政策趋势
一、《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南正式发布
为贯彻落实《人工智能生成合成内容标识办法》,指导生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识相关活动,全国网络安全标准化技术委员会秘书处结合强制性国家标准GB 45438—2025《网络安全技术 人工智能生成合成内容标识方法》相关要求,组织编制了《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南。
二 、《数据安全技术 个人信息匿名化处理指南及评价方法》(征求意见稿)等4项国家标准公开征求意见
近日,全国网络安全标准化技术委员会归口的《数据安全技术 个人信息匿名化处理指南及评价方法》等4项国家标准现已形成标准征求意见稿,并公开征求意见。
三、全国网络安全标准化技术委员会关于2025年28项网络安全国家标准项目立项的通知
近日,全国网络安全标准化技术委员会按照标准制修订工作程序的要求,完成28项网络安全国家标准的立项工作并印发标准清单。请各工作组按照国家标准委和委员会相关规定,认真做好项目的指导工作,监督好各项目的实施进度。请各项目牵头单位做好项目的研制工作。
四、国务院发布关于深入实施“人工智能+”行动的意见
为深入实施“人工智能+”行动,推动人工智能与经济社会各行业各领域广泛深度融合,重塑人类生产生活范式,促进生产力革命性跃迁和生产关系深层次变革,加快形成人机协同、跨界融合、共创分享的智能经济和智能社会新形态,国务院发布《关于深入实施“人工智能+”行动的意见》。
《意见》提出,要打造安全治理多元共治新格局。推动构建面向自然人、数字人、智能机器人️等多元一体的公共安全治理体系,加强人工智能在安全生产监管、防灾减灾救灾、公共安全预警、社会治安管理等方面的应用,提升监测预警、监管执法、指挥决策、现场救援、社会动员等工作水平,增强应用人工智能维护和塑造国家安全的能力。加快推动人工智能赋能网络空间治理,强化信息精准识别、态势主动研判、风险实时处置等能力。
提升安全能力水平。推动模型算法、数据资源、基础设施、应用系统等安全能力建设,防范模型的黑箱、幻觉、算法歧视等带来的风险,加强前瞻评估和监测处置,推动人工智能应用合规、透明、可信赖。建立健全人工智能技术监测、风险预警、应急响应体系,强化政府引导、行业自律,坚持包容审慎、分类分级,加快形成动态敏捷、多元协同的人工智能治理格局。
五、《互联网平台价格行为规则》公开征求意见
为深入贯彻党中央、国务院决策部署,促进平台经济健康发展,国家发展改革委、市场监管总局、国家网信办联合起草了《互联网平台价格行为规则(征求意见稿)》,现向社会公开征求意见。
《规则》根据《中华人民共和国价格法》、《中华人民共和国电子商务法》、《中华人民共和国反不正当竞争法》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规制定,旨在健全互联网平台常态化价格监管机制,规范相关价格行为,保护消费者和经营者合法权益,促进平台经济高质量发展。
《规则》强调,平台经营者、平台内经营者不得违反《中华人民共和国消费者权益保护法实施条例》第九条规定,没有正当理由,在消费者不知情的情况下,基于支付意愿、支付能力、消费偏好、消费习惯等信息,运用数据和算法、平台规则等手段,对同一商品或者服务在同等交易条件下设置不同的价格或者收费标准。
平台经营者应当加强价格自律,建立健全价格行为合规管理制度应该加强网络数据安全管理,在价格行为中依法依规处理个人信息。
六、工信部印发《关于优化业务准入促进卫星通信产业发展的指导意见》
近日,工业和信息化部印发《关于优化业务准入促进卫星通信产业发展的指导意见》,围绕促进卫星通信产业高质量发展,从有序扩大市场开放、持续拓展应用场景、培育壮大产业生态、优化电信资源供给、加强卫星通信监管、提升协同推进合力等六方面提出19条思路举措。
其中,筑牢网络和数据安全防线方面提出,指导督促企业依法履行国家安全主体责任,在相关系统的设计、建设、运行中同步规划、同步建设、同步运行安全技术措施,落实通信网络安全防护、数据分类分级保护、关键信息基础设施保护、网络安全等级保护以及个人信息保护等要求,建设信息安全技术措施,保障网络、数据和信息安全,加强用户实名制管理,做好防范治理电信网络诈骗相关技术保障措施。
