九游(9游中国)官方网站近日，中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局六部门联合印发了《促进和规范金融业数据跨境流动合规指南》。

　　《指南》根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规制定，旨在保障数据安全，保护个人信息权益，促进数据依法有序自由流动。

　　《指南》要求，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

　　数据处理者向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门。各地网信部门应当加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，优化评估流程；强化事前事中事后全链条全领域监管，发现数据出境活动存在较大风险或者发生数据安全事件的，要求数据处理者进行整改，消除隐患；对拒不改正或者造成严重后果的，依法追究法律责任。

　　《全国网络安全标准化技术委员会2025年度工作要点》经2025年4月14日全国网络安全标准化技术委员会全体委员会议审议通过，并由全国网络安全标准化技术委员会正式印发。

　　《要点》指出，将加快推动重点领域网络安全国家标准研制。推动发布人工智能生成合成内容标识方法强制性国家标准，研制配套标准实践指南和贯标应用工具；研制出台生成式人工智能服务安全基本要求、训练数据安全、数据标注安全等标准；启动人工智能安全能力成熟度、应用分类分级等标准研制。支撑《推动大规模设备更新和消费品以旧换新行动方案》，研制电子产品信息清除技术要求强制性国家标准，开展标准试点验证工作，建设信息清除效果验证工具平台；支撑《网络数据安全管理条例》，研制出台数据安全保护、数据安全风险评估等标准，并推动标准实施应用；启动数据安全能力成熟度模型标准修订及自动化工具访问收集网络数据安全要求等标准研制。支撑《个人信息保护合规审计管理办法》落地，研制出台个人信息保护合规审计、敏感个人信息处理、个人信息转移等标准，建立合规审计标准配套实践指南；启动个人信息安全规范标准修订及小型个人信息处理者个人信息保护等标准研制；参与研制儿童手表安全技术要求强制性国家标准。围绕消费类摄像头等安全需求，研制智能联网设备安全相关标准：修订密码模块安全要求、密码设备应用接口、工业控制系统安全管理等标准；启动车外数据一键管控功能技术要求等标准研制。

　　将强化网络安全标准战略布局和前瞻性研究。做好“十五五”网络安全标准顶层规划与布局，编制网络安全国家标准使用手册，研制并推动发布人工智能安全、数据安全、个人信息保护等重点领域标准体系。围绕下一代互联网、具身智能、智能驾驶、低空经济脑机接口、量子信息、数据空间等新兴未来产业发展方向，组织开展安全标准前瞻性研究与需求调研，编制安全标准化研究，指导相关技术领域标准研制工作有序推进。

　　近日，为全面贯彻落实党的二十大和二十届二中、三中全会精神，按照中央经济工作会议和2025年政府工作部署，加快构建促进数字经济发展体制机制，国家发展改革委、国家数据局印发《2025年数字经济发展工作要点》。

　　工作要点对2025年推进数字经济高质量发展重点工作作出部署，提出7个方面重点任务。一是加快释放数据要素价值。以数据要素市场化配置改革为主线，加快完善数据产权、全国一体化数据市场等数据基础制度，配合开展基层报表数据“只报一次”试点，推进数据资源整合共享，组织开展企业、行业、城市三类可信数据空间创新发展试点，以公共数据为突破口深化数据资源有序开发利用。二是筑牢数字基础设施底座。统筹“东数西算”工程与城市算力建设，以全国一体化算力网建设优化算力资源布局，推动建设国家数据基础设施，加快统一目录标识、统一身份登记、统一接口要求等标准规范建设，抓好隐私计算、区块链等数据流通利用基础设施先试先行。三是提升数字经济核心竞争力。促进科技创新和产业创新深度融合，梯次培育布局具有国际竞争力、区域支柱型、区域特色型数字产业集群，推动数据产业、数据标注产业高质量发展，支持人工智能技术创新和产业应用。四是推动实体经济和数字经济深度融合。实施数字消费提升行动、品质电商培育行动，打造数智化消费新场景。深入实施数字化转型工程，协同构建技术模式和商业模式，“一链一策”推进重点行业数字化转型，探索金融、文旅、医疗等领域数字化赋能路径，搭建转型公共服务平台，培育数字化转型服务商。五是促进平台经济规范健康发展。支持平台企业创新发展，强化灵活就业和新就业形态劳动者权益保障，鼓励平台企业开辟新的就业空间。六是加强数字经济国际合作。加快发展数字贸易，推进海外智慧物流平台建设，促进跨境电商发展，拓展“丝路电商”合作空间，高质量组织2025年上海合作组织峰会数字经济论坛，探索数据跨境流动管理新模式。七是完善促进数字经济发展体制机制。深化适数化改革，加大财税金融等综合性政策支持力度，优化高等学校数字经济领域学科设置、人才培养模式。

