一、政策形势
1、工信部等八部门联合征求对《汽车数据出境安全指引(2025版)》的意见
为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,推动建立高效便利安全的汽车数据跨境流动机制,为产业发展营造良好环境,在国家数据安全工作协调机制统筹指导下,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引(2025版)(征求意见稿)》,拟以规范性文件印发。
《汽车数据出境安全指引(2025版)》分别对(一)重要数据出境、(二)数据出境实施流程 (三)汽车数据安全出境安全保护要求等方面作出了要求,其中汽车数据安全出境保护对以下几个方面提出了要求:
一、防护技术要求
1.数据出境传输安全
l 采用校验技术、密码技术、安全传输通道或者安全传输协议等措施,保证数据出境传输过程中汽车数据的保密性和完整性。
l 汽车数据出境相关系统应当具备对境外数据接收方进行身份鉴权的能力,确保境外数据接收方身份真实性。
2.数据出境安全监测要求
l 汽车数据处理者应当对汽车数据出境传输行为进行安全监测,形成安全日志并留存。
3.检查支持要求
汽车数据出境相关系统应当具备数据出境安全检查技术支持能力,对数据出境原始流量进行留存,支持数据防篡改和内容解析。
l 全量留存。按照起止时间对数据出境流量进行全量留存,留存时间1周。
l 抽样留存。支持按照起止时间、IP地址范围对数据出境流量进行抽样留存,留存时间不少于1个月。
二、日志要求
1. 日志记录
(1)网络流量日志
汽车数据处理者应当对汽车数据出境的网络通信行为进行记录,包括日期、时间、源 IP 地址、目的 IP 地址、源端口、目的端口、传输层协议、应用层协议、数据包大小等形成通信日志并留存。
(2)操作行为日志
汽车数据处理者应当对直接向境外传输汽车数据的主机的操作行为进行记录,包括用户信息、操作时间、操作对象、操作类型、登录 IP、设备信息等,形成操作行为日志并留存。
2.日志留存
汽车数据处理者应对网络流量日志、操作行为日志、安全日志进行防篡改留存,留存时间不少于3年。
3.日志审计
汽车数据处理者应当对网络流量日志、操作行为日志安全日志进行审计,当发现存在非法操作等安全风险隐患时,及时响应处置。
三、应急处置要求
汽车数据处理者应当建立汽车数据违规出境的处置能力,发现异常行为时应及时处置,并按有关要求向本地区行业监管部门报告。
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_181a52f57d14451ba4c8517b79c05177.html
2、《无锡市数据条例》正式发布
近日,《无锡市数据条例》(以下简称“条例”)正式发布。《条例》紧密结合地方数字经济特色和区域发展需求,以“全周期管理”为核心,统筹“发展”与“安全”,为无锡打造“中国数码头”提供法治保障。
《条例》设置总则、数据资源、数据流通、数据产业、数据安全与保障、附则,共6章49条,覆盖“汇集—流通—应用—安全”数据活动全链条,将于8月1日正式施行。
数据安全方面,《条例》第五章:数据安全与保障共11条,精简版:
第三十七条:政府应建数据安全治理体系,鼓励社会力量参与。
第三十八条:政府须建数据安全风险评估、预警及应急机制,加强AI数据治理。公共机构须履行安全责任,定期演练预案。
第三十九条:数据处理者承担主体责任;委托处理的,须监督受托方履行安全义务。
第四十条:政府应建数据全流程风险防控机制,鼓励机构协同创新与安全发展。
第四十一条:数据部门规划基础设施,工信部门统筹算力建设与调度。
第四十二条:公共机构设首席数据官管理数据工作,鼓励企业设立。
第四十三条:政府设数据专家委员会提供决策咨询。
第四十四条:政府加强数据科普与伦理教育,支持高校培养数据人才。
第四十五条:信用部门实施数据交易守信激励与失信惩戒机制。
第四十六条:探索数据纠纷多元化解机制,可提请主管部门协调。支持发展专业化法律服务。
第四十七条:对数据工作中违法失职的公职人员依法追责。
https://mp.weixin.qq.com/s/0yMSgFbT5SPiN42WBiomHA
3、全国2025年“净网”“护网”专项工作部署会召开
2025年“净网”“护网”专项工作部署会20日在京召开。会议要求,要坚持以打开路,进一步构筑“净网”工作新格局。要加大打的力度,紧盯人民群众反映强烈的各类网络乱象,持续依法严打侵犯公民个人信息、网络谣言、黑客犯罪、网络水军、网络黑灰产、网络暴力等突出网络违法犯罪,对重大典型案件要挂牌督办,确保打击质效。要提升打的能力,健全完善“专业+机制+大数据”新型警务运行模式,为高效开展网络线索核查、案件侦办等工作提供有力支撑。要形成打的合力,充分发挥国家网络与信息安全信息通报机制作用,强力推进网络空间安全综合治理,压实互联网企业主体责任,筑牢网络安全防线。
