政策趋势
一、《数据安全技术 个人信息保护合规审计专业机构能力要求》等3项国家标准公开征求意见
全国网络安全标准化技术委员会归口的《数据安全技术 个人信息保护合规审计专业机构能力要求》等3项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该3项标准征求意见稿面向社会公开征求意见。
二、工信部等五部门联合印发《科技服务业标准体系建设指南(2025版)》
工业和信息化部、科技部、住房城乡建设部、市场监管总局、国家知识产权局等五部门近日联合印发《科技服务业标准体系建设指南(2025版)》。
《指南》机构管理标准方面强调,规范科技服务业机构的组织架构、运营流程、人员管理、服务质量监控、数据安全、信息安全与合规性等要求,包括技术转移机构、技术交易机构、创业孵化机构、生产力促进机构等科技服务业机构的建设、管理及评价标准。
数据统计标准方面强调,规范科技服务业机构及个人在数据收集、处理、分析、报告等过程要求,包括数据安全存储、数据互联互通、数据分析与利用等技术要求和操作标准。
三、社会救助法草案二审稿提请审议 进一步加强个人隐私和个人信息保护
近日,社会救助法草案二次审议稿提请十四届全国人大常委会第二十一次会议审议。
有的常委会委员、地方、基层立法联系点和社会公众提出,社会救助工作在审核、公示等环节需要收集、使用大量个人信息,如果处理不当,可能侵害隐私权和个人信息权益,建议进一步加强关于保护个人隐私和个人信息方面的规定。对此,草案二审稿作如下完善:一是将草案一审稿第六十七条关于保护个人信息的规定移至总则并修改为:“社会救助工作应当依法保护个人隐私和个人信息。有关单位和人员处理个人信息应当遵循合法、正当、必要原则,采取有效措施保障个人信息安全,对在社会救助工作中知悉的个人信息等,应当依法予以保密。”二是根据“必要”原则,将申请社会救助时需要报告的信息限定为“与申请社会救助相关的情况”。三是增加规定泄露个人隐私或者个人信息的法律责任。
四、工信部等五部门部署加强信息通信业能力建设 支撑低空基础设施发展
工业和信息化部、中央网信办、中央空管办、国家发展改革委、中国民航局等五部门近日联合印发《关于加强信息通信业能力建设 支撑低空基础设施发展的实施意见》,围绕加强信息通信业能力建设,提出组织开展试验验证、提升产业供给能力、推动集约协同与标准化建设、规范行业管理、强化网络和数据安全保障、优化频率供给等6方面具体举措。
其中,规范行业管理方面,《意见》强调,面向低空应用场景,开展电信业务准入、设备管理、服务监督、互联互通、应急通信、网络和数据安全等监管体系研究,加强监管能力体系建设,规划无人机专用号段,推动“一机一码一号”能力建设,探索标识解析在无人机领域的应用,形成无人机通信资源精细化管理。
强化网络和数据安全保障方面,《意见》强调,探索构建信息类基础设施网络和数据安全保障体系,落实网络安全等级保护、关键信息基础设施安全保护等制度要求,深化信息通信业网络安全防护管理,加强数据分类分级保护,推进网络和数据安全标准研制,开展监测预警、检测评估、应急处置等能力建设,推动相关企业落实安全主体责任。
五、工信部印发通知推进国家算力互联互通节点建设工作
近日,工业和信息化部印发《关于开展国家算力互联互通节点建设工作的通知》,正式启动国家算力互联互通节点建设工作。
建设内容包括六大核心系统:国家算力互联网服务中心、算力标识管理系统、算力资源汇聚系统、算力选择系统、算力运行安全监测系统及安全保障系统。其中,安全保障系统将构建网络、数据、业务、应用全维度安全防护体系,覆盖漏洞扫描、安全管控、风险评估等关键环节。
六、河北发布数智赋能产业集群高质量发展工作方案
为加快推进产业集群数字化建设,推动产业智能化、绿色化、融合化发展,河北省制造强省建设领导小组发布《河北省数智赋能产业集群高质量发展工作方案》。
《方案》基础设施提升工程方面提出,加快产业集群5G—A、5G轻量化、北斗、IPv6、区块链、边缘计算等新型数字基础设施建设,提升产业集群和产业园区数字化承载能力。大力推动集群工业互联网平台建设,为集群企业提供“云平台+低代码+大模型+云应用”一体化服务。推动工业互联网标识在集群的普遍应用,提高集群企业供应链管理、重要产品追溯、产品全生命周期管理能力。建立集群工业信息安全通报机制,开展集群企业数据安全和网络安全分类分级管理,提升企业数据和网络安全防护水平。
