近日，国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》，自2025年6月1日起施行。

　　《办法》明确，应用人脸识别技术处理人脸信息活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。

　　《办法》明确，应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估，并对处理情况进行记录。

　　《办法》明确，任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

　　为加强工业节能降碳管理，推进数字技术赋能绿色低碳转型，支撑构建系统完备的碳排放双控制度体系，工业和信息化部近日印发《工业企业和园区数字化能碳管理中心建设指南》（工信厅节〔2025〕13号）优游游戏官网。

　　《指南》包括建设目标、业务功能、技术方案、保障措施四部分内容。其中技术方案部分指出，能碳管理中心运行环境包括服务器、存储、网络、安全设备及操作系统、数据库等。运行环境应稳定安全，确保能碳管理中心响应迅速，兼具易用、可维护、可扩展及稳定特性。应构建全面的系统安全协防体系，保障网络、系统及数据安全。

　　保障措施部分强调了网络和数据安全。工业企业和园区应增强网络和数据安全保护意识，落实《信息安全技术 网络安全等级保护基本要求》（GB/T 22239）等国家标准，压实网络和数据安全主体责任。根据实际情况，对能碳管理中心设定相应的安全等级保护级别，做好重要数据识别、分级防护和风险评估，保障数据安全。

　　三、《网络安全技术 信息安全管理体系审核和认证机构要求》等3项国家标准（征求意见稿）公开征求意见

　　近日，全国网络安全标准化技术委员会归口的《网络安全技术 信息安全管理体系审核和认证机构要求》等3项国家标准现已形成标准征求意见稿，根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，全国网络安全标准化技术委员会秘书处现将该3项标准征求意见稿面向社会公开征求意见。

　　近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括15项由全国网络安全标准化技术委员会归口的标准项目。

　　五、全国首个数据标注产业三年规划--《合肥数据标注产业发展规划（2025-2027年）》发布

　　近日，《合肥数据标注产业发展规划（2025-2027年）》发布，这是全国首个数据标注产业规划，标志着合肥市在数据标注领域迈出了坚实步伐，将为经济社会高质量发展注入强大动力。

　　《规划》指出，合肥市将立足本地资源和产业基础，链接跨部门、跨区域、全球化的创新要素。同时，以打造国际领先的数据标注创新基地为目标，将全面构建高效、智能、安全的数据产业生态，推动城市数字化转型发展。

　　《规划》明确了六大重点任务，为产业发展提供有力支撑。一是攻关数据标注关键共性技术，加强数据预处理、智能化标注工具、数据安全等方向的技术创新。二是建设支撑项目，打造数据标注公共服务平台和人机协同多模态众智标注平台，提升数据开发能力。三是培育市场主体，招引培育龙头企业，助力中小企业专业化发展，建立健全第三方服务商体系。四是赋能行业发展，推动社会治理和服务数字化转型，强化数据要素的放大、叠加、倍增效应。五是营造发展生态，完善产业标准体系，加强人才培育招引，强化数据监管机制。六是创新运营机制，通过“四会一赛”生态运营、“政产学研用金”联合推进等措施，推动产业多方面、多层次发展。

　　近日，福建省数据管理局制定并发布了《福建省公共数据资源登记管理办法（试行）》，以规范公共数据资源登记工作，促进其合规高效开发利用。

　　《办法》要求，公共数据资源登记应当维护国家安全和公共利益，保护国家秘密、商业秘密、个人隐私和个人信息权益，遵循依法合规、公开透明、标准规范、安全高效的原则。

　　《办法》指出，登记机构应建立健全数据资源登记管理责任机制，履行登记信息安全保护义务。省直机关及其直属机构、省属国有企事业单位的公共数据资源登记由省数据管理部门指定的登记机构负责办理。申请首次登记时，登记主体应向登记机构提交首次登记申请表，包括主体信息、数据合法合规性来源、数据资源情况、存证情况、ub8优游国际，产品和服务信息、应用场景信息、数据安全风险评估情况等,并附相关佐证材料。

　　平台运维单位应当按照相关规定开展登记平台运维管理，建立健全数据访问内审内控机制，对用户访问、操作行为进行实时监控，避免信息泄露；建立完善应急处置机制，发生安全事故时，立即启动应急预案，及时采取应急措施，并第一时间报告登记机构和数据管理部门。

