1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家数据局、市场监管总局正式发布四份数据流通交易合同示范文本
7月4日,为推进数据基础制度建设,降低数据流通交易成本,促进数据合规高效流通使用,国家数据局、市场监管总局制定并正式发布了四份数据流通交易合同示范文本。其中包括《数据提供合同(示范文本)》《数据委托处理服务合同(示范文本)》《数据融合开发合同(示范文本)》《数据中介服务合同(示范文本)》。本次发布的示范文本聚焦数据流通中最典型的4类场景,即数据提供、数据委托处理、数据融合开发和数据中介,供数据市场中的经营主体使用。
4种类型合同均约定了数据产权安排、安全保密要求、违约责任、争议解决等通用条款,并围绕数据流通交易各方权利义务、数据情况、数据交付和验收标准等进行了针对性和差异化安排。
来源:https://mp.weixin.qq.com/s/iU-LYhbxBUh_5lI4CoDUxA
1.1.2.强制性国家标准《数据安全技术 电子产品信息清除技术要求》(征求意见稿)公开征求意见
根据国家标准化管理委员会标准制修订计划,中央网络安全和信息化委员会办公室组织完成了《数据安全技术 电子产品信息清除技术要求》强制性国家标准的征求意见稿,并于7月14日公开征求意见。该标准规定了电子产品信息清除的技术和功能要求、电子产品在回收环节的信息清除和信息清除效果验证要求,适用于电子产品信息清除功能设计、开发和验证,也适用于规范电子产品回收环节的信息清除过程。
来源:https://mp.weixin.qq.com/s/LbnH4UDcfKuHDGzy8alnqA
1.2.国外数据安全政策与法律法规动态
1.2.1.美国将推出医疗数据共享计划
路透社7月26日消息,特朗普政府高级卫生官员计划本周在白宫组织科技公司高管推出一项促进医疗数据无缝共享的计划,旨在通过公私合作改善医疗数据互通性,提高医疗服务效率。此次会议是美国政府加速推进医疗信息化建设的重要标志,科技公司将发挥关键作用。
来源:https://www.reuters.com/business/healthcare-pharmaceuticals/us-health-officials-tech-executives-launch-data-sharing-plan-bloomberg-news-2025-07-26/
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.《国家网络身份认证公共服务管理办法》2025年7月15日起施行
近日,公安部、国家网信办等六部门联合公布《国家网络身份认证公共服务管理办法》(以下简称《管理办法》),自今年7月15日起施行。《管理办法》以保护公民身份信息安全,支撑数字经济健康有序发展为主要目的。《管理办法》共16条,主要规定了四个方面内容:一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;二是明确了使用国家网络身份认证公共服务的效力、应用场景;三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任;四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
来源:https://www.gov.cn/gongbao/2025/issue_12166/202507/content_7032498.html
2.2.国外个人信息保护政策与法律法规动态
2.2.1.欧盟委员会发布《数字服务法》关于未成年人保护的新公告
2025年7月14日,欧盟委员会发布了《数字服务法》(“DSA”)下未成年人保护的最终指南(简称“指南”)。该指南旨在为“未成年人可访问”的在线平台提供商提供指导,帮助他们履行“采取适当且适度的措施,确保未成年人在其服务上享有高水平的隐私和安全保障”(DSA第28(1)条)的义务。
来源:https://www.insideprivacy.com/digital-services-act/european-commission-makes-new-announcements-on-the-protection-of-minors-under-the-digital-services-act/
2.2.2.美国司法部批量数据传输规则宽限期结束
2025年7月8日,美国司法部(DOJ)正式解除针对《批量敏感数据规则》(简称“批量数据规则”)的执法宽限期。该规则于今年4月8日生效,旨在落实拜登政府第14117号行政令(特朗普政府延续有效)。根据规则,司法部将禁止或限制将美国公民的敏感个人数据“批量”传输到指定的“受关注国家”(目前指中国(包括香港)、俄罗斯、伊朗、古巴、朝鲜和委内瑞拉)及其控制下的个人和实体。
来源:https://www.alstonprivacy.com/are-you-ready-for-the-department-of-justices-bulk-data-transfer-rule/
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.安联人寿保险公司发生数据泄露,影响百万客户
2025年7月26日,安联人寿北美公司证实,黑客利用社会工程技术,获得了该公司使用的第三方云系统的访问权限,成功获取了安联人寿大部分客户、金融专业人士以及部分员工的个人身份信息,事件影响该公司140 万客户中的大多数。
来源:https://www.cbsnews.com/news/allianz-life-insurance-data-breach/
3.1.2.税收抵免咨询公司Rockerbox发生数据泄露
2025年7月,总部位于美国达拉斯的税收抵免咨询公司Rockerbox近日曝出数据泄露事件。网络安全研究团队近期发现了一个属于该公司的未设密码保护的数据库,包含245949条记录,约287 GB的数据。文件内容包括:地址、社保号码、工作经历等个人信息,甚至还有DD214美国国防部退伍表格等敏感文件。
