企业、做优数据应用企业、发展数据安全企业，并壮大数据基础设施企业。在提高数据领域动态安全保障能力方面，《意见》提出，创新数据安全产品服务，培育壮大适应数据流通特征和人工智能应用的安全服务业态。支持企业创新数据分类分级、隐私保护、安全监测、应急处置等数据安全产品和服务。加强动态数据安全保障，扩大可信流通技术应用范围；建立健全数据安全风险识别、监测预警、应急处置等相关规范。健全数据分类分级标准，加强对涉及国家安全、商业秘密、个人隐私等数据的保护。

　　四、《山东省“产业大脑”建设指引（1.0）》和《山东省“晨星工厂”建设指引（1.0）》正式发布

　　为贯彻落实省委省政府关于加快推进制造强省、数字强省建设的工作部署，培育“产业大脑+晨星工厂”实数融合新模式，近日，山东省数字经济发展联席会议办公室研究制定了《山东省“产业大脑”建设指引（1.0）》《山东省“晨星工厂”建设指引（1.0）》。

　　《山东省“产业大脑”建设指引 1.0》指出，要坚持数据为基、安全为要。建立省级产业数据仓和行业级产业数据仓协同体系，汇聚各类公共数据、企业数据，打造高质量行业数据集和大模型语料库。建立数据安全防护机制，构建可信数据空间，实现数据流通各环节安全保障。省级能力中心和行业“产业大脑”应遵守《中华人民共和国数据安全法》《网络数据安全管理条例》等法律规定，落实数据安全分类分级、动态感知、风险识别、应急处理、治理监管等要求，围绕系统层、网络层、数据层，建立覆盖“省级能力中心-产业大脑-晨星工厂”数据与服务交互全过程的安全管理体系，满足信息安全等级保护要求。

　　《山东省“晨星工厂”建设指引 1.0》以驱动、安全保障。整合企业内外部及产业链上下游相关数据，建立数据治理体系，深度挖掘数据要素价值，驱动企业智能化转型为原则，要求加强数据全生命周期安全管理，探索数据可信共享机制，确保数据安全、高效流通。

　　山东“晨星工厂”建设采用“1+5+2”架构体系，即制定 1 个顶层规划，搭建数据采集、数据传输、数据存储、数据管理、数据安全 5 方面数据处理能力，实现数智化服务和数字化双碳 2 类创新场景应用。搭建安全可用的数据管理基础设施，明确数字资产清单，为不同级别数据制定差异化的安全策略，定期开展数据安全风险评估。建立数据安全工作体系及制度规范，强化数据全生命周期各阶段的数据安全治理工作。

　　近日，《北京市自动驾驶汽车条例》由市十六届人大常委会第十四次会议表决通过，将于2025年4月1日施行。

　　《条例》坚持“发展”和“安全”两手抓，既兼顾当前技术进步、产业发展的需求，也为未来留出空间，重点在自动驾驶技术创新、基础设施规划建设、上路通行管理和安全保障等方面作出了规定，为L3级及以上自动驾驶汽车市场主体提供清晰、透明、可预期的制度规范。根据条例，本市支持自动驾驶汽车用于个人乘用车、城市公共汽电车、出租车、城市运行保障等出行服务，自动驾驶车辆经过道路测试、示范应用、安全评估等程序后，可申请开展道路应用试点。

　　《条例》要求，开展道路应用试点活动也应具备一定条件，例如相应的运行运营能力、责任承担能力、网络安全和数据安全相关保障能力，有完善的运营方案、运行安全保障制度和应急处理机制等。此外，《条例》还明确了自动驾驶汽车生产、车联网软件提供、通信运营等相关企业，应依法落实网络安全等级保护、建立风险管控机制、制定应急预案等网络安全管理要求，以及评估数据安全风险、保护个人信息等数据安全管理要求。

