数据安全每周观察|数据安全技术 匿名化处理指南等国标征参编单位

政策趋势

一、《数据安全技术 匿名化处理指南》等多项国标公开征集参编单位

为切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求，全国网安标委公开征集多项标准参编单位：

《数据安全技术 匿名化处理指南》、

《网络安全技术 网络安全产品互联互通 第6部分：威胁信息格式》、

《网络安全技术 物联网感知终端应用安全技术要求》、

《网络安全技术 网络安全事件管理 第1部分：原理和过程》、

《网络安全技术 鉴别与授权 基于属性的访问控制模型》、

《网络安全技术 工业控制系统网络安全防护能力成熟度模型》、

《网络安全技术 物联网安全参考模型及通用要求》、

《网络安全技术 网络安全事件管理 第2部分：事件响应规划和准备指南》、

《网络安全技术 关键信息基础设施安全主动防御实施指南》、

《网络安全技术 网络安全产品互联互通 第5部分：行为信息格式》、

《网络安全技术 信息系统安全保障评估框架 第2部分： 安全保障要求》、

《网络安全技术 存储安全指南》、

《网络安全技术 网络安全事件调查 第1部分：事件调查原则和过程》、

《网络安全技术 信息安全管理体系审核和认证机构要求》、

《网络安全技术 信息安全管理体系审核指南》、

《网络安全技术 引入可信第三方的实体鉴别及接入架构规范》、

《网络安全技术 量子密钥分发的安全要求、测试和评估方法 第2部分：测试和评估方法》等。

二、移动互联网未成年人模式建设指南

为了更好发挥互联网积极作用，营造良好网络环境，引导未成年人科学、文明、安全、合理使用网络，预防和干预未成年人沉迷网络，按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《未成年人网络保护条例》等法律、行政法规，以及有关规定，制定并发布了《移动互联网未成年人模式建设指南》。

本指南主要面向移动智能终端、移动互联网应用程序、移动互联网应用程序分发平台，提出未成年人模式建设的总体方案，具体包括使用时段、时长、内容和功能等方面，适用于未成年人模式的研发、建设、运营和管理。要求移动智能终端、应用程序以及应用程序分发平台等相关主体应当对标《未成年人网络保护条例》要求，结合自身发展实际，积极探索推进未成年人模式建设。

三、全国数据标准化技术委员会征集成员单位

为充分发挥数据领域产学研用等方面单位在数据标准化工作中的作用，全国数据标准化技术委员会面向社会公开征集成员单位。

各工作组工作范围：

数据治理标准工作组（WG2）：调研数据治理、数据产权、数据合规交易以及数据流通安全保障标准现状与发展趋势，开展数据治理、数据产权、数据合规交易以及数据流通安全保障标准制修订工作，推动相关标准宣传推广及应用实施。

数据流通利用标准工作组（WG3）：调研数据流通、数据开发利用标准现状与发展趋势，开展数据流通、数据开发利用标准制修订工作，推动相关标准宣传推广及应用实施。

全域数字化转型标准工作组（WG4）：调研智慧城市、数字化转型标准现状与发展趋势，开展智慧城市、数字化转型标准制修订工作，推动相关标准宣传推广及应用实施。

数据技术标准工作组（WG5）：调研数据技术标准现状与发展趋势，开展数据技术标准制修订工作，推动相关标准宣传推广及应用实施。

数据基础设施标准工作组（WG6）：调研数据基础设施标准现状与发展趋势，开展支撑数据流通利用的数据基础设施标准制修订工作，推动相关标准宣传推广及应用实施。

四、国家密码管理局关于《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见的通知

近日，国家密码管理局研究起草了《关键信息基础设施商用密码使用管理规定(征求意见稿)》，现向社会公开征求意见。

《规定》根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规制定，旨在规范关键信息基础设施商用密码使用，保护关键信息基础设施安全。

