大数据时代，互联网经济发展的同时，新兴数字和信息化技术也在挑战公民的个人信息安全，对个人信息的过度收集、使用等在实际生活中屡见不鲜。从立法角度来看，我国虽在诸多领域进行了规制，但是多集中于公法保护，大众尚未形成对个人信息积极寻求私法保护的意识。以《中华人民共和国民法典》（以下简称《民法典》）的颁布为分界，本文以《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）为主要研究对象，结合我国个人信息保护相关的立法情况，分析我国当前司法现状的诸多困境，并基于此给出完善路径。《民法典》和《个人信息保护法》对个人信息的保护概况《民法典》颁布前，网络安全法、民法通则对个人信息安全保护做出规定，虽然存在立法碎片化的缺陷，但其为相关法律的出台和个人信息保护工作设立了标准和范式，也为个人信息保护工作进一步发展提供了经验与指引。而最新的《个人信息保护法》聚焦现实生活中的疑难问题，弥补了我国个人信息保护专门法的空白。1.《民法典》对个人信息的保护2021年，我国正式迈入《民法典》时代。《民法典》对于个人信息的保护规制在人格权编中，与隐私权单独列为第六章，使用了六个条文，从个人信息的定义、保护原则、信息主体权利以及信息处理者等角度来规制个人信息的保护。《民法典》回应了个人信息民法保护中的争议，尤其强调了对个人信息如何在一定范围内进行保护，对个人信息的保护规制较为全面，同时也回应了网络时代个人信息问题频出的社会现状。作为世界首部涉足个人“网络虚拟、数据财产”保护的民法典，我国《民法典》在面对新型社会问题上的远见性可见一斑。前置于公法的《民法典》，松动了个人信息保护领域“重公轻私”的局面，对于个人信息安全的民法路径具有体系化厘清作用。2.《个人信息保护法》对个人信息的保护《个人信息保护法》作为兼有公私法性质的特别法，其中关于个人信息保护的相关规定是《民法典》的组成部分。作为单行法，《个人信息保护法》无疑为个人信息安全的保护提供了更为全面的规则框架。在二审稿制定中，立法机关强调了《个人信息保护法》将对个人及行业在互联网中的保护起到更加重要的作用。同时，也回应了个人信息非法买卖这一突出问题，提出了定期披露、发布个人信息保护社会责任报告等事项。《个人信息保护法》的出台，对个人信息民法保护工作具有重要价值。一方面，完善了“自然人”信息保护的合法性基础，在处理规则上突出“同意”与“撤回”的“知情”权，并加强境内外对个人信息的双向监管，还建立了公民权益响应机制。另一方面，在信息处理者方面增加了互联网平台的保护义务，加大了处罚力度，并在诸多方面都有对个人信息保护制度的发展与创新，标志着我国以“告知—同意”模式为核心的个人信息民法保护模式的确定。个人信息民法保护存在的困境在我国民事个人信息保护领域发轫较晚的情况下，尚存一些困境。首先，我国对于个人信息及其保护的法律性质仍未厘清，个人信息权利属性尚待明确，导致与相近概念界限不明；其次，我国当前尚未立法明确“被遗忘权”，“司法解释先行”现象突出；最后，对于个人信息保护的责任标准较为单一，个体维权难、成本高、流程复杂的问题仍待解决。1.对个人信息的保护仍停留在民事权益层面对于个人信息保护性质的确立是将相关条款运用于实际生活中的前提与基础。目前来看，学术界大致分为权利说与法益说两派。权利说者提倡个人信息根据法条规定是一项权益而不是利益。对于个人信息的保护与隐私权列在《民法典》人格权编同一章节之中。当公民的隐私作为一种权利受到侵害时，我们可以依据隐私权权利请求基础，请求侵权人停止侵害、消除影响、赔礼道歉、赔偿损失。而个人信息作为一种权益，并不能完全地享有侵权法所设定的侵权赔偿，被害人取得的赔偿十分有限。个人信息仅作为一种权益，在法条规定上，可以被包含于《民法典》第一百二十六条“民事主体享有法律规定的其他民事权利和利益”的保护范围之中。但人格权编中将“个人信息”与隐私规定在同一章，则说明“个人信息”不完全是权益属性，但存在成为权利的可能。2.排除了个人信息的遗忘权《民法典》的编撰草案二审稿中删除了一审稿中自然人法定删除个人信息的“根据特定目的，持有信息没有必要”事由。