华体会- 华体会体育官方网站- 体育APP下载数据安全每周观察国家数据局印发《数字中国建设2025年行动方案

2025-06-20 11:32:31

　　华体会电竞,华体会电子,华体会体育官网,华体会靠谱吗,华体会APP,华体会官方网站,华体会网址,华体会官方平台,华体会app下载,华体会体育靠谱吗,华体会2025最新,华体会世界杯,华体会欧洲杯《方案》提出，到2025年底，数字中国建设取得重要进展，数字领域新质生产力不断壮大，数字经济发展质量和效益大幅提升，数字经济核心产业增加值占国内生产总值比重超过10%，数据要素市场建设稳步推进，算力规模超过300EFLOPS，政务数字化智能化水平明显提升，数字文化建设跃上新台阶，数字社会精准化、普惠化、便捷化取得显著成效，数字生态文明建设取得积极进展，数字安全保障能力全面提升，数字治理体系更加完善。

　　《方案》部署了8个方面的重大行动。一是坚持数字中国建设工作“一盘棋”，完善数据工作央地政策协调机制。建立健全全方位多层次的统筹工作体系，加快完善地方数据管理机构的相关职能。二是着力强基固本，发展彰显优势、体现特色的数字产品和数字产业。加快锻造数据领域“长板”，通过技术创新、功能改造、品牌建设等手段提升竞争力，形成品牌效应与集群效应。三是深度挖掘人工智能应用场景，积极开展人工智能高质量数据集建设。着力发展智能网联新能源汽车、人工智能手机和电脑、智能机器人等新一代智能终端及智能制造装备。四是加快推动物联网、工业互联网优化升级，深入实施“东数西算”工程，逐步实现各地区算力需求与国家枢纽节点算力资源高效供需匹配。五是加强交通、医疗、金融、制造、农业等重点领域数据标注，建设行业高质量数据集。促进公共数据资源开发利用，推动公共数据“一本账”管理、“一平台”运营、“一体化”应用。布局建设数据产业集聚区，探索构建以数据要素驱动、数字技术赋能、数据平台支撑、产业融通发展、集群生态共建为主要特征的产业组织新形态。六是培养技能型数字人才，深入推进产教融合，支持各地和有关行业举办数字职业技术技能竞赛活动。七是持续优化营商环境，吸引更多优质数据企业和项目落地。畅通高校和企业数字人才双向流动渠道，将高层次数字人才纳入地方高级专家库。八是逐年推出一批“高效办成一件事”重点事项，加强地方特色文化遗产的数字化保护与应用，全面推动数字技术和教育、医疗、养老、托幼等公共服务深度融合，加快生态环境、国土空间、水利电力、林业草原等领域的数据资源采集、存储与开发利用。进一步夯实城市全域数字化转型底座建设，完善城市运行和治理中枢功能。

　　在健全国家安全法治体系、建设更高水平平安中国方面，提请全国人大常委会审议食品安全法修正草案、监狱法修订草案、国家消防救援人员法草案。制定森林草原防灭火条例。预备提请全国人大常委会审议防震减灾法修订草案、防洪法修订草案。预备制定网络安全等级保护条例、终端设备直连卫星服务管理条例、卫星导航条例、生产安全事故隐患排查治理条例、粮食储备安全管理条例，预备修订反间谍法实施细则、企业事业单位内部治安保卫条例、国境卫生检疫法实施细则、特种设备安全监察条例、军用饮食供应站供水站管理办法、气象灾害防御条例。