数据要素融通工程方面,《方案》强调加强数据资源管理,引导企业建立数据采集、治理、分析、应用的全流程管理机制。鼓励企业、平台运营方在合规前提下,深度挖掘工业数据价值,开发标准化数据产品和服务,探索数据资产评估、登记、交易等新模式,培育数据驱动的新业务增长点。加快全省可信数据空间建设,构建运营规范、技术自主、生态协同、标准统一的可信数据空间发展体系。鼓励有条件的产业集群、平台、企业探索建设集群可信数据空间,为集群内企业间、企业与平台间、政企间的数据安全有序共享与融合应用提供可信环境。
七、《可能影响未成年人身心健康的网络信息分类办法》3月1日实施
近日,八部门联合发布《可能影响未成年人身心健康的网络信息分类办法》,该办法自 2026 年 3 月 1 日起施行,明确了四类影响未成年人身心健康的网络信息范畴,涵盖诱导不良行为、扭曲价值观、不当使用未成年人形象、违规披露未成年个人信息等具体情形。
《办法》要求,相关信息传播前需做显著提示,网络产品和服务提供者需提供标识功能,且不得在首页首屏等醒目位置呈现此类信息。提供算法推荐、生成式人工智能等服务的主体,需建立安全管理制度,禁止向未成年人推送相关信息。同时,专门面向未成年人的网络产品和服务,严禁制作传播此类信息,网络信息内容生产者及服务提供者需落实防范抵制措施,违反办法将依据《网络安全法》等法规处理。
八、国家数据局等部门关于培育数据流通服务机构加快推进数据要素市场化价值化的意见
当前,各类数据流通服务机构竞相发展,在优化数据资源配置、拓展数据应用场景、激发数据市场活力等方面发挥了积极作用,但也存在功能定位尚不清晰、服务能力仍有短板、监督管理亟待完善等新情况新问题。为进一步明晰数据流通服务机构功能定位,提升数据流通交易服务效能,释放数据要素价值,加快繁荣数据市场生态,国家数据局提出相关意见。
就推动数据流通服务平台企业专业化发展,国家数据局强调支持各类数据流通服务平台企业围绕产业链、供应链和平台生态,促进数据流通利用和价值共创。支持产业互联网平台企业围绕产业链数据开发利用,创新数据汇聚加工、流通交易等新模式。支持数据基础设施运营方以数据基础设施为载体,发挥保障数据安全合规高效流通的优势,协同多主体构建数据价值共创新机制。鼓励云服务平台企业强化数据汇聚、生态链接功能,探索“一站式”数据流通利用新模式。
加快提升数据流通交易服务效能方面,强调支持各类数据流通服务机构应用推广数据流通交易合同示范文本,提升安全合规能力。鼓励企业单列数据采购科目。支持数据交易所(中心)提升服务各类主体数据采购能力。支持数据流通服务平台企业整合重点行业领域数据资源,联合开展数据产品开发和流通利用。发挥数据商在场景价值挖掘、产品开发等方面积极作用,活跃市场生态。
强化数据安全保障方面,强调牢牢守住数据安全底线,把安全合规贯穿数据供给、流通、使用等全过程,在实践中细化落实数据流通安全治理规则,提升数据安全治理能力,促进数据安全合规高效流通利用。各类数据流通服务机构应落实数据安全相关法律法规要求,加强数据基础设施安全保护,提升数据安全保障效能。
九、广东省人民政府办公厅印发广东省加快数字社会高质量建设实施意见
近日,广东省人民政府印发了《广东省加快数字社会高质量建设实施意见》。
《意见》强调打造融贯虚实的个人数字账户。探索建设个人数字账户技术支撑平台,建立便捷高效的平台运营服务体系。构建个人数字账户,整合个人在政务服务、公共服务、社会事务等领域的身份认证、数据归集、服务申办、权益管理等功能。引导群众建立适数认知能力和思维模式,加强个人数据管理、隐私保护,依法行使个人数据权利,促进个人数据合规应用。
巩固安全可信防护屏障。强化网络和数据安全保障能力建设,加强跨部门协同联动,推动人工智能、量子技术、物联网等技术安全应用。常态化开展网络安全评估和实战攻防演练,不断提升网络安全应急响应能力和数字风险防范能力。
十、重庆市人民政府办公厅印发《重庆市推进城市全域数字化转型行动计划》
近日,重庆市任命政府印发《重庆市推进城市全域数字化转型行动计划》。
《计划》总体要求指出,抓实数据安全,要建设数据灾备中心,加强数字重庆人工智能底座保密防护和管理。落实数据分类分级保护制度,完善风险监测预警、安全审查监管等机制。
十一、福建省出台十措施加强数字经济创新型企业培育
为深入贯彻习近平总书记关于发展数字经济的重要论述,落实国家发展改革委、国家数据局等六部门《关于加强数字经济创新型企业培育的若干措施》文件精神,加快培育壮大数字经济创新型企业,推进数字经济高质量发展,福建省发改委(省数据管理局)制定出台了《福建省加强数字经济创新型企业培育十条措施》。
《措施》从源头发现、要素保障、市场拓展、监管环境四大方面针对性提出10条可操作、可落地的具体举措,其中核心举措是6大要素保障,分别从数据、资金两方面锻长板,从算力、金融、人才、创新四方面补短板。
