相关动态
数据安全每周观察|《敏感个人信息识别指南》正式发布
2024-11-10 23:52

数据安全每周观察|《敏感个人信息识别指南》正式发布

政策趋势

一、全国人民代表大会常务委员会关于修改《中华人民共和国统计法》的决定

第十四届全国人民代表大会常务委员会第十一次会议决定对《中华人民共和国统计法》进行修改,修改内容包含:

将第五条修改为:“国家加强统计科学研究,根据经济社会发展的新情况,健全科学合理的统计标准和统计指标体系,将新经济新领域纳入统计调查范围,并不断改进统计调查方法,提高统计的科学性。“国家有计划地加强统计信息化建设,推动现代信息技术与统计工作深度融合,促进统计信息搜集、处理、传输、共享、存储技术和统计数据库体系的现代化。”

将第九条改为第十一条,修改为:“统计机构和统计人员对在统计工作中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”

将第三十九条改为第四十二条,其中的“直接负责的主管人员和其他直接责任人员”修改为“负有责任的领导人员和直接责任人员”。第一款第二项分为两项,修改为:“(二)泄露或者向他人非法提供统计调查对象的商业秘密、个人隐私、个人信息的”“(三)对外提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的”。

二、《网络安全标准实践指南——敏感个人信息识别指南》正式发布

近日,全国网络安全标准化技术委员会秘书处发布了《网络安全标准实践指南——敏感个人信息识别指南》,旨在指导各相关组织开展敏感个人信息识别等工作,《指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。

三、关于征求《 儿童手表安全技术要求》拟立项强制性国家标准项目意见的通知

近日,工业和信息化部对《儿童手表安全技术要求》拟立项强制性国家标准项目公开征求意见

《儿童手表安全技术要求》旨在更加严格规范市场、保护儿童消费者权益、积极回应社会舆情关注焦点,设置儿童手表产品安全要求准入门槛,进一步严格规范和引导儿童手表市场高质量发展,维护儿童消费者身心健康发展,让儿童手表回归“儿童属性”,产品开发在安全性上重点发力,而不是在娱乐性上寻找卖点。

根据对儿童智能手表舆情监测,对于其中关注度较高的且涉及儿童安全的要求包括定位性能、通话要求、电磁辐射、信息安全、电池安全、安全充电、佩戴安全温度、待机时间、佩戴提示、应用软件、好友添加、支付安全、健康监测、平台数据安全、二维码扫描安全、内容安全等,拟制定标准中对此进行了全面规定,特别是在信息安全、电池安全、安全充电方面,要求儿童智能手表符合强制性国家标准GB 31241《便携式电子产品用锂离子电池和电池组 安全要求》、GB 4943.1《信息技术设备 安全 第1部分:通用要求》等规定。

四、国家网信办《人工智能生成合成内容标识办法》公开征求意见

为规范人工智能生成合成内容标识,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律法规,国家互联网信息办公室起草了《人工智能生成合成内容标识办法(征求意见稿)》,现向社会公开征求意见。

五、《网络安全技术 人工智能生成合成内容标识方法》强制性国家标准(征求意见稿)公开征求意见

近日,中央网络安全和信息化委员会办公室发布《网络安全技术 人工智能生成合成内容标识方法》国家标准的征求意见稿,公开征求意见。

《方法》根据国家标准化管理委员会标准制修订计划,描述了人工智能生成合成内容显式标识和隐式标识的方法。适用于规范生成合成服务提供者和内容传播服务提供者对人工智能生成合成内容开展的标识活动。

六、内蒙古“数据二十条”发布,探索建立数据质押标的处置变现机制

近日,内蒙古自治区党委、自治区人民政府印发《关于构建数据基础制度更好发挥数据要素作用的实施意见》。

《意见》要求,一要完善数据确权授权使用机制,加强个人信息数据权益保障。鼓励个人将个人信息数据授权第三方托管,在严格保护个人信息数据权益前提下,有序推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据。规范企业采集使用个人信息行为,推广应用个人信息匿名化处理技术。加大个人信息保护力度,建立健全个人信息保护机制。

