一、政策形势

1、《国家网络身份认证公共服务管理办法》将于7月15日施行

由公安部、国家互联网信息办公室等部门联合公布的《国家网络身份认证公共服务管理办法》（以下简称《管理办法》）将于2025年7月15日起施行。

《管理办法》共16条，主要规定四方面内容。一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式；二是明确了使用国家网络身份认证公共服务的效力、应用场景；三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任；四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。

《管理办法》明确网号、网证的自愿使用原则，鼓励有关主管部门、重点行业、互联网平台按照用户自愿原则推广应用，但同时保留、提供现有的或者其他合法方式进行登记、核验身份。《管理办法》鼓励互联网平台接入国家网络身份认证公共服务，但应当保障未使用网号、网证的用户与使用网号、网证的用户享有同等服务。

《管理办法》严格依照个人信息保护法等规定，充分保护公民个人信息权益。在信息收集方面，对选择使用网号、网证登记、核验真实身份的用户，除法律、行政法规另有规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息。在信息提供方面，国家网络身份认证公共服务平台坚持“最小化提供”原则，对依法需要核验用户真实身份但无需留存法定身份证件信息的，仅向互联网平台提供核验结果；对依法确需获取、留存用户法定身份证件信息的，经用户单独同意，可以向互联网平台提供必要的明文身份信息。对法律、行政法规规定应当履行协助义务的，国家网络身份认证公共服务平台应当依法提供相关信息，但提供的信息仅限网号、网证对应的真实身份信息和认证日志信息。

目前，国家网络身份认证公共服务平台已经上线运行，用户可通过国家网络身份认证App申领并使用网号、网证，以减少相关服务管理环节对个人信息的采集、留存，实现公民身份信息“可用不可见”，同时降低互联网平台在个人信息保护方面的投入成本。

https://baijiahao.baidu.com/s?id=1835768266442531901&wfr=spider&for=pc

2、国务院办公厅印发《关于健全“高效办成一件事”重点事项常态化推进机制的意见》

日前，国务院办公厅印发《关于健全“高效办成一件事”重点事项常态化推进机制的意见》（以下简称《意见》），对进一步优化政务服务、提升行政效能，健全常态化推进机制作出部署。

《意见》提出4个方面的重点任务。一是加强重点事项清单管理，明确经营主体和个人全生命周期重点事项总体清单，发布年度重点事项清单，鼓励探索建立特色事项清单。二是推动重点事项常态化实施，优化重点事项业务流程，统筹线上办事系统建设，提升线下办事服务能力，加大政务数据共享力度，探索开展“人工智能+政务服务”，注重用户体验和评价反馈。三是拓展“高效办成一件事”应用领域，推进“一类事”服务集成化，提升综合监管质效，提高政务运行效能。四是强化组织实施，加强行业指导和跨部门协同，注重省级统筹和基层创新，完善制度和标准体系，做好业务指导和宣传引导。

在加大政务数据共享力度方面要求，强化政务数据共享供需对接，各地区结合具体应用场景精准提出需求，国务院有关部门优化审核流程，提升数据供给质量，提高响应速度和效率，更好支撑重点事项便捷办理。依托全国一体化政务大数据体系，持续完善政务数据共享责任清单，按需推动国务院部门垂直管理业务系统与地方政务服务平台对接，加快公安、海关、海事等领域政务数据回流地方，支持各地区以结果核验、算法模型、批量交换等方式共享数据。加强全流程安全管理，做好涉及商业秘密、个人信息等数据脱敏处理和加密保护。

https://www.gov.cn/yaowen/liebiao/202507/content_7031068.htm

3、辽宁发布《辽宁省数字政府建设实施方案（2025—2027年）》

近日，辽宁省印发《辽宁省数字政府建设实施方案（2025—2027年）》（以下简称《实施方案》）。

《实施方案》中提出，到2027年，辽宁省一体化基础设施高效集约，一体化数据资源开放共享，“一网通办”“一网协同”“一网统管”应用数智赋能，一体化安全防护体系动态防御，“1131”数字政府运行工作体系基本建成。

《实施方案》提出，要建设完善一体化数据资源体系。具体而言，推行公共数据统一目录管理，规范化梳理现有数据资源目录，实现全省公共数据资源“一本账”管理。推进人口数据、法人数据、电子证照数据、信用数据、自然资源与空间地理数据等基础数据库共建共用。建设教育服务、文化旅游、医疗健康等重点领域专题库。开展公共数据供给能力提升行动，推进高频重点数据归集，构建数据质量标准体系。