会议进一步要求,要坚持打管衔接,进一步健全“护网”综合治理新体系。要全力保护网络安全,加强关键信息基础设施保护、重要系统安全检测。要全力保护数据安全,加强数据安全问题集中整治、重点行业监督检查,及时整改问题、堵塞漏洞。要全力保护信息安全,加强互联网平台安全监管、人工智能平台安全监管和网络信息内容的全链条监管。
2024年的公安部“净网”行动数据揭示了网络犯罪的严峻现状。据通报,2024年全国公安机关侦办网络违法犯罪案件11.9万余起,其中网络谣言案件4.2万余起,网络暴力案件8000余起,网络水军案件1000余起,网络黑灰产案件2.5万余起,侵犯公民个人信息案件7000余起,抓获犯罪嫌疑人1.2万余名。数据揭示了网络违法犯罪的高发态势,尤其是侵犯公民个人信息、网络谣言和网络暴力等行为,已经成为网络空间中最为突出的问题。
https://mp.weixin.qq.com/s/r1C_HNekvXVY1glKed39MA
4、英国议会通过《数据(使用与访问)法案》
近日,《数据(使用与访问)法案》[Data (Use and Access) Bill] 于英国议会通过,现正等待最后的御准阶段,随后将成为名为Data (Use and Access) Act的正式法律。该法案旨在支持经济发展,改善公共服务,使日常生活和商业合规更加便捷的同时,不会破坏英国《通用数据保护条例》(GDPR)的核心原则。法案将赋予政府通过二级立法实现客户数据与商业数据共享的权力,进而创建新的数据访问和使用框架。法案对英国当下的数据保护框架(即英国GDPR与2018年数据保护法)在自动化决策规则、跨境数据传输、数据主体访问请求和投诉等方面进行了多项改革。
https://bills.parliament.uk/bills/3825
二、数据安全事件
1、非法获取1800万条数据!某公司被判非法获取计算机信息系统数据罪
近日,上海市静安区人民检察院办理了一起非法获取计算机信息系统数据罪案,案情基本情况如下:
2023年6月,A公司监测系统突发异常,用于整合分析相关数据,并以收费方式提供服务的P系统在48小时内遭高频访问6万余次,约有1700余万条某专业领域相关重要数据被非法下载。A公司系统被迫关停,数据服务业务陷入瘫痪。2023年7月,A公司报案。
经初步侦查查明,犯罪嫌疑单位Y公司成立于2019年,犯罪嫌疑人杨某某系法定代表人。2023年5月,Y公司中标了M公司“某某规划项目”,合同总价为人民币25万元人民币。在开展项目合作期间,M公司向A公司借用P系统临时账号,供Y公司查询上述项目的相关数据。岂料杨某某在使用临时账号期间,发现该系统某些专业领域数据全面、细致,资源蕴含巨大经济价值,遂指示公司员工非法使用爬虫软件抓取、下载大量数据。经鉴定,爬取数据量高达1800余万条。
案发后,虽然杨某某非法爬取的数据及相关介质已被侦查人员扣押封存,但从其爬取至案发,数据始终处于不受权利人控制的境地,且根据计算机软件著作权证书、多份服务协议等书证,能够证实A公司被爬取的这千万条数据的商业价值高达1400余万元。
据此,检察官认为,被告单位Y公司、被告人杨某某作为直接负责的主管人员,违反国家规定,超越授权,利用爬虫软件抓取被害单位相关计算机信息系统中存储的数据,情节特别严重,其行为均构成非法获取计算机信息系统数据罪。
最终,静安区人民法院以非法获取计算机信息系统数据罪作出一审判决,判处Y公司罚金五万元;判处杨某某有期徒刑三年,缓刑三年,并处罚金三万元。
公诉人在庭前准备时说,“数据安全是数字经济的生命线,但不少从业者对技术行为的法律边界认识模糊。这场庭审要让相关行业从业者充分了解到,技术创新不能自带‘法律豁免权’,数据领域没有‘法外之地’。”
https://mp.weixin.qq.com/s/5T_e3UIsg3O3Njc7eDD0Tw
2、北京两家企业因数据泄露被顶格处罚
据北京市网信办消息,近期部分企业因未依法履行数据安全保护义务,导致相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞等问题,造成数据被窃取,北京市网信办依法对涉案企业进行了查处。
在北京市网信办通报的典型案例中,北京某科技公司在开展业务过程中,因技术人员缺乏数据安全保护意识,未对后台业务系统的接口配置访问控制和身份认证等安全措施,导致该系统存在未授权访问漏洞,使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。