来源:https://www.morningstar.com/news/globe-newswire/9493684/data-breach-alert-edelson-lechtzin-llp-is-investigating-claims-on-behalf-of-rockerbox-customers-whose-data-may-have-been-compromised
3.1.3.澳航近六百万客户资料遭泄露
澳航近日证实,攻击者通过第三方呼叫中心平台获取了数据,导致数百万常旅客受到影响。根据澳航新闻稿,初步估计多达600万客户的记录可能被泄露,包括姓名、电子邮件地址、电话号码、出生日期和常旅客会员号码。
来源:https://www.qantas.com/au/en/support/information-for-customers-on-cyber-incident.html
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.关于发布完成个人信息收集使用优化改进App清单的公告
为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网络社区、应用商店、餐饮外卖、房屋租售、网络直播、即时通信和求职招聘7类12款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成优化改进。
来源:https://www.cybersac.cn/detail/1942508053224001537?sessionid=1594517149
4.1.2.公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,33款移动应用存在违法违规收集使用个人信息情况。
来源:https://mp.weixin.qq.com/s/g2UykawpjL5hnbSjUEEREw?click_id=185&scene=25&sessionid=1594319952#wechat_redirect
4.1.3.国家计算机病毒应急处理中心检测发现68款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,68款移动应用存在违法违规收集使用个人信息情况。
来源:https://www.cverc.org.cn/zxdt/report20250711.htm
4.1.4.冒充抖音官方应用,手机里这两个软件会盗取你的存款
据北京市公安局西城分局反诈民警提醒,“抖音会议”与“银联会议”这两款软件为诈骗软件。此类软件具备共享屏幕以及远程操控功能,当用户输入会议码时,手机会立即黑屏,此时诈骗分子便能随意操作,转走用户银行存款。同时,软件还会删除涉诈网址与电话,并阻挡96110反诈专线来电。抖音官方早已于今年3月发布声明,表明抖音会议App并非官方软件,并提醒用户警惕电诈。针对冒充抖音客服的诈骗行为,抖音反诈中心也在积极协同有关部门开展工作。
来源:https://www.pcsofter.com/news/125517.html?sessionid=283990979
4.2.国外移动互联网安全热点
4.2.1.一种利用隐形UI诱骗用户的新型Android攻击手法曝光
近期,网络安全研究人员发现了一种新的Android攻击手法,并将其命名为“TapTrap”。该攻击利用了用户界面(UI)的隐形特性,诱使用户在不知情的情况下进行操作,从而窃取敏感信息或执行恶意行为。研究人员指出,TapTrap攻击的成功依赖于用户的信任和对界面的直观理解。攻击者可以利用这一点,通过伪装成合法应用程序,诱导用户进行不安全的操作。此外,该攻击方式不需要复杂的技术手段,任何具备基本编程能力的攻击者都可以实施。为了防范TapTrap攻击,用户应保持警惕,建议用户只从官方应用商店下载应用,并定期检查应用权限,确保没有不必要的权限被授予。同时开发者也应加强应用的安全性,避免界面设计中的潜在漏洞。
来源:https://www.bleepingcomputer.com/news/security/new-android-taptrap-attack-fools-users-with-invisible-ui-trick/
4.2.2.黑客利用约会应用传播恶意软件,用户需警惕
近期,一项针对约会应用程序的恶意软件活动引起了网络安全专家的广泛关注。根据最新报告,黑客利用这些流行的社交平台传播恶意软件,旨在窃取用户的个人信息和财务数据。该恶意软件活动主要通过伪装成合法应用程序的方式进行传播。攻击者在应用商店中发布了经过修改的版本,这些版本看似正常,但实际上包含了恶意代码。一旦用户下载并安装这些应用,恶意软件便会在后台悄然运行,监控用户的活动并收集敏感信息。网络安全专家建议用户在下载应用时务必仔细检查开发者信息,并优先选择知名品牌的应用。此外,定期更新设备的安全软件和操作系统也是防范此类攻击的重要措施。
来源:https://www.infosecurity-magazine.com/news/malware-campaign-dating-apps/
4.2.3.一款热门女性约会APP遭黑客攻击,超13000张用户隐私照片泄露
茶(Tea)是一个仅允许女性用户注册和发帖的匿名约会APP应用,该应用的主要功能是允许女性发布有关他们约会过的男性的评论内容,但是在前台展示时是匿名的。日前,在4Chan论坛上,有用户发布该应用的部分数据库信息,黑客通过未知方式获得该应用用户图像的访问权,其中还包含了13000张用于认证的自拍照和身份证件照片。据了解,本次泄露的数据主要是图片,数据库中不包含电子邮件或者电话号码,影响范围则是2024年2月前注册的用户。尽管不含其他个人数据,但自拍照和证件照泄露仍然可能会造成严重的安全后果。
来源:https://www.bleepingcomputer.com/news/security/tea-app-leak-worsens-with-second-database-exposing-user-chats/
资料来源:
1、https://mp.weixin.qq.com/s/OQOiF-LDmNQJhpubZN8O-g
2、https://mp.weixin.qq.com/s/gP7Et36zzFaHA2x9kxsrBA