二要构建数据要素流通交易体系,建设特色行业数据专区。建设金融、电力、农牧业、文旅、煤炭、算力等行业领域的数据专区,开展特定领域数据流通服务。围绕跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索建立跨境数据专区,推动数据安全合规有序跨境流通。

三要完善数据安全保障与治理体系,健全数据安全保障管理机制。建立政府主导、多方参与的数据分类分级保护制度,厘清各方权责边界,组织自治区、盟市直属部门单位及相关行业和领域主管部门制定本部门本行业重要数据目录,对列入目录的数据予以重点保护。健全数据隐私保护和安全审查制度,落实政府部门、企事业单位和社会公众等的数据安全保护责任,加强对涉及个人信息、商业秘密、保密商务信息、国家安全等数据的保护。加强数据出境安全风险管控,有序开展数据出境安全评估申报完备性查验工作。健全数据安全风险评估、报告、信息共享、监测预警和应急处置机制。支持有关部门、行业组织、企业、教育和科研机构以及其他专业机构等在数据安全风险评估、防范、处置等方面开展协作。建立实施数据安全管理认证制度和重点应用领域的数据安全地方标准,推动企业提升数据安全管理水平。完善数据安全技术体系,构建云网数一体化协同安全保障与治理体系,开展漏洞智能治理、隐私计算及保护、零信任机制等关键核心技术攻关。加强数据脱敏、可信身份认证、数据签名、接口鉴权、数据溯源、算法核查等数据保护措施和区块链、隐私计算等新技术运用,强化对算力资源和数据资源的安全防护,提高数据安全保障能力。数据处理者要在落实网络安全等级保护制度的基础上,履行安全保护义务。

四要创新数据治理机制。加强数据管理领域地方立法,提升数据治理法治化水平。支持建立全生命周期的数据质量管理制度,对各类数据质量问题进行识别、度量、监控和预警。严格落实数据管理能力成熟度评估模型国家标准,提升数据战略、数据治理、数据共享、数据应用和数据安全管理能力。规范企业参与政府信息化建设中的政务数据安全管理,监督参与企业履行相应的数据安全保护义务。督促各类数据中心、超算中心落实数据安全主体责任。

监管动态

一、南昌市某学校暴露超4000条学生个人信息被行政处罚

近日,接上级网信部门通报,南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。

经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:学校未采取技术措施和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。相关行为违反了《中华人民共和国网络安全法》第四十二条第二款之规定。南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定,对该学校作出警告的行政处罚。

涉案学校表示,已充分认识到问题的严重性及造成的不良影响,诚恳接受处罚,今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律要求,切实履行好网络安全、数据安全和个人信息保护的责任和义务。

下一步,南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。

二、售卖他人求职简历被判侵犯公民个人信息罪

陈某在某电商公司任职期间,曾擅自泄露十余份简历给公司客户。离职后,陈某发现贩卖简历信息存在商机,遂萌生出假借招聘之名、售卖求职者信息牟利的念头。于是,陈某购买某公司招聘网账号,发布IT、新媒体等就业市场热度较高的虚假岗位招聘信息,累计获取上万份求职简历。这些简历上均含有求职者姓名、身份证号、电话、主要工作经历等信息。

手握海量简历的陈某,将销售对象瞄准具有大量招聘需求的就业培训类公司,主动上门推销,并以每份1.5元至3元的价格将简历卖出。短短三个月内,陈某非法获取求职者个人信息21349条,累计出售信息16302条,共计获利42561元。

2023年6月27日,陈某被公安机关抓获,后退还违法所得42561元。法院审理后认为,被告人陈某无视国家法律,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑陈某的认罪态度和退赃情节,法院依法判处其有期徒刑一年三个月,并处罚金5000元。现该判决已生效。

