1 数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家互联网信息办公室发布数据出境安全管理政策问答
国家互联网信息办公室持续加强数据出境安全管理政策宣贯,指导和帮助数据处理者高效合规开展数据出境活动。经对近期收到的咨询问题进行研究,并将一些有代表性的问题和答复公布。主要包括以下问题:如何理解中国数据出境安全管理制度设计;如何保证不同自贸试验区制定数据出境负面清单标准的一致性;自贸试验区数据出境负面清单适用范围如何覆盖更多领域;如何理解和判断个人信息出境必要性;如何识别重要数据;重要数据是否意味着不能出境;行业技术标准制定过程中如何发挥外资企业的作用;集团公司跨境传输个人信息有无更加便利的渠道;申请延长数据出境安全评估结果有效期有无具体流程。
来源:https://mp.weixin.qq.com/s/iYVkA0u2I26kZww2TItEgQ
1.1.2.国家数据局发布向社会公开征求数据流通交易合同示范文本意见的公告
为推进数据基础制度建设,培育全国一体化数据市场,促进数据合规高效流通交易,国家数据局研究制定了数据流通交易合同示范文本(含数据提供合同、数据委托处理合同、数据融合开发合同和数据中介合同),供社会各界在参与数据流通交易活动中参考,现向社会公开征求意见。此次征求意见的时间是2025年4月18日至5月18日。欢迎社会各界人士提出意见,请通过电子邮件方式将意见发送至zhidujianshechu@nda.gov.cn。
来源:https://mp.weixin.qq.com/s/pPN5i_bcV1x4Vlilin5bRA
1.2.国外数据安全政策与法律法规动态
1.2.1.美国司法部实施数据安全计划
美国司法部发布了新的指导意见、常见问题解答、执法政策,以推动一项国家安全计划的实施。该计划旨在防止外国对手获取并利用与美国政府相关的数据以及美国公民敏感个人数据,开展监视和反情报活动、发展人工智能和军事能力,以及进行间谍活动和其他损害美国国家安全的活动。美国司法部表示,国家安全司(NSD)实施了数据安全计划,以防止受关注的国家获取美国政府数据和美国人的敏感个人信息。司法部继续优先考虑数据安全计划。
来源:https://www.justice.gov/opa/pr/justice-department-implements-critical-national-security-program-protect-americans-sensitive
1.2.2.美国国家标准与技术研究院NIST发布隐私框架1.1更新
4月14日,美国国家标准与技术研究院(NIST)发布了《NIST 隐私框架1.1》初始公开草案(IPD)。该版本是在1.0版本基础上的更新,旨在满足当前隐私风险管理需求,与 NIST 网络安全框架2.0重新校准并提高可用性。NIST 邀请公众在6月13日前反馈意见,同时还提供了亮点视频等资源,助力各方理解新框架。
来源:https://csrc.nist.gov/pubs/cswp/40/nist-privacy-framework-11/ipd
2 个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.六部门发布《促进和规范金融业数据跨境流动合规指南》
中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局近期联合印发《促进和规范金融业数据跨境流动合规指南》。旨在促进中外资金融机构金融业数据跨境流动更加高效、规范,进一步明确数据出境的具体情形以及可跨境流动的数据项清单,便利数据跨境流动。
来源:http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5675551/index.html
2.1.2.七部门联合发布《终端设备直连卫星服务管理规定》
国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、海关总署、市场监管总局、广电总局联合发布《终端设备直连卫星服务管理规定》,旨在促进和规范终端设备直连卫星服务健康发展,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
来源:https://www.cac.gov.cn/2025-04/30/c_1747719075725771.htm
2.2.国外个人信息保护政策与法律法规
2.2.1.欧盟提出区块链技术处理个人信息活动最新规范
欧盟数据保护委员会已批准管理个人数据如何在区块链上存储和共享的规则草案,新指南限制了对存储信息的访问,并符合《通用数据保护条例》(GDPR) 的保护规定,该文件要求如果与数据保护原则相冲突,则应避免将个人数据存储在区块链上。
来源:https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-022025-processing-personal-data_en
3 国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.欧洲服务平台Yoojo泄露千万敏感文件
4月1日,欧洲服务市场平台Yoojo因云存储桶配置错误,导致超1450万份敏感文件暴露,涵盖用户护照、通讯记录、电话号码等核心隐私数据。作为连接个人与服务提供商的流行平台,Yoojo(前身为Youpijobs)在英法西荷等多国运营,其应用下载量超50万次,服务范围覆盖家政、宠物看护等多领域。
来源:hhttps://cybernews.com/security/yoojo-data-leak-exposed-passports/
3.1.2.NexOpt 30万辆汽车和数百万次行程信息遭曝光
4月9日,车辆跟踪服务提供商NexOpt,一家总部设于德国、在美国和奥地利设有办事处的公司,近期发生数据泄露事件,暴露了商用和乘用车的敏感实时和历史行驶数据。泄露的数据似乎来自超过 30 万辆独立车辆,包括车辆识别号码、NexOpt设备IMEI标识符、车辆移动数据、行程出发地、目的地数据、航线、车辆燃油或电量数据以及驾驶员座椅数据等。
来源:https://cybernews.com/security/nexopt-data-leak-exposes-locations-vehicles/
3.1.3.Lemonade保险公司通报19万用户驾照号泄露事件
4月15日,Lemonade成立于2015年,自称“全栈保险公司”,在美国和欧洲提供租房、房主、汽车、宠物及人寿保险产品。该公司以利用人工智能技术激活保单及处理索赔而闻名。该公司近日通知约19万名客户,其驾照号码可能因技术故障遭泄露。该事件涉及一款在线汽车保险应用,该应用允许用户获取保险报价及购买保单。