　　数据安全和个人信息保护要求从八个方面保证产品的安全性：一是手表要制定专门儿童个人信息处理规则，在手表操作系统或管理端界面展示。同时明确了个人信息处理规则内容包括信息处理者名称、联系方式，处理目的和方式，必要性和个人权益影响及采取的安全措施说明，还包括用户查阅、更正、删除个人信息，注销账号和撤回同意的方法途径。二是手表内置功能或预置应用首次使用，需在管理端、手表端或应用程序端告知个人信息处理规则，及支持监护人选择单独同意后处理个人信息。涉及处理个人信息目的、方式等变更的，需在管理端、手表端或应用程序端告知个人信息处理规则，及支持监护人选择单独同意后处理个人信息。未取得单独同意，手表不可启用与个人信息有关的内置功能和预置应用程序。此外对内置功能和预置应用程序的含义给出了说明。三是手表内置功能和预置应用涉及自动化决策方式处理个人信息的，要满足给定的要求，包括不可利用信息商业营销，利用上网记录进行画像推送需监护人单独同意等。四是除系统内置功能和有法律法规依据的情形外，禁止向儿童智能手表上安装的应用程序提供不可变更的唯一设备识别码，常见的不可变唯一设备标识符包括国际移动设备识别码（IMEI）、移动设备识别码（MEID）、设备媒体访问控制（MAC）地址、硬件序列号等。五是手表不可向应用程序默认开放麦克风、摄像头、定位等权限，必需使用的权限，应在手表操作体系或管理端界面提供申请使用选项，并支持监护人单独同意后开放权限，此外，手表操作系统提供申请权限，应同步提醒由监护人进行授权操作。六是内置功能和预置应用因业务需要，向其他个人信息处理者提供信息的，应同手表管理端向监护人告知接收方的名称、联系方式等，同时要取得监护人单独同意。七是手表需在操作系统或管理端提供查阅、更正、删除等个人信息方法途径，对于涉及信息转移、删除等可能影响儿童权益行使的，要在管理端向监护人明示，并需监护人单独同意。八是手表账号的解绑和注销要通过管理端由监护人操作，注销后个人信息应删除或匿名化处理。

　　《要点》部署了9个方面26项重点任务。一是夯实数字乡村发展基础。包括进一步完善农村网络基础设施、加快农村基础设施数智化改造、有序推进涉农数据资源集成共享。二是有力支撑守牢“两条底线”。包括完善粮食安全数字化支撑保障、强化防止返贫致贫网络帮扶举措。三是加快推进智慧农业发展。包括促进智慧农业技术装备创新应用、提升农业全产业链数字化水平。四是壮大乡村新产业新业态。包括推动农村电商高质量发展、因地制宜推动农文旅融合发展、运用数字技术促进农民就业增收。五是繁荣发展乡村数字文化。包括推进乡村文化文物资源数字化、加大乡村公共文化服务数字化供给。六是提升乡村数字治理效能。包括持续推进农村“三务”信息化建设、提升农村社会治理数字化水平、增强农村智慧应急管理能力。七是深化乡村数字普惠服务。包括持续提升乡村教育数字化水平、持续推进乡村数字健康发展、持续深化农村数字普惠金融服务、强化农村特殊人群信息服务保障。八是推进智慧美丽乡村建设。包括深化农村人居环境整治数字化应用、提升农村生态环境保护监管效能。九是统筹推进数字乡村建设。包括加强数字乡村跨部门跨层级协同联动、实施数字乡村强农惠农富农专项行动、完善数字乡村多元化投入保障机制、多措并举培育壮大数字乡村人才队伍、营造数字乡村发展良好环境。

　　1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《雷石ktv》（版本1.58，长安应用商店）、《Faceu激萌》（版本7.1.0，小米应用商店）、《智石室内定位SDK》（版本2.3.1，官网）等9款移动应用。

　　为全面贯彻党的二十大和二十届二中、三中全会精神，落实《数据安全法》《个人信息保护法》‌《网络数据安全管理条例》等法律法规及《工业和信息化领域数据安全管理办法（试行）》《上海市数据条例》等文件要求，统筹数据发展与安全，提升电信和互联网行业整体数据安全管理水平，结合上海市电信和互联网行业数据安全和发展实际，上海市通信管理局决定开展“浦江护航”2025年电信和互联网行业数据安全专项行动并发布关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知。

　　《通知》保障措施部分强调，要强化“浦江护航”专项行动与工业和信息化部以及上海市相关主管部门关于数据发展和数据安全政策的对接协调，提升管理实效，避免监管空白和重复监管；提升行业重要数据和个人信息保护能力，重点对未开展通信网络单元定级的网络信息系统运营者加强重要数据认定排查、风险评估和现场检查等数据安全监管，确保承载重要数据和1000万人以上个人信息的网络信息系统，通信网络单元定级不低于三级；强化对在上海市范围内开展电信和互联网行业数据安全服务的第三方机构的合规指导和监督管理，提升专业服务能力和质量，存在违法违规行为的依法依规予以处置；指导行业组织、专业机构等开展数据安全公益培训，支持通信行业职业技能鉴定中心等培训组织加强数据发展和安全培训科目建设，持续推动数据安全专业人才队伍培养。