　　为贯彻落实党中央、国务院关于加快推进数字中国建设的决策部署，认线年全国数据工作会议精神，切实做好2025年数字社会建设工作，国家数据局印发《2025年数字社会发展工作要点》以及《2025年数字社会领域标志性任务清单》。

　　工作要点聚焦提质增效数字公共服务、智享美好数字生活、推进精准数字社会治理等3个方面部署工作任务。在提质增效数字公共服务方面，鼓励各方加快高质量数据供给，加快推进“三医”协同数据共享，提升智慧养老服务水平，拓展康养领域数字化应用，推进“人工智能+教育改革”，提升全民数字素养与技能，推动社保卡“一卡通”跨区域应用，加强新就业形态劳动者权益保障，强化婚育、残疾人保障等领域数据协同与开发利用。在智享美好数字生活方面，大力发展数据产品和服务，加强数据赋能文化传承、旅游服务、消费名品打造、数字商务发展、全民健身服务等领域创新应用，协同推进智慧社区和数字家庭建设。在推进精准数字社会治理方面，不断拓展数据应用广度和深度，提升国土空间治理现代化、“一网统管”管理精细化水平，推动基层报表数据“只报一次”，增强乡村治理数字化水平，深化数字住建发展，推动生态环境数字化转型，探索绿色数字空间建设，提升智慧交通出行能力。

　　为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划（2024—2028年）》等政策文件要求，充分考虑可信数据空间作为数据基础设施重要技术路线的定位，在国家数据局的指导下，全国数据标准化技术委员会秘书处组织开展《可信数据空间 技术架构》技术文件编制，现已形成并发布该技术文件征求意见稿。

　　文件指出，在可信数据空间中，数据产品安全主要涵盖四个方面：一是数据安全分级，要求可信数据空间支持对接入的数据产品进行安全等级划分，通过数据敏感度评估、数据分类打标、分级策略管理等能力，提供差异化的安全保障策略。二是数据传输安全，需确保数据传输安全，合理运用数据加密、数字签名、虚拟数据网络等技术，实现数据传输过程防窃听、防篡改。三是数据存储安全，应提供或集成安全可靠的数据存储环境，使数据提供方能够将数据存放于安全受控的环境内，同时合理采用数据加密、数字签名、访问控制、数据沙箱等技术，保障存储数据的完整性、隐私性与真实性。四是数据计算安全，要提供或集成安全可靠的数据计算环境，让数据使用方在安全和受控的环境下进行数据的分析处理，并合理运用智能合约、可信执行环境、联邦学习、密态计算、零知识证明、安全多方计算等技术，保障数据计算过程的隐私性、完整性和真实性。

　　近日，江苏省政府办公厅印发《江苏省数字经济高质量发展三年行动计划（2025－2027年）》。

　　《行动计划》提出了强化关键要素供给、加强数字技术创新、推动数实深度融合、促进平台经济健康发展、完善数字基础设施、健全数字治理体系、优化数字经济发展生态等七大任务20条具体举措。到2027年，江苏省数据要素市场体系基本建立，数据开发开放和流通使用水平显著提升，数字技术与实体经济融合程度加深，数字经济核心产业增加值达1.8万亿元，形成一批适应数字化发展的改革创新举措，培育一批具有核心竞争力、市场引领力的数字经济企业，做强一批数字经济特色产业园区，打造具有国际竞争力的数字产业集群。