《措施》强调,优化数创企业源头发现机制、实施“数据要素赋能提升行动”、推动算力资源高效供给、强化金融供需对接、加强人才队伍建设、提升创新策源能力、统筹各级各类财政资金支持、建立“场景开放+应用驱动”机制、强化企业出海服务、健全开放包容审慎的发展环境。
监管动态
一、2025网信执法数据发布:聚焦AI滥用与数据安全,为从业者划清合规红线
2025年,全国网信系统坚持依法管网,加大网络执法力度,切实维护网络空间安全。全年约谈网站平台5811家,警告1646次,罚款521家,下架App2133款,关闭网站、App9637家,形成有力震慑。
执法重点涵盖两大领域:一是网络信息内容整治,严厉打击侵害未成年人、网络暴力等乱象,针对AI“换脸”假冒公众人物、售卖“开盒”服务等行为,依法采取顶格罚款、账号处置等措施;对发布涉企虚假信息、“饭圈”极端化等违规账号予以关闭。
二是网络安全与数据安全执法,推进常态化监管,对未履行网络安全保护义务、系统漏洞未及时处置、数据泄露的平台,依法追责;整治App过度收集个人信息、违法出境个人信息等问题,对未落实AI合成内容标识要求的App予以下架。
二、赵学军搜集我国航天领域核心要害情报卖钱,被判刑
近日,央视法治在线披露一起间谍案:航天科研人员赵学军留学被金钱策反,被判7年有期徒刑。
赵学军是我国某科研院所的科研人员,属于重要涉密人员。2009年,赵学军赴西方某国留学,被当地一名外籍男子盯上。该外籍男子多次向赵学军表示赞赏其学识,与赵学军进行了结识,结识之后更是多次以项目挣了钱为由,请赵学军吃烧烤,双方增进感情。后来,赵学军的家属赴国外探亲,对方不仅热情邀请赵学军和家人共同出游、观看演出,还精心准备礼物。心里认定了这个异国他乡的好友后,赵学军开始按照对方的需求,提供航天领域相关专业知识,并以咨询费的名义收取相应的报酬。
一年的留学生活很快过去,临近回国之前,境外人员高价邀请赵学军一起工作。赵学军思虑再三后,选择了与境外间谍情报机关合作。回国后,赵学军利用在科研院所工作的便利条件,大量搜集我国航天领域核心要害情报,并使用境外间谍情报机关提供的专业间谍器材,将情报提供给对方。其间收取数十万元间谍经费。
尽管境外间谍情报机关精心策划、小心实施,但这一切依然没能逃过我国国家安全机关的视线。2019年6月,国家安全机关对赵学军采取强制措施,经审查认定赵学军向境外提供的情报,属于我国航天领域最新研究进展情况。2022年8月,赵学军因间谍罪被判处有期徒刑7年,剥夺政治权利3年,并处没收个人财产人民币20万元。
三、重庆某企业未履行网络安全保护义务,企业负责人被约谈
近日,九龙坡区网信办对属地一企业履行网络安全主体责任不到位的行为依法开展约谈。经查,该企业网络安全风险意识薄弱,未按规定履行网络安全保护义务,对其运营的网络信息系统管理不到位,存在敏感信息泄露风险隐患。
九龙坡区网信办依据《中华人民共和国网络安全法》等相关法律法规,对涉事企业进行了严肃约谈并责令其限期整改,要求企业健全网络安全管理机制,强化员工网络安全法律法规和实操技能培训,定期开展网络安全风险排查,切实提升安全事件处置能力。
四、数据服务公司员工出售公民个人信息20余万条 获刑
近日报道,上海一家专门提供数据服务的公司突然接到合作客户的紧急来电,对方询问:“公司是否出现了信息泄露?我们在境外即时通讯软件及相关网站上,发现了大量包含电话号码、身份证号、贷款状态等信息的截图,经比对,这些信息正是此前贵公司提供的客户数据。”
接到反馈后,数据服务公司立即启动内部核查。技术人员循着客户提供的线索,发现截图中的客户信息均源自数据服务公司通过不同供应商发送的短信内容。顺着数据流转的轨迹,技术人员调取公司后台系统的登录浏览记录,发现员工罗某某近期的查询记录中,包含大量与泄露信息匹配的数据,且查询范围远超其岗位职责权限,涉及用户地址等内容。公司当即委托员工陈先生向公安机关报案,举报罗某某涉嫌非法获取、出售公司业务过程中收集的公民个人信息。公安机关迅速立案侦查,并于当月将罗某某抓获归案,依法扣押了其作案使用的手机、电脑等电子设备。
2025年9月,案件移送至静安区检察院审查起诉。到案后,罗某某对其窃取公司个人信息并对外出售的基本事实供认不讳。据其供述,公司掌握着大量通过推广、宣传等方式获取的公民个人信息,这些信息包含姓名、身份证号、手机号等内容。一次偶然的机会,他得知境外聊天网站上有人愿意高价收购这类信息,便动了“歪心思”,打算利用自己登录公司系统的权限“捞一笔”。
经查证,2025年5月至6月,罗某某利用工作中查询、下载公司后台客户信息的权限,下班后通过远程操控方式,窃取公司数据库中公民个人信息向境外出售,并以虚拟币形式结算获利,累计窃得并出售公民个人信息20余万条。承办检察官认为,罗某某违反国家有关规定,窃取公民个人信息并出售,情节特别严重,应当以侵犯公民个人信息罪追究其刑事责任。