《规定》中包含数据安全保护、个人信息保护要求：关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。

五、广东省互联网信息办公室发布关于做好2024年度汽车数据安全管理情况等报送工作的通知

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》有关要求，广东省互联网信息办公室发布关于2024年度广东省汽车数据安全管理情况和风险评估报告报送工作有关事项的通知。

通知指出，本次报告报送对象为，注册地为广东省且开展重要数据处理活动的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。报送内容包含：2024年度汽车数据安全管理情况报告；风险评估报告；开展重要数据处理活动的汽车数据处理者情况表。

六、《上海市数据产品知识产权登记存证暂行办法》印发

为促进数据要素有序流通和数据价值充分实现，推进数据产品知识产权登记存证试点工作，上海市知识产权局、上海市数据局联合制定并印发《上海市数据产品知识产权登记存证暂行办法》。

《办法》根据《“十四五”国家知识产权保护和运用规划》《上海市知识产权保护和运用“十四五”规划》以及相关规定，结合上海实际制定，适用于自然人、法人或者非法人组织向上海市知识产权局申请数据产品知识产权登记以及相关管理服务活动。

《办法》规定，上海市知识产权局在国家知识产权局指导下，贯彻落实关于数据产品知识产权试点工作部署，开展数据产品知识产权登记的审查、监督、管理等工作，为国家试制度、探新路积累先行先试经验。上海市数据局支持建设上海市数据产品知识产权管理平台和上海市数据存证中心知识产权分中心。数据产品知识产权登记遵循依法合规、自愿登记、公平有序、诚实信用、安全高效的原则，确保国家安全、社会公共利益、商业秘密和个人隐私不受侵犯。数据产品知识产权登记、变更、撤销和注销的，上海市知识产权局应当进行公告。

监管动态

一、国家安全部通报4起涉密人员泄密案件

在涉密岗位工作的人员统称为涉密人员，是国家秘密产生、使用和管理的主体。涉密人员管理是保密管理的核心要素和关键环节。一些涉密人员失泄密案件，相关案情触目惊心、发人深省。近日，国家安全部微信公众号通报4起涉密人员泄密案件。

1.无视风险，私自留存

某信息研究单位涉密人员陶某，为搜集工作资料成果，另谋职业发展，利用单位网络管理漏洞，未经允许使用部门主管账户密码，下载单位内网中的国家秘密信息，并上传至个人互联网网盘存储。陶某因犯非法获取国家秘密罪，被判处有期徒刑二年。

2.利欲熏心，卖密牟利

某高新科技企业员工周某，为满足个人高消费需求，罔顾保密工作规定及签署的保密协议要求，长期接受大量商业有偿咨询。周某在明知咨询方中有背景不明境外机构、人员的情况下，仍在咨询中提供工作掌握的国家秘密。周某因涉嫌为境外非法提供国家秘密罪被国家安全机关移送审查起诉。目前，该案正在进一步审理中。

3.交友不慎，误入陷阱

康某与周某曾经是某国家重点项目实验室的同事，二人私交甚笃。周某离职后，二人经常相约踢球聚会。某日，二人闲谈时，周某向康某询问某重点项目情况，康某没有多想，便将自己掌握的情况和盘托出，并特地提醒周某，该项目情况事关国家机密信息，很敏感，千万不能外泄。殊不知，周某长期为境外有关机构提供信息服务，蓄意向康某打探。康某因涉嫌故意泄露国家秘密罪，周某因涉嫌为境外刺探、非法提供国家秘密罪，被国家安全机关移送审查起诉。目前，该案正在进一步审理中。

4.恶意陷害，害人害己

某企业员工李某，因不能正确处理与同事王某矛盾，窃取王某保存的机密级国家秘密材料，并以王某名义提供给境外机构，试图陷害王某。经国家安全机关侦查，李某的全部犯罪行为属实。李某因犯为境外非法提供国家秘密罪，被判处有期徒刑六年。