而这一事由属于广受关注的遗忘权的保护范畴。作为舶来品，被遗忘权在我国的适用近年来饱受热议，网络空间与现实空间相比的无限性与永久性给公众带来的困扰愈演愈烈。事实上，我国法院早在2015年就基于案情对“被遗忘权”的有关问题作出了回应。我国早已有一些互联网服务提供商实施了与被遗忘权暗合的行动，例如百度的“隐私问题反馈”、社交媒体的“闪照”等，着重保护用户在使用网络过程中的信息安全。大数据时代，信息的流动性和关联性强，不仅可以在数据库中检索出大量信息，还可以在不同的平台媒介上传播信息。或许出于技术考虑，难以完全做到让信息在大数据背景下被遗忘，但在大数据信息互通的时代，遗忘权挽救个人信息受侵害个体的价值尤为突出。3.对损害个人信息的赔偿数额限制不合理当个人信息权益被侵害后，对权益的保护若通过侵权责任的方式来规制救济，需要达到一定损害后果。但正如“大数据”中的“大”字所言，对于公民个人而言，单独的个人信息价值并不明显，平台所搜集的个人信息一般是海量个人信息打包形成的经济价值集合。例如，单个电话号码通常的打包价格在五角至两元之间，并且只有通过打包才能发挥其价值。个人若以自身电话的价值起诉至法院，则会造成司法资源的浪费。相对应地，若是以一个具体案件或者一个打包的信息内容为由，则涵盖的信息所属主体太多，侵权求偿难度较大。在我国《民法典》的相关规定中，损害赔偿的前提是固定损害数额。但如果是难以确定的损害，例如近来学界多有讨论的人脸识别案件中，违规收集公民面部信息，尚未产生收益也未造成损害结果，那么赔偿与否与赔偿数额又该如何认定？同时，《个人信息保护法》规定，严重侵害个人信息权益可能“处以5000万元以下或者上一年度营业额5%以下罚款”，额度上甚至超过了以严著称的欧盟个人信息保护方面的规定。因此，该法规有待商榷。数额限制的另一缺陷在于：司法文件没有确定赔偿下限，如此也会造成裁判适用中的疑难。所以，当前的侵权赔偿对于损害个人信息的赔偿数额的限制并不合理，无法为受害者积极请求赔偿提供动力。个人信息民法保护完善建议在对缺陷和不足进行研究的基础上，可以针对我国个人信息安全问题提出更加有针对性的对策建议，有利于为个人信息安全提供更有效的民事保障。1.确定个人信息是公民享有的权利首先应明确，个人信息是人格利益与财产利益的结合体。传统民法理论按照权利客体的精神利益、财产利益为界，划分人格性权利和财产性权利。但随着经济与科技的发展和现代财产权概念的演变，人格权与财产权的区分理论受到了现实的冲击和挑战。个人信息无法进行简单性质划分。首先，从人格利益上来看，个人信息发挥着识别与区分的功能；其次，个人信息作为个人参与社会的重要资源，其可传递性、可转换性使其具有一定的财产属性。个人信息的本质是一种人格权，其经济利益也是人格性的折射。价值的扩张和外化从人之本体转移到了人之商业目的，往往不在于符号意义的个人信息“外部”，而在于个人信息被商业利用时，这一符号所凸显出的信息主体——人本身。总而言之，对个人信息财产属性的认同，是对个人或信息控制人对信息控制性权利的认可与保障，而不是对其财产权的直接承认。因此，个人信息权的本质是人格权。从法条出发，目前出台的相关法律使得个人信息带有权益色彩。《民法典》中，在具体人格权后对个人信息保护有所规定，但在分则中却并未提及。纵览法条，目前立法更倾向于将个人信息归为“基于人格尊严产生的其他人格权益”之范畴。随着立法的完善，不能以对个人信息的侵害来换取相关行业的欣欣向荣，这样将在发展中孕育更大的潜在危机。权利化个人信息也有利于将个人信息与隐私从法条构成角度更好分离，给予两者同等的重视，更好地协调两者因性质不同而产生的不同救济方式。即使法律并未采取人格权形式保护个人信息，但个人信息毫无疑问是民事主体的一种人身权利，尽管尚未得到法律的直接认可。在司法实践中，只有对个人信息的保护同其他人格权相同时，才能在法律适用过程中更好地保护公民的个人信息，改变普遍存在的个人信息受侵害而难以救济的现状。2.采取集体保护措施绕开公众的知情同意原则在一定程度上反映了信息的采集者和被采集者针对信息能否获得、如何使用，以及信息处理等方面的矛盾。