数据安全每周观察|《数据安全技术 数据安全和个人信息保护社会责任指南》（征求意见稿）公开征求意见

近日，全国网络安全标准化技术委员会归口的《网络安全技术 关键信息基础设施安全保护能力指标体系》和《数据安全技术 数据安全和个人信息保护社会责任指南》国家标准意见稿发布并公开征求意见。

《网络安全技术 关键信息基础设施安全保护能力指标体系》第7章为数据安全防护，从 数据分级分类、数据处理活动、数据责任、数据跨境 等方面构建了安全框架。附录补充介绍了数据安全防护能力族包括数据分类分级、数据处理活动、数据责任、数据跨境4个组件项，并展示了组件计分示例表。

《数据安全技术 数据安全和个人信息保护社会责任指南》适用于处理数据的组织、评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构，旨在为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南。 其主要内容涵盖：组织治理和内部管理，合规性、创新性和价值体现，公平运行、竞争与合作，用户权益保护，公益参与和社会发展和社会责任履行情况披露等。

全面贯彻党的二十大和中央经济工作会议精神，认真落实政府工作报告和全国新型工业化推进大会任务部署，按照《国家标准化发展纲要》《2024年全国标准化工作要点》《2024年工业和信息化标准工作要点》等文件要求，为进一步发挥标准推进质量提升、促进技术创新的重要作用，有力支撑汽车产业高质量发展，制定发布《2024年汽车标准化工作要点》。

《要点》强调，要加大智能网联汽车标准研制力度。推动整车信息安全、软件升级、自动驾驶数据记录系统等强制性国家标准，以及自动驾驶通用技术要求、自动驾驶功能道路试验方法、自动驾驶设计运行条件、数据通用要求、LTE-V2X等推荐性国家标准发布实施，加快信息安全工程、自动驾驶功能仿真试验方法等在研标准制定，推进自动紧急制动系统、组合驾驶辅助系统通用技术规范、汽车密码技术要求等强制性国家标准以及软件升级工程、 数据安全 管理体系等标准立项及起草，构建智能网联汽车产品准入管理支撑标准体系。推动全景影像、智能限速等标准发布，推进自动泊车、自动驾驶测试场景术语等在研标准制定，开展网联化等级划分、列队跟驰等标准预研，规范和引领智能网联汽车产品发展。

近日，国家金融监督管理总局网站发布国家金融监督管理总局宁波监管局行政处罚信息公开表，浦发银行宁波分行、农业银行宁波分行、徽商银行宁波分行三家银行的罚单均涉及 数据治理问题 ，合计被罚715万元。

其中上海浦东发展银行股份有限公司宁波分行，因数据治理存在缺陷、授信业务管理不到位、房地产贷款业务管理不审慎、并购贷款管理不审慎、贷款“三查”不尽职导致贷款资金违规流入限制性领域、贸易背景真实性审查不到位等六项违法违规事实，被国家金融监督管理总局宁波监管局依据《中华人民共和国银行业监督管理法》第四十六条规定，罚款合计275万元。

中国农业银行宁波市分行，因授信管理不审慎、贷款资金用途管控不严、数据治理存在缺陷、信贷资金违规流入限制性领域四项违法违规事实，被国家金融监督管理总局宁波监管局依据《中华人民共和国银行业监督管理法》第四十六条规定，罚款合计180万元。

近年来，国家安全机关查处多起无人机违规巡飞，拍摄涉密设施、敏感部位并在互联网进行传输、分享的案件，这些违法行为 对我核心军事设施和重要地理信息造成了失泄密隐患 ，相关涉案人员也因此受到了法律的制裁。

2021年11月，国内某军事论坛发烧友罗某，为寻找较好谈资，利用具备远程高清摄像功能的无人机，对某新型军舰进行非法拍摄，被国家安全机关发现查处。经相关部门鉴定，罗某所拍摄的照片和视频，涉及2项机密级军事秘密和1项秘密级军事秘密，最终罗某因“非法获取国家秘密罪”，被判处有期徒刑1年，缓刑1年。