另一起案例显示,北京某有限公司在开展业务过程中,为方便系统测试,将部分服务器端口对外开放且未限制访问,使储存于其中的姓名、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。
以上两家企业均未依法履行数据安全保护义务,未建立健全全流程数据安全管理制度,相关系统未采取技术措施和其他必要措施保障数据安全,造成部分个人信息数据遭窃取,北京市网信办依法对两家公司作出警告,并分别处以五万元罚款的行政处罚。
https://df.youth.cn/dfyw/202506/t20250614_16058970.htm
3、57款APP(SDK)被工信部通管局通报,存在侵害用户权益行为
近日,根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。经组织第三方检测机构进行抽查,共发现57款APP及SDK存在侵害用户权益行为。
本次通报所涉问题集中表现在以下方面:
1. 违规收集个人信息
2. 超范围收集个人信息
3. 强制、频繁、过度索取权限
4. 信息窗口乱跳转
5. 频繁自启动和关联启动
6. 强制用户使用定向推送功能
数达安全提醒与防范建议:
1.权限最小化
l 安装时仅授权必要权限(如地图APP只需位置权限),非必需权限一律拒绝。
l 定期检查手机设置→隐私→权限管理,关闭超范围权限(如计算器APP索要通讯录)。
2.关闭自启动与推送
l 在设置→应用启动管理中,禁止非必要APP自启动及关联启动。
l 进入APP设置页关闭“个性化推荐”,减少定向推送骚扰。
3.防范信息泄露
l 警惕诱导点击的弹窗(如“抽奖”“红包”),不随意跳转不明链接。
l 优先选择官方渠道下载APP,避免使用破解版、小众SDK。
4.主动维权
遇强制收集、频繁骚扰等行为,立即向网信办违法举报平台(12377)投诉。
关键口诀:非必要不授权,定期清权限,跳窗勿乱点,举报护安全!
https://mp.weixin.qq.com/s/KiKmXAyiz1qaqbeUpCxF2g
三、技术、产品与市场
1、第五届数字安全大会收官 数达安全参展并斩获年度创新力企业!
6月21日,第五届数字安全大会完美收官,数达安全凭借前沿技术实力与创新成果,荣膺大会重磅奖项——“年度创新力企业单位”!数达安全携第三代数据库加密技术惊艳亮相,以AI驱动的全栈防护体系,为数据安全领域注入全新动能。
本次大会由数世咨询主办,聚焦数据要素化安全、可信数据空间、安全智能体、安全优先的大模型、数智化安全运营等热点话题,吸引了来自政府、监管、工业制造、能源、航空、金融、运营商、医疗、教育、互联网等各大行业的CIO/CSO和数字安全厂商,共300余人到场,同时当天有近万人通过线上观看此次数字安全盛宴。
https://mp.weixin.qq.com/s/Qrj1A-tYnuWp8TsPPg9XFg
2、ICCR春季会议聚焦AI信贷风控安全与公平性
技术革新:国际信贷报告委员会(ICCR)春季全体会议于6月25日至27日在南非开普敦举行,全球央行代表及专家重点探讨了AI在信贷风控中的算法透明性与数据偏见修正模型。会议指出,AI需消除种族、性别等因素导致的评估偏差,确保风控决策公平性。拉美信贷机构协会(ALACRED)主席Elias Sfeir强调,信用机构在数据治理与金融包容中扮演核心角色。
产品实践:会议展示了拉美地区信用风险评估案例,揭示新兴市场面临的数据安全挑战。针对开放银行趋势,跨机构数据安全接口成为解决方案核心,推动合规共享的同时保护消费者隐私。世界银行高级金融专家Fredesvinda Montes主持讨论时指出,平衡技术创新与消费者权益需强化监管协作。
行业趋势:全球监管机构呼吁建立统一的信贷数据治理标准,拟于2025年底落地《信贷AI伦理实践指南》草案,为金融机构提供算法审计框架。巴西央行副行长David Pereira表示,该框架将界定AI自动化决策的合规边界,防止金融歧视。
关键成果:会议推动非洲区域咨询小组(RCG)首次线下会晤,加速跨洲关基安全合作,为南半球金融数据治理注入新动能。
https://www.prnewswire.com/news-releases/anbc-represents-latin-america-in-global-debate-about-the-impact-of-artificial-intelligence-on-credit-at-iccr-event-in-south-africa-302488822.html