《实施方案》提出，要建设完善一体化安全防护体系，主要包括3个方面：

（一）完善网络安全保障体系

建立健全网络安全事件应急预警处置和协同联动机制。常态化开展网络安全监督检查、安全预警、应急演练工作，提升安全防护能力。落实关键信息基础设施保护、网络安全等级保护等制度，推进政务系统商用密码应用改造和密码应用评估工作。

（二）提升数据安全保护能力

构筑公共数据全生命周期安全防护体系。对公共数据开展分级分类保护，强化全生命周期监管，建立安全防护管理制度。常态化开展安全风险评估、制度执行情况监督检查。

（三）加强人工智能风险防范

推动人工智能安全发展。建立人工智能安全评估、风险防范机制，促进大模型应用安全合法，实施分类管理，推动协同治理，强化问题处置。

https://mp.weixin.qq.com/s/o9OZrldW5mNUZn5atzynnQ

二、数据安全事件

1、重庆网警公布适用《网络数据安全管理条例》的典型案例

当前，众多单位机构在委托第三方供应链企业开发、运维信息系统时，在存储、加工相关数据中，时有发生受托方因网络和数据安全风险意识不强，在处理数据时未采取相关安全保护措施，将重要数据直接暴露在互联网上的情况。同时，单位机构对受托方履行网络和数据安全保护义务的监督缺位，导致数据面临失泄风险。

近日，重庆公安网安部门在日常网络安全巡查中发现，某单位系统平台缺少必要的数据安全防护措施，导致部分数据暴露在互联网上，存在较大安全风险隐患，相关网络数据运营者也未依法履行数据安全保护义务。

重庆公安网安部门依法责令该单位改正，并对该系统承建方予以行政处罚。

《网络数据安全管理条例》第十五条规定“国家机关委托他人建设、运行、维护电子政务系统，存储、加工政务数据，应当按照国家有关规定经过严格的批准程序，明确受托方的网络数据处理权限、保护责任等，监督受托方履行网络数据安全保护义务”。

https://mp.weixin.qq.com/s/KbUXgQpW3zTCoBJjhh4A8Q

2、青海果洛州网警开出首张网络安全“罚单”

近日，青海果洛州公安局网络安全保卫支队依法对某单位未履行网络安全保护义务的违法行为作出行政处罚，该处罚系果洛公安开出的首张网络安全领域行政“罚单”。

简要案情及处罚：2024年9月，该单位被公安部门发现某系统配置文件中存在弱口令漏洞，极易泄露个人信息（含姓名、联系方式等），存在安全隐患。针对此情况，果洛公安网安部门及时出具网络安全检测报告，并指导督促整改。但该单位未整改到位，未采取必要的加密、访问控制等技术措施，未制定网络安全事件应急预案，违反《中华人民共和国网络安全法》第二十一条相关规定。2025年3月25日，果洛州公安局网络安全保卫支队依据《中华人民共和国网络安全法》第五十九条规定，对该单位相关责任人作出行政警告处罚决定，督促其切实履行好网络安全主体责任。

https://mp.weixin.qq.com/s/gZKZkwdXMjfo4IyKRhzHoQ

3、泛微e-cology 爆出SQL注入漏洞

E-cology系统在构建SQL语句时直接拼接用户可控参数，且未对输入进行充分过滤，这导致了SQL注入漏洞。当系统处理用户提交的恶意参数时，攻击者可利用该漏洞向数据库中注入任意SQL命令。受影响版本：e-cology 9 补丁版本 < v10.76。官方已发布安全补丁，建议受影响的用户联系厂商升级至 v10.76补丁。

https://mp.weixin.qq.com/s/ST7wzbypHcvUFfnRWBzAlQ

4、Gargle公司数据库存隐患致270万患者信息暴露

Cybernews研究人员发现美国牙科诊所服务提供商Gargle因未加密的MongoDB数据库配置错误，导致270万名患者资料和880万条预约记录泄露。泄露的数据包括患者姓名、出生日期、电子邮件地址、住址、电话号码、性别、病历ID、语言偏好、账单详情及预约记录等敏感信息。

https://cybernews.com/security/dental-marketing-gargle-data-leak/

5、GonnaOrder平台因配置错误导致数据泄露

欧洲食品配送平台GonnaOrder因Kafka Broker实例配置错误，导致该平台一个不受保护的实例将实时订单信息暴露给公众。泄露的数据包括客户订单、餐厅和酒店订单、电话号码、电子邮件地址、家庭住址、交货单及使用的付款方式等。

