1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家数据局综合司发布关于征集数据流通安全治理典型案例的通知
为建立健全数据流通安全治理机制,促进数据要素合规高效流通利用,根据《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(发改数据〔2025〕18号)中“组织发布数据流通安全治理典型案例,充分发挥示范作用”的任务要求,现组织开展数据流通安全治理典型案例征集工作,明确申报要求、工作安排等重点内容。
来源:https://mp.weixin.qq.com/s/Bv4oyoLSaiqxtVlFb01uSw
1.1.2.关于征求数据基础设施3项技术文件、可信数据空间3项技术文件意见的通知
为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划(2024—2028年)》等政策文件要求,促进地方、行业、领域、企业开展数据基础设施和可信数据空间的规划、建设、运营、管理,在国家数据局指导下,全国数据标准化技术委员会秘书处牵头研制了数据基础设施3项技术文件、可信数据空间3项技术文件,经研究讨论、修改完善,形成技术文件征求意见稿。现面向社会公开征求技术文件意见,如有意见或建议,请于2025年8月24日前将反馈至tc609@cesi.cn。
来源:https://mp.weixin.qq.com/s/ks2lk83N6wxbD6fTIRz08w
1.2.国外数据安全政策与法律法规动态
1.2.1.英国开放数据研究所为欧盟人工智能与数据治理提出六项指导原则
DIG 8月13日消息,英国开放数据研究所(ODI)近日发布政策宣言,为欧盟人工智能与数据治理提出六大指导原则,旨在配合《欧盟AI法案》及数字框架修订等改革进程,包括:数据基础设施建设、开放数据、信任机制、独立组织监督、包容性数据生态系统及数据技能培养。宣言主张将数据治理视同实体基础设施,在限制算法偏见与不平等的同时,扩大中小企业数据获取渠道。
来源:https://dig.watch/updates/uk-based-odi-outlines-vision-for-eu-ai-act-and-data-policy
1.2.2.美国两党推出《量子加密准备与韧性法案》
Meritalk 8月12日消息,美国众议院两党议员于8月8日联合提出《量子加密准备与韧性法案》,旨在加速美国应对量子计算技术突破现代加密方法的准备工作法案要求采取多项措施,包括:评估美国量子能力及准备状态、追踪公私部门量子创新进展、识别最易受量子计算影响的行业、制定国家风险缓解计划、加强公私部门信息共享。
来源:https://www.meritalk.com/articles/bipartisan-house-bill-aims-to-speed-quantum-security-work/
1.2.3.美国两党参议员提出《国家量子网络安全迁移战略法案》
Meritalk 8月4日消息,美国民主党参议员加里·彼得斯与共和党参议员玛莎·布莱克本联合提出《国家量子网络安全迁移战略法案》,要求白宫科技政策办公室(OSTP)牵头制定国家战略,推动联邦系统向抗量子加密技术迁移。该法案旨在应对量子计算机对现有加密体系产生的潜在威胁,防范外国对手现在窃取、未来解密的攻击策略。法案授权量子科学经济与安全影响分委会(ESIX)协调相关工作,将识别高风险系统、定义密码相关量子计算机标准,并建立进度评估指标。
来源:https://www.meritalk.com/articles/senators-unveil-bipartisan-bill-for-national-quantum-strategy/
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.《个人信息保护国家标准体系(2025版)》征求意见稿发布
为支撑落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等政策法规要求,建立健全数据安全和个人信息保护标准体系,充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用,全国网络安全标准化技术委员会秘书处组织编制并发布《个人信息保护国家标准体系(2025版)》(征求意见稿)。征求意见稿共设六大板块,覆盖基础共性、技术、管理与权益保障、测评与认证、产品与服务、行业与应用,旨在衔接《个人信息保护法》《网络数据安全管理条例》等上位法。
来源:https://www.tc260.org.cn/front/postDetail.html?id=20250731172556
2.1.2.最高人民法院首次发布数据权益司法保护专题指导性案例
2025年8月28日,最高人民法院发布第47批指导性案例(指导性案例262—267号)。这是最高人民法院首次发布数据权益司法保护专题指导性案例。该批指导性案例共六件,积极回应数据权属认定、数据产品利用、个人信息保护、网络平台账号交付等社会高度关注的问题,统一类案裁判尺度。