七、四川省发展和改革委员会等部门印发《四川省“数据要素×”重点工作方案(2025—2026年)》
近日,四川省发展和改革委员会等部门印发《四川省“数据要素×”重点工作方案(2025—2026年)》。
《方案》强调,要推进数据资源开发利用。持续开展数据企业登记入库、培育认定,发布一批数据资源企业、数据技术企业、数据服务企业、数据应用企业、数据安全企业、数据基础设施企业入库名单。推进行业高质量数据集和语料库建设。持续加强数据安全防护,建立健全数据全生命周期安全管理体系和技术保障措施,打造一批企业、行业、城市可信数据空间。
八、上海市通管局印发《关于规范开展2025年信息通信网络安全防护工作的通知》
近日,为深入贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规和政策文件要求,有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提升上海市信息通信网络安全防护水平,保障信息通信网络安全稳定运行,上海市通信管理局决定规范开展2025年信息通信网络安全防护工作,并印发工作通知。
《通知》指出,要加强信息通信网络安全符合性评测。信息通信网络运行单位要按照电信网和互联网安全防护系列标准要求(安全防护相关标准及填报注意事项可在通信网络安全防护管理系统的“文件下载中心”查看和下载),采取与信息通信网络单元类别、安全级别相适应的身份鉴别、访问控制、边界防护、安全审计等网络安全防护管理和技术措施,并按照规定频次自行或委托专业机构开展网络安全防护系列标准的符合性评测。
加强网络安全威胁监测。信息通信网络运行单位要按照公共互联网网络安全威胁监测与处置要求,做好常态化网络安全威胁监测与处置。建设网络安全威胁监测与处置技术手段,在互联网出入口、网络边界等网络关键节点部署攻击监测设备,基于流量监测、网元自身安全组件监测、日志采集分析等,提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力,及时发现并处置各类风险隐患与威胁。
强化网络安全事件应急处置。信息通信网络运行单位要按照公共互联网网络安全突发事件应急预案要求,提升网络安全突发事件应急处置能力。制定并更新完善本单位网络安全应急预案,做好重大活动网络安全保障准备。定期参与或自行组织开展针对性、实战化网络安全事件应急演练,不断健全网络安全事件报告和应急处置机制。严格落实突发事件报告制度,发生网络安全事件或者发现网络安全威胁的,立即向市通管局报告,并在事件应急响应结束后十个工作日内,在市通管局网络安全监测预警和信息通报管理系统进行报送。
监管动态
一、南岸区网信办开展出行场所滥用人脸识别技术专项整治现场评估
为深入贯彻落实《个人信息保护法》《网络数据安全管理条例》《人脸识别技术应用安全管理办法》等法律法规,进一步规范个人信息处理活动,切实保障个人信息安全,近日,南岸区网信办针对重庆交运城卡科技有限公司、重庆交通运业有限责任公司四公里汽车站等单位使用人脸识别技术的情况组织了现场评估。
本次评估重点围绕网络安全责任制的落实、安全管理制度的完善程度、人脸识别技术应用的安全性、设施设备运行状态等关键内容展开全面排查。针对评估中发现的问题,现场下达整改通知,要求相关单位限期落实整改。此外,针对个别企业人脸信息存储数量达10万的情况,及时指导个人信息处理者依法向重庆市网信办履行备案手续。
南岸区网信办表示,将以此次评估为契机,持续加强对人脸识别技术应用等重点领域的常态化监管,督促并指导行业主管部门切实履行行业监管责任,提升区域数据安全与个人信息保护水平,筑牢网络安全防线。
二、38款违法违规收集使用个人信息的移动应用公布
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,38款移动应用存在违法违规收集使用个人信息情况。
1、未公开收集使用规则。涉及《家政加》(5.3.5,VIVO)、《聘巢》(1.0.2,应用宝)2款移动应用。
2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及《联想乐云》(6.8.20,应用宝)、《画啦啦美术课堂》(5.22.9,OPPO)、《智通直聘》(11.14.0,应用宝)等19款移动应用。