　　近日，湖北省数据局起草并发布了《湖北省公共数据资源登记实施细则》，面向社会公开征求意见。

　　《细则》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，按照《中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》《湖北省公共数据授权运营管理办法（试行）》要求，依据《公共数据资源登记管理暂行办法》制定，旨在促进公共数据资源合规高效开发利用，落实全国一体化公共数据资源登记要求，规范全省公共数据资源登记工作。

　　《细则》指出，要按照统建共用、分级登记的原则，建立全省一体化公共数据资源登记体系。公共数据资源登记遵循依法合规、公开透明、标准规范、安全高效的原则，依法维护国家安全和公共利益，保护国家秘密、商业秘密、个人隐私和个人信息权益。

　　《细则》要求，登记机构应建立健全数据资源登记管理责任制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息。

　　首次登记必须提供数据安全风险评估，登记主体针对信息系统安全、数据安全管理、数据安全技术、数据处理活动安全、个人信息保护、应急处置等方面开展数据安全风险评估。数据安全风险评估报告可由登记主体自行提供，或由第三方专业服务机构出具。

　　近日，辽宁省数据局研究起草并发布《辽宁省公共数据资源登记管理实施细则（征求意见稿）》，向社会公开征求意见。

　　《细则》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，按照《中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中央 国务院关于加快公共数据资源开发利用的意见》和《公共数据资源登记管理暂行办法》要求，结合辽宁省实际制定，为促进辽宁省公共数据资源合规高效开发利用，规范公共数据资源登记行为，服务全国一体化公共数据资源登记体系构建。

　　《细则》指出，公共数据资源登记应当维护国家安全和公共利益，保护国家秘密、商业秘密、个人隐私和个人信息权益，遵循依法合规、公开透明、标准规范、安全高效的原则。

　　《细则》要求，登记机构应该建立健全数据资源登记管理责任机制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息；登记机构应建立重大安全风险监测、预警、处置等风险控制制度以及突发事件应急处置预案，提升防攻击、防泄露、防窃取的应急处置能力。

　　登记机构和登记主体应严格履行网络和数据安全保障义务，不得泄露登记信息，或者非按规定程序对外披露、提供由登记信息统计、分析形成的相关信息。

　　近日，公安部网站公布了10起公安机关依法严厉打击侵犯公民个人信息的典型案例。

　　北京海淀公安机关网安部门查明，2022年12月以来，以刘某为首的犯罪团伙制作木马程序，组织人员入职目标教培机构，定向投放木马程序非法控制教培机构内部计算机，窃取客户资料等个人信息。2024年9月，北京海淀公安机关依法抓获犯罪嫌疑人8名，指导17家受害企业清除木马程序，有效消除个人信息泄露风险隐患。

　　甘肃张掖公安机关网安部门查明，2023年2月以来，以李某飞为首的犯罪团伙勾结快递行业工作人员，利用技术手段窃取快递订单相关个人信息，并出售牟利。2024年3月，甘肃张掖公安机关依法抓获犯罪嫌疑人18名，查明涉案金额300余万元。公安部在本案基础上部署全国公安机关开展集群打击，共打掉犯罪团伙12个，抓获犯罪嫌疑人65名。

　　吉林长春公安机关网安部门查明，2024年1月以来，以王某明为首的犯罪团伙伪造工商营业执照，在招聘网站发布虚假招聘信息骗取求职者简历，并出售给电信网络诈骗等犯罪团伙牟利。2024年6月，吉林长春公安机关依法抓获犯罪嫌疑人27名，查获伪造工商营业执照1000余张。

　　四川凉山公安机关网安部门查明，2023年1月以来，以宋某川、费某扬、和某宇等人为首的犯罪团伙，勾结教育行业供应链公司工作人员彭某，利用彭某开发运维在线学习平台的工作便利，非法获取、出售他人个人信息。2024年6月，四川凉山公安机关依法抓获犯罪嫌疑人45名，并及时会同教育主管部门完善个人信息保护措施。

　　广东东莞公安机关网安部门查明，2022年11月以来，林某成等人成立法律服务公司，发展律师事务所及具有诉讼需求人员为客户，通过非法渠道获取他人个人信息牟利。2024年5月，广东东莞公安机关依法抓获犯罪嫌疑人21名，查处涉嫌违法的法律服务公司5家。