三、供应商泄露用户信息,甲方被罚近一亿元

近日消息,美国联邦通信委员会(FCC)与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元(约合人民币9181万元)的和解协议。该事件源自AT&T的一家第三方云服务供应商。

此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议,一家未具名的公司,负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务,是此次事件的罪魁祸首。协议中提到,AT&T为了使用这家供应商的服务,与其共享了包括用户数据在内的大量客户信息。AT&T与该供应商之间签署的合同中,明确规定了对这些数据进行保护和处理的要求。2016年至2020年间,经过多次审查和评估,表明该供应商遵循了数据删除政策。然而,在2023年1月的泄露事件中,本应在2017年或2018年删除的数据被盗。FCC最终认定,AT&T对这一失误负有不可推卸的最终责任。9月17日,在华盛顿召开的全球年度数据隐私会议上,FCC执法局局长Loyaan Egal指出,这份和解协议提醒企业,FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。他表示:“当我们调查美国境内企业的数据泄露事件时,若涉及到供应商,我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据?你们能否有效追踪这些第三方所使用的数据?”

四、眼动泄密!利用苹果Vision Pro远程监控用户输入内容

近日消息,你的眼睛能泄露很多信息。它们可以显示你有多累、你的情绪状态,甚至提供健康问题的线索。但更令人担忧的是,它们还可能泄露更隐秘的信息:你的密码、PIN码以及你输入的消息。日前,六位计算机科学家揭示了一种针对苹果Vision Pro混合现实(MR)头显的新攻击方式。攻击者通过获取暴露的眼动追踪数据,解密用户通过设备虚拟键盘输入的内容。这种攻击被命名为GAZEploit。研究人员成功地重构了用户通过眼睛输入的密码、PIN码和消息。参与该研究的主要研究员之一Hanqiu Wang表示:“通过眼睛移动的方向,黑客可以判断受害者当前正在输入哪个按键。”在五次预测中,他们能够准确识别77%的用户密码字母,并能正确识别92%的输入信息。需要明确的是,研究人员并没有直接访问苹果的头显去查看用户的视线位置。他们是通过远程分析由Vision Pro生成的虚拟头像的眼动,来推断用户正在输入的内容。这些虚拟头像可以在Zoom、Teams、Slack、Reddit、Tinder、Twitter、Skype和FaceTime中使用。研究人员于今年4月向苹果报告了这一漏洞,苹果在7月底发布了补丁,防止了潜在的数据泄露。研究人员指出,这是首次利用人类“注视”数据进行的攻击。研究结果强调了生物特征数据(比如人体信息及其测量数值)可能泄露敏感信息,并成为新兴监控产业的一部分。

使用Vision Pro时,眼睛相当于鼠标。输入信息时,用户会注视一个悬浮在空中的虚拟键盘,键盘尺寸可以调整。当用户看到正确的字母时,双指轻点即可完成输入操作。虽然所有操作都会保留在头显内,但如果用户需要快速加入Zoom会议、FaceTime通话或与朋友直播,就需要使用一个Persona,也就是Vision Pro通过扫描用户脸部生成的3D头像。研究人员在一篇预印本论文中详细阐述了他们的研究成果:“在视频通话中,用户的虚拟头像会反映他们的眼动,这种技术可能意外泄露关键的面部生物特征,包括眼动追踪数据。”Hanqiu Wang表示,研究依赖于两种可以从Persona录制中提取的生物特征:眼睛纵横比(EAR)和注视方向的估计值。康奈尔大学助理教授Cheng Zhang指出:“随着像眼镜、扩展现实(XR)和智能手表等可穿戴设备逐渐融入日常生活,用户往往忽视了这些设备可以收集多少关于其活动和意图的信息,以及由此带来的隐私风险。”他也应WIRED的邀请,评审了针对Vision Pro的这项研究。(Cheng Zhang的研究方向包括开发可穿戴设备,以帮助解释人类行为。)Cheng Zhang表示:“这篇论文清楚地展示了注视输入所带来的特定风险,但这只是冰山一角。尽管这些技术是为了积极的目的和应用而开发的,但我们也需要意识到它们对隐私的影响,并开始采取措施减轻未来可穿戴设备在日常使用中的潜在风险。”