3、在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及《e家政》(4.0.10,VIVO)、《in》(3.4.130,豌豆荚)等4款移动应用。
4、在申请收集用户等个人敏感信息时,未同步告知用户其目的。涉及《我要聘》(1.2.10,VIVO)、《闪电直聘》(3.1.0,百度)等4款移动应用。
5、征得用户同意前就开始收集个人信息。涉及《秀色直播》(9.3.6,华为)、《微米浏览器》(BrowserV8.0.20250403,百度)等3款移动应用。
6、实际收集的个人信息超出用户授权范围。涉及《联想乐云》(6.8.20,应用宝)、《画啦啦美术课堂》(5.22.9,OPPO)、《达管家》(5.2.192,应用宝)等19款移动应用。
7、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及《地铁查询宝》(1.1.7,小米)、《文件解压管家》(1.4.0,小米)等3款移动应用。
8、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及《爱看书免费小说》(8.2.4,华为)1款移动应用。
9、实际收集的个人信息超出相关功能的必要范围。涉及《豆果美食》(8.2.15.2,华为)、《百思漂流瓶》(9.13.81,华为)等6款移动应用。
10、实际收集个人信息的频率超出相关功能的必要范围。涉及《家宝兔》(6.6.3,应用宝)1款移动应用。
11、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及《同城招聘》(1.1.1,VIVO)、《找零工》(4.2.6,豌豆荚)2款移动应用。
12、强制要求用户打开非必要的可收集个人信息权限。涉及《e家政》(4.0.10,VIVO)1款移动应用。
13、强制要求用户提供非必要的个人信息。涉及《好兔视频》(1.6.36.1,华为)1款移动应用。
14、未向用户提供更正或补充其个人信息的具体途径。涉及《当日急聘》(7.4.4,VIVO)1款移动应用。
15、未向用户提供注销账户的途径和方式。涉及《找零工》(4.2.6,豌豆荚)1款移动应用。
16、注销账户的流程中设置不合理的条件或提出额外要求。涉及《597直聘》(6.5.0,应用宝)、《快马日结》(6.7.00,百度)2款移动应用。
17、未提供退出或关闭个性化展示模式的选项。涉及《壁纸多多》(6.9.9.1,豌豆荚)、《找零工》(4.2.6,豌豆荚)等3款移动应用。
三、泄露韩国半数国民隐私数据,SK电信收到1348亿韩元天价罚单
近日消息,韩国最大移动运营商 SK 电信公司(SK Telecom Co.)近日收到了 1348 亿韩元(约合 6.91 亿元人民币)的天价罚单,原因是今年 4 月曝光的一场网络攻击导致该公司用户数据泄露,受影响人数约占韩国总人口的一半。
该处罚决定是由韩国个人信息保护委员会作出,理由是该公司未能履行用户数据保护义务,且未及时上报数据泄露事件,并透露此次泄露事件波及约2300万人。委员会同时责令SK 电信加强个人数据监管。这也是韩国个人信息保护委员会自 2025 年成立以来开出的最高罚单。
SK 电信对此处罚结果回应称:“在调查与审议过程中,我们已充分说明自身立场及所采取的应对措施,但很遗憾这些未能体现在最终结果中。”该公司同时表示,SK 电信高度重视此次处罚结果,将把个人数据保护列为所有业务活动的核心价值,全力加强用户数据安全防护工作。
四、疑似遭勒索软件攻击,瑞典全国60%以上城市的居民数据或泄露
瑞典人力资源软件供应商Miljödata近日疑似遭遇勒索软件攻击,导致了该国约200个城市的居民隐私数据泄露,占其全国城市/地区数量的60%以上。
据了解,这起攻击于8月23日被发现。攻击者表示其侵入Miljödata的数据环境,并要求Miljödata公司支付1.5个比特币赎金,约合150万瑞典克朗(约合人民币112万元)。
瑞典民防部长Carl-Oskar Bohlin表示,负责协助瑞典社会应对和防范IT安全事件的瑞典计算机安全事件应急响应小组(CERT-SE),已向相关公司和受影响客户提供了建议和支持。国家网络安全中心正协调相关部门采取措施,警方调查也在同步进行。事件的影响范围尚不清楚,被入侵的系统主要用于处理劳动法相关案件、康复事务、医疗证明,以及工伤和事故的申报与处理。因此,部分员工、前雇员及学生的敏感个人信息可能已遭泄露。