来源:https://mp.weixin.qq.com/s/KZ4DomzRAjwfMn4M77XrTw
2.2.国外个人信息保护政策与法律法规
2.2.1.亚太多个私隐保障机构联合发布《个人资料匿名化入门指南》
香港私隐专员公署以及澳门个人资料保护局,联同来自澳洲(维多利亚省)、加拿大(联邦及英属哥伦比亚省)、日本、韩国、新西兰及新加坡的七个私隐或资料保障机构,于早前举行的「第63届亚太区私隐机构论坛」一致通过发布《个人资料匿名化入门指南》,提供“匿名化五步流程+ISO/IEC 27559治理框架”的实操指引,聚焦降低再识别风险并保留数据效用。
来源:https://www.secrss.com/articles/81527
2.2.2.韩国个人信息保护委员会开出创纪录罚单
韩国个人信息保护委员会(PIPC)宣布对SK电信处以创纪录的1348亿韩元(约9,720万美元)罚款,并追加960万韩元行政处罚,理由为公司存在“基本安全漏洞和管理不善”。这是韩国《个人信息保护法》实施以来金额最高的一次处罚。
来源:https://mp.weixin.qq.com/s/SHrr-wAX2UbsRVL4p9_12w
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国Farmers Insurance因Salesforce攻击致百万客户数据泄露
8月25日,美国保险巨头Farmers Insurance披露一起影响110万客户的大规模数据泄露事件。该公司通过官网公告证实,2025年5月29日,其第三方供应商数据库遭未经授权访问,攻击者通过社会工程手段侵入Salesforce系统,导致客户姓名、地址、出生日期、驾照号码及社会安全号码后四位等敏感信息被盗。
来源:https://www.bleepingcomputer.com/news/security/farmers-insurance-data-breach-impacts-11m-people-after-salesforce-attack/
3.1.2.法国欧尚零售集团遭遇大规模数据泄露,影响数十万客户
8月25日,法国跨国零售巨头欧尚(Auchan)近日披露一起影响数十万客户的数据泄露事件,其会员忠诚度计划相关的敏感信息遭未经授权访问。该公司在向受影响用户发送的通知中证实,攻击者通过网络攻击获取了客户全名、职称、客户状态、邮政地址、电子邮件地址、电话号码及会员卡号等个人信息。
来源:https://www.bleepingcomputer.com/news/security/auchan-retailer-data-breach-impacts-hundreds-of-thousands-of-customers/
3.1.3.威胁者声称出售1580万份纯文本PayPal凭证
8月18日,网络犯罪论坛上出现一起大规模PayPal账户数据泄露事件。一名为Chucky_BF的威胁行为者公开出售标榜为“全球PayPal凭证转储2025”的数据集,声称包含1580万条记录,涉及电子邮件地址、明文密码及直接链接至PayPal服务的URL,数据总量达1.1GB。目前,PayPal尚未证实该数据集的真实性,无法确定其是完全真实的记录、包含虚假信息,还是对历史泄露数据的重新包装。
来源:https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/
3.1.4.墨西哥CFE 600GB数据泄露暴露关键电力基础设施网络风险
8月13日,研究人员近日披露,墨西哥国有电力公司联邦电力委员会(CFE)遭遇重大数据泄露事件,其网络和威胁警报日志通过第三方安全公司Teliko管理的Kibana实例公开暴露,数据量超过600GB。泄露数据涵盖员工设备DNS查询记录、访问的URL、深度包检测(DPI)日志及反恶意软件工具生成的警报,时间跨度可追溯至2021年11月。
来源:https://cybernews.com/security/cfe-data-leak-mexico-critical-infrastructure/
3.1.5.佛罗里达数据公司IMDataCenter遭遇重大泄露
8月6日,网络安全研究员杰里迈亚·福勒近日发现,美国佛罗里达州数据解决方案提供商IMDataCenter因数据库错误配置引发严重数据泄露事件,暴露了海量敏感用户信息,包含10820条CSV和PDF格式的记录,总数据量达38GB,涵盖姓名、实际地址、电话号码、电子邮件地址等个人身份信息(PII),更涉及生活方式、房屋或车辆所有权等深度隐私数据。
来源:https://cybernews.com/security/deutsche-telekom-magentatv-data-leak/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报23款侵害用户权益APP(SDK)
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现23款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_eae96df5f3c043aca3d280ee3d4036d1.html?sessionid=-381501229