　　近日，河南省政府办公厅公开发布《河南省数据要素市场培育行动方案（2025—2027 年）》，旨在加快推进数据要素市场化配置改革，充分发挥市场在数据资源配置中的决定性作用，激活数据要素潜能。

　　实施数据要素安全治理行动方面，《方案》指出，一要健全数据安全治理机制。制定加强数据安全保障体系建设意见，明确各类数据安全保护范围、主体、责任和措施，完善数据分级分类、开发利用、流通交易等安全治理原则和具体细则。建立健全数据联管联治机制，完善数据安全风险评估、信息共享、监测预警和应急处置机制，强化分行业监管和跨行业协同监管。加强合规激励，推广数据合规自愿性认证和信用承诺制度。二要强化企业数据治理能力。探索建立企业数据治理容错免责机制，降低数据安全合规成本，完善企业层面“首违不罚或轻罚”等服务保障措施。建立健全企业数据要素登记及披露机制，支持企业落实数据管理能力成熟度评估模型国家标准。规范企业参与政府信息化建设中的政务数据安全管理，推动企业依法依规承担相应责任。三要构建多方协同治理机制。稳步推进数据要素分级分类治理，促进跨领域、跨行业、跨主体数据融合共享。建立完善数据要素市场信用体系，逐步完善数据交易失信行为认定、守信激励、失信惩戒、信用修复、异议处理等机制。四要健全数据跨境流动机制。支持中国（河南）自贸区郑州片区规划建设国际数据港，探索建设面向数据跨境流动的新型数据服务试验区，合作共建国际可信数据空间，开展国际规则的综合集成和压力测试，创新数据跨境流动和开发利用制度机制。支持自贸区制定数据出境管理清单（负面清单），编制场景清单和操作指引，推进数据安全可信流动，布局发展数据跨境服务产业。

　　近日，厦门市数据管理局发布《厦门市促进数据产业高质量发展若干措施》并公开征求意见。

　　《措施》在提升企业数据管理水平方面指出，要支持企业提升数据治理能力。鼓励开展数据管理能力成熟度（DCMM）贯标，政策有效期内，通过DCMM三级、四级、五级评估认证的企业，分别给予一次性最高5万元、10万元、20万元奖励，对已经享受较低等级认证奖励的企业再次通过更高级别给予差额奖励。支持企业数据要素合规高效流通。鼓励企业开展数据资产登记、数据资产入表，支持企业规范开展数据跨境流动。支持企业依托第三方专业机构开展数据资产合规性审查、数据资产价值评估、数据质量评价等工作。企业数据产品和服务首次在厦门市数据资产登记中心取得数据资产登记证书且通过厦门数据交易平台挂牌的，给予每家最高不超过5万元奖励。企业首次实现数据资产入表且入表金额大于100万元的，最高给予5万元奖励。企业通过国家数据安全监管部门数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证的，最高给予5万元奖励。

　　据调查，案件始于2024年4月，被告人段某(安徽人)是一家物流公司的老板，为扩展业务单量、促成与网点商家张某(另案处理)的寄递合作业务，两人达成了个人信息交易协议，约定段某将商家寄件时显示的买家个人信息提供给张某，张某则按每条0.3至0.6元的标准向段某支付费用。为了获得更多公民个人信息，段某利用自己的私人关系，找到了某快递公司负责人陈某，陈某又安排公司其他几名被告人郑某、陈某某、潘某某、蒋某某分工配合，系统归纳公民个人信息，并汇总信息数量、价格等内容。

　　去年4月30日，有市民报警，称自己的个人信息被泄露，导致东窗事发。经调查，2024年4月1日至5月14日期间，被告人段某、陈某、郑某等人共计导出公民个人信息129000多条，售出后非法获利44000元。法院审理认为，被告人段某、陈某、郑某等人在各自职责范围内，违反国家关于公民个人信息保护的相关规定，利用职务之便或行业便利，非法获取并出售公民个人信息，其行为不仅严重侵犯了公民的隐私权，也扰乱了正常市场秩序和社会管理秩序。