五、Salesforce系统攻击活动持续发酵,美一征信公司披露超440万用户数据或泄露
美国征信公司TransUnion日前公告称,其 Salesforce 系统遭到攻击,或导致超过440万美国用户个人信息泄露,但未涉及信用报告或核心信用信息。
TransUnion 是美国三大信用公司之一,目前共管理全球超过10亿消费者信用信息,并与65,000家企业共享数据。此次攻击活动发生于7月28日,并于两天后被发现。初步判断由 Shiny Hunters 勒索组织及其集群 UNC6395 发起,属于Salesforce系统持续攻击浪潮的一部分,目前已影响包括谷歌、农民保险、安联人寿、Workday、Pandora、思科、香奈儿和澳洲航空等巨头公司。
六、热门AI浏览器曝命令注入漏洞,仅用150秒就可盗走用户账号
近日,浏览器公司Brave的安全研究人员公开披露,在美国知名AI搜索独角兽Perplexity打造的AI浏览器Comet中发现了一个严重的命令注入漏洞,攻击者可通过在网页中发布恶意指令,来操纵AI浏览器登录网站、访问邮箱、获取验证码,并将这些敏感信息发送给外部攻击者。全程仅耗时两分半,连普通人也能完成这种攻击。
据介绍,Comet本质上是一款能代替用户完成浏览器操作的Agent。实验中,研究人员在美国贴吧平台Reddit上发布了一则贴文,内含恶意指令,并让Comet总结这一帖子。当阅读到恶意指令时,Comet会全盘照搬地执行,给用户的信息安全带来巨大风险。
七、新型窃密软件SHAMOS伪造苹果支持页面绕过Mac安全检查
网络安全公司CrowdStrike日前发布报告称,在2025年6月至8月期间,全球共有超过300个企业组织遭到名为SHAMOS的Atomic macOS窃密程序(AMOS)变种攻击。
该恶意软件能够从受感染设备窃取多种信息,包括钥匙串密码、系统详情、桌面文件及macOS密码,并可提取多种浏览器的自动填充数据、密码、Cookie、加密钱包👛和信用卡💳️信息。其攻击目标涵盖Electrum、币安、Exodus、Atomic和Coinomi等主流加密钱包👛。
报告显示,该恶意软件通过"恶意软件即服务"模式传播,犯罪团伙利用恶意广告将用户诱导至伪造的macOS支持网站,诱骗受害者执行单行安装命令。这种技术可绕过Gatekeeper安全检测直接安装Mach-O可执行文件,凸显网络犯罪日益依赖单行命令攻击手法,此前在Cuckoo窃密程序和SHAMOS Homebrew活动中也曾出现类似手段。
八、法国零售集团欧尚(Auchan)数十万客户信息泄露
法国零售集团欧尚(Auchan)披露一起数据泄露事件,数十万名客户的会员账户相关信息遭未授权访问。受影响数据包括姓名、称谓与客户状态、住址、邮箱、电话号码及会员卡号,但银行数据、密码和PIN码未受影响。
公司已向受害客户发出通知,并报告法国数据保护监管机构CNIL。欧尚提醒客户警惕利用泄露信息实施的网络钓鱼攻击,并强调绝不会通过邮件、短信或电话索取登录凭证或卡片PIN码。
欧尚在欧洲及非洲13国拥有2100余家分支,雇员超过15万人,此次事件突显法国大型企业近期频繁遭遇数据泄露风险。
业界之声
一、全国数据标准化技术委员会WG1总体工作组2025年第三次全体会议在京召开
近日,全国数据标准化技术委员会WG1总体工作组2025年第三次全体会议在北京召开。
会上,全国数标委秘书处向WG1总体工作组介绍了第一批数据领域国家标准推进情况、全国数标委研制的技术文件情况,以及2025年第二批数据领域国家标准需求征集整体情况。其中,第一批数据领域拟立项国家标准涉及数据基础术语、数据产品、公共数据资源、全域数字化转型、高质量数据集、数据服务、数据流通匿名化、数据基础设施及全国一体化算力网等方面;全国数标委研制的技术文件涉及数据基础设施、可信数据空间、全国一体化算力网、高质量数据集等方面。WG2数据治理标准工作组、WG3数据流通利用标准工作、WG4全域数字化转型标准工作组、WG5数据技术标准工作组、WG6数据基础设施标准工作组代表分别报告了各组2025年第二批数据领域国家标准具体需求。
WG1总体工作组重点对2025年第二批数据领域国家标准需求中的标准名称、标准化对象、拟规范内容、拟解决问题、在标准体系中位置、与已有标准协调性等方面进行审议,进一步明确了2025年第二批数据领域标准化工作方向及重点。
