一、政策形势

1、数据安全国家标准体系（2025版）征求意见稿公开征求意见

《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》（征求意见稿）由全国网络安全标准化技术委员会秘书处于2025年8月发布，旨在适应数据安全新形势，指导数据安全国家标准研制，为保障数据安全、促进数字经济高质量发展提供标准依据。

体系框架由六大类标准构成：

（一）基础共性标准：作为体系基础，含术语、数据分类分级、数据安全保护子类，规范相关概念、分类分级规则及保护要求。

（二）数据安全技术和产品标准：明确技术及产品框架等，包括数据分类分级、安全防护、共享安全、备份恢复删除技术和产品及其他子类。

（三）数据安全管理标准：规定数据处理活动安全等要求，含数据处理活动安全、出境安全、安全运营、组织和人员子类。

（四）数据安全测评和认证标准：规范测评认证工作，包括风险评估、能力评价、管理认证、评估机构子类。

（五）产品和服务数据安全标准：聚焦特定系统平台和产品服务风险，含数据服务安全等五子类。

（六）行业与应用数据安全标准：面向重点行业和新技术应用，含行业领域及新技术应用数据安全子类。

https://www.tc260.org.cn/front/postDetail.html?id=20250731172556&sessionid=

2、厦门发布全国首个数据资产登记专项合规指引

据厦门司法行政网公开信息，8月21日，全国首个聚焦数据资产登记全流程专项合规指引《厦门市数据资产合规报告指引》(以下简称《指引》)正式发布实施，为国内其他地区建立数据资产登记制度提供参考范本。

《指引》主要有三方面内容：一是统一合规审查标准。通过系统梳理数据资产登记全流程的合规要点，为企业和律师提供标准化操作模板，解决审查标准碎片化问题。建立“实质性审查+形式审查”双轨制审核机制，审查通过后发放登记证书。二是明确数据合法性要求。针对数据来源合法性、隐私保护等关键问题，明确要求涉及个人信息的数据必须匿名化、去标识化处理，确保可识别个人身份的信息不得登记,消除个人信息泄露隐患。三是界定可登记数据范围。明确登记对象为企业生产经营中自行产生或合法获取的数据或数据产品，厘清“哪些数据可资产化”问题，推动“沉睡数据”转化为可流通资产。四是规范全流程操作。细化数据采集、处理、存储到应用场景的全链条合规要求，降低企业在数据资产化过程中的法律风险。

https://sf.xm.gov.cn/zwgk/xxyw/202508/t20250821_2951612.htm

3、安徽省人民政府办公厅印发《深化公共数据资源开发利用若干举措》

近日，中共安徽省委办公厅、安徽省人民政府办公厅印发了《深化公共数据资源开发利用若干举措》，并发出通知，要求各地各部门结合实际认真贯彻落实。

《深化公共数据资源开发利用若干举措》主要有五大方面内容。

（一）推动公共数据供给提质增效，夯实数据要素发展基础

l  强化公共数据高质量共享

l  推动公共数据高水平有序开放

l  加强公共数据高标准管理

（二）规范公共数据资源授权运营，激发数据要素发展动能

l  探索“整体授权+分领域协同”等授权运营模式

l  打造统建共用的可信数据环境

l  加快构建“皖数×”的多跨协同开发利用格局

l  健全“统筹协同+全流程溯源”的监管体系

（三）强化数据赋能场景创新，释放数据要素发展活力

l  大力推进政务服务场景创新

l  协同推动行业发展场景创新

l  发挥数据交易机构枢纽作用

l  畅通交流对接渠道

l  加快推进数据产业发展

（四）加强基础设施建设和安全管理，筑牢数据要素发展支撑

l  强化网络和算力基础设施建设

l  推进数据流通利用基础设施建设

l  提高数据安全管理能力

（五）加强组织保障

坚持和加强党对数据工作的全面领导，各地各部门要强化组织实施，按照职责分工抓好贯彻落实，不制定配套文件。数字安徽建设领导小组要发挥统筹协调作用，加强公共数据资源开发利用统筹管理，及时研究解决工作中的重要问题。