　　江苏徐州公安机关网安部门查明，2020年12月以来，以韩某珠、何某航为首的犯罪团伙利用黑客手段非法获取多款停车小程序中的停车数据，并通过安装定位设备方式，为他人提供车辆定位服务并牟利。2024年6月，江苏徐州公安机关依法抓获犯罪嫌疑人59名，查扣定位设备33套。

　　山东青岛公安机关网安部门查明，2023年12月以来，以张某、陈某静为首的犯罪团伙打着“自媒体工作室”的旗号，以招聘兼职工作人员的名义，骗取应聘人员的个人信息用于注册网络账号，并出售牟利。2024年5月，山东青岛公安机关依法抓获犯罪嫌疑人37名。公安部在本案基础上部署全国公安机关开展集群打击，共捣毁犯罪窝点21处，抓获犯罪嫌疑人114名。

　　河北承德公安机关网安部门查明，2022年12月以来，以韩某、黄某印为首的犯罪团伙，冒充医保部门工作人员，打着帮助开通“医保电子凭证”的幌子，骗取受害人个人信息注册网络账号并出售牟利。2024年4月，河北承德公安机关依法抓获犯罪嫌疑人43名，查获各类网络账号8万余个，查明涉案金额300余万元。

　　辽宁辽阳公安机关网安部门查明，2023年10月以来，朱某星等人冒充某地图APP工作人员，打着免费帮助商户开通旺铺认证、提高知名度的旗号，骗取个体工商户个人信息，用于注册企业支付账号并出售牟利。2024年3月，辽宁辽阳公安机关依法抓获犯罪嫌疑人85名，查明涉案金额140余万元。

　　湖南湘潭公安机关网安部门查明，2022年12月以来，以冯某、谭某红为首的犯罪团伙，通过在短视频平台发布免费领红包、游戏皮肤等虚假宣传视频，骗取他人的网络账号并出售牟利。2024年8月，湖南湘潭公安机关依法抓获犯罪嫌疑人35名，查获被盗网络账号6000余个，查明涉案金额200余万元。

　　近日，海南省互联网信息办公室组织对省内2025年第一季度用户量大、群众投诉反映集中等涉网络社交、网络游戏、生活服务类等领域移动应用程序进行巡查，重点围绕移动应用程序违法违规收集使用个人信息等突出问题进行集中采集检测，结果显示“同城寻欢”“小圈”“微伴”“飞语”“同城寻欢聊天”“唯一”“遇见红颜”“凤凰V讯”“寻觅”“TalkIn-全球语言学习社交”“有个大西瓜”“解压时光”“闹钟铃声多”“免费证件照制作”“水印相机打卡”“福运万年历-日历农历天气”等16款App，均存在不同程度的非法获取、超范围收集、过度索权等违法违规收集使用个人信息行为，现集中向社会通报并责令相关运营单位限期整改。

　　海南省互联网信息办公室重点提示，在使用移动应用程序时应当仔细阅读隐私规则条款，谨慎授权应用服务，对非必要收集用户个人敏感信息、拒绝提供用户账号注销、隐私政策表述不明确等违规行为，及时向属地网信部门进行投诉举报。

　　IMS最初于2023年11月向美国证券交易委员会(SEC)披露了这起泄露事件。随后在2024年，富达投资人寿保险公司（影响近3万名个人）、美国银行报告（至少5.7万名客户）和美国运通公司在内的多家公司开始通知客户，他们的数据受到了这起第三方泄露事件的影响。

　　调查显示，IMS在2023年10月29日至11月2日期间遭到入侵，攻击者获取了存储在其系统上的下游客户个人数据。被窃取的数据包括个人姓名、社会安全号码、居住州、银行账户和路由号码以及出生日期。2024年4月，IMS披露约650万人受到此次泄露事件影响，并表示已于2023年底基本修复并恢复了受影响的应用程序和系统。在各方同意通过调解解决冲突后，这些集体诉讼被合并，根据Infosys发布的一封信函显示。合并后的集体诉讼诉状于2024年11月提交，代表所有在美国居住且个人身份信息在此次泄露中被泄露的人。根据拟议的和解条款，McCamish已同意向一个基金支付1750万美元，以解决这些问题。