4.1.2.国家网络安全通报中心通报38款违法违规使用个人信息APP
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,38款移动应用存在违法违规收集使用个人信息情况。
来源:https://mp.weixin.qq.com/s/u9rpg3yY6YmCP7UTDXncZA?click_id=1&scene=25&sessionid=-379569826
4.1.3.国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,70款移动应用存在违法违规收集使用个人信息情况。
来源:https://www.cverc.org.cn/zxdt/report20250813.htm
4.1.4.五大国产手机厂商联合推出隐私权限体系,让数据授权透明可控
日前,移动智能终端生态联盟宣布,OPPO、vivo、小米、荣耀、联想五家国产手机厂商联合推出隐私权限体系,宣称数据访问双轨并行,兼顾隐私保护与用户体验。该体系涉及系统能力、应用生态和行业标准,并基于原生API构建系统控件,支持全新数据访问机制、数据授权透明可控、数据授权丝滑顺畅、统一适配维护等特性。在权限审核上,新增平台审核与管控,通过审核后,应用可正常使用权限,未通过则限制使用权限。这一举措标志着安卓生态在隐私保护领域迈出标准化的关键一步,用户隐私安全体验将进入更透明、可控的新阶段。
来源:https://baijiahao.baidu.com/s?id=1840803633781887368&wfr=spider&for=pc
4.2.国外移动互联网安全热点
44.2.1.全球最大女性健康APP就用户隐私纠纷集体诉讼达成和解
2025年8月1日,美国热门女性健康应用Flo Health宣布,该公司已经通过和原告达成和解的方式了结了一项长达四年的用户隐私纠纷集体诉讼。面对高达1300万人规模的美国用户群,Flo Health原本可能面临超过130亿美元的赔偿。此前,因涉嫌在未获用户同意的情况下将数百万女性的高度敏感个人数据(如月经周期、性行为、情绪和健康症状)非法分享给Meta、Google等第三方广告公司。2020年1月,美国联邦贸易委员会对Flo Health提起诉讼,指控其进行欺诈性虚假陈述,侵犯了用户隐私,随后用户于2021年1月在加州北区法院对Flo Health、Meta、Google等公司提起集体诉讼。经包括Flo Health在内与原告的多轮和解后,目前案件仅剩唯一被告Meta。
来源:https://iclg.com/news/22904-flo-health-settles-class-action-over-personal-health-data-sharing?sessionid=-379141488
4.2.2.新型NFC驱动PhantomCard安卓恶意软件瞄准银行用户
一款名为PhantomCard的新型安卓恶意软件从巴西网络犯罪地下组织浮出水面,标志着移动银行威胁的显著升级。该恶意应用利用近场通信(NFC)技术,在受害者的实体银行卡与诈骗者设备之间建立无缝连接,无需实际持有卡片即可实施实时金融盗窃。这款恶意软件伪装成名为"Proteção Cartões"(卡片保护)的合法应用,通过精心伪造的Google Play商店页面分发,声称能为用户的银行卡提供增强安全保护。
来源:https://www.freebuf.com/articles/endpoint/444502.html?sessionid=-378716743
4.2.3.谷歌发布Android 8月安全更新,修复多个高危级漏洞
日前,谷歌针对Android系统发布了2025年8月安全更新,此次更新修复了6个漏洞,其中包含2个已经证实被黑客利用的高危漏洞。据悉,这两个漏洞追踪编号分别为“CVE-2025-21479”与“CVE-2025-27038”,在今年1月被谷歌Android安全团队发现。其中:CVE-2025-21479为图形框架授权错误,可能导致在执行特定命令序列时GPU micronode执行未经授权的命令;而CVE-2025-27038则是use-after-free(使用后释放)漏洞,在渲染图形时使用Adreno GPU驱动程序在Chrome中导致内存损坏。此外,此次安全更新中,谷歌还修复了一个包含在系统组件中的安全漏洞,该漏洞如果被利用,能够使攻击者在未经授权的情况,无需与用户交互便进行远程代码执行。
来源:https://www.bleepingcomputer.com/news/security/android-gets-patches-for-qualcomm-flaws-exploited-in-attacks/
参考来源1:https://mp.weixin.qq.com/s/TTlx3szeHXiIFcQIaE-ilg
参考来源2:https://mp.weixin.qq.com/s/woPckeDMaHILODOPrZJIIQ