一、政策形势

1. GB/T46071-2025 数据安全技术+数据安全和个人信息保护社会责任指南即将发布

随着经济社会的快速发展，越来越多的组织已开始认识到社会责任对于自身根本利益和长远发展的重要性。进入数字时代，数据安全和个人信息保护方面，组织如何充分履行社会责任，成为受关注的焦点。为落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求，放大数据处理和个人信息使用的社会价值，给企业和组织提供更全面的履责指引，更好地推动相关社会责任工作取得实效，国家市场监督管理总局、国家标准化管理委员会近日发布了GB/T 46071-2025《数据安全和个人信息保护社会责任指南》。

提供了组织实施数据安全和个人信息保护社会责任的组织治理、合规性、创新性和价值体现、公平运行、竞争和合作、用户权益保护、公益参与和社会发展,以及社会责任履行情况披露的指南。适用于组织开展数据安全和个人信息保护社会责任相关活动,也适用于第三方机构评价组织履行数据安全和个人信息保护社会责任的情况。

2026年3月1日即将实施。

https://std.samr.gov.cn/gb/search/gbDetailed?id=3DBA213287060D16E06397BE0A0A8119

2. GB/T46353-2025 信息技术 大数据 数据资产价值评估将于2026年5月1日起实施

最新数据资产国家标准《GB/T 46353-2025 信息技术 大数据 数据资产价值评估》于10月5日发布，将2026年5月1日起正式实施。该标准为数据资产价值评估提供了首套国家级方法论。

评估需明确对象属性（名称、来源、权属等）和基本特征（可共享、可加工等），在技术、平台、制度及数据安全保障下，结合权属、成本或市场依据，通过数据评价（质量要素）和价值评估两大环节完成。

https://mp.weixin.qq.com/s?__biz=Mzg2NjE0NDY4OA==&mid=2247585254&idx=4&sn=54038324744409473026a9712d3c1101&chksm=cff3455bf847d2babb141dcb518e8c8d5d65c5dbf9fe571a2f26a191649c650d8c2ae6d0cf07&scene=27

二、数据安全事件

1.某科技公司未及时修复安全漏洞，网警依法处罚

近日，山东青岛公安网安部门在日常工作中发现，某机构对外提供公共服务的网络平台长时间持续存在SQL注入漏洞、越权访问漏洞，存在网络数据安全隐患。经查，某科技公司在为该机构提供系统运行、维护时，未按照法律法规相关规定和合同约定履行网络数据安全保护义务，未采取必要的技术措施，未及时修复安全漏洞，存在数据泄露风险。青岛崂山网安部门依据《网络数据安全管理条例》对该公司予以行政处罚。

《网络数据安全管理条例》第十六条规定“网络数据处理者为国家机关、关键信息基础设施运营者提供服务，或者参加其他公共基础设施、公共服务系统建设、运行、维护的，应当依照法律、法规的规定和合同约定履行网络数据安全保护义务，提供安全、稳定、持续的服务”。

面对日益复杂的网络安全形势，维护网络和数据安全刻不容缓，需要建设方、承建方、运维方、使用方、管理方“五方”共同参与。各司其职，各负其责，形成全方位、多层次的网络和数据安全防护体系。

https://mp.weixin.qq.com/s/gkNlohe_uh9XmQKGnuCAmQ

2.朝鲜黑客组织Konni将谷歌Find Hub服务武器化为远程数据擦除工具

与朝鲜有关联的黑客组织 Konni（又名 Earth Imp、Opal Sleet、Osmium、TA406 和 Vedalia）近期发动了一系列针对 Android 和 Windows 设备的新型攻击，旨在窃取数据并实施远程控制。Genians 安全中心（GSC）在技术报告中指出："攻击者伪装成心理咨询师和朝鲜人权活动人士，分发伪装成减压程序的恶意软件。" 

黑客组织首次利用谷歌资产追踪服务 Find Hub的合法管理功能，远程重置受害者设备，导致个人数据被非法删除。这是首个确认的国家级黑客滥用 Google官方安全功能进行破坏的案例。

https://baijiahao.baidu.com/s?id=1848486934201688936&wfr=spider&for=pc 

3. 日本经济新闻遭黑客入侵：1.7万条Slack消息与个人数据泄露

日本金融新闻与媒体巨头日经集团本周确认其网络系统遭到入侵。这家拥有《金融时报》的全球顶级媒体集团于2023年9月首次发现异常，当时监测到员工通讯账户存在可疑登录活动。据披露，此次事件导致超过1.7万人的敏感个人信息外泄。

研究机构DeepTempo创始AI工程师Mayank Kumar指出，初始恶意软件感染仅是铺垫，真实目的在于获取有效登录凭证，使攻击者能潜伏网络内部"完美融入正常业务活动"。他解释道："对安全信息管理系统而言，这是合法登录不会触发警报；而对网络检测响应系统，加密流量又使有效载荷检查无法实现。"

当前核心挑战已不仅是拦截病毒，更要识别授权用户执行异常操作（如批量导出1.7万条记录）的行为特征。

https://www.163.com/dy/article/KDN4CME70511A5GF.html 

三、技术、产品与市场

1. 供应链攻击风险凸显：全球约1/3的数据外泄与第三方供应商有关

根据2025年美国电信运营商Verizon针对数据泄露的调查报告，企业在日益复杂的网络安全环境中，需要重新定义网络安全与供应链的治理策略。

过去的企业通常会将安全问题视为内部的防护重点，但最新的数据显示，第三方供应商已成为客户数据泄露的高风险来源，这也表示企业必须改变对信息安全架构传统的管理思维。

调查数据显示，2025年全球约三分之一的数据泄露事件，与第三方供应商或外部平台密切相关。这一现象同时反映出传统依赖边界防御的架构，已不足以应对如今的威胁。

在Verizon的调查报告中，可以看到针对供应商攻击增加的趋势。特别是对VPN和边缘设备的攻击暴增近八倍，显示攻击者正积极利用企业在远程办公、云端运算与物联网等方面的安全漏洞。这些攻击手法的演进，正逐步取代传统的钓鱼网站与恶意软件，成为主要的数据泄露入口。

https://techorange.com/2025/11/13/ctbercttack-verizon-iot/

2.浙江自贸区杭州片区完成首个数据出境负面清单备案

11月14日，杭州阿里巴巴海外数字商业有限公司申请的境内卖家境外收付款场景26个数据项，完成了负面清单备案，成为杭州片区首个使用数据出境负面清单实现数据合规出境的企业。

去年3月，国家网信办发布《促进和规范数据跨境流动规定》提出，自贸试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

今年4月，浙江省互联网信息办公室、省商务厅、省数据局会同有关部门制定了中国（浙江）自由贸易试验区数据出境负面清单及管理办法，这是全国范围内首个针对电子商务（企业对企业）以及清结算行业的数据出境负面清单，包含重要数据、个人信息2类数据，涉及跨境电商平台、跨境电商商家、跨境支付、跨境物流及银行卡清算、会员权益服务、商务卡服务、全球收付款等8个具体场景、134个数据项。

https://www.hangzhou.gov.cn/col/col812262/art/2025/art_cd548436191246069c89f3a70f4537cc.html