一、政策形势

1. 重磅新规！〈大型网络平台个人信息保护规定（征求意见稿）〉出台，明确“5000万用户”门槛与数据本地化要求

2024年11月22日，国家网信办、公安部联合发布《大型网络平台个人信息保护规定（征求意见稿）》，旨在规范超大规模平台的个人信息处理行为。规定明确“大型网络平台”认定标准：注册用户超5000万或月活超1000万、提供重要服务或多业务覆盖、且其数据泄露可能影响国家安全或国计民生。平台须设立由管理层成员担任的“个人信息保护负责人”，该负责人需为中国籍、无境外长期居留权，并拥有5年以上相关经验，且对个人信息处理事项具有一票否决权。平台还须建立专门保护机构，每年发布社会责任报告，并确保境内收集的个人信息存储于符合国籍与安全标准的境内数据中心。数据出境须严格合规，个人可请求30日内转移其数据。此外，平台须接受第三方合规审计，在发生百万级个人信息泄露等重大事件时，监管部门可强制其委托专业机构评估，甚至要求迁移至合规第三方数据中心。

https://mp.weixin.qq.com/s/FcQq54UugZUkGiUYOTxY2w

2. 上海出台全国首个医疗服务类互联网企业数据安全合规指引，明确健康医疗数据全生命周期管理要求

为应对属地医疗服务类互联网企业频发的数据安全事件，上海市网信办、市市场监管局、市卫健委联合发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》。该指引适用于提供在线诊疗、电子处方、检验查询、健康咨询等服务的数字健康企业，首次系统界定“个人健康医疗数据”与“健康医疗数据”范围，并规范其全生命周期处理活动。核心要求包括：处理健康医疗数据须取得用户“单独同意”；严禁非法抓取、买卖或超范围使用数据；实施分类分级管理；采用加密传输、脱敏存储、访问控制等技术措施；生产数据不得直接用于测试；日志留存不少于6个月；建立患者个人信息权益响应机制；法定代表人为数据安全第一责任人。对处理100万人以上个人信息的企业，须报送个人信息保护负责人；处理1000万人以上的，每两年开展合规审计。同时，使用AI、区块链等新技术需进行安全评估并备案。

https://mp.weixin.qq.com/s/m92TC1dsWcYbLCbe_KsnAQ

二、数据安全事件

1.无人机管理平台遭黑客攻击致数据泄露，企业因未履行数据安全义务被依法追责!

2025年11月23日，公安部网安局通报一起典型数据安全违法案件：陕西某无人机技术公司开发的无人机管理平台遭黑客攻击，导致部分存储数据被窃取。经西安公安网安部门调查，该平台存在安全漏洞，且企业未建立全流程数据安全管理制度，未开展员工安全培训，也缺乏必要的技术防护措施。公安机关依据《中华人民共和国数据安全法》，认定其“不履行数据安全保护义务”，依法追究法律责任并责令限期整改。目前，该公司正按要求修复漏洞、健全制度、组织专项培训，强化内部数据安全防护。案件仍在进一步侦办中。

https://mp.weixin.qq.com/s/eY_i7aeRPiE28jaVRTuTjw

2.SitusAMC遭黑客攻击致华尔街银行敏感数据外泄，凸显金融科技供应链安全危机！

2025年11月12日，美国大型金融科技服务商 SitusAMC 披露其系统遭未授权访问，攻击者窃取了包括银行会计记录、法律协议及客户业务往来信息在内的敏感数据。该公司为美国前20大银行（如摩根大通、花旗、摩根士丹利）提供贷款发放、合规与监管服务，年营收超11亿美元，全球员工逾4000人。SitusAMC 强调此次攻击未使用勒索软件或恶意加密，但具体泄露范围仍在调查中。值得注意的是，这并非孤立事件——近期另一家金融技术供应商 Marquis 也遭遇勒索攻击，导致数万客户的社会安全号码（SSN）和财务信息泄露。数据显示，41.8% 的金融科技数据泄露源于第三方服务商，97% 的美国前100大银行曾受第三方安全事件波及。攻击者正通过供应商漏洞、未修复系统或云配置错误，绕过银行自身防线，实施高效“跳板式”攻击。

https://mp.weixin.qq.com/s/Vs-nW47CssnymthJ4yvzLQ

3. 哈佛大学再遭语音钓鱼攻击致校友与捐赠者数据泄露，常春藤盟校成网络攻击“重灾区”

2025年11月23日，彭博社报道，哈佛大学于11月19日遭遇一起语音钓鱼（vishing）攻击，一名未授权人员通过伪装电话诱骗内部员工，成功入侵其“校友事务与发展”系统，导致大量校友、捐赠者、部分学生及教职员工的个人信息泄露，包括联系方式、捐赠记录及筹款相关工作信息。这是哈佛今年内第二次发生重大数据泄露事件——此前10月，该校因甲骨文E-Business Suite零日漏洞被Clop勒索团伙波及。校方已切断攻击者访问权限，并联合执法部门与第三方安全专家展开调查。值得注意的是，近期常春藤盟校密集遭袭：普林斯顿大学（11月15日）、宾夕法尼亚大学（10月31日）相继披露类似系统被攻破；哥伦比亚大学自6月起的数据泄露事件更影响约87万人。这些事件凸显高等教育机构在社会工程攻击面前的脆弱性，以及其高价值数据对黑客的强大吸引力。

https://mp.weixin.qq.com/s/UTdAxXEFiPg0RjPaT0k79A

4.朝日啤酒遭勒索软件攻击，191万条个人信息或泄露，全国供应链中断凸显制造业数字脆弱性

2025年11月27日，日本啤酒巨头朝日集团披露，其于9月29日遭遇大规模勒索软件攻击，由黑客组织“麒麟”（Qilin）宣称负责。攻击导致日本境内数据中心瘫痪，工厂生产停摆，员工被迫以纸笔记录订单，引发全国性饮料短缺。初步调查显示，攻击者已渗透内网并加密关键系统数据。尽管未发现信用卡信息泄露，但约191.4万条个人信息面临泄露风险，包括152.5万名客户（姓名、地址、电话等）、10.7万名员工及16.8万名家属、11.4万名外部联系人。目前仅确认18条员工数据实际泄露，其余均属“高风险暴露”。朝日已耗时近两个月控制事态，正重建网络，并推迟发布全年财报。

https://mp.weixin.qq.com/s/YiHOrZBq2ckOEC5RfiQgwA

5. Gainsight供应链漏洞致200+企业Salesforce数据遭窃，黑客借OAuth令牌实施“连环跳板攻击”

2025年11月24日，谷歌证实一起大规模供应链攻击事件：黑客通过Gainsight（客户成功平台）在Salesforce上的第三方应用，窃取了200多家企业的CRM数据。攻击源于此前对Salesloft旗下Drift平台的入侵——黑客窃取其客户OAuth令牌后，横向渗透至同为Drift用户的Gainsight，并利用其高权限Salesforce集成，批量导出客户数据。黑客组织“Scattered Lapsus$ Hunters”（含ShinyHunters等团伙）宣称对此负责，并计划上线勒索网站。Salesforce与Gainsight均强调漏洞不在其核心平台，而是“外部应用连接”所致。作为应急措施，Salesforce已吊销Gainsight所有应用令牌。被点名企业如DocuSign、Verizon、LinkedIn等正紧急调查；CrowdStrike虽称未受影响，但已解雇一名涉嫌泄密的内部员工。此次事件再次暴露SaaS生态中OAuth权限滥用与第三方集成监管缺失的系统性风险。

https://mp.weixin.qq.com/s/nuKFP65MuOviXllj-IliyA