国家安全部提醒：保守国家秘密是每个公民的法定责任，涉密人员尤其应当增强保密观念、强化保密意识、规范保密管理、严守保密纪律，始终怀揣维护国家安全的责任感，做到心中有底线、思想不松懈、行为不逾矩，切实筑牢安全防线。

二、27款APP（SDK）被工信部点名

工业和信息化部高度重视用户权益保护工作，依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，该部门组织第三方检测机构进行抽查，共发现27款APP及SDK存在侵害用户权益行为。所涉问题包括信息窗口“摇一摇”乱跳转或误导用户滑动乱跳转、违规收集个人信息、APP频繁自启动和关联启动，APP强制、频繁、过度索取权限，信息窗口未提供关闭或退出标识等。

三、这13款移动App存在隐私不合规行为

近日，国家计算机病毒应急处理中心网站公布了13款存在隐私不合规行为的违规移动应用，涉及电商等领域。详情如下：

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下：

《致题库》（版本5.4.1，小米应用商店）、《信久久》（版本1.7.1，小米应用商店）、《吉客赢》（版本5.5.3，应用宝）、《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、《价美丽》（版本1.6.6，vivo应用商店）、《小羊淘券》（版本1.0.2，vivo应用商店）、《海豚药药极速版》（版本1.2.0，vivo应用商店）、《多蒙达司机》（版本2.1.22，应用宝）。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及7款App如下：

《致题库》（版本5.4.1，小米应用商店）、《DJ99》（版本1.1.03，应用宝）、《信久久》（版本1.7.1，小米应用商店）、《叮咚盲盒》（版本1.5.0，小米应用商店）、《庆趣供货》（版本3.2.2，vivo应用商店）、《海豚药药极速版》（版本1.2.0，vivo应用商店）、《俄界外卖骑手端》（版本1.2.6，vivo应用商店）。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意。涉及4款App如下：

《DJ99》（版本1.1.03，应用宝）、《吉客赢》（版本5.5.3，应用宝）、《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、《海豚药药极速版》（版本1.2.0，vivo应用商店）。

4、App未提供有效的更正、删除个人信息及注销用户账号功能；注销用户账号的人工处理（承诺）时限超过15个工作日。涉及2款App如下：

《致题库》（版本5.4.1，小米应用商店）、《庆趣供货》（版本3.2.2，vivo应用商店）。

5、App未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内受理并处理。涉及3款App如下：

《致题库》（版本5.4.1，小米应用商店）、《海豚药药极速版》（版本1.2.0，vivo应用商店）、《多蒙达司机》（版本2.1.22，应用宝）。

6、基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确。涉及7款App如下：

《致题库》（版本5.4.1，小米应用商店）、《DJ99》（版本1.1.03，应用宝）、《信久久》（版本1.7.1，小米应用商店）、《叮咚盲盒》（版本1.5.0，小米应用商店）、《吉客赢》（版本5.5.3，应用宝）、《玩皮王》（版本2.2.5，360手机助手）、《海豚药药极速版》（版本1.2.0，vivo应用商店）。

7、处理敏感个人信息未取得个人的单独同意。涉及1款App如下：

《信久久》（版本1.7.1，小米应用商店）。

8、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及7款App如下：

《DJ99》（版本1.1.03，应用宝）、《信久久》（版本1.7.1，小米应用商店）、《叮咚盲盒》（版本1.5.0，小米应用商店）、《丛丛脱单相亲交友平台》（版本1.0.8，vivo应用商店）、《庆趣供货》（版本3.2.2，vivo应用商店）、《玩皮王》（版本2.2.5，360手机助手）、《海豚药药极速版》（版本1.2.0，vivo应用商店）。

四、湖南一IT公司未履行数据安全保护义务被罚5万元

近日，湖南省互联网信息办公室在工作中发现，湖南某信息技术有限公司未落实网络安全等级保护制度，未采取相应的技术措施和其他必要措施保障数据安全，系统存在未授权访问漏洞，网络安全日志大量缺失，严重损害数据安全。

湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对该公司责令改正，给予警告，并处对该公司、主管人员和直接责任人员分别罚款五万元、二万元和一万元的行政处罚。

湖南网信部门表示，将持续关注网络安全、数据安全和个人信息保护，严肃查处网络安全、数据安全、个人信息保护领域的违法违规行为，切实维护网络安全、数据安全和广大网民的合法权益，全力构建安全稳定的网络环境。

五、B2B数据聚合公司DemandScience泄露超1亿人数据

据BleepingComputer消息，今年2月，一个名为“KryptonZambie”的黑客者开始在 BreachForums论坛上出售 1.328亿条个人信息记录，目前已证实，这些数据来自一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation）。在 DemandScience 的案例中，该公司从公共来源和第三方收集业务数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。

黑客表示，他们从暴露的系统中窃取到了这些数据。对此BleepingComputer曾问询DemandScience，但被告知没有证据表明发生了数据泄露。到了8月15日，KryptonZambie 以 8 个论坛积分（相当于几美元）的价格出售数据集，基本上是免费泄露数据。11月13日，安全专家、数据泄露查询网站Have I Been Pwned（HIBP）创始人特洛伊·亨特（Troy Hunt）发表博文，称已确认数据的真实性，有受数据泄露影响的人联系了 DemandScience，并被告知泄露的数据来自两年前已退役的系统。亨特还在泄露的数据中找到了自己的个人信息，包括他在辉瑞工作时的数据。

目前被盗数据集中的所有 1.22 亿个唯一电子邮件地址已添加到BIBP中，受影响的订阅者将收到有关数据泄露的邮件通知。

六、美国零售商Hot Topic泄露5700万用户数据

近日消息，美国数据泄露查询网站Have I Been Pwned （HIBP）通告了一起涉及5700万Hot Topic 用户的数据泄露事件。

据说，泄露的个人信息条目达56904909个，包括 Hot Topic及相关品牌Box Lunch 和 Torrid 用户户的全名、电子邮件地址、出生日期、电话号码、实际地址、购买历史以及部分信用卡数据。

该安全事件最初于2024年10月21日由一个名为“Satanic”的黑客在黑客论坛 BreachForums 上声称从 Hot Topic 及其相关品牌 Box Lunch 和 Torrid 窃取了 3.5 亿条用户记录，并以2万美元的价格出售（目前已更改为4000美元），若 Hot Topic想要删除数据，则需支付10万美元赎金。

媒体于近日发布的一份报告表明，此次泄露可能源于信息窃取恶意软件感染，该感染窃取了 Hot Topic 使用的数据统一服务凭证。虽然 Hot Topic 一直未就此事发声，也没有向可能受影响的用户发送任何通知，但数据分析公司 Atlas Privacy 报告称，730GB 的数据库实际上影响了 5400 万客户。

七、25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机

据报道，近日一名网名为“Nam3L3ss”的黑客公开发布了利用MOVEit漏洞获取的大量企业员工数据，据称来自麦当劳、汇丰、亚马逊、联想、惠普等多家知名跨国企业。此次被公开泄漏的被盗数据包括来自25家跨国企业的员工详细信息，如姓名、邮箱地址、电话号码、成本中心代码和组织结构等。这些数据对于网络犯罪分子而言是一座“宝山”，可能被用于精准的网络钓鱼、身份盗窃，甚至复杂的社会工程攻击。