　　危险的勒索软件组织Interlock正加大对美国国防承包商及其供应链的攻击力度，威胁敏感军事物流、知识产权和国家安全。该组织自2024年9月首次被发现以来，采用大型猎物狩猎策略，针对高价值组织实施双重勒索，即在加密系统前先窃取数据。近期受害者包括美国致命弹药制造商AMTEC及其母公司National Defense Corporation(NDC)。Resecurity分析师确认，Interlock的数据泄露网站Worldwide Secrets Blog现已托管涉及美国国防部(DoD)、Raytheon和Thales等合同的。

　　Interlock的初始访问通常源于伪装成物流合作伙伴的钓鱼活动或被入侵的第三方供应商。一旦进入系统，攻击者部署自定义PowerShell脚本禁用安全工具，然后使用Mimikatz从lsass.exe中提取凭证，实现横向移动。攻击者创建名为WindowsUpdateSync的计划任务以维持持久性，执行连接到Interlock命令与控制(C2)服务器的编码负载。该组织还利用企业虚拟专用网络和Microsoft Exchange服务器中的未修补漏洞。

　　攻击始于用户打开ZIP压缩包new-tax311.ZIP中的快捷方式文件new-tax311.lnk。该文件通过Windows工具mshta.exe执行混淆的PowerShell脚本，随后尝试削弱Windows Defender防护，修改PowerShell安全设置，并通过Windows注册表确保Remcos RAT开机自启动。攻击者将多个文件下载至C:/Users/Public/文件夹，其中关键文件24.ps1包含Remcos RAT主体，通过Win32 API直接在内存中加载运行，避开了基于文件的安全检测。Remcos RAT为32位V6.0.0版本，采用模块化设计，连接至端口2025的远程服务器（readysteaurantscom），使用TLS加密通信。一旦感染，Remcos能执行键盘记录、剪贴板监控、屏幕截图、麦克风和网络摄像头录制等多种恶意操作，并窃取用户信息。

　　据调查，该数据库包含了惊人的315万条记录（约135GB），且未设置密码或任何形式的加密保护。泄露的敏感信息包括员的姓名、电话号码、电子邮件地址、家庭住址和护照信息，以及家长和教练的联系方式。更严重的是，数据库中还包含未受保护的员护照图像链接。此外，数据库还包含一个标记为mail cache的文件夹，其中存储了10GB的电子邮件信息，时间跨度从2017年到2025年。这些邮件包含指向公开可访问页面的个性化网络链接，显示姓名、出生日期、电子邮件地址、家庭住址和薪酬详情。一些邮件甚至包含临时密码。

　　多伦多地区教育局(TDSB)周三表示，尽管保证数据已被删除，但事实并非如此。该委员会周三在给受害者家属的一封电子邮件中表示，他们收到了“威胁行为者”提出的赎金要求，要求使用2024年12月泄露的数据。位于多伦多西部的皮尔区教育局和加拿大西部最大的教育局卡尔加里教育局也警告家长们，有人试图利用这些数据进行敲诈勒索。这些数据是在用于提供技术支持的PowerSchool管理员帐户遭到入侵后被盗的。加拿大各地的学区——包括阿尔伯塔省、安省、马尼托巴省、纽芬兰和拉布拉多省、新斯科舍省、西北地区、爱德华王子岛省和萨斯喀彻温省——主要使用这家加州公司的网络系统来管理学生个人信息，有时还包括医疗信息、成绩和其他详细信息。有些学区将其用作与家长沟通的门户。此次数据泄露事件涉及不同类型的数据，有些甚至涉及数十年前的数据。根据董事会的说法，这些数据可能包括姓名、出生日期、家庭住址和电话号码。在其他情况下，甚至可能泄露了更多个人信息，例如学生证号码、性别、医疗信息和紧急联系人。该公司周三表示，支付赎金的决定十分艰难。但该公司并未透露支付的具体金额。该公司在一份声明中表示：“我们相信这符合我们的客户以及我们所服务的学生和社区的最佳利益。”并补充说，新的赎金要求已报告给美国和加拿大执法部门。我们对这些事态发展深感遗憾——我们的客户再次受到威胁和伤害，这让我们感到痛心。多伦多和卡尔加里教育委员会再次鼓励家庭寻求 PowerSchool 提供的信用监控和身份保护服务。

　　根据诉讼书，Roblox使用隐藏的追踪工具收集广泛的用户数据，包括按键记录、聊天信息、鼠标活动和搜索查询。诉讼还指控该公司通过唯一标识符将这些交互数据与个人设备关联，从而构建详细的用户行为档案，用于定向内容推送并与第三方广告商共享。诉讼书中指出：这种数据监控在用户访问或启动Roblox的那一刻就开始了，甚至在账户登录或同意之前，并通过持久标识符和指纹技术在各平台（网页、iOS、Android、macOS、Windows）上持续进行。