2025年12月5日,静安区检察院以侵犯公民个人信息罪对被告人罗某某提起公诉。除要求追究其刑事责任外,还一并提起刑事附带民事公益诉讼,请求判令被告人支付公益损害赔偿金,永久性删除非法获取的公民个人信息,并就其侵犯公民个人信息的行为公开赔礼道歉。
五、沃尔沃发生数据泄露:因供应商被黑
近日消息,沃尔沃集团北美公司日前披露了一起间接的数据泄露事件。起因是美国商业服务巨头Conduent的IT系统遭到入侵,沃尔沃正是它服务的客户。
2025年底,Conduent披露了一起大规模数据泄露事件,沃尔沃集团北美公司约1.7万名客户,以及其员工和/或公司工作人员的个人信息因此遭到暴露。该公司在2024年10月21日至2025年1月13日期间遭遇安全事件,威胁行为者窃取了个人的全名、社会安全号码(SSN)、出生日期、健康保险保单信息、身份证件号码以及医疗信息。Conduent尚未确认受影响个人的确切数量,但此前披露称,该事件影响了俄勒冈州的1050万人以及德克萨斯州的1550万人。
目前,该公司正代表其客户向受影响方发送通知,并向沃尔沃集团北美公司的客户和员工提供至少1年的免费身份监控服务,包括信用监控、暗网监控以及身份恢复服务。此外,通知接收者还被建议考虑在其信用报告中设置欺诈告警或进行安全冻结。
此外,沃尔沃集团北美公司近期还遭遇了另一场新的数据泄露事件,同样由第三方供应商引发,暴露了员工的全名和社会安全号码等数据。2025年8月,IT服务供应商Miljödata遭到入侵,导致150万人的信息被暴露,其中包括瑞典和美国的沃尔沃集团员工。
六、国家背景黑客劫持Signal,双手段监控窃密军政高官
德国最高安全机构近日就针对欧洲高级官员和记者的复杂网络间谍活动发布紧急警告。德国宪法保护局(BfV)与联邦信息安全办公室(BSI)披露,具有国家背景的黑客正在劫持Signal账户以监控私人通讯。
2月6日发布的联合公告指出,主要攻击目标为军事人员、外交官、政界人士和调查记者。与传统使用恶意软件或漏洞利用的黑客手段不同,此次攻击完全依赖"社会工程学"手段,诱骗受害者利用合法功能实施自我侵害。
第一种攻击方式中,黑客伪装成"Signal客服"或"Signal安全聊天机器人"。他们直接在应用内联系目标对象,声称受害者设备存在可疑活动或数据泄露。为"修复"问题,虚假客服机器人要求用户通过发送PIN码验证身份。若受害者分享这组六位数验证码,黑客会立即在其控制的新设备上注册该手机号码。此举将导致合法用户被锁定账户,而攻击者则获得完全控制权,可在后续聊天中冒充受害者。
第二种手段更为隐蔽,允许黑客在不锁定用户的情况下监控聊天内容。攻击者以加入群组或验证设备等合理借口,诱骗受害者扫描QR码。从技术角度看,该QR码实为"设备关联"请求。当受害者扫描时,会在无意间授权黑客的平板电脑或计算机关联其账户。连接建立后,攻击者可静默读取所有新消息及过去45天的聊天记录。由于受害者的手机通常仍能正常使用,此类访问往往能持续数周而不被发现。
七、图库分享平台Flickr遭黑客入侵 用户邮箱IP等信息泄露
据报道,近期有用户在Reddit上披露照片分享平台Flickr遭到黑客入侵,导致用户信息遭泄露,自己正是作为受害者收到了来自Flickr的通知邮件。
根据邮件内容,Flickr于2月5日注意到平台系统出现漏洞,有黑客利用漏洞非法下载了平台用户资料信息,涉及用户真实姓名、电子邮箱地址、Flickr 用户名、IP地址、通用地理位置(General location)以及平台活动记录,不过用户的密码和信用卡信息未受到影响。
Flickr表示,公司在获悉情况后的数小时内已关闭受影响系统的访问通道,并移除所有指向问题端点的链接,同时要求供应商展开全面调查,公司自身也同步启动内部调查,并审查与强化现有安全措施及第三方供应商管理机制。账号受到波及的用户应立刻重置密码,并警惕可能出现的钓鱼邮件攻击。
八、荷兰电信运营商Odido遭网络攻击 620万用户信息泄露
荷兰电信公司Odido公司近日在一份新闻稿中宣布遭遇网络攻击。此次攻击导致620万个账户的数据泄露,其中包括客户姓名、家庭住址和银行账号。
此次个人数据泄露源于Odido使用的客户联系系统。不过,据该公司称,密码、通话记录和账单信息均未受到影响。Odido发言人告诉荷兰电台BNR,该系统属于一家外国公司。
该公司在新闻稿中表示:Odido对此次事件深表遗憾,并将全力以赴减少此次事件的影响,并为客户提供一切必要的支持。Odido还称,运营服务未受影响:客户可以继续安全地拨打电话、使用互联网和观看电视。该公司目前正在通过电子邮件通知受影响的客户。此外,该公司还推出了一个信息页面,提供有关此次事件的更多详细信息。