　　近日，《上海市促进浦东新区运用区块链赋能电子单证应用若干规定》经上海市第十六届人民代表大会常务委员会第十八次会议通过并公布，自2025年1月1日起施行。

　　《规定》指出，市数据部门负责指导区块链基础设施建设工作，支持区块链赋能电子单证应用。浦东新区数据部门负责具体推进本行政区域内区块链赋能电子单证应用工作。市和浦东新区网信部门负责区块链基础设施的网络和数据安全监督管理。本市鼓励基于开源区块链底层技术构建开放、可扩展的区块链基础设施，实现数据隐私保护、可信流通和共享共用。浦东新区应当采用优化管理服务等方式，促进经营主体在符合数据安全、个人信息和商业秘密保护等法律、法规规定的前提下探索电子单证与其他数据融合应用，培育发展新业态、新模式。

　　近日，杭州市财政局、杭州市数据资源局发布《关于加强杭州市公共数据资产管理的试行意见》，这是国内首个聚焦公共数据资产管理的相关政策。

　　《意见》围绕规范和加强公共数据资产管理，充分发挥公共数据资产价值作用，保障公共数据资产安全，从而推动数字经济发展，更好地服务与保障单位履职和事业发展等方面明确公共数据资产管理工作的指导思想和总体目标。

　　《意见》明确公共数据资产管理的主要任务包含，加强公共数据资产使用管理，在确保数据资产安全有效使用的前提下，充分释放公共数据资产价值。推动公共数据资产开发利用，在保障安全、可追溯的前提下，推动依法依规对公共数据资产进行开发利用，实现公共数据资产多元化价值流通。探索构建公共数据资产收益收缴机制，根据“谁投入、谁贡献、谁收益”原则，明确不同主体对公共数据资产使用形成的收益收缴规定。加强公共数据资产安全和监督管理，按照分级分类管理要求，实现公共数据资产安全全生命周期管理，有效防范和化解各类安全风险。

　　金融监管总局近日发布《银行保险机构数据安全管理办法》，规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，维护社会公共利益和金融消费者合法权益。

　　《办法》要求银行保险机构制定数据分类分级保护制度，建立数据目录和分类分级规范，动态管理和维护数据目录，并采取差异化的安全保护措施。同时，单独设置“个人信息保护”章节，体现了保护消费者信息和权益的政策导向。

　　《办法》强调的内容主要包括，强化数据治理顶层设计，落实分类分级管理要求，强化数据安全管理体系，加强个人信息保护，完善风险监测处置机制等内容。其中，在加强个人信息保护方面，《办法》强调，按照“明确告知、授权同意”的原则处理个人信息，按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息，应履行个人告知及取得同意的义务。《办法》将引导银行保险机构压实主体责任，完善内部机制，采取有效的管理和技术措施加强数据安全保护，确保客户信息和金融交易数据的安全。

　　为落实《河南省网络安全条例》有关规定，规范全省重要信息系统识别、认定等工作，河南省互联网信息办公室编制了《河南省重要信息系统识别指南（第一版）》。《河南省网络安全条例》第二十条规定，县级以上人民政府应当在网络安全等级保护制度的基础上，对本行政区域内未列入国家关键信息基础设施的重要信息系统加强保护。重要信息系统的范围和识别指南由省网信部门会同公安等部门制定。省人民政府行业主管部门负责制定本行业、本领域的重要信息系统认定规则，根据认定规则识别本行业、本领域的重要信息系统，通知网络运营者，并向省网信、公安部门报送识别结果。

　　近日，北京市通信管理局发布了《北京市通信管理局关于问题APP的通报（2024年第十二期）》。

　　通报对抽测发现存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题，尚有1款APP未整改或整改不到位的APP进行公开通报（详见附件1）和全网下架处置（详见附件2）。