　　被篡改的网页上出现了 Anonymous 标志性的 Guy Fawkes 面具，指责GlobalX无视法律指令，推行他们所认为的法西斯计划。这表明攻击源于黑客行动主义者对该航空公司参与美国境内外驱逐行动的不满。除了网站篡改，黑客还向包括 404 Media 在内的媒体分享了大量泄露数据。404 Media通过与官方移民和海关执法局(ICE)航班日志和法庭文件核对，确认了这些数据的线日分类，包含了数百名委内瑞拉移民被驱逐的航班细节，其中一些人在飞行途中仍在对驱逐的合法性提出质疑。

　　感染链始于用户访问恶意网站并上传文件，随后收到一个ZIP压缩包，声称包含AI生成的视频。实际上，该压缩包含有一个具有误导性名称的可执行文件(Video Dream MachineAI.mp4.exe)和一个隐藏文件夹。该恶意程序是经过重新打包的CapCut合法视频编辑工具，使用通过Winauth创建的证书进行签名，以逃避用户怀疑和安全解决方案检测。执行后，恶意软件会启动一系列程序，最终运行批处理脚本，使用Windows合法工具certutil.exe解码并提取伪装成PDF文档的加密RAR档案，同时添加注册表项实现持久性。随后，它执行srchost.exe，运行从远程服务器获取的混淆Python脚本，最终在内存中执行Noodlophile窃取程序。

　　宣讲会上，国家网信办网络数据管理局有关工作负责及行业领域内多位专家，深入解读了《网络数据安全管理条例》、数据出境政策及操作指引、《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》、数据安全和个人信息保护相关标准（包括数据库安全、接口安全等）、汽车数据安全管理指南等政策法规标准。与会专家针对企业关心关注的数据出境安全管理、人脸识别技术应用安全管理、个人信息保护合规审计、汽车数据安全管理具体问题进行了解答。

　　作为新兴产业发展的风向标，本次大会将集中释放一批极具战略价值的重磅成果，包括中国电子信息产业发展研究院编制的《2025 高质量数据集研究报告》、政务数据管理能力成熟度贯标试点名单等一批标志性成果，这些成果汇聚了行业前沿洞察与深度研究，为高质量数据集的建设与应用提供权威指引，也为行业发展提供可复制、可推广的实践范本。当天，大会还将举行数据要素合作“百城行动”联盟、数据企业落地数安港等签约仪式和6项国家数据基础设施试点投用仪式，同时将发布温州“数据要素×”“人工智能+”等场景需求，以“揭榜挂帅”形式鼓励数据企业参与数据要素市场建设。

　　个人信息安全事件通知义务，是个人信息未经授权访问或获取后，个人信息处理者通知信息主体和报告主管机构的法定义务。《中华人民共和国网络安全法》第42条第2款规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当及时告知用户并向有关主管部门报告；《中华人民共和国个人信息保护法》第57条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当通知履行个人信息保护职责的部门和个人；《中华人民共和国数据安全法》第29条规定，发生数据安全事件时，应当及时告知用户并向有关主管部门报告。在域外，欧盟《一般数据保护条例》第33、34条专门规定了“data breach”条款，美国华盛顿哥伦比亚特区和50个州均制定有“Data Breach Notification Act”。域外立法所指的“data breach”就是我国立法中“泄露、毁损、篡改、丢失”等情形，其特征为个人信息未经授权访问或获取，使个人信息的完整性、保密性、可用性受到损害。因此，文章拟采用接近《数据安全法》中“数据安全事件”的表述，用“个人信息安全事件”作为“data breach”的对应翻译和国内立法所指的泄露、毁损、篡改、丢失等情形的统称。

　　《网络安全法》、《数据安全法》、《个人信息保护法》等法律规范已经为数据安全保护义务构建起行政、民事、刑事为一体的综合责任体系。个人信息安全事件通知义务是信息安全保护义务的重要组成部分，违反通知义务在行政、民事、刑事责任方面具有不同的功能定位和责任标准。具体而言，在刑事责任领域，未履行个人信息安全事件通知义务的行为本身，并不涉及刑事责任问题；在行政责任领域，不同法律所规定的个人信息处理者未履行通知义务的责任并不一致；在民事责任领域，民事赔偿的方式和标准尚不明确。个人信息安全事件通知义务的行政责任和民事责任亟待进一步厘清释明。

【返回列表】