　　近日，北京警方破获一起新型案件，11名犯罪嫌疑人以职场新人的身份潜入教育机构，用最原始的方式实施高科技犯罪。

　　今年初，某在线教育平台负责人发现学员信息异常泄露后报警。海淀分局网络安全部门调查发现，这家公司的每台办公电脑存在病毒程序，技术人员从主机里揪出了十几种不同的病毒程序。并且这些病毒并非来自网络攻击，而是通过最原始的U盘传播。调查显示，病毒程序的传播者是该公司新入职的程序员鲁某。鲁某其实是犯罪团伙派出的商业间谍，通过深挖其加密聊天群组，一个分工明确的犯罪网络浮出水面。

　　该团伙成员均受过专业计算机培训，他们利用教育行业招聘旺季，伪造简历混入多家培训机构。每天正常上下班期间，他们像普通员工一样参加会议、处理文档，却暗中寻找机会将携带病毒的盘插入公司电脑。这些经过特殊处理的存储设备，能在接入瞬间自动安装窃密程序。

　　经过追踪，警方在多地同步收网，将刘某为首的人犯罪团伙一网打尽。现场缴获的作案工具包含：伪装成普通办公用品的特制盘、加载虚拟系统的笔记本电脑、存有数万条公民信息的移动硬盘。

　　近期，国家安全机关破获一起重大间谍案件。经查，犯罪嫌疑人郝某受境外间谍情报机关指挥，长期潜伏在我核心要害部门窃取情报，最终因间谍罪被判处无期徒刑。

　　留学生郝某在攻读博士学位期间，因赴某国参加国际学术会议，来到该国大使馆办理签证，使馆人员表示要对其申请进行审核。事后不久，一位名为T的使馆官员主动致电郝某，热情地表示，希望就签证事宜与其当面沟通。这位名叫T的使馆官员是某国间谍情报机关派驻在使馆的工作人员，并将郝某当成了自己的目标。见面后，T详细了解郝某的个人信息、研究内容、就业打算等情况，表示愿意为郝某提供签证帮助，想和郝某交个朋友。郝某以为自己遇到了好心人，当即表示愿意和T交朋友，双方互留联系方式。就在这一刻，郝某已经被境外间谍情报机关所套路，一步步走向外方设定的圈套。

　　此后一段时间，T通过请客吃饭、赠送礼物等方式，逐步与郝某密切关系，还善解人意地提出在国外留学读书开销很大，可为郝某提供一份兼职工作。在T的安排下，郝某参加了一次“工作面试”，并很快凭借自己撰写的两篇论文得到了不错的报酬，这让他对T更加信任。又过了几个月，T热心介绍自己的同事L，与即将完成学业的郝某认识。在郝某毕业回国前，L亮明了自己间谍的身份，将郝某策反，双方正式建立秘密情报关系。

　　学成归国的郝某按照外方要求，想方设法应聘进入了我中央某部直属研究所，成为我重点涉密单位的正式工作人员。在研究所工作期间，郝某多次与外国间谍人员秘密接头，把自己搜集到的情报提供给外方，然后收取间谍经费。在境外间谍情报机关指挥下，处心积虑一心想获取更多情报的郝某，被借调到中央某部工作，负责一项重要涉密工程。就这样，一枚境外间谍情报机关的钉子深深扎进了我核心要害部门。

　　经鉴定，郝某向境外间谍情报机关提供的情报，涉及中央某部敏感项目及内部人员情况，其中机密级国家秘密5项、秘密级国家秘密2项，刑法第一百一十一条规定的情报14项。最终，郝某因间谍罪被判处无期徒刑，剥夺政治权利终身。