　　近日，红星新闻记者从四川内江市公安局召开的新闻通气会上获悉，内江警方近期破获了这起公安部督办的非法获取计算机系统数据案，抓获5人。该团伙5人都是从事网络技术的高端“黑客”，其中一人还是某大型网络安全公司工作人员。目前，该案已移送起诉，案件正在审理中。据介绍，2023年10月，内江警方在巡查中发现，一团伙在境外网站上大肆出售公民个人信息，其数据来源多、数量规模大、数据极为精准，可能存在政务系统数据泄露的重大风险隐患。为此，内江市公安局网安部门立即成立专案组侦查此案。经过4个月的调查，一个长期渗透政企网站、大量窃取并出售公民个人信息的犯罪团伙浮出水面。经查，该团伙具有网络安全公司从业经历，利用自身在网络安全公司学习掌握的技术与资源，秘密扫描各地银行、教育、医疗等平台漏洞，编写黑客程序越权获取公民个人信息，最后在境外网站上通过虚拟货币兜售公民个人信息，售价最高可达每条5元。2024年2月，在上级网安部门指导下，专案组实施收网行动，先后抓获犯罪嫌疑人5名，扣押非法所得560余万元，查获嫌疑人编写的黑客工具程序核心代码30余套，黑客虚拟机渗透攻击系统10余个，查获渗透脚本270个。经警方调查，该案涉及政企网站57个，团伙窃取航班轨迹、文凭、住址等公民个人信息2.08亿条，非法获利达640余万元。3月13日，该案被公安部列为部督案件进行挂牌督办。

　　陈某系浙江某公司（以下简称权利人）高级技术专家，其在职期间，多次违反与权利人之间签署的保密协议、公司规章及分级保密管理制度，泄露密钥，假借各种名义将处于严格保密研发服务器内的相关技术代码分批转移至保密要求较低的服务器内。其离职后，未经权利人许可，仍然擅自使用权利人密钥从服务器内下载了其预先转移的包含技术代码在内的具有很高商业价值的文档，该下载行为被权利人内部监控系统发现。下载的技术代码为视频编码与增强的相关技术，根据权利人提供的非公知性鉴定意见和研发记录，技术代码为不为公众所知悉的技术信息。

　　法律依据及处罚：陈某的行为违反了《中华人民共和国反不正当竞争法》第九条第一款第（一）项、第二款的规定，依据该法第二十一条的规定，责令陈某停止违法行为，并对陈某作出罚款 300000 元的行政处罚。

　　美国罗德岛州近日确认，网络犯罪分子已开始在暗网上发布该州被盗的公民个人数据。罗德岛人类服务部（DHS）已警告，任何曾申请或获得健康保险及/或健康和人类服务项目或福利的个人可能会受到此次数据泄露的影响。

　　罗德岛州州长丹·麦基在12月30日的更新中透露，该州已收到其供应商德勤的通知，部分包含公民数据的文件已被泄露至暗网。麦基表示，自2024年12月得知网络犯罪分子可能从罗德岛社会服务门户RIBridges系统获取了包含个人可识别信息（PII）的文件后，该州政府已对此情形做好准备；尽管目前尚不清楚这些文件中包含的数据范围，但应假设RIBridges系统中的数据已被泄露。目前该州正与德勤合作，识别并通知受影响的个人。

　　标志性的美国摩托车制造商哈雷-戴维森（Harley-Davidson）近日陷入重大数据泄露困境中。“888”声称已泄露超过66700名哈雷-戴维森客户的个人信息敏感，可能导致严重的身份盗用和其他网络犯罪风险。这些泄露的数据包括姓名、地址、电子邮件地址和手机号码。攻击者“888”据称已将该数据库发布给其订阅者访问。

　　尽管泄露的范围和声明的真实性尚未得到哈雷-戴维森官方确认，但这一事件已引起网络安全专家和客户的高度关注。如果这一泄露事件得到确认，可能会损害哈雷-戴维森作为美国最受欢迎品牌之一的声誉。

　　近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范SafePay勒索病毒的风险提示》。根据风险提示，SafePay新型勒索病毒通过数据窃取和文件加密双重勒索机制开展攻击，可能导致数据泄露、业务中断等安全风险。

