数据安全每周观察|《信息化标准建设行动计划（2024—2027年）》正式发布

全国数据标准化技术委员会正式批复筹建，国家数据局负责筹建和业务指导

近日，第七届数字中国建设峰会主论坛在福州召开。会议公布了“关于筹建全国数据标准化技术委员会的通知”。

全国数据标准化技术委员会将负责数据资源、数据技术、数据流通、智慧城市、数字化转型等基础通用标准，以及支撑数据流通利用的数据基础设施标准和保障数据流通利用的安全标准制修订工作。筹建单位和业务指导单位为国家数据局，秘书处承担单位为中国电子技术标准化研究院。全国数据标准化技术委员会将在国家数据局指导下，按照《全国专业标准化技术委员会管理办法》，做好筹建工作。全国数据标准化技术委员会欢迎数据领域企事业单位、研究机构、各级数据主管部门及广大专家学者积极参与，共同推动数据领域标准化工作，为数字中国建设贡献标准化力量。

大量印度军警人员生物特征数据在公网暴露后遭贩卖

近日，有消息称，在印度全国大选期间，发生了一起大规模的数据泄露事件， 数百万人的生物特征信息遭到暴露。

被泄露数据属于一个未经保护的数据库，其中含有警察、军人和平民的指纹和面部扫描图像，或可被用于身份盗窃和选举攻击。

经网络安全研究人员查证，这是一个未正确配置密码保护的数据库，其中包括超过160万份文件。总计166159份（496.4 GB）文件遭暴露，内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。 除生物识别数据外，出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。 该数据库涵盖2021年至2024年期间的数据记录。其中约有284535份文件记录了警察和执法人员的体能测试（PET）信息，包括签名图像、PDF文件、移动应用程序和安装数据，部分以压缩包zip格式存储。其中一个名为“面部软件安装”的文件夹包含了通过该应用程序捕获和传输的图像和文件。内部数据库名称、登录信息和密码信息均以明文形式储存。

泄露数据属于ThoughtGreen Technologies和Timing Technologies两家印度科技公司。两家公司均提供应用开发、射频识别（RFID）和生物特征验证服务。但是，目前尚不清楚这两家公司中哪一家拥有该数据库的托管服务器。在数据泄露当天，公众被限制访问该数据库。然而，数据库暴露的具体时长、生物特征记录是否遭到未经授权访问仍然未知。公司需进行内部法务审计，以确定是否发生任何可疑活动，以及这些记录是否曾被他人访问。

5月23日，Fowler与外媒Hackread分享了即将发表的研究报告。报告指出，这些数据可能已经在一个Telegram群组中公开出售，或给数百万人带来各种威胁。指纹等生物特征数据是与个人身份相关联的唯一标识符，几乎不可能更改。这些数据可能被用于很多恶意目的，比如冒充和身份盗窃。这一数据泄露事件凸显了生物特征数据收集、使用和存储面临的道德和监管挑战。2022年，印度通过法律，扩大了警方从罪犯、嫌疑人和被拘留者那里收集生物识别数据的权力。此次事件为政府和私营企业敲响了警钟，强调加强数据安全实践，并通过立法保护公民隐私和安全的必要性。

北京市通信管理局关于问题APP的通报

近期，北京市通信管理局按照工业和信息化部工作部署要求， 依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等 法律法规，持续开展APP隐私合规和网络数据安全专项整治。

通过抽测发现本市以下APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题，予以公开通报：

前期通报的本市存在侵害用户权益行为并要求整改的APP，截至目前，仍有以下5款未整改或整改不到位，予以全网下架处置：