　　四、美国西部联盟银行遭遇第三方供应商零日漏洞攻击，2.2万客户数据遭泄露

　　美国西部联盟银行（WAB）近日披露，由于其第三方供应商的安全文件传输软件存在漏洞，导致近2.2万名客户的个人信息遭到泄露。这家拥有超过50个分支机构和800亿美元资产的地区性银行，在给受影响客户的信函中表示，未经授权的访问可能已经泄露了客户的财务数据、社会安全号码等敏感信息。

　　根据WAB向美国证券交易委员会（SEC）提交的文件，该事件最初于2024年10月27日被发现，涉及第三方供应商软件的一个零日漏洞。尽管银行立即启动了事件响应流程并部署了所有推荐的补丁，但直到2025年1月27日才发现威胁行为者公布了相关文件。受影响的数据包括姓名、出生日期、驾驶证号码、税务识别号、社会安全号码、财务账户号码和护照号码（如果提供给银行）。这些信息可能被用于身份盗窃、金融欺诈和社会工程攻击。

　　虽然WAB没有具体指明涉及的第三方软件或威胁行为者，但Clop勒索软件组织在1月份曾声称利用Cleo的托管文件传输平台漏洞攻击了包括WAB在内的58家公司。网络安全专家呼吁企业加强对用于存储敏感信息的软件的尽职调查，并实施更强大的加密措施。

　　美国宾夕法尼亚州最大公共部门工会宾夕法尼亚州教育协会(PSEA)正在通知517,487个人，该组织于2024年7月6日左右遭遇了影响其网络环境的安全事件，他们的个人信息被攻击者窃取。

　　该工会代表超过17.8万名教育专业人士。经过彻底调查和对受影响数据的广泛审查（于2月18日完成），PSEA确认未授权行为者获取的数据包含了网络中某些文件内个人的敏感信息。被窃取的信息因人而异，包括个人、财务和健康数据，如驾驶执照或州ID、社会安全号码、账户PIN码、安全代码、支付卡信息、护照信息、纳税人ID号码、凭证、健康保险和医疗信息。

　　该工会为社会安全号码受影响的个人提供免费的IDX信用监控和身份恢复服务。PSEA还建议受影响者监控其财务账户报表和信用报告是否有可疑活动，获取免费信用报告，并在其信用档案上设置欺诈警报和/或安全冻结。

　　虽然PSEA没有将攻击归因于特定威胁行为者，但Rhysida勒索软件团伙于2024年9月9日声称对此次入侵负责。该网络犯罪组织要求20个比特币的赎金，威胁如果不支付赎金就会泄露被盗数据。

　　美国最大捐赠机构California Cryobank近日向客户发出警告，称公司遭遇了数据泄露事件，导致客户个人信息被暴露。

　　通过调查，California Cryobank确定未授权方获取了其IT环境的访问权限，并可能在2024年4月20日至4月22日期间访问和/或获取了某些计算机系统上维护的文件。经过近一年的调查，该公司确认此次攻击暴露了客户的多种个人数据，包括姓名、银行账户和路由号码、社会安全号码、驾驶执照号码、支付卡号码和/或健康保险信息。对于社会安全号码或驾驶执照号码被泄露的客户，California Cryobank提供了一年免费信用监控服务。

　　值得注意的是，捐赠通常以匿名方式进行，捐赠者会被分配一个ID号码。这些捐赠者ID会与接收者共享，并可能被后代在18岁后用于了解其生物学父亲的信息。目前尚不清楚捐赠者信息（包括捐赠者ID号码）是否在此次泄露中被窃取，这对过去匿名捐赠的人来说将是重大隐私隐忧。

　　七、新型Windows木马StilachiRAT带来数据窃取与横向移动双重威胁

　　Microsoft威胁分析团队周一警告，新型Windows远程访问木马(RAT) StilachiRAT正在小范围传播，已构成严重威胁。该恶意软件展示了复杂的技术，能够逃避检测、在目标环境中持久存在并窃取敏感数据。

　　StilachiRAT具备多种高级功能，包括收集目标系统信息（操作系统信息、硬件标识符、BIOS序列号、摄像头状态、活动RDP会话等）、信息和凭证窃取（Chrome浏览器存储的凭证、系统剪贴板数据、20种加密货币钱包扩展的配置数据）以及RDP监控。该恶意软件能够通过捕获前台窗口信息并复制安全令牌来模拟用户，监控RDP会话。这在托管管理会话的RDP服务器上尤其危险，因为它可能使攻击者在网络内部实现横向移动。