以下是此次事件中部分受影响的25家知名跨国企业及其泄露的员工数据的记录数：亚马逊(Amazon)：2,861,111条记录；大都会人寿(MetLife)：585,130条记录；嘉德诺健康(Cardinal Health)：407,437条记录；汇丰银行(HSBC)：280,693条记录；富达(Fidelity)：124,464条记录；美国银行(U.S. Bank)：114,076条记录；惠普(HP)：104,119条记录；加拿大邮政(Canada Post)：69,860条记录；达美航空(Delta Airlines)：57,317条记录；应用材料(AMAT)：53,170条记录；Leidos —52,610条记录；嘉信理财 —49,356条记录；3M —48,630条记录；联想 —45,522条记录；百时美施贵宝 —37,497条记录；Omnicom Group —37,320条记录；TIAA —23,857条记录；瑞士联合银行(UBS) —20,462条记录；Westinghouse —18,193条记录；Urban Outfitters (URBN)  —17,553条记录；拉什大学 —15,853条记录；英国电信(BT) —15,347条记录；Firmenich —13,248条记录；城市国家银行(CNB) —9,358条记录；麦当劳 ——3,295条记录。

泄露的数据以CSV格式发布，内容详细记录了员工的职位、联系方式及组织信息。例如，亚马逊的记录包含员工的姓名、成本中心代码、电子邮件地址和职位名称；汇丰的泄漏数据覆盖其全球员工，并标注了分支机构代码。

业界之声

一、维护网络数据安全的重要法治保障

近日，国家安全部微信公众号发布文章《维护网络数据安全的重要法治保障》。

文章指出，在数字化时代，维护数据安全成为各国政府面临的共同难题，过度保护有碍经济发展和科技进步，放任不管则会危及国家安全和公共利益。中国坚持促进数据资源开发利用和保障数据安全并重，2024年3月，国家网信办公布《促进和规范数据跨境流动规定》，优化调整了数据出境管理规则，有效降低了数据跨境流动成本。此次出台的《网络数据安全管理条例》，进一步明确了网络数据处理者可向境外提供个人信息的八种情形，特别规定“网络数据处理者按照国家有关规定识别、申报重要数据，但未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估”，为促进数据依法有序自由流动提供了清晰指引。

文章强调，个人信息保护是社会公众高度关注的热点议题，直接关乎人民群众的幸福感、安全感。《网络数据安全管理条例》立足当前数字经济发展需求，以《个人信息保护法》确立的原则和规则为基础，作出一系列细化完善，集中体现为“五个明确”：明确通过制定个人信息处理规则履行告知义务的内容、形式等要求；明确基于个人同意处理个人信息应当遵守的基本要求；明确行使个人信息查阅、复制、更正、补充、删除等权利的要求，细化个人信息转移的具体条件；明确按照《个人信息保护法》规定在境内设立专门机构或者指定代表的要求；明确网络数据处理者处理1000万人以上个人信息还应当履行的义务，为加强个人信息保护提供了有力法治支撑。

数据安全是总体国家安全观的重要部分，维护网络数据安全是国家安全机关的法定职责。《网络数据安全管理条例》在《网络安全法》《数据安全法》等法律法规的基础上，进一步明确了有关部门职责任务和履职要求，为国家安全机关依法开展工作提供了法律保障，集中体现在四方面：职责上，明确国家安全机关承担网络数据安全监督管理职责，依法防范和打击危害相关违法犯罪活动；义务上，明确网络数据处理者发现涉嫌相关违法犯罪线索的，应按规定向国家安全机关报案，配合开展侦查、调查和处置工作；防范上，明确对特定网络数据安全负责人和关键岗位人员进行安全背景审查时，可以申请国家安全机关协助；责任上，开展网络数据处理活动未按照规定进行国家安全审查的，国家安全机关可以依法责令改正，给予警告、罚款等行政处罚。网络空间不是法外之地，数据安全关乎国家安全。国家安全机关坚持以总体国家安全观为指导，坚持统筹发展和安全、统筹开放和安全，始终在法治轨道上坚定维护网络数据安全，努力为新时代网络强国、数字中国建设筑牢安全屏障。

二、数字中国建设工作推进会议在北京召开

11月12日至13日，国家数据局会同有关部门召开数字中国建设工作推进会议。会议深入学习习近平总书记关于数据发展和安全重要论述精神，贯彻落实党的二十大和二十届二中、三中全会精神，全面贯彻党中央、国务院关于数字中国建设的决策部署，回顾总结工作成效，交流经验、分析形势，研究问题、谋划思路，加大力度推进数字中国建设。