国内某航测机构重要测绘项目负责人刘某，在未经审核、未获许可情况下，在日常工作中使用具有拍摄功能的无人机，对某重点涉密要害部位进行飞行测绘，拍摄多角度、高分辨率图片信息，采集、存储相关高精度航拍数据，造成重点技术安全风险，被国家安全机关依法查处，及时消除失泄密风险隐患。

某公司职员李某、张某在执行公司安排的一项常规巡检项目任务中，纪法意识淡薄，在未向属地空管中心等部门申请、报备情况下，对我某军事禁区进行巡飞采集数据，并将数据上传至网络云盘和微信群进行分享。经鉴定，李、张二人违规巡飞采集、网络分享传输军事秘密的行为已严重危害我国防军事秘密安全，构成非法获取国家秘密罪，依法受到刑事处罚。

《无人驾驶航空器飞行管理暂行条例》规定，禁止利用无人驾驶航空器违法拍摄军事设施、军工设施或者其他涉密场所；禁止非法获取、泄露国家秘密，或者违法向境外提供数据信息。 作为无人机设备使用人员，应遵守法律法规，规范自身行为，注意禁飞区域，避免违法拍摄涉密场所。

—— 禁飞区域 。为保护国土安全、重要军事设施、特殊行政区域等设置的空域为禁飞区域。常见的禁飞区域包括机场及周边区域、军事禁区、军事管制区、核设施区域、发电厂、铁路电气化线路等。

—— 禁飞要求 。在未获得空中交通管理机构相关许可和授权之前，任何人都不得在禁飞空域内起飞无人机，更不得在禁飞空域实施拍摄、摄像、勘察、测量定位等行为。

—— 禁飞责任 。违规在禁飞空域内巡飞无人机，将面临警告并处高额罚款的行政处罚，没收或销毁无人机；若造成人员伤亡或财产损失等事故，需承担民事责任；在管制空域起飞，依法追究刑事责任。

近日，黑客 Intel Broker 声称入侵了苹果公司， 窃取了内部工具的源代码 ，该组织曾多次入侵一些大公司和政府组织。

6 月，Intel Broker 非法「访问」苹果公司网络系统，盗取了 AppleConnect-SSO、AppleMacroPlugin、Apple-HWE-Confluence-Advanced 等工具的源代码。苹果指出，此次网络攻击事件不会对苹果公司的客户信息造成任何影响。

行业内有关 AppleMacroPlugin 和 Apple-HWE-Confluence-Advanced 工具的使用状况并不是很了解，但 AppleConnect-SSO 在业内很知名。该工具是苹果公司开发的内部单点登录（SSO）和身份验证系统，与苹果公司的目录服务数据库集成，便于安全访问内部资源，允许员工安全地访问苹果网络内的各种应用程序。

在 iOS 设备上，AppleConnect-SSO 包括一个基于手势的登录选项，以替代传统的密码，在提高易用性的同时能够保持高安全性。此外，AppleConnect 也可通过 iOS 和 macOS 上的应用程序使用，并涉及各种验证方法，包括两步验证和 YubiKey 等硬件令牌。

Intel Broker 黑客近期异常活跃，屡屡针对行业巨头开展大规模攻击行动。不久前，Intel Broker 曾对美国跨国半导体公司 Advanced Micro Devices, Inc. (AMD) 实施非法网络入侵行动。短短数小时，Intel Broker 就成功进入其内部系统成功窃取了大量员工和产品的数据信息，并将这些数据上传到了黑客论坛上，「待价而沽」。

Intel Broker 此前入侵过的组织和企业有：欧洲刑警组织、亚洲科技、太空眼、家得宝、Facebook 市场、美国承包商Acuity Inc.、人力资源巨头罗伯特-哈弗、洛杉矶国际机场、涉嫌入侵汇丰银行和巴克莱银行。