九、谷歌三名工程师窃取处理器与密码学核心机密
近日消息,FBI 与加州北区检察官办公室破获一起硅谷科技公司商业机密盗窃案,逮捕 Samaneh Ghandali、Soroor Ghandali、Mohammad Khosravi 三名涉案工程师。
三人利用职务权限,从 Google 及另外两家科技公司非法复制处理器安全、密码学等敏感资料,涉及数百份机密文件。他们通过境外通讯平台传输数据,交叉使用个人与他人设备存储,并采用拍摄屏幕方式规避监控,事后销毁通讯记录、提交虚假声明试图掩盖,部分信息流向伊朗。
Google 安全系统于 2023 年 8 月发现异常并终止相关权限。本案由 FBI 主导侦办,涉案人员被控窃取商业机密与妨碍司法,单项罪名最高分别面临 10 年、20 年监禁,下次庭审定于 2026 年 2 月 20 日。该案凸显内部威胁与数据防泄漏的严峻性。
十、“网络开盒”入刑,1200条个人信息泄露案敲响合规警钟
近日,最高人民检察院公布一起涉 “网络开盒” 个人信息保护检察公益诉讼典型案例,该案中 1200 余条明星、网红及社会热点事件当事人等不特定自然人的个人信息被非法曝光,涉案人员在境外软件搭建三个专属 “开盒” 频道,还组织、煽动对目标对象实施电话、短信骚扰与辱骂等行为。
检察机关以民事公益诉讼介入该案,是个人信息保护司法实践的重要突破。针对 “网络开盒” 的治理,需司法机关依法亮剑,同时推动法律法规完善、技术防护升级与平台责任落实,更要强化全社会网络文明素养,通过源头防控、全链治理,破解新型网络侵权难题,筑牢数字时代个人信息保护与公共利益安全的双重屏障。
十一、投资平台Betterment遭遇大规模数据泄露 1.4M用户个人信息外泄
美国自动投资与“robo-advisory”平台Betterment在2026年1月发生数据泄露事件,约1 435 174个用户记录被曝光,涉及电子邮件地址、姓名、地理信息等主要联系信息,以及在部分记录中包含出生日期、联系电话、实住地址等敏感属性。该数据量由数据泄露监测服务Have I Been Pwned确认添加至公开数据库。
此次入侵并非利用技术漏洞,而是源于一次针对Betterment所使用第三方平台的社会工程(social engineering)攻击。攻击者通过欺骗员工泄露凭据,登陆第三方通信系统,并利用该访问权限向客户发送伪装成官方的加密货币诈骗邮件,诱导用户向攻击者控制的钱包转账。
Betterment与外部安全团队(包括CrowdStrike)确认,在此次事件中没有客户账户、密码或登录凭据被访问或窃取,核心金融系统未受技术性破坏。betterment.com不过,大规模PII泄露为后续高级钓鱼、身份盗用与商业邮件妥协(BEC)等攻击提供了基础数据。
十二、40,000+ OpenClaw 实例暴露在公网,AI 智能体安全危机警报
安全研究人员最新发现,开源自主 AI 智能体 OpenClaw(前称 Clawdbot、Moltbot)有大量实例因错误配置暴露在公网,超过 40,214 个实例与 28,663 个唯一 IP 地址可被访问,可能让攻击者获取敏感系统访问权。
OpenClaw 旨在通过即时通讯平台(如 WhatsApp、Telegram 等)接收指令,自动执行用户任务,它不是简单聊天机器人,而能管理文件、发送邮件等,对用户系统具有高权限。
由于许多部署缺乏适当的身份验证、访问控制和防火墙保护,这些实例可能泄露私人聊天记录、API 密钥和系统凭据,甚至允许远程执行命令。一旦被恶意利用,攻击者可凭借暴露的接口对用户或企业网络发起进一步攻击。
研究强调,快速扩散的自主 AI 平台如果未严格配置安全措施,将成为新的攻击面。建议企业和开发者在部署此类智能体时务必实施强认证、最小权限原则及定期安全审计,以降低潜在风险。
十三、AI 聊天应用大漏记:3亿条私聊数据被暴露,2500万用户隐私受威胁
近日,独立安全研究人员披露,热门 AI 聊天应用 Chat & Ask AI 出现重大数据泄露事故,约 3亿条聊天记录 与 2500万用户 相关的数据被意外暴露。该应用在 Google Play 和 Apple App Store 上拥有超过5000万注册用户。
据分析,这次泄露源于应用后端 Google Firebase 数据库配置错误,导致存储的私人聊天内容对外公开可访问,包括用户与聊天机器人之间的完整对话、时间戳、所选 AI 模型及个性化设置等信息。