https://mp.weixin.qq.com/s/NZ-Ug-oei36krfnJv4ETZw

二、数据安全事件

1、美国制药公司Inotiv遭勒索软件攻击，约176GB数据泄露

据安全内参消息，近日，美国制药公司Inotiv遭遇勒索软件攻击。攻击者加密了其内部系统，并窃取了16.2万个文件，约176GB的敏感数据。Qilin勒索软件团伙声称对此次攻击负责，并已在其数据泄露网站上公开了部分数据样本。

l  泄露的数据涉及数十种药物化合物超过十年的开发和测试完整报告，可能包含价值数亿美元的商业机密。

l  作为许多顶级制药公司的研发合作伙伴，此次事件不仅对Inotiv构成严重的声誉威胁，也带来了重大的法律和合同风险。

l  该事件导致Inotiv的网络、内部数据存储系统和业务应用程序访问中断，公司被迫过渡到某些离线工作流程，完全恢复系统可能需要不确定的时间。

具体来看，受影响的范围包括部分数据库以及用于业务流程的内部应用。

Inotiv的IT团队正努力恢复相关系统，并将部分受影响的业务迁移至离线替代方案，以降低网络攻击带来的中断影响。

目前，公司尚未给出恢复正常运营的时间预期。

此事件是医疗保健和制药行业日益成为勒索软件攻击目标的又一例证，原因是这些行业的知识产权和敏感数据价值高。

https://www.secrss.com/articles/82251

2、租赁平台人人租因未采取数据加密等数据安全保护措施被通报

近日，国家网络安全通报中心发布《关于70款移动应用违法违规收集使用个人信息的通报》，租赁行业头部平台“人人租”（版本3.16.3，快手下载中心）因四项违规赫然在列，与万达普惠、烟台银行等金融类APP一并被点名。

根据通报，人人租主要存在隐私政策未逐一列出收集使用个人信息的目的、方式、范围；未向用户提供撤回同意的明确途径；个人信息处理者未提供便捷的撤回同意方式；未采取加密、去标识化等必要安全技术措施等问题。

通报结果：要求15日内整改，逾期或暂停业务、下架。

https://www.cverc.org.cn/zxdt/report20250813.htm

3、天安财险内鬼盗取个人敏感信息获利被判侵犯公民个人信息罪

近期中国裁判文书网公布的一则刑事判决书，将某保险公司多名员工侵犯保险客户个人信息的犯罪细节公布于众。判决书显示，杨某某为天安财险安庆中心支公司原总经理，何某某为天安财险安庆中心支公司电销部门原负责人，俞某某为天安财险黄山中心支公司电销部门原负责人。2020年3—12月期间，杨某某为推动电销部门工作，安排何某某通过向杨某(另案处理)转账3.75万元，两次从杨某处购买公民个人信息3万余条。2019年3月，俞某某为推动电销部门工作，花费2.4万元，从杨某处购买公民个人信息2万余条。

杨某的个人信息来自何处？竟然是同业保险公司。裁判文书显示，证实杨某丰是某大型保险公司安徽省公司电销负责人，也是杨某(另案处理)之前的同事，杨某丰手中有安徽省全省的购车数据，数据里面有车架号、身份证号、电话、姓名、住址以及保险到期日。2018年杨某同杨某丰合谋出售购车数据牟利。杨某丰将数据按照各个地市的分类打包好给杨某，杨某再按照每个地市的信息以每条7—9毛钱出售，所获利润和杨某丰三七分成，杨某拿七成。出售对象都是各保险公司的从业人员。