而拥有个人信息的被采集者与企业、公司等个人信息采集者之间有着巨大的信息利用可能性的差异。一些“授权同意”条款专业冗长，一个人如果认真阅读他所勾选的同意条款需要花费很长时间。因此，很难保证使用者尽到足够的注意义务去阅读相关个人信息条款。即使使用者勾选同意，也难以保证真正的“知情同意”。因此，针对个人信息侵权可以引入公益诉讼。检察机关可以自主探索，一些合理设置的社会组织也可以成为公益诉讼的主体，为个人信息保护提供积极力量，成为信息主体与信息集体的坚实后盾，对侵害个人信息的行为进行有效监督与打击。与此同时，在相关勾选信息推送之前，可以与平台监督者进行事前沟通，专员代替用户提前阅读条款，监督条款提出者尽到解释义务，从而充分保障用户知情权。3.完善相关个人信息遗忘权的内容在《民法典》个人信息的事由中，并未删除“根据收集或者使用的特定目的，信息持有人持有信息已经没有必要”这一原本出现在草案中，其实质上否定了个人信息的被遗忘权。被遗忘权是信息归属人对于个人信息的处分权，应当在一定限制下适用。当个人信息的遗忘可能会对国家、社会还有第三人的利益造成重大损失时，不应当仅仅考虑保护个人信息归属者，还应当考虑保护介入的第三方，从而达到利益纠纷的平衡。而当相关个人信息被他人以造谣等方式侵害，却尚未达到采用刑法进行规制的程度，在此情况下可以采用个人信息归属者的被遗忘权进行私法切入。4.确立微额损害的最低赔偿标准因单独的个人信息价值可能微乎其微，被侵害者的警惕性与积极性都不够。因此，在信息流通迅速且流量巨大的大数据时代下，保护个人信息，建立独立的赔偿标准就变得尤为重要。一方面，未来立法需要明确最低赔偿标准；另一方面，需要对赔偿数额计算作明确规定，避免司法实践中的忽视或误差。立法者不妨参考食品安全法中对于赔偿金的规定，在规定赔偿倍数的同时，规定最低限额赔偿标准。信息的被采集者和食品购买者相对来讲都是弱势群体，若将个人信息与食品看作载体，两者都有可能面临着微小数额带来的巨大损害。因此，个人信息的保护可以充分借鉴较为完备的食品安全法对于弱势方的保护，在损害数额赔偿的标准上进一步调动个人保护个人信息的积极性，并能够给予个人信息的采集者更好的监督。结语个人信息是在网络时代快速发展过程中出现的产物，既存在与现有的民法体系交融的部分，又有传统法律体系不能完全涵盖的特殊部分，本身性质尚未厘清。对个人信息的侵犯，无疑会损害个人的合法权益，更会对整体的网络安全造成威胁。而在民法保护层面，应当在利益平衡基础上，从理论、实践上综合考虑优化路径。我国应当在民法上明确个人信息是公民享有的民事权利，引入集体保护措施，在立法内容上完善个人信息被遗忘权的具体规范与适用规则。适用过程中可以考虑确立微小损害最低赔偿标准，对个人信息做出更为合理和全面的保护，实现个人权益与公共利益上的平衡，进而更好地保护个人信息安全，营造良好的整体网络环境。来源：《网络安全和信息化》杂志作者：湖北大学 黎昊阳 张子卓 吴奕浏 田梦涵（本文不涉密）-END-2024年杂志开始订阅啦~

“2019年，党的十九届四中全会首次将数据列入新型生产要素。在数字政府建设过程中，政务数据同样可作为面向赋能经济社会的生产要素。由政务系统所生成的各种结构性与非结构性的各类政务数据记录，已经覆盖了环保、气象、住建、公安、人社、教育以及医疗等各个民生领域，但将政务数据作为开发利用的生产要素，则需要考虑加强对数据开发、共享以及利用的管理和控制。因此，如何通过数据安全管控技术来满足数据安全合规监管，是数字政府公共数据开放共享建设中需要重点考虑的问题。数字政府数据安全问题分析常规数字政府政务云安全能力、安全建设思路和安全管理制度规范，普遍是以传统的、满足“以系统为核心”的安全管理需求为主，已经不能适应未来数字政府建设的目标。尤其是在构建一体化政务数据中台、基础设施共建共用、信息系统互联互通后，以数据流动为主要特征的数据安全管控需求变得尤为重要。当前的数字政府数据安全问题主要总结如下。1.政务数据泄露问题政务数据泄露问题是一个严重的安全挑战。基于目前的发展进程，数字政府的建设可以总结为三个阶段。早期的阶段是建设政务数据的数字化，就是把纸质的数据变成电子的内容。