业界之声

一、中共三亚市委《决定》:建设三亚国际数据交易中心

近日,海南省人民政府官网显示,中共三亚市委发布《中共三亚市委关于加快发展新质生产力的决定》(以下简称《决定》),《决定》提出积极打造国际数据港,探索建设三亚国际数据交易中心,打造国际数据交换重要中转站,推动数据总部经济发展。

《决定》指出,要培育发展数字产业集群。发展跨境电子商务,探索打造全国跨境电商业务结算中心。发展数字直播产业,探索打造国际商品直播基地。发展数字游戏产业,健全游戏研发、发行、运营、竞赛、直播等产业链条,打造游戏出海重要节点。积极发展元宇宙、未来网络、类脑智能等未来产业。大力发展数字文创、数字文娱,推动数字产业创新发展。鼓励大模型平台以及开源社区、开发者平台落地研发。创新发展互联网业态,发展域名交易、注册等业态。推动“旅游+研发”业态,打造全球数字游民创新创业胜地。积极打造国际数据港,探索建设三亚国际数据交易中心,打造国际数据交换重要中转站,推动数据总部经济发展。全面提升发展数字化水平。大力发展数字商务,加快发展智能支付、智能网点,培育发展智慧物流、智慧销售、无人配送等业态,积极发展“数字大健康”产业,深入推进海南放心游、放心付。加快景区景点数字化转型,发展在线旅游、线上文博等新业态。大力发展智慧旅游。推动农业数字化转型,加强大数据、物联网、人工智能等技术应用,提升农业生产经营数字化水平。探索整合国内外新媒体平台,构建数字传播矩阵。推进智能化决策系统、监控监测系统建设,全面提升政务服务信息化、智能化水平,建立数据共享平台,深入推进智慧城市、AI城市、数字乡村建设,提升城乡治理管理效能。

二、昆明国际数据交易所正式挂牌成立

近日,昆明联合产权交易有限公司昆明国际数据交易所正式挂牌成立。该交易所将构建全省唯一的以数据登记服务、数据生态、数据资产评估、数据交易、跨境交易为特征的综合性数据流通交易应用服务平台。

昆明国际数据交易所将立足云南、面向全国、辐射南亚东南亚,深入挖掘云南特色数据资源的潜力,探索文旅、鲜花、茶叶、烟草、咖啡、高原特色农产品、橡胶、珠宝、少数民族文化等数据产品。昆明国际数据交易所将围绕公共数据和社会数据的开发利用,构建全省唯一的以数据登记服务、数据生态、数据资产评估、数据交易、跨境交易为特征的综合性数据流通交易应用服务平台。

通过数据清洗加工、脱敏脱密、融合补全、数据治理等环节,将原始数据转化为可交易的数据产品,并在数据交易流通前经严格的数据核验、数据合规、登记确权、质量评价、资产评估流程,确保数据产品交易的合法性和安全性。同时,依托昆明国际数据交易所在数据流通交易产业链中的枢纽优势,引入一批跨行业、跨区域的顶尖级数商,构建数据产业生态圈,进一步激发数据资产的活力和价值。

三、北京市算力互联互通和运行服务平台正式上线

近日,数智“新”北京暨2024(第二十一届)北京互联网大会在京召开。会上,“北京市算力互联互通和运行服务平台”正式上线。

    以上就是本篇文章【数据安全每周观察|《敏感个人信息识别指南》正式发布】的全部内容了,欢迎阅览 ! 文章地址:http://zleialh.xhstdz.com/quote/73542.html 
     栏目首页      相关文章      动态      同类文章      热门文章      网站地图      返回首页 物流园资讯移动站 http://zleialh.xhstdz.com/mobile/ , 查看更多   
发表评论
0评