全球数据安全观察

政策形势

• 立法工作计划：国务院发布2023年度立法工作计划，拟提请审议保守国家秘密法、电信法、人工智能法等草案，并审议商用密码管理条例、未成年人网络保护条例、网络数据安全管理条例等。
• 个人信息出境：国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》，明确个人信息出境标准合同备案方式、流程和材料要求。
• 商用密码管理：国家密码管理局公开征求意见《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》。
• 地方数据安全：山西省印发《山西省政务数据安全管理办法》，从制度、管理、保障和责任等方面提出要求；上海市印发《上海市电信和互联网行业首席数据官制度建设指南 (试行)》，推动首席数据官制度建设；四川省发布《四川省企业首席数据官制度建设指南（试行）（征求意见稿）》，提出首席数据官建设要求。
• 人工智能发展：北京市印发《北京市促进通用人工智能创新发展的若干措施》，提出提升算力、数据要素、技术体系、场景应用和监管环境等措施；深圳市印发《深圳市加快推动人工智能高质量发展高水平应用行动方案（2023—2024年）》，提出强化智能算力、技术创新、产业集聚、场景应用和要素供给等措施。
• 行业安全提升：中国证券业协会印发《证券公司网络和信息安全三年提升计划（2023-2025）》，提出提升行业科技治理和信息系统架构掌控能力，防范网络和信息安全风险，明确六类31项主要任务要求。
• 数据安全评估：全国信息安全标准化技术委员会发布《网络安全标准实践指南—网络数据安全风险评估实施指引》，给出网络数据安全风险评估的思路、流程和内容框架。

技术、产品与市场

• 数据泄露调查：Verizon发布2023年度数据泄露调查报告，分析16,312起安全事件和5,199起数据泄露事件，发现社会工程攻击、勒索软件、人为因素是主要威胁。
• 数字化转型支出：IDC预测，到2026年，中国数字化转型支出规模预计超过6000亿美元，硬件支出占比最大，软件市场增长最快。
• IT安全硬件市场：IDC数据显示，2023第一季度中国IT安全硬件市场规模约33.5亿元，同比增长7.8%，基于UTM平台的防火墙市场规模保持第一，VPN市场增速较快。
• API安全：OWASP发布2023 OWASP API 安全 Top 10列表，列出十大API安全风险，包括对象级别授权失效、认证失效、安全配置错误等。
• 生成式大模型安全：之江实验室发布《生成式大模型安全与隐私白皮书》，探讨生成式大模型的安全和隐私问题，为技术人员和政策制定者提供指导。

业界观点

• 密码安全一体化：白小勇认为，密码安全一体化是打造实战型数据保护的关键，实战与合规是辩证统一的，免改造安全技术可以快速实施密码安全一体化。
• 数字要素保障：张震宇认为，数字安全要匹配数字化全流程、场景化发展的系统化顶层设计，数字身份和数据可用不可见是数字安全的重要技术。
• 数字经济趋势：王一鸣认为，人工智能是数字经济发展的新引擎，数字化转型由消费领域向生产领域扩展，基于工业互联网的产业生态加快构建，数字技术赋能传统产业绿色低碳转型。
• 数据要素流通：李振华认为，数据要素流通过程中面临数据不敢流通、不会流通、流通成本高等挑战，需要制度创新和数字技术支撑，数据密态和跨域管控技术体系发展是关键。
• 企业数据合规：王丹阳、侯宁认为，企业数据合规工作面临监管指引不足、整改被动盲目、内部权责难定等挑战，企业应抓紧落实数据分类分级、加强数据来源合法合规审查、培养数据合规能力常态化提升意识。

数据安全事件

• 隐私侵权罚款：FTC对亚马逊旗下Alexa和Ring的隐私侵权行为处以3080万美元罚款；微软预计将为领英违反GDPR一案支付超过4亿美元罚款；微软为XBOX侵犯儿童隐私支付2000万美元罚款。
• 行政处罚：南昌市网信办依法对某股份有限公司作出行政处罚，罚款50万元，对直接负责的主管人员处以罚款5万元。
• 勒索攻击：美国HPHC遭到勒索攻击导致超过250万人的信息泄露；西班牙大型银行Globalcaja遭到来自Play的勒索攻击；法国海外省疑遭勒索软件攻击，政务网络已瘫痪数周；BlackCat勒索软件勒索澳大利亚商法巨头；Scrubs & Beyond泄露400GB的用户和银行卡详细信息；生物技术公司Enzo Biochem近250万人的临床数据被盗；本田被曝存在API漏洞，客户数据正处于高风险状态；德国医疗保健招聘平台 Pflegia泄露敏感的求职者信息；英国航空公司、BBC 和 Boots 受到 Zellis 数据泄露的影响。