　　近日，提供电子邮件安全服务等业务的大型电信公司IIJ ( Internet Initiative Japan)公布，其遭到了通过网络攻击的非法访问。

　　IIJ表示，于2025年4月10日确认，自2024年8月3日及之后，“IIJ Secure MX Service”的服务基础设施遭到未经授权的访问，并执行了恶意程序。因此，与该服务相关的电子邮件通信和身份验证信息可能已被泄露。在确认存在信息泄露后，已确定未经授权访问的路径并实施了适当的隔离措施。目前，该服务已安全运行。

　　信息可能被泄露的客户数量:最多6,493 份合同和4,072,650 个电子邮件帐户(“IIJ Secure MX Service”的所有客户)。可能泄露的信息类型取决于客户的合同细节和所使用的功能。

　　据威胁监控平台Shadowserver Foundation，超过1.6万暴露在互联网上的Fortinet设备被发现遭受新型符号链接后门攻击。该后门允许攻击者对先前被入侵的设备上的敏感文件进行只读访问。

　　Fortinet表示，这与2023年至2024年期间利用零日漏洞入侵FortiOS设备的攻击有关。攻击者在启用SSL-VPN的设备上，在语言文件文件夹中创建了指向根文件系统的符号链接。由于这些语言文件在启用SSL-VPN的FortiGate设备上可公开访问，攻击者可以浏览该文件夹并获得对根文件系统的持久只读访问权限，即使初始漏洞已被修补。Fortinet建议受影响设备的管理员重置所有凭据，并遵循其提供的指南采取其他安全措施。

　　美国纽约技术公司Endue Software近日确认发生数据泄露事件，导致超过11.8万名患者的敏感个人信息被曝光。该公司为全美输液诊所提供数字基础设施管理服务。

　　此次攻击发生于2025年2月16日，但直到最近才因法律要求向监管机构和受影响个人发出通知而被公开。Endue承认黑客成功入侵其系统并复制了大量个人数据，包括患者全名、社会安全号码、出生日期和医疗记录号等敏感信息。

　　Endue在通知中表示，该公司已实施额外安全措施以降低与此事件相关的风险，并帮助防止类似事件再次发生。目前尚无证据表明被盗数据已被滥用，但该公司正为受害者提供12个月的免费信用监控和身份盗窃保护服务。

　　近日，网络论坛4chan因遭遇严重黑客攻击后被迫下线，目前仅能间歇性加载。Soyjak.party论坛（又称The Party）成员已宣称对此次攻击负责，并泄露了管理面板截图和一份据称属于4chan管理员、版主和清洁工（权限较低的协助管理论坛的版主）的电子邮件列表。

　　4chan自创建以来，被用于泄露据称从Microsoft、Intel、Valve、Twitch以及最近的Disney等多家知名公司窃取的文件。Soyjak.party声称，一位潜入4chan系统超过一年的黑客在4月14日执行了soyclipse行动，获取了4chan的工作人员管理面板和维护工具的访问权限。这些工具可以提供任何用户的位置和IP地址，重建或重启任何4chan板块，访问板块日志，查看网站统计数据，并使用4chan的phpMyAdmin面板管理数据库。

　　八、租车服务巨头赫兹遭遇Cleo零日漏洞攻击，客户个人信息被黑客窃取并勒索

　　租车巨头赫兹公司（Hertz Corporation）近日证实，旗下赫兹、Thrifty和Dollar品牌的客户数据在Cleo零日漏洞攻击中被盗。该公司确认，未授权第三方利用Cleo平台的零日漏洞，在2024年10月和12月窃取了公司数据。

　　泄露的信息因个人而异，可能包含客户姓名、联系方式、出生日期、信用卡信息、驾驶证信息以及与工伤赔偿相关的信息。少数客户的社会安全号码、政府身份证明、护照信息或医疗保险ID也可能被窃取。虽然赫兹未公布受影响客户的确切数量，但美国缅因州总检察长办公室称，该州有3,409人收到了通知。赫兹现已向受影响客户提供两年免费身份监控服务，并建议他们警惕潜在欺诈行为。