　　SafePay勒索病毒与LockBit勒索病毒密切相关，并深度借鉴INC和ALPHV/BlackCat等勒索病毒攻击策略。在数据窃取阶段，SafePay利用已知漏洞或弱口令实施攻击入侵，成功感染目标终端后，通过WinRAR、FileZilla等工具归档、盗取目标文件。在加密部署阶段，SafePay通过远程桌面协议（RDP）访问目标终端，利用PowerShell脚本实施文件加密、禁用恢复和删除卷影副本，对加密文件添加“.safepay”扩展名，并留下名为“readme_safepay.txt”的勒索文件。在攻击过程中，SafePay会通过COM对象技术绕过用户账户控制（UAC）和提升权限，采用禁用Windows Defender、字符串混淆、线程创建、重复安装卸载工具等机制规避检测。

　　CSTIS建议相关单位及用户立即组织排查，加强RDP等远程访问的安全管理，使用强密码和多因素身份验证，实施全盘病毒查杀，及时修复已知安全漏洞，谨慎警惕来源不明的文件，定期备份重要数据，防范网络攻击风险。

　　近日报道，一场新的攻击活动针对知名的Chrome浏览器扩展程序，导致至少16个扩展程序被入侵，超过60万用户面临数据泄露和凭证被盗的风险。

　　此次攻击通过钓鱼活动针对Chrome Web Store上的浏览器扩展程序发布者，并利用其访问权限在合法扩展程序中插入恶意代码，以窃取用户的Cookie和访问令牌。

　　已知首个被曝光的企业是网络安全公司Cyberhaven。12月27日，Cyberhaven披露称，威胁行为者入侵了其浏览器扩展程序ub8优游国际，，并注入了恶意代码，与位于域名cyberhavenext[.]pro的外部命令与控制（C&C）服务器通信，下载额外的配置文件并窃取用户数据。

　　专注于浏览器扩展安全的LayerX Security公司CEO Or Eshed表示：“浏览器扩展是网络安全的软肋。尽管我们倾向于认为浏览器扩展是无害的，但实际上，它们通常被授予访问敏感用户信息的广泛权限，例如Cookie、访问令牌、身份信息等。”

　　Or Eshed指出，扩展程序从Chrome商店中移除并不意味着风险已经结束。“只要被入侵的扩展程序版本仍在终端上运行，黑客仍然可以访问并窃取数据。”

　　安全研究人员正在继续寻找其他被曝光的扩展程序，但此次攻击活动的复杂性和范围已使许多组织更加重视保护其浏览器扩展程序的安全性。

　　大众汽车旗下的汽车软件公司Cariad近日曝出数据泄露事件，约有80万辆电动汽车的相关数据被公开，涉及车主的姓名及精确的车辆位置等信息。这些存储在亚马逊云中的数据在数月内未受到保护，使得任何具备基本技术知识的人都能追踪驾驶员的行踪或收集个人信息。

　　根据Cariad的一位代表所述，数据泄露是由于其在两个IT应用中的错误配置所致。据报道，道德黑客组织Chaos Computer Club（CCC）通过一名举报者获知这一漏洞，并在测试了不安全的访问后于11月26日向Cariad通报了这一问题。

　　泄露的数据库包含大众、Seat、Audi和Skoda等品牌车辆的相关信息，其中一些车辆的地理位置数据精确到几厘米。部分受影响的车辆属于汉堡警方的巡逻车队，其他则属于涉嫌情报机构的员工。Cariad在声明中强调，泄露的数据仅影响连接互联网并注册了在线服务的车辆，且黑客只有在绕过多个安全机制后才能访问这些数据。在收到负责任披露后，Cariad迅速采取了修复措施，并在CCC报告当天关闭了访问权限。