会议指出，今年以来，各地区各部门积极作为、攻坚克难，大力推动数据要素市场化配置改革，积极推进数字中国建设各项任务，在数字经济、数字政务、数字文化、数字社会、数字生态文明等领域取得明显成效。

下一步，要以习近平新时代中国特色社会主义思想为指导，因地制宜、多措并举、大力推进，努力完成《数字中国建设整体布局规划》2025年阶段性目标。持续深化数据要素市场化配置改革。健全完善数据基础制度，推动出台企业数据开发利用、数据产业高质量发展等政策文件，加强数据基础设施和标准化建设，着力繁荣数据产业生态。健全数字中国建设工作体制机制。充分发挥现有工作机制作用，加强工作体系建设，凝聚各方力量，推动跨部门协同和纵向联动，统筹做好各方面政策措施的有效衔接。进一步落实主体责任。国家数据局将加强统筹协调、整体推进。有关部门按照职责职能，制定政策措施，强化资源整合，形成工作合力。各地区要充分发挥数据管理机构职能作用，将数字化发展摆在本地区工作重要位置。营造良好发展氛围。统筹开展试点试验，持续挖掘典型案例，及时总结推广。继续谋划办好数字中国建设峰会、中国国际大数据产业博览会等重大活动，搭建宣传交流合作平台，广泛凝聚发展共识。

三、一城市综合数据资产挂牌交易所，引发市场关注

近日，海宁市城市综合数据资产挂牌暨融资启动会在上海数据交易所举行。会上宣布海宁市低空+经济城市综合数据资产正式在上海数据交易所挂牌，价值突破2亿元。

数据资产是非常新鲜的事物，为此上海数交所设置了多个重要前提，包括产权要明确、估值要精准、资产必须建立动态披露以及出现问题后的处置机制等。上海数交所总经理汤奇峰透露，目前不少数据资产正“排队”，等待被登记和被估值。预计今年全年，企业端数据资产总融资可达5亿元，而基于城市侧的数据资产体量更大，全年有望达到10亿元以上融资规模。关于城市综合数据资产如何区分公共数据和企业端数据，价值如何归属，引发市场关注。

四、辽宁省召开全省数据工作会议，部署下一阶段工作

近日，辽宁省召开全省数据系统工作会议传达学习加快公共数据资源开发利用的意见和全国部署培训会议精神，并部署了辽宁省的下一阶段工作。

会议指出，《意见》是贯彻落实党的二十届三中全会精神的重要改革举措，是中央层面首次对公共数据资源开发利用进行系统部署，是定规则、把方向的重大制度安排，具有鲜明的政策导向，对加快公共数据资源开发利用、进一步释放公共数据要素价值具有里程碑意义。
《意见》的出台为各地区各部门工作实践提供了政策依据和方向指导，必将大幅激发供给动力和用数活力，也必将引领带动全社会数据资源融合应用，为不断做强做优做大数字经济、构筑国家竞争新优势提供坚实支撑。

辽宁省数据局部署下一阶段工作，要求全省数据系统，上下一盘棋，步调一致，建立健全工作机制，一张蓝图绘到底。一是要加快推进政务数据共享。按计划完成数据目录编制，结合数据需要对接省基础数据库，加速推进数据直达基层工作，创新应用场景，形成典型经验。二是要有序推动公共数据开放。结合政务数据共享经验，在维护国家数据安全、保护个人信息和商业秘密的前提下，依托省运营平台，补全平台功能缺口，梳理公共数据开放目录，依法依规有序开放公共数据。三是要探索公共数据授权运营。采用整体授权、分领域运营相结合模式，结合沈阳、大连先行地市授权运营经验，鼓励相关市试点探索，培育壮大应用场景，公开数据产品和服务能力清单，促进相关产业的发展。