最终，杨某某犯侵犯公民个人信息罪，被处罚金5000元；何某某犯侵犯公民个人信息罪，被处罚金5000元；俞某某犯侵犯公民个人信息罪，但免予刑事处罚。

https://qwgzyj.gqb.gov.cn/cj/2025/08-20/10468002.shtml

4、香港两家零售商遭黑客入侵，近14万客户资料外泄

2025年8月21日，香港个人资料私隐专员公署公布了两家零售商的数据泄露调查结果。总计近14万名客户和员工的个人资料被黑客盗取，并被放在暗网贩卖图利。

一家珠宝公司及其母公司共用的信息系统在去年11月遭黑客入侵，数据被盗并删除。受影响人数约79400名，其中超过75000名为客户。调查发现，黑客通过暴力攻击获取了一个静置超过13年、具有系统管理员权限的账户权限，并在一台用于内部开发和编程的台式电脑上注入了木马程序。

另一家总部位于日本的跨国服装公司的香港公司，其客户关系管理平台和电子商务平台在去年11月遭未授权第三方入侵。约59205名客户的个人资料被泄露，约两个月后出现在暗网并可下载，且有证据显示这些数据被用于诈骗。黑客利用了一名现任员工的管理账户凭证，从一个不明的海外IP地址连接并下载了订单资料。

这两起事件暴露了一些机构在网络安全防护上存在明显短板，例如长期未使用的账户未及时禁用、密码管理不严格、未能定期进行全面安全风险评估和审计等。

https://www.tkww.hk/a/202508/21/AP68a6ac43e4b0f2e743946140.html

三、技术、产品与市场

1、IBM发布《2025年数据泄露成本报告》

近期，IBM发布了《2025年数据泄露成本报告》，本次报告将焦点集中于人工智能，研究发现令人忧虑：众多企业为追求“快速上马”，跳过了AI安全治理环节，导致这些缺乏监管的系统更易遭受攻击，且一旦失陷会造成更为惨重的损失。同时由于自动化工具的快速开发和推出，AI领域所积累的“安全债务”已相当严重。

报告指出，几乎所有在过去一年中遭遇过AI相关安全事件的组织，均未实施适当的人工智能访问控制。更有超过一半的组织表示，目前仍未制定任何AI治理政策——这实际上放任员工随意部署各种存在风险的“影子IT”解决方案。

关键发现：

（一） 全球数据泄露成本五年来首次下降

全球平均数据泄露成本从2024年的488万美元降至444万美元，降幅达9%，回归至2023年的水平。成本下降主要得益于事件识别与遏制速度的提升——这主要归功于企业自有安全团队及安全服务商在AI与自动化技术的辅助下，能够快速识别与遏制事件。若非美国地区成本激增9%，达到1022万美元，创下区域历史新高，全球平均值可能会更低，监管处罚力度加大和不断攀升的检测成本是造成美国地区数据泄露成本增加的根本原因。

然而，在防御者取得进步的同时，攻击者也在同步升级——约16%的泄露事件涉及攻击者使用AI技术，这种情况常见于钓鱼攻击与深度伪造。

（二） 恶意内部攻击平均成本高达492万美元

恶意内部攻击连续两年位居高成本初始威胁向量首位，平均造成492万美元的损失。第三方供应商与供应链攻击（491万美元）紧随其后。其他高成本的攻击向量还包括漏洞利用和钓鱼攻击。不过，最高发的攻击类型仍是钓鱼攻击（占比16%），其平均成本为480万美元。

（三） 企业AI系统直接引发的安全事件相对有限

目前，企业AI系统直接引发的安全事件仍然相对有限。平均13%的企业报告其AI模型或应用涉及泄露事件。但其中近全部（97%）都缺乏完善的AI访问控制。最常见的安全事件发生在AI供应链中，由受污染的应用程序、API或插件引发。此类事件会引发连锁反应：它们导致了广泛的数据泄露（60%）和业务中断（31%）。这表明，AI正成为高价值的攻击目标。