　　StilachiRAT还能执行来自命令与控制(C2)服务器的指令，包括重启/挂起系统、清除日志、执行应用程序、修改Windows注册表值、操作系统窗口、建立新的出站连接，甚至自我删除。该恶意软件采用多种反取证措施，包括清除安全日志、检查分析工具和沙箱环境、混淆Windows API调用以阻碍手动分析，并具备在目标计算机上确保持久性的机制。

　　网络安全研究人员近日发现一场针对Python包索引(PyPI)用户的恶意活动，攻击者发布伪装成“时间”相关工具的虚假库，实际暗藏窃取云访问令牌等敏感数据的功能。

　　软件供应链安全公司ReversingLabs发现了两组共计20个恶意包，累计下载量超过1.41万次。其中下载量最高的包括acloud-client(5,496次)、snapshot-photo(2,448次)、enumer-iam(1,254次)和credential-python-sdk(1,155次)。这些恶意包分为两类：第一类用于将数据上传到威胁行为者的基础设施；第二类则实现了针对阿里云、亚马逊云服务和腾讯云等多种服务的云客户端功能。研究人员指出，攻击者还利用时间相关的包来窃取云端密钥。截至发稿时，所有已识别的恶意包已从PyPI中移除。其中三个包（acloud-client、enumer-iam和tcloud-python-test）被列为一个相对流行的GitHub项目accesskey_tools的依赖项，该项目已被分叉42次并获得519颗星。

　　这一事件再次凸显了软件供应链安全的重要性。开发者在使用第三方包时需格外谨慎，应仔细审查包的来源和依赖关系，并定期监控外部URL，以防止潜在的恶意利用。

　　近日，国家数据局党组书记、局长刘烈宏主持召开数据标注领域民营企业座谈会，与11家民营企业代表座谈交流。会议分析研判了数据标注产业的发展现状、面临的困难与挑战，并对推动数据标注产业高质量发展提出具有针对性的意见建议。

　　会议指出，国家数据局成立以来高度重视民营企业意见，推动建立企业联系制度，多次召开企业家座谈会，着力为民营企业发展创造良好政策环境。下一步，国家数据局将深入学习贯彻习关于民营经济发展的系列重要讲话和指示批示精神，认真研究吸纳本次座谈会上民营企业代表提出的相关意见建议，在政策制定、技术攻关、标准制定等方面重点发力，为数据要素市场化配置改革提供好的政策环境和技术环境，推动数据“供得出、流得动、用得好、保安全”。同时，要加快培育壮大数据标注产业多元化经营主体，形成良好的数据标注产业生态，充分发挥数据要素叠加倍增作用。

　　近日，数据标注基地先行先试现场会在四川省成都市召开。会议深入学习贯彻习关于数据发展和安全的重要论述精神，落实全国“两会”精神和全国发展改革系统会、全国数据系统工作会部署要求，总结数据标注基地先行先试工作开展一年以来的建设成效，着力培育数据标注新业态，大力推动高质量数据集建设，支撑人工智能赋能千行百业。

　　会议要求，下一步要以习新时代中国特色社会主义思想为指导，因地制宜、多措并举、大力推进数据标注产业发展。加快推进高质量数据集建设。各基地要抓实技术创新、行业赋能、生态培育、标准应用、人才就业、数据安全等六大建设任务，推动工业、金融、医疗、交通、教育等领域的高质量数据集建设，为人工智能高水平发展夯实数据底座。

　　近日，全国数据标准化技术委员会2025年第一次“标准周”活动在四川省成都市举行。会议指出，标准是规范经济和社会发展的重要工具。数据标准能够有效支撑数据基础制度落地、促进数据资源的高效开发利用、激发全域数字化转型动力、引领数字科技发展和基础设施建设、促进数据跨境流动。我国今年拟制修订41项数据领域国家标准。

　　2025年，全国数标委要抓好四方面工作。一是搭建多元融合协作生态，建设“国家—行业—地方”联动机制。二是加快重点标准制修订，要多出标准、快出标准、出好标准。三是团结社会各方力量，充分发挥企业、高校和科研机构等多方主体作用，形成全社会共同推进标准化工作的良好氛围。四是深化数据领域国际标准合作，积极与国外高水平标准化组织建立合作机制。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。