五、全国首次交通运输行政事业单位数据资产运营交易落地

近日，交通部官网发文，基于青岛市交通运输局供给数据形成的公共数据产品完成首单交易。本次数据资产运营交易是首个完成的试点，也是全国交通运输领域首次开展行政事业单位数据运营交易，对充分释放交通运输数据价值具有重要意义。

近年来，青岛市交通运输局公共服务中心积极落实“跨部门、跨层级、跨领域”的数据协同机制，围绕数据资产的确权登记、授权运营、流通应用等资产管理领域创新开展工作。汇聚整合铁路、民航、公交等交通运输15个领域数据超2200亿条，并持续优化数据治理、数据安全、数据共享等数据全流程服务。围绕交通运行监测、交通规划设计等场景开展数据目录的梳理维护，形成首批数据资产清单，共包含30余类动静态数据资产。对纳入资产清单的数据进行定向质量治理，从完整性、及时性、有效性等维度构建质量指标体系，加速构建数据精准化规范化管理模式，为交通运输数字化转型、“综合交通大数据中心体系”交通强国试点等工作提供了坚实的数据支撑，也为开展数据资产管理试点工作创造了有利条件。

六、欧盟发布欧美数据隐私框架首次报告 并提出执法获取数据建议

在最近的全体会议上，欧洲数据保护委员会（EDPB）通过了关于欧盟-美国数据隐私框架（DPF）首次审查的报告，并发布了关于高层小组（HLG）提出的有效执法数据访问建议的声明。

EDPB指出，美国商务部为实施DPF认证流程已采取一系列措施，包括开发新网站、更新相关流程、与企业互动及宣传活动，以确保符合自我认证公司所需的要求。此外，针对欧盟个人的申诉机制已经建立，并在大西洋两岸发布了详细的申诉处理指南。然而，目前DPF框架下收到的投诉数量较少，表明美国当局有必要加强对DPF认证公司遵守DPF原则的实质性合规监控。

EDPB鼓励美国当局制定具体指南，以明确DPF认证公司在接收来自欧盟的个人数据后应遵守的相关要求，并欢迎美国提供人力资源数据方面的指导。EDPB表示，愿意就这些指南提供反馈意见。关于美国公共当局访问从欧盟传输的个人数据，EDPB重点关注了行政命令14086所引入的保障措施的实际执行情况，包括必要性和比例性原则以及新的申诉机制。委员会认为，尽管申诉机制的各要素已到位，但仍呼吁欧盟委员会监控这些保障措施的实际成效，如必要性和比例性原则的执行。EDPB建议委员会关注《美国外国情报监视法》（特别是第702条重新授权后）的未来发展，以应对其可能的广泛影响。

EDPB副主席兹德拉夫科·武基奇表示：“自适当性决定通过以来，在美国当局、欧盟委员会和EDPB之间开展的良好合作推动了多项进展。同时，我们仍有改进空间，应继续携手努力，确保高水平的数据保护，保障欧盟公民的权利和自由。”

EDPB建议，下一次欧盟-美国适当性决定的审查应在三年或更短的时间内完成。在HLG关于有效执法数据访问的建议声明中，EDPB强调，执法机构在获取个人数据时必须保障基本权利。虽然EDPB支持有效执法的目标，但其指出，HLG的一些建议可能会对隐私权和家庭生活的尊重造成严重侵扰。

尽管EDPB认可在数据保留方面的建议有助于建立公平竞争环境，但其认为要求所有服务提供商普遍保留数据的义务将严重干涉个人权利，因此质疑这是否符合《欧盟基本权利宪章》和欧盟法院判例法中的必要性和比例性要求。

声明中，EDPB还指出，有关加密的建议不应限制加密的使用或削弱其保护效果。例如，引入一种允许在数据被加密之前或在接收方解密之后远程访问数据的客户端流程，在实践中将削弱加密的有效性。保持加密的保护性和有效性对于保障个人生活隐私和保密性、确保言论自由及依赖可信技术的经济增长至关重要。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。