　　Clop勒索软件团伙此前已在其勒索网站上泄露了赫兹公司的数据。该团伙在2024年10月大规模利用Cleo文件传输平台的零日漏洞，声称从66家公司窃取了数据。Western Alliance Bank、WK Kellogg Co和Sams Club等公司也确认或表示正在调查来自Cleo数据盗窃攻击的数据泄露事件。

　　网络安全研究员近日发现英国员工数据管理软件公司Logezy存在重大数据泄露事件。泄露的数据包含近800万条记录，总计1.1TB数据（7,975,438个文件），存储在一个既无密码保护也无加密措施的数据库中。暴露的数据库包含敏感信息，如工作授权文件、国家保险号码、证书、电子签名、工时表、用户图像和政府颁发的身份证明文件。此外，数据库还包含656个目录条目，指向不同的公司，其中大多数是医疗保健提供商、招聘机构或临时就业服务机构。

　　据调查，这次数据暴露主要与医疗保健行业和医疗工作者有关，带来了巨大风险。特别是医疗行业已成为网络攻击的主要目标。泄露的信息可能被用于恶意目的，包括身份盗窃、未授权访问内部医疗系统以及社会工程攻击。

　　实验室服务合作社(LSC)近日发布通知，确认该机构遭遇重大数据泄露事件，约160万用户的敏感健康信息被黑客窃取。该组织主要为美国35个州的生殖健康服务机构提供集中式实验室服务，包括为精选计划生育中心处理敏感实验室测试、计费和个人数据。

　　根据声明， LSC 于2024年10月27日在网络中发现可疑活动。该机构随即聘请第三方网络安全专家调查事件性质和范围，并通知了联邦执法部门。调查显示，未授权第三方访问了LSC部分网络，并访问/删除了某些文件。被泄露的信息因人而异，可能包括：个人标识符（全名、社会安全号码、驾照号码等）、医疗信息（诊断、治疗、实验室结果等）、保险信息以及账单和财务数据。根据提交给缅因州总检察长办公室的文件，此次数据泄露主要影响通过LSC进行实验室测试的计划生育中心客户。

　　一、全国网络安全标准化技术委员会2025年第一次“标准周”活动在苏州举办

　　近日，全国网络安全标准化技术委员会2025年第一次“标准周”活动在江苏省苏州市举办。

　　会议围绕大模型应用、新一代通信技术、自动驾驶、网络弹性、个人信息保护合规审计、电子产品信息清除、隐私保护等热点主题，聚焦国家网络安全工作重要部署，探讨新技术新应用新业态的标准需求，分享网络安全技术实践和标准探索。

　　“标准周”活动期间，组织召开人工智能安全、关键信息基础设施安全保护、个人信息保护、商用密码标准与应用等4场技术主题交流会，以及各标准工作组会、SC27国际会议筹备推进会、国家标准基础知识培训会和网络安全标准实践指南交流会等。

　　近日，在广州城市可信数据空间上线暨首批高质量数据集发布会上，广州城市可信数据空间平台正式上线，首批生态主体入驻，首批 48 个高质量数据集发布。

　　此次上线发布的“广州城市可信数据空间”，由广州数据集团牵头建设，凭借六大核心突破（应用场景丰富、共创模式高效、数据资源海量、规则体系专业、技术系统完备、生态主体积极），在全国城市可信数据空间建设中脱颖而出，成为极具示范意义的“广州样本”。广州互联网法院出台《关于以高质量司法服务保障粤港澳大湾区可信数据空间建设的意见》，为广州城市可信数据空间升级打造可信数据空间规则机制，并提前谋划纠纷处理机制，从法律和制度层面为数据空间安全、有序运行保驾护航。

　　广州城市可信数据空间技术系统建设紧跟国家数据局技术文件及可信数据空间发展联盟指引，城市空间枢纽平台承担中间服务平台、公共数据统一供给、数据产品可信开发环境三大角色，与节点连接器实现资源交互层、可信管控层、价值共创层的高效协同，确保系统稳定高效运行。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。