值得注意的是,这些消息中包含大量敏感内容,例如心理健康问题、非法行为咨询等,对个人隐私与安全构成严重威胁。虽然 Chat & Ask AI 并不自己运行 AI 模型,而是连接 OpenAI ChatGPT、Anthropic Claude 和 Google Gemini 等大型语言模型,但其存储与保护措施出现的缺陷暴露了第三方 AI 应用在数据治理方面的脆弱性。
安全专家指出,这类 Firebase 配置不当是常见且易被利用的弱点,呼吁开发者优先强化后端访问控制与数据权限策略。同时提醒用户对任何 AI 聊天应用的隐私风险保持高度警惕。
十四、120 万法国银行账户泄露,公职人员权限成最大安全漏洞
法国国家银行账户登记系统FICOBA发生安全breach。攻击者利用一名公务员泄露的凭证,自1月下旬起非法访问政府信息共享平台,下载约120万条银行账户数据。FICOBA由DGFiP维护,数据库覆盖全国约3亿个账户、涉及8000万居民。
泄露信息包括RIB/IBAN、账户持有人姓名、地址及部分纳税人识别号。法国政府表示,这些数据本身不足以直接转移资金,但安全专家指出,此类高完整性金融身份数据极易被用于Business Email Compromise、鱼叉式钓鱼及社会工程攻击,放大欺诈风险。
事件发生后,相关访问已被阻断,法国已通报CNIL并启动调查。该事件再次凸显集中式金融数据平台对凭证安全、访问控制与审计监测的高度依赖,一旦身份体系被突破,风险将迅速外溢。
十五、TriZetto 医疗保险数据泄露规模持续扩大,超340万美国人信息泄露
美国医疗保险技术服务商 TriZetto Provider Solutions 于2024年发生的数据泄露事件,受影响人数最新更新至3,433,965 人。该公司主营医保理赔、参保登记、支付管理等系统,年处理交易超 40亿笔。
事件始于2024年11月,攻击者通过 Web 门户访问系统内历史医保资格核查报告,TriZetto 于10月发现入侵并上报执法部门,委托 Mandiant 开展调查。泄露信息包含社保号、住址、医保编号等敏感数据。
此前俄勒冈州披露超70万人受影响,目前该 breach 已波及新罕布什尔、加利福尼亚、南卡罗来纳、马萨诸塞、佛蒙特、得克萨斯、俄克拉荷马等多州。其中得克萨斯州171,158 人、南卡罗来纳州3,562 人受影响。TriZetto 自12月起通知客户,并代客户向美国卫生与公众服务部民权办公室及各州机构报备,为受害者提供为期一年的信用监控服务。TriZetto 为 Cognizant 子公司,双方均未就此事公开回应。
十六、美国汽车数字平台遭勒索组织数据泄露,370 万条全新信息流入黑产
境外勒索组织 ShinyHunters 对外发布号称窃取自美国汽车数字平台 CarGurus 的 6.1GB 数据,共计 1240 万条用户记录。该平台月活约 4000 万访客,业务覆盖美、加、英三国。
泄露数据包含邮箱、IP 地址、姓名、电话、住址、账户 ID、金融申请数据、经销商信息及订阅资料等。数据泄露监测平台 HaveIBeenPwned(HIBP)已收录相关数据,确认其中 30% 为新增泄露信息,约 370 万条,其余 70% 在此前事件中已出现。
业界之声
一、国家数据局2026年重大课题委托研究征集公告
近日,国家数据局向社会公开征集课题研究承担单位,研究题目及要点如下:
1.数字中国发展指标体系迭代优化研究。在现有数字中国发展指标体系基础上,优化“通用维度+行业特色”的多层级可量化指标,构建科学、系统、可操作的数字中国发展评价指标体系与评估方法;结合实证研究,聚焦分析各行业、各地区数字化建设的差异化特征与共性规律,提出完善数字中国发展指标评估实施、结果应用与制度保障机制的建议,以客观、准确地衡量数字中国整体建设的进展、成效与短板,形成服务国家决策和行业发展的科学评价工具。
2.开放共享安全的全国一体化数据市场理论内涵研究。在总结提炼技术、土地、资本等生产要素市场及云服务、知识付费、软件等市场成长规律基础上,结合国内外数据市场发展实践,科学论证阐释开放共享安全的全国一体化数据市场的理论内涵、核心要义及本质特征,全面把握数据市场建设面临的新形势新要求,研究提出进一步推进数据市场建设的政策建议。
3.数据立法制度框架及推进路径研究。系统性梳理国内各地方数据立法实践情况,对比欧盟、美国等国际数据治理规则,分析全球数据治理规则法治趋势,提出推进数据立法的制度框架和具体路径,研究分析数据立法的基本方针和原则、应明确的具体事项、涉及的具体规则等内容,并基于研究提出政策建议。
