数据安全每周观察|4项网络安全推荐性国家标准计划通知正式下发

数安行 · 公众号 · · 2024-06-07 18:00

正文

政策趋势

4项网络安全推荐性国家标准计划通知正式下发

近日，国家标准化管理委员会下达的推荐性国家标准计划中，包括4项由全国网络安全标准化技术委员会归口的标准项目：

《数据安全技术二手电子产品信息清除要求》标准正式征集参编单位

为切实做好网络安全国家标准编制工作，近日，全国网络安全标准化技术委员会发布了关于征集《数据安全技术二手电子产品信息清除要求》标准参编单位的通知，鼓励更多的单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量。

《2024年广州市数字经济工作要点》正式印发

近日，广州市政务服务和数据管理局联合市工业和信息化局正式印发《2024年广州市数字经济工作要点》。

《要点》以数字经济发展基础更加夯实、数据赋能效应更加凸显、数实融合更加深入、数据治理体系更加健全为目标，提出了33项重点工作任务。

在推进数据资源开发利用方面，《要点》部署了强化数据基础制度供给、推动公共数据开发利用、加强数据资产管理、开展“数据要素X”行动等工作任务，着力加强数据要素生态建设。在推动公共服务数字化方面，《要点》聚焦政务服务、应急指挥、智慧交通、生态环境、市场监管等领域，一方面，通过完善公共安全、城市管理智能化感知设备，提升一体化应急指挥能力，持续增强城市治理效能。

《湖南省数字经济促进条例》正式发布

近日，《湖南省数字经济促进条例》正式发布，自2024年7月1日起施行。

《条例》突出“小快灵”， 涵盖数字基础设施建设、数据资源开发利用、数字技术和数字生态创新、数字产业化和产业数字化以及为数字经济提供支撑保障等内容。 数字基础设施是发展数字经济的坚实底座，正在深度赋能各行各业。条例规定，省人民政府及其有关部门应当统筹推进信息基础设施和融合基础设施建设，推动传统基础设施数字化升级，构建适度超前、布局合理、互联互通、智慧安全、绿色低碳的数字基础设施体系。

《条例》规定：任何单位和个人收集、存储、使用、加工、传输、提供、公开数据资源，应当遵循合法、正当、必要的原则，遵守网络安全、数据安全、电子商务、个人信息保护等有关法律、法规以及国家标准和科技伦理的强制性要求，不得损害国家利益、社会公共利益和他人合法权益。

县级以上人民政府及其有关部门应当履行安全保障职责，健全安全风险评估和安全保障制度，建立监测预警和应急处置机制，采取安全保障措施， 保护数据、网络以及相关设施、设备等方面的安全。

县级以上人民政府及其有关部门应当加强对个人信息数据收集、存储、使用、加工、传输、提供、公开等活动的监督管理，依法查处个人信息数据泄露、窃取、篡改、非法使用等危害个人信息数据安全的违法活动。

企业、平台等主体开展数据处理活动应当依法履行数据保护义务， 建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全 。在数字经济领域应当优先使用安全可靠的网络产品和服务，提高产业链供应链韧性，同步落实密码应用要求。

《江苏省工程机械产业高质量发展行动方案》正式印发

近日，江苏省工业和信息化厅正式印发了《江苏省工程机械产业高质量发展行动方案》。

《方案》重点任务指出，夯实产业技术基础。支持省工程机械高端核心零部件标准委员会建设，聚焦动力系统、传动系统、液压系统、控制系统等领域，支持省内企业、科研院所积极参与制定国家、国际标准。鼓励企业建立基础工艺创新体系，建立工程机械行业基础数据库，加强企业试验检测数据和计量数据的采集、管理、应用和积累，支持企业实施关键零部件验证，推进整机及关键功能部件第三方评价和认证体系建设，满足企业和用户的检测认证需求。围绕工程机械高端核心零部件产业研发与应用共性需求，加快构建产业公共技术服务平台、试验检测服务平台、成果转化对接平台，提供知识产权、标准情报、技术研发、成果转化服务。

推进智改数转网联。组织行业龙头企业和服务机构编制工程机械分领域智改数转网联实施指南，培育建设跨品牌、跨机种的工程机械智能设计、智能生产、智能服务和智能施工的应用场景，提炼易复制推广的解决方案。支持行业企业利用工业互联网、物联网、5G、人工智能等新技术，运用智能制造装备和MES、ERP、WMS等信息系统，通过数据驱动制造，打造30家左右工程机械领域省智能制造车间和工厂。 建立和完善工程机械工业互联网标准体系，加快工程机械行业工业互联网平台和工业大数据平台建设，提升安全防护能力。