https://cybernews.com/security/gonnaorder-food-delivery-data-leak/

6、Batavia间谍软件攻击俄罗斯组织窃取敏感数据

自2024年7月以来，俄罗斯多个组织遭到名为Batavia的间谍软件攻击，攻击者通过伪装成合同文件的恶意链接，诱导用户下载并执行恶意脚本和可执行文件，从而窃取内部文件和敏感信息。该活动始于2024年7月，截至2025年7月仍在持续，攻击目标主要是俄罗斯的工业企业。攻击分为三个阶段：首先通过VBS脚本下载WebView.exe，随后WebView.exe收集系统信息并下载下一阶段的javav.exe，最终实现数据窃取和屏幕截图上传。截至目前，已有数十家机构的100多名用户受到影响。专家建议，组织应加强基础设施保护，部署安全工具，并对员工进行网络安全培训，以降低此类攻击的风险。

https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/

三、技术、产品与市场

1、国家数据局发布数据流通安全治理典型案例

近日，国家数据局征集遴选了5个数据流通安全治理典型案例，并在2025全球数字经济大会数据要素发展论坛进行了发布。

l  基于“电费贷”场景的电力数据流通全路径安全风险监测技术应用案例

l  基于金融业跨银行企业资金流水核验场景的安全多方计算技术应用案例

l  基于供应链金融仓储融资场景的区块链应用案例

l  基于城市交通信号智能协调场景的数治模式应用案例

l  基于数据可信流通设施环境番茄生长模型场景的数据流通案例

此次遴选的5个数据流通安全治理案例，涵盖了电力、银行、供应链金融、城市交通、以及农业5大领域，对于如何更好更安全的发展数字经济具有较大的参考价值。

https://mp.weixin.qq.com/s/wQOIL3xwI2n4KO7LYiJ6TQ

2、电信和互联网行业数据安全专题培训会在青岛召开

为助力电信和互联网行业从业人员准确掌握数据安全与新技术新业务安全政策要求与实操规范，提高职业技能水平，进一步培育、强化、壮大数据安全人才队伍，为行业数据安全建设工作贡献人才力量，中国互联网协会于7月2日—4日在青岛举办2025年电信和互联网行业数据安全与新技术新业务安全专题培训会。

来自各省、自治区、直辖市通信管理局、基础电信企业集团公司、各省分公司、地市公司、增值电信企业、安全厂商、互联网企业等单位的150余名学员参加培训。

https://mp.weixin.qq.com/s/N49bXQU7OCu6BKzMBM56Lw

3、金砖国家共同发表《人工智能全球治理宣言》

据外交部消息，7月6日，在第十七次金砖国家领导人会晤期间，通过了《金砖国家领导人关于人工智能全球治理的宣言》（以下简称《宣言》）。

《宣言》提出了一系列指导方针，旨在推动人工智能技术的负责任开发、部署与应用，助力可持续发展和包容性增长，宣言主要围绕五大方面进行了阐述：一是在治理原则方面，二是在多方协作方面，三是在市场与技术方面，四是在公平和可持续发展方面，五是在伦理、可信和负责任的人工智能方面。

在数据安全方面：

数字主权和发展权是全球人工智能治理的关键。我们坚定支持各国在捍卫基本权利的同时，有权充分利用数字经济与新兴技术特别是人工智能带来的发展红利，通过加强数字基础设施建设、培育本土技术人才、确保公民免受人工智能风险伤害等方式，制定本国法律权限范围内的人工智能监管框架，提升人工智能研究能力，培育自主技术创新，确保数据安全，推进本国数字经济发展。

必须坚持以事实为基础。人工智能生成的虚假文本、图像、音频及视频内容对信息真实性和完整性构成严峻威胁，可能引发舆论操控、社会动荡，影响公共机构公信力。我们将采取多维治理方式，提升信息完整性，强化媒体教育策略和地方传播工作，包括研发快速识别虚假信息和错误信息的工具，提升个体数字素养与批判性思维以增强网络内容鉴别力，制定明确的伦理准则与法规，在保护隐私权与数据安全的同时，满足人工智能在信息传播领域的开发和应用。

https://www.fmprc.gov.cn/web/zyxw/202507/t20250709_11668022.shtml