来源:https://www.securityweek.com/insurance-firm-lemonade-says-api-glitch-exposed-some-drivers-license-numbers/
3.1.4.加州蓝盾保险公司向谷歌泄露了470万名会员的健康数据
4月23日,加州蓝盾保险公司近期遭遇重大数据泄露事件,其470万会员的受保护健康信息被泄露给谷歌的分析和广告平台。作为加州近600万会员提供服务的非营利性健康计划,蓝盾在网站上发布了数据泄露通知,指出其Blue Shield网站上的Google Analytics配置错误,导致会员敏感数据在2021年4月至2024年1月期间被共享给谷歌广告平台和广告商。泄露的数据类型包括保险计划名称、类型和组号、城市和邮政编码、性别、家庭规模等,还有医疗索赔服务日期、服务提供者、患者姓名及财务责任等医疗相关数据,以及“寻找医生”搜索条件和结果等。
来源:https://www.bleepingcomputer.com/news/security/blue-shield-of-california-leaked-health-data-of-47-million-members-to-google/
4 移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于侵害用户权益行为的APP(SDK)通报
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现52款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_863385e3fb894d66be8451066e8ac5b6.html
4.1.2.存在隐私不合规行为,国家计算机病毒应急处理中心监测发现13款违规App
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现13款移动应用存在隐私不合规行为。针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动应用,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:https://www.cverc.org.cn/zxdt/report20250417.htm
4.2.国外移动互联网安全热点
4.2.1.TikTok被曝遭入侵,超90万用户凭证疑被泄露
黑客组织R00TK1T近日宣称对TikTok实施了大规模数据入侵,据称泄露了超过90万用户的账号凭证。该组织表示已公开发布了927,000条TikTok用户记录作为“漏洞证明”。网络安全专家表示,如果得到验证,这将代表该平台面临的一次重大安全事件。截至发稿时,TikTok尚未对这些具体指控做出官方回应。此前该公司曾否认类似的入侵声明,表示其安全团队在系统中未发现安全漏洞的证据。安全专家建议TikTok用户立即采取预防措施:更改密码、启用双因素认证、监控账户可疑活动,并警惕利用泄露数据进行的潜在钓鱼尝试。
来源:https://cybernews.com/security/tiktok-hack-passwords/
4.2.2.新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备
Cleafy安全研究人员发现名为"超级卡X"(SuperCard X)的新型恶意软件即服务(MaaS),该恶意软件通过NFC(近场通信)中继攻击针对安卓设备实施资金窃取。报告总结指出:“该威胁的突出特点不在于恶意软件本身的复杂性,而在于其依赖NFC技术的创新欺诈机制。这种攻击方式使攻击者能够即时获取被盗资金,且可能绕过通常涉及银行转账的传统欺诈渠道。另一个值得注意的特点是该恶意软件极低的特征指纹。”
来源:https://www.freebuf.com/articles/428204.html?sessionid=2064120351
4.2.3.TikTok因“将欧盟用户数据传输至中国”将面临5亿欧元罚款
TikTok及其母公司字节跳动可能于2025年4月底前即将面临超过5亿欧元(约合人民币40亿元)的巨额罚款。爱尔兰数据保护委员会(DPC)称,TikTok涉嫌违反欧盟《通用数据保护条例》(GDPR),将欧盟用户数据传输至中国供中国工程师访问。本次案件的调查始于2021年,DPC调查人员曾指出,Tiktok的欧盟用户数据可能被中国工程师访问。如果罚款最终落地,这将是DPC对TikTok的第二次重大处罚,也是DPC开出的第三高罚单。2023年9月,TikTok因未能充分保护儿童隐私被DPC罚款3.45亿欧元。
来源:https://www.irishtimes.com/business/2025/04/03/irish-regulator-set-to-fine-tiktok-500m-for-eu-data-sent-to-china-clone/?sessionid=2064653779
4.2.4.研究显示:92%企业移动应用存在加密安全隐患
Zimperium最新报告《你的应用程序正在泄露数据:你手机上隐藏的数据风险》对17,333款企业移动应用进行安全分析,揭示了严重的安全漏洞,可能使数百万用户和企业面临风险。 研究人员分析了来自官方应用商店的6037款Android应用和11,626款iOS应用,发现两大平台均存在严重安全问题。主要发现包括:83款Android应用使用未受保护或配置错误的云存储,10款Android应用暴露了AWS凭证,92%的分析应用使用弱加密或有缺陷的加密方法,前100名应用中有5款存在高危加密漏洞。
来源:https://www.infosecurity-magazine.com/news/92-mobile-apps-insecure/
4.2.5.iOS 设备遭定向攻击,苹果紧急修复两枚零日漏洞
苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新,修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。这两个漏洞存在于CoreAudio和RPAC组件中,攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。
来源:https://cybersecuritynews.com/2-apple-iphone-zero-day-vulnerabilities-actively-exploited-in-extremely-sophisticated-attacks/
参考来源:
https://mp.weixin.qq.com/s/TQyAnkDoKGRAAbfQ_a3e1Q
https://mp.weixin.qq.com/s/yCZeD7ZFF7qiiIQad8Vt9g