　　近日，全国信息通信监管工作会在京召开。会议全面贯彻党的二十大和二十届二中、三中全会精神，深入贯彻落实中央经济工作会议精神，认真落实全国工业和信息化工作会议要求，总结2024年工作，分析当前形势，研究部署以进一步全面深化改革推进信息通信业现代化发展的思路举措和重点任务。会议认为，在以习同志为核心的党中央坚强领导下，在各部门、各地方共同努力下，2024年信息通信业现代化发展迈出了坚实步伐，信息基础设施体系持续演进升级，信息通信产业体系不断创新引领，信息通信治理体系实现敏捷高效，网络和数据安全保障体系有力有效，圆满完成全年各项重点工作。信息通信业作为国民经济的战略性、基础性、先导性行业，必须自觉把改革摆在更加突出的位置，以改革激活力、聚合力，以改革破积弊、开新局，为行业现代化事业构筑制度保障、汇聚不竭动力。会议强调，2025年是“十四五”规划的收官之年。全行业要将学习贯彻党的二十届三中全会精神和组织实施行业现代化发展战略结合起来，以党中央集中统一领导为根本保证，必须坚持将党的领导贯穿于改革各方面全过程，确保始终沿着正确政治方向前进。以满足人民数字生活需要为发展目标，健全服务渠道，优化服务体系，提升服务供给水平；深化电信普遍服务，加快“宽带边疆”建设，提升数字普惠水平；构建国家大应急通信框架，强化网络运行安全管理，提升应急保障水平。以实体经济和数字经济深度融合为主攻方向，加快信息基础设施适度超前发展，推动信息通信技术为实体经济行业赋能赋值赋智，培育壮大融合产业生态。以科技创新和产业创新融合为主要途径，抓好5G-A、6G等关键技术创新，推动信息通信业绿色发展，加快科技创新成果产业转化。以有效市场和有为政府相结合为重要抓手，推动市场准入、公平竞争、信用管理等基础制度建立健全，营造一流营商环境，强化码号等资源优质高效供给，推动平台经济健康可持续发展。以高质量发展和高水平安全良性互动为必要保障，加强行业关键信息基础设施安全保护，提升工信领域数据安全管理水平，强化安全管理技术能力建设。

　　近日，工业和信息化部人工智能标准化技术委员会（以下简称人工智能标委会）在京召开成立大会。

　　为深入贯彻落实党中央、国务院有关决策部署，进一步发挥标准的基础性、战略性、引领性作用，推动人工智能高质量发展和高水平赋能新型工业化，工业和信息化部探索标准机制改革，成立部人工智能标准化技术委员会，编号MIIT/TC1，主要负责人工智能相关领域行业标准制修订工作，秘书处设在中国信息通信研究院。这是工业和信息化部成立的第一个标准化技术委员会，标志着人工智能行业标准化工作迈入新阶段。

　　近日，记者从国家区块链技术创新中心获悉，长安链启动链通全国社保数据，能在确保原始数据不被泄露的前提下，支持社保大数据服务信息在企业、金融机构可信安全流通和共享，助力实体经济高质量发展。

　　社会保险是我国社会保障制度的重要组成部分，截至2024年9月，全国社保卡持卡人数达13.86亿人，覆盖98.3%的人口。社保数据具有较高敏感性和隐私性，不断提升社保数据安全、可信的服务能力，一直是各方努力的目标ub8优游国际，。“长安链高性能融合隐私计算，确保上链数据真实可信，能在实现原始数据不出域、‘可用不可见’的基础上，实现结果共享。”长安链研发团队负责人说，这项“北京技术”已经支持大批新型数字基础设施建设，涵盖国家级税务服务、可信数字身份、政务服务等重要行业和关键领域，连续两年位居国内区块链底链市场占有率第一。

　　ub8优游国际，

　　在国家重点研发计划“基于区块链的航运贸易业务数字化与跨部门数据要素流通关键技术及示范应用”的牵引下，长安链团队和全国社保卡服务平台项目团队开展联合建模，运用隐私计算技术，在确保数据安全的前提下，探索推动人社领域公共数据资源开发利用，降低信贷风险和企业的融资成本，助力优化营商环境，服务实体经济高质量发展。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。