下一步,全国数标委秘书处将根据WG1总体工作组的意见和建议,修改完善2025年第二批数据领域国家标准需求清单并尽快公布,做好2025年第二批拟立项国家标准申报工作。
二、2025中国国际大数据产业博览会开幕
近日,2025中国国际大数据产业博览会在贵州省贵阳市开幕。本届数博会以“数聚产业动能 智启发展新篇”为主题。
庄荣文在致辞中表示,要坚持赋能发展、普惠发展、安全发展、开放发展,推动数字技术、网络技术、智能技术与实体经济深度融合,提升全民数字素养,满足人民美好生活新期待。要促进数据跨境高效便利安全流动,持续优化数字营商环境,构建国际互利合作新格局。
刘烈宏在致辞中表示,国家数据局认真学习贯彻习近平总书记关于数据发展和安全的重要论述,纵深推进数据要素市场化配置改革,积极推进“人工智能+”行动,充分发挥数据的基础资源作用和创新引擎作用,多措并举推动各项工作取得积极进展。下一步,要着力完善数据基础制度,推进数据基础设施建设,加强场景应用,构建全国一体化数据市场,发展壮大数据产业,培育良好产业生态。国家数据局将支持贵州落实各项政策举措,推动当地在数字经济发展上实现新突破。
三、数字中国建设工作推进会议在贵阳召开
近日,国家数据局会同有关部门召开数字中国建设工作推进会议。会议深入学习习近平总书记关于数据发展和安全的重要论述精神,贯彻党中央、国务院关于数字中国建设的决策部署,总结2025年上半年数字中国建设工作成效,交流经验、分析形势、研究下一步工作,进一步凝心聚力、奋发有为,推动数字中国建设取得新的更大成效。
会议指出,数字中国建设十年来蹄疾步稳、走深走实,整体性、系统性、协同性显著提升。要进一步提高站位、超前谋划,深刻认识数字中国建设面临的新形势新任务,深刻认识人工智能条件下数据工作的战略定位和使命任务,认真落实国务院关于深入实施“人工智能+”行动的意见,进一步增强责任感和紧迫感,努力做好当前各项工作。
会议提出,今年以来,各地区各部门认真贯彻落实《数字中国建设整体布局规划》,年初部署的数字中国各项工作任务正在有序开展,取得积极成效。下一步,要落实各地区各部门工作主体责任,强化资源整合,形成工作合力。要提升战略思维,高质量做好“十五五”数字中国建设规划编制工作。要加快印发梯次培育数字产业集群的行动计划,推进创建国家数字经济创新发展试验区,加强体系化促进平台经济健康发展政策研究。要统筹推进数字社会顶层设计,组织编制数字社会场景开放创新指引,制定印发城市全域数字化转型行动计划。要大力推动公共数据资源开发利用“1+3”政策落地落实,拓展场景应用,持续深化公共数据“跑起来”示范场景建设。要深刻认识“一表通”工作的重大意义,加强力量配备,扎实开展报表摸底精简和系统建设对接,确保高质量完成年度目标任务。要深入实施可信数据空间发展行动计划,强化场景应用、构建信任机制,推动规则创新和技术创新双轮驱动,打造数据价值协作的产业生态。要一体化推进算力网建设,体系化建设国家数据基础设施,为数据流通应用提供安全可信环境。要加快推进行业高质量数据集建设,积极服务“人工智能+”行动。要统筹谋划、务实有序、因地制宜推进数据领域国际合作。
四、《可信数据空间创新发展报告(2025)》发布
近日,《可信数据空间创新发展报告(2025)》在2025中国国际大数据产业博览会-数据产业创新发展主题交流活动上发布。
报告总结了可信数据空间发展的四大亮点。一是促进关键领域数据资源开放供给,助力人工智能发展。二是赋能10大领域创新发展,有力服务国家战略与民生需求。能源、矿产资源、装备制造、汽车、科学研究、新材料、医疗健康、物流运输、卫星遥感和跨数据空间十个领域积极探索可信数据空间应用,展现出四大赋能价值。三是可信第三方汇聚产业力量,互信协作的产业生态加速形成。首批试点项目带动近7万家市场主体参与,初步形成涵盖数据资源、应用、服务、技术、安全、基础设施等六类数据企业的协同网络。四是探索构建“四位一体”规则框架,护航数据要素高效流通。试点项目体系化搭建“信任为基础、价值为激励、治理为基准、合规为保障”的规则框架,解决数据能否用、愿意用、高效用、安全用的核心问题,推动我国可信数据空间向更高水平发展。
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
相关阅读