监管动态

上海网信部门办理首起人脸识别滥用案件

今年4月29日，解放日报“民声直通车”刊发《上海一游泳馆更衣柜推行人脸识别遭投诉，这些公共场所的“刷脸”要求都合理吗》一文，聚焦上海部分体育场所、培训机构、超市等场景下以办理业务、提升服务质量的名义强制采集消费者人脸信息的问题，其中涉及松江酷学体育开办的泳乐云间游泳馆。

报道刊发后，在市级网信部门指导下，松江区委网信办立即协同市场监管、公安网安等有关部门，两次前往泳乐云间游泳馆核实查验、指导整改。5月中旬，泳乐云间游泳馆已完成整改。近日，松江区委网信办依法对其运营主体上海酷学体育投资管理有限公司进行了警告的行政处罚。据了解，在上海市委网信办、市市场监管局“亮剑浦江·2024”消费领域 个人信息权益保护 专项执法行动统一部署下，松江网信部门一直聚焦新型领域网络执法，本案也是市区两级网信部门协同开展人脸识别技术领域执法的首案。

实际上，关于强制“刷脸”的问题热议不断。小区物业未经业主同意安装人脸识别门禁，公共厕所必须“刷脸”取纸……不少公众表示苦“刷脸”久矣。对执法单位来说，解决个案问题也只是第一步。记者获悉，针对公共场所强制、滥用人脸识别技术问题，上海市委网信办即将协同市市场监管局、市公安局以及市商务委、市教委、市科委、市文旅局、市体育局、市绿化市容局、市房管局等多个行业主管部门，针对上海多个领域、场景开展集中专项整治。

浙江理工大学数据法治研究院副院长郭兵认为，近年来，部分地区的售楼处、剧场剧院、4S店、健身房、写字楼等场景出现了必须“刷脸”的情况。在他看来，更衣室是非常私密的空间，人脸识别设备的使用完全不具有正当性。“如果前些年企业使用人脸识别是出于降低人力成本的考虑，那么现在不分场景地滥用‘刷脸’技术，消费者有理由怀疑背后的动机。”

郭兵强调， 《个人信息保护法》对包括人脸信息在内的敏感个人信息进行了特别规定： 一方面是对个人知情权、决定权的强化保护，处理敏感个人信息应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响，应当取得个人的单独同意。另一方面则是保护措施的强化，处理敏感个人信息应当采取严格保护措施，并且事前还应该进行个人信息保护影响评估。

采访发现，不少商家个人信息保护的意识比较淡薄，对人脸识别技术也不了解，常把“设备经公安备案”挂在嘴边，以为这样就是合法合规。对此，郭兵指出，商家所说的人脸识别设备的“备案”往往是指网络安全等级保护备案，这是针对该产品所涉及的信息网络系统进行的备案；即便人脸识别信息系统进行了等保备案，也并不意味着商家使用人脸识别设备就当然合法，还要取决于是否符合敏感个人信息处理的法定要求。

“电信网络诈骗之所以难防，正是因为它就像一颗定时炸弹。如果放任人脸识别滥用，用户将很难知道什么环节下敏感个人信息已被泄露，这将使得电信诈骗的风险不断扩大。” 郭兵认为，人脸识别技术的规范，需要多元主体的共同参与，包括公众参与、监管执法、企业自律、司法救济以及媒体的广泛宣传，提高全社会的风险意识。

广东通报16款未按要求完成整改APP

依据 《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》 等法律法规，按照工业和信息化部《关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）等工作部署，广东省通信管理局持续开展APP 隐私合规和数据安全 专项整治行动，发出《违法违规APP处置通知》责令APP运营者限期整改，并通知相关应用商店协助督促APP运营者整改。截至目前，尚有16款APP未完成整改，予以通报。

广东省通信管理局表示，被通报的APP应在6月6日前完成整改及反馈工作，逾期不整改的，将依法依规采取下一步处置措施，切实维护APP用户合法权益和网络安全秩序。

谷歌意外泄露内部文档

近日，由于谷歌内部机器人“误操作”，一批描述谷歌如何对网页排名的 内部文档在线泄露。 由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。同时，也有安全专家认为“真实版”谷歌搜索排名机制文档的泄露对黑帽SEO来说也是一次不可多得的“盛宴”。

据悉，这些材料于3月13日左右由谷歌自己的自动化工具无意中提交到一个可公开访问的谷歌GitHub存储库（链接在文末）。该自动化工具在提交时附上了Apache2.0开源许可证，这是谷歌公共文档的标准做法。5月7日的一次后续提交试图撤回这一泄露。这些文档被搜索引擎优化（SEO）公司EA Digital Eagle的首席执行官Erfan Azimi发现，并于上周日由其他SEO从业者——SparkToro的首席执行官Rand Fishkin和iPullRank的首席执行官Michael King披露。

数据安全每周观察|4项网络安全推荐性国家标准计划通知正式下发

正文

请到「今天看啥」查看全文