（四） 涉及影子AI事件的附加成本达20万美元

在今年接受调研的企业中，20%表示遭遇了由影子AI相关安全事件引发的数据泄露。此类事件使得平均泄露成本增加了20万美元。65%的事件导致个人身份信息泄露，40%造成知识产权失窃。这些数据常常存储于多种环境之中，这表明单个未受监控的AI系统就可能引发大规模的数据泄露。影子AI的迅猛发展已经取代安全人才短缺，成为本报告统计的三大高成本泄露因素之一。

（五） 近六分之一的泄露事件涉及AI驱动

攻击者利用生成式AI可以优化并扩大钓鱼攻击等社会工程攻击的规模，IBM发现，生成式AI使编写高仿真钓鱼邮件的耗时从16小时锐减至5分钟，平均有16%的数据泄露涉及攻击者使用AI技术，最常见于AI生成钓鱼攻击（37%）和深度伪造冒充攻击（35%）。

（六） 企业在事件后追加安全投资的意愿降低

在发生泄露事件后计划追加安全投资的企业比例显著下降，今年为49%，去年为63%。在计划追加投资的企业中，不足半数将重点放在AI驱动的安全方案或服务上，例如威胁检测响应、事件响应（IR）规划测试、数据安全防护工具等。

（七） 全面应用AI让企业安全成本降低

与未采用AI解决方案的企业相比，广泛运用AI与自动化的安全团队将事件处置时间缩短了80天，平均泄露成本降低了190万美元。近三分之一的企业表示在安全生命周期（防护、检测、调查、响应）中全面应用了这些工具。然而，这一比例较上年仅略有增长，暗示AI的应用可能陷入停滞。这也表明，多数企业仍未采用AI与自动化技术，因而无法获得相应的成本效益。

（八） 63%企业缺乏AI治理政策

63%遭遇泄露的企业尚未建立或仍在制定AI治理政策。即便已经制定了政策，也不足半数设置了AI部署审批流程，62%的企业缺乏完善的AI系统访问控制。在已建立治理政策的企业中，仅有34%会定期审计未授权的AI应用。这表明，当应用速度超越安全与治理能力时，AI基本处于失控状态。

（九） 63%企业拒绝支付勒索赎金

2025年拒绝支付赎金的勒索受害者比例63%高于2024年的59%。但勒索软件事件的平均成本仍居高不下，尤其是当攻击者主动披露事件时。与此同时，上报执法机构的勒索受害者数量有所减少——今年40%的企业选择报案，而去年这一比例为53%。

https://cn-sec.com/archives/4394856.html

2、2025数博会36场系列活动将于本月底在贵阳举行

据人民网消息，2025年数博会系列活动是今年数博会五大重点活动之一，36场系列活动将于8月27日至30日举行，本届活动在规模上、形式上、内容上相较往年均有所突破。

从活动规模来看，今年系列活动共36场，较去年增加10场，嘉宾人数增加1000余人。从活动形式来看，既有闭门会议、交流研讨，又有现场观摩、夜话活动等。

总体来看，本届活动突出四大特点：

一是突出国家视角，引领行业风向。立足数据领域国家战略全局，聚焦数字中国顶层设计与系统推进，强化国家与地方工作的衔接落实，推动国家战略落地转化。二是突出企业立场，让企业唱主角。重点发挥企业的“主体、主导、主角”三主作用，在主题确定、活动策划、组织实施等环节都让企业站C位、唱主角。聚焦新技术、新产品、新模式，拟开展特色活动23场。三是突出地方特色，深化创新实践。以深入实施“东数西算”工程，建设全国一体化算力网络国家（贵州）枢纽节点为核心，充分发挥全国数据中心集聚区、全国首个大数据交易所作用，围绕数字经济、数据要素市场、可信数据空间等方面开展地方特色活动，为数字经济发展提供地方经验。四是突出区域合作，推进协同发展。坚持“部门协同、央地联动、政企合作”，围绕智算、人工智能、数据产业、低空经济等领域，拟举办商贸洽谈活动4场，将数博会的品牌影响力转换为现实生产力。

http://gz.people.com.cn/n2/2025/0821/c412977-41328960.html