4.基于先行指数的数字经济监测预测体系理论与应用研究。完善基于先行指数的数字经济监测预测体系理论框架,挖掘监测指标与关键经济指标的因果关系与传导路径,实证测度与优化数字经济先行指数。通过案例研究,验证该体系在支撑数字经济宏观形势研判与政策制定中的应用价值,服务高质量发展。
5.平台经济等新经济形态下纳统方法研究。结合平台经济等新经济形态发展趋势,聚焦统计理论、统计方法与新经济形态的适配性,研究分析传统统计理论的覆盖范围与短板,科学界定平台经济等新经济形态的统计边界,构建契合新经济形态特征的分类标准与指标体系;研究创新数据采集校验方法,提升“应统尽统”能力;研究建立健全数据采集统计新模式,为新经济形态统计监测体系提供理论支撑与实施路径。
6.数字经济无形资产投资制度创新与实践路径研究。贯彻落实国务院关于更加注重创新要素投入、无形资产投资的重要部署,进一步发挥数字经济领域有效投资作用,聚焦新形势下投资结构变化趋势和数字经济发展特点,系统梳理数据、算法等无形资产特性及其对现有统计核算、造价估值体系的挑战,构建适应无形资产投资的投融资和统计机制改革框架,研究无形资产纳入固定资产投资统计、健全相关造价标准规范、进入政府采购目录等方面的方法学及实践路径,为健全统计核算体系、完善投资考核机制、创新项目组织方式、促进投资结构优化提供理论支撑与政策方案。
7.进一步释放科研数据价值的体制机制研究。梳理我国科研数据开发利用的基本情况和主要场景,提炼主要特征和客观规律,分析释放科研数据价值面临的突出问题及其制度障碍,聚焦制造业、医疗等重点行业,结合国际经验提出科研数据更好赋能科技创新和产业创新的重大举措。
8.数据资源整合治理模式与协同利用机制研究。系统梳理公共数据、企业数据、产业数据等多领域数据资源分散度高的具体表现,深入分析其深层次原因及内在逻辑规律,从政策牵引、市场驱动等多维视角,研究提出数据资源规模化整合治理和协同利用的创新模式和实现路径。
9.人工智能背景下数据流通利用中“域”的内涵演进与关键问题研究。结合从BI到AI时代发展趋势,研究“域”的内涵、特征和演进方向,构建与数据高效流通利用相适宜的“域”的边界与标准。开展数据“域”体系架构研究,包括关键技术体系、数据流通和管控模式、数据使用追溯和权责划分、运营机制等关键问题研究。围绕公共数据以及重点行业数据开发利用,研究数据不出域与安全出域的场景划分与实施路径,提出相关政策建议,实现在可控、可审、可溯的前提下,数据高效流通和高价值开发利用。
10.面向智能体应用的高质量数据集建设方法研究。研究梳理智能体技术国内外现状与发展趋势,明确智能体环境感知、任务规划、工具调用、多轮交互、安全可控、行业应用等全流程对高质量数据集的需求,形成需求清单;围绕智能体能力构建和应用需求,针对数据采集生成、标注体系构建、质量评估等关键环节,系统提出面向智能体应用的高质量数据集建设方法、重点任务、技术路线和实施路径。
11.数据格式与标准若干重大问题研究。围绕数据格式不统一、数据标准不统一等数据流通利用突出问题,充分调研行业、领域数据格式与相关标准的应用现状,系统梳理当前数据格式、标准不统一的具体表现,深入剖析内在症结,并从整体和领域两个维度,研究提出兼具科学性与实操性的实施路径和政策建议,为打通数据流通堵点、释放数据要素价值提供有力支撑。
12.全球数据战略形势分析和对策研究。跟踪主要国家和地区数据领域最新战略,研判对我影响并提出政策建议。
13.落实投资于人的数字社会建设对策建议研究。系统梳理数字社会领域民生保障现有政策工具,分析数据赋能相关的工程投资、试点建设、奖补支持等各类政策堵点问题、实施成效等。围绕人的全生命周期,研究以“多跨”数据融合工程为切入点,推进数字社会共建共治共享的总体思路、重点任务和对策举措,提出优化投资结构、促进数字消费、带动就业的协同发展建议。
14.面向AI的国家数据基础设施实践路径研究。研究分析人工智能技术演进趋势、产业发展态势和国际竞争形势,聚焦数据要素价值释放、安全保障与统筹布局方面的需求,研究分析AI数据基础设施的体系架构设计、技术挑战、实施路径、评估机制等内容,为国家数据基础设施的系统性部署提供理论支撑与实践指南,助力构建安全可控、高效协同、赋能千行百业的国家级AI数据基础设施,提升我国在数字经济时代的全球竞争力。
二、一体推进数据领域教育科技人才发展
近日,国家数据局公众号发布国家数据局局长刘烈宏的署名文章《一体推进数据领域教育科技人才发展》。