该阶段考虑的是数据本身的存储和权限管理。第二个阶段是政务数据内部的协同数字化，目的是实现政务组织内部多个团队之间的协同和跨政务体系的协同，以提升政务面向公众的办事效率，实现一个窗口办理全部流程。该阶段的安全防护更加重视应用安全和权限管理。这些协同是在互联网方面的协同，但相关风险环境并没有发生质的变化。而当前的数字政府建设重点是实现政务决策的智能化和精细化，利用大数据分析来优化政府决策和公共服务。业务流程的线上化会直接改造个人办事流程；流程的数字化会增加大量数据接口，采集大量数据资源，传输海量敏感数据，存储和治理大量数据资源。同时，数字政府面向的数据要素市场化需要更多面向互联网进行数据开放利用，此时政务数据泄露的风险面是“无限的”。加之政务数据包含了大量敏感的政府文件和个人信息，包括政府机密文件、个人身份证号码以及银行账户信息等，一旦数据泄露，可能导致个人隐私曝光、经济受损，企业核心经营数据和商业秘密外泄等一系列风险。2.政务数据滥用问题政务数据滥用是指在数字政府建设中，政务数据被未经授权的人员或组织滥用，并可能导致个人隐私泄露、数据商业化以及舆情操控等问题的发生。在个人层面，政务数据滥用可能导致身份盗窃、诈骗等风险。在商业化价值层面，政务数据作为生产要素后的商业化行为，如果监管不当，可能会侵犯公民的权益和隐私。如果监管不到位，不法分子或组织会基于商业或政治意图，利用政务数据进行不当言论、操控舆情，进行非法监控和追踪等。3.政务数据安全运营问题在数字政府背景下，政务数据安全运营需要覆盖政务数据共享和开放场景，在保证数据安全性和合规性的前提下，建立完善的数据共享和开放机制，以促进政务数据市场化。尤其在政务数据二次开发、加工场景方面，为满足政务不同部门数据交互和公众对多样数据碰撞结果的需求，数字政府的数据安全运营应提供数据使用和加工的技术保障机制，涉及对数据共享开放的分类分级、数据加工利用的可用不可见。数据可信计算沙箱技术概述数据可信计算沙箱技术是隐私计算技术中的一个技术路线。隐私计算技术是指在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算的一系列信息技术，保障数据在流通与融合过程中的“可用不可见”。它是一套融合了密码学、安全硬件、数据科学、人工智能以及计算机工程等众多领域的跨学科技术体系，包含以多方安全计算、联邦学习和可信执行环境为代表的多种技术方案，能够在保障数据安全和个人隐私的前提下，实现数据价值的流通共享。数据可信计算沙箱技术提供了一种基于可信计算技术的安全隔离技术，可以在不暴露数据隐私的情况下，对数据进行计算和分析。它的主要思想是将数据和计算分离，将计算过程放在安全的隔离环境中进行，从而确保数据的安全性和隐私性。1.技术原理数据可信计算沙箱技术通过安全隔离技术，构建了一个可信计算的沙箱环境。根据可信执行环境的定义，一个完备的可信执行环境应能保证所执行代码的真实性，可信执行环境运行时状态的完整性，运行时代码、数据的机密性，以及提供远程证明属性。数据可信计算沙箱技术能够为数据要素流通提供环境保障，依托底层大数据计算集群，配合可信调试环境、可信计算沙箱环境、用户体系、角色权限、流程监管、数据集管理和数据安全合规审计等技术机制，结合密钥管理系统提供的统一密钥管理和全生命周期加密等服务，在保障数据安全的同时，实现数据的“可用不可见、可用不可取”，从而构建起基于基础设施、安全技术、数据监管、数据安全计算以及用户管理五个层级的技术架构体系。其中，数据可信计算沙箱技术的核心技术体现在以下三个方面。数据可信计算平台通过数据隔离技术，主要用于隔离数据和外部环境，确保数据的安全性和隐私性。可信调试环境主要用于管理和调度数据的计算过程，确保计算过程的安全性和可控性。可信计算沙箱主要用于数据的计算和分析，从而产生有价值的结果。在该域中，需要建立可信计算沙箱环境，确保计算过程的安全性和可信度。在整个数据可信计算沙箱技术架构体系中，数据存储在加密的基础上，还支持互相隔离。这样在面向数字政府赋能数字经济活动、对外和对内提供政务数据的场景中，能够对数据算法提供商、数据分析模型开发者的操作完全受限于调试可信沙箱环境，不能接触明文原始数据，只允许使用授权范围内的调试数据，做到了“算法与数据分离”。