《文章》指出,要构建立足实践的中国数据要素自主知识体系和科学研究体系,推动数据领域学术研究从“分散探索”走向“系统布局”。加快数据领域学术共同体和数字人才梯队建设,建设一批数据领域学术期刊和研究专栏,为数据领域科研人才成长提供清晰的发展路径。瞄准数据要素市场化配置改革重大问题,系统开展数据领域战略研究。聚焦数据产权、定价、交易、安全治理等关键问题,深入开展数据要素基础理论和政策法律研究。紧跟人工智能、区块链、隐私保护计算等前沿技术发展趋势,深入开展数据基础共性理论和技术研究。围绕智能制造、交通运输、金融服务、医疗健康等重点行业和领域,突出数据应用技术研究。
三、辽宁省数据和政务工作会议在沈阳召开
近日,辽宁省数据和政务工作会议在沈阳召开。
会议明确,2026年为全省数据(营商环境建设)系统“数字政务攻坚年”。在数据工作方面,重点抓实8方面工作。一是完善顶层设计。高质量编制数字辽宁“十五五”发展规划,健全多层次政策体系,规范信息化项目管理,建设数据标准规范体系。二是健全体制机制。尽快构建全省统筹、横向协同、纵向联动的工作格局,强化考核督查。三是夯实数据基础设施建设。围绕“算电协同、场景驱动、优化投资”,加快算力基础设施建设,以大连国家数据基础设施建设隐私计算平台为牵引,促进数据流通利用基础设施建设。四是强化数据资源治理。持续实施公共数据供给能力提升3年行动计划,攻坚综合人口、综合法人等5大基础数据库建设,强力推进公共数据资源登记和授权运营。五是提升数字政府统建统管水平。实施专线迁移整合、数据资源库建设和政务数据共享、政务平台优化提升、“高效办成一件事”办件材料预填免交、政务服务标准化、网络和数据安全等六大攻坚行动。六是加快数字经济创新发展,编制《辽宁省数据产业图谱》,推动沈阳、大连数据产业集聚发展,开展高质量数据集建设专项行动,谋划实施一批数字化重点项目。七是推进数字社会建设。推进城市全域数字化转型,深入推进城市治理“一网统管”,大力培育壮大数字消费,深化“12345热线+网格化”改革。八是抓实一批应用场景。聚焦“小切口”打造民生领域标志性场景,深化“人工智能+政务”场景应用,培育“公共数据跑起来”示范场景,以“数据要素×”大赛等赛事驱动场景创新,搭建场景创新支撑平台。
四、宁波市数据系统工作会议召开
近日,宁波市数据系统工作会议召开。
会议强调,2026年是“十五五”规划开局之年,全市数据系统要全面贯彻落实国家数据局“数据要素价值释放年”以及省、市对数据工作的部署要求,加强党建引领,树立正确的政绩观,大力弘扬“六干”作风,激发“六敢”状态,以数据要素市场化配置改革为牵引,聚焦夯实数据基础设施、畅通数据流通循环、激发数字经济活力、构建城市智治体系、优化数字发展环境等方面持续发力,坚决守牢网络数据安全防线和干部廉洁自律底线,为宁波高质量发展建设共同富裕示范先行市赋能赋智。重点抓好六方面工作。一是推进投资项目攻坚再强化,加快增强数据发展动能。强化招商引资支撑保障,推动项目储备申报与投资管理,深化公共数据高质量供给,推动公共数据共享开放利用,加快构建新型算力供给体系,完善城市算力网。二是推进数字政府2.0建设再强化,打造贯通融合场景标杆。统筹推进数字政府2.0建设,全力推进政务应用集约运维改革和数据信息类事业单位改革,深化人工智能+政务应用,强化市级信息化项目建设管理。三是推进改革创新突破再强化,加快释放数据要素价值。深入推进高端数据标注基地和高质量数据集建设,完善“平台+机构”多元市场模式,打造标杆性行业数据流通平台,深化宁波“数创港”建设,推动数据企业培育。四是推进数据基础建设再强化,加快夯实人工智能底座。加快推进数据流通利用基础设施建设,深化宁波城市可信数据空间建设,推进城市智能中枢体系建设,建强一体化智能化公共数据平台(城市大脑),推进云网感知设施建设。五是推进数字环境营造再强化,加快形成统筹推进合力。制定印发数字宁波建设实施方案,加快《宁波市数据应用促进条例》立法,谋划推进数据领域重点实验室、技术创新中心等平台载体建设,强化网络数据安全保障,推进区域合作和交流推广。六是推进干部队伍淬炼再强化,打造担当有为数据铁军。加强“清廉数字”建设,打造“数智红锋”党建品牌,大力推动首席数据官和数据专员等“两勤两专”数据人才队伍建设,着力锻造勇挑大梁、能堪重任、争先领跑的数据铁军。
会议要求,要提高站位抓落实,始终紧扣党委政府发展大局,主动扛责、积极履职,以数据赋能、数据支撑、数据增效为高质量发展提供坚实保障;要聚焦重点抓落实,紧紧围绕数据高质量供给、数据要素价值释放、数据领域改革创新、数据基础设施建设、政务网络数据安全等重点任务,细化工作举措,明确节点进度,全力推动各项重点任务落地落细见行见效;要协同配合抓落实,牢固树立全局意识,加强上下协同,在数字宁波建设、集约运维改革、数据产业发展等工作上,形成上下一心、齐抓共管、整体推进的强大工作合力。
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
热门跟贴