网络世界纷繁复杂、真假难辨，一不小心就会落入犯罪分子的圈套。网络安全与每个人的生活都紧密相连。什么是“网络钓鱼”？有哪些常见的“钓鱼”手段？如何防范黑客攻击？这份网络安全手抄报请查收！提高网络安全意识，警惕网络陷阱。来源：紫牛新闻-END-欢迎关注我们~

风起于青萍之末，浪成于微澜之间！2023年初ChatGPT的推出，让AI技术掀起了一波前所未有的发展与应用热潮，同时也不可避免地带来的许多新的安全风险，这些安全风险涵盖了从网络威胁、数据安全、隐私保护、伦理关切和监管影响等各个方面。2023年11月2日，由中国内部审计协会、ISACA中国、谷安天下公司联合举办的第三届数字风险大会于在北京隆重开幕。本次大会主题聚焦于“AI时代的数字风险挑战与应对”，邀请了众多网络安全与数字风险领域的研究学者、产业专家、用户代表聚集一堂，从安全科技、风险控制和IT审计等多维度视角，全面探讨了AI技术应用的发展机遇和新型数字风险管理。中国内部审计协会副会长兼秘书长

据新华社报道，首届人工智能安全峰会于当地时间1日至2日在英国布莱奇利园举行，峰会发布《布莱奇利宣言》（下称《宣言》）。《宣言》说，人工智能带来巨大机遇，有潜力增强人类福祉、和平和繁荣，并已部署在日常生活的许多领域。但同时人工智能也带来重大潜在风险。《宣言》认为，对于前沿人工智能技术有意识滥用或者无意识控制方面的问题，可能会引发巨大风险，尤其是在网络安全、生物技术和加剧传播虚假信息等方面。《宣言》强调，人工智能的许多风险本质上是国际性的，因此“最好通过国际合作来解决”。与会国家和地区同意协力打造一个“具有国际包容性”的前沿人工智能安全科学研究网络，以对尚未完全了解的人工智能风险和能力加深理解。在本届全球人工智能安全峰会两天会期内，美国、英国、欧盟、中国、印度等多方代表就人工智能技术快速发展带来的风险与机遇展开讨论。根据英国政府发表的声明，下届人工智能安全峰会将于一年后在法国举办，韩国将在未来6个月内联合主办一次小型虚拟峰会。英国《金融时报》称，这份《宣言》是“第一份关于有必要监管AI发展的全球声明”。路透社称，《宣言》提出一个双管齐下的议程，重点是确定共同关注的风险，建立对这些风险的科学理解，同时制定减轻这些风险的跨国政策。也有观点认为，从某种意义上讲，该《宣言》可以视作国际社会首次就监管AI的必要性和迫切性作出正式声明，但在监管力度等问题上仍存分歧。据澎湃新闻报道，根据宣言内容，与会国一致认为，人工智能已经部署在日常生活的许多领域，在为人类带来巨大的全球机遇的同时，还在网络安全、生物技术等关键领域带来了重大风险。“人工智能模型最重要的功能，可能会有意或无意地造成严重甚至灾难性的伤害。”宣言写道，“鉴于人工智能快速且不确定的变化速度，以及技术投资加速的背景下，我们确信加深对这些潜在风险的理解以及应对风险的行动尤为紧迫”。“人工智能的‘前沿’出现了特殊的安全风险，被理解为那些能力强大的通用人工智能模型，包括基础模型，它们可以执行各种各样的任务，以及相关的特定狭义人工智能，它们可以表现出以下能力：造成伤害——其能力达到或超过当今最先进模型的能力。”《宣言》指出。据新华社报道，中国科技部副部长吴朝晖出席峰会，并在1日举行的开幕式全体会议上发言。与会期间，代表团参与人工智能安全等问题讨论，积极宣介中方提出的《全球人工智能治理倡议》，并将与相关国家开展双边会谈。中方指出，此次峰会为各国提供了人工智能安全与国际治理议题的重要对话平台与交流合作机会。人工智能治理攸关全人类命运，是世界各国面临的共同课题。发展人工智能，应当积极倡导以人为本，智能向善，加强技术风险管控，并在相互尊重、平等互利的原则基础上，鼓励各方协同共治，增强发展中国家在人工智能全球治理中的代表性和发言权，不断弥合智能鸿沟和治理能力差距。中方认为，在世界和平与发展面临多元挑战的背景下，各国应秉持共同、综合、合作、可持续的安全观，坚持发展和安全并重的原则，通过对话与合作凝聚共识，构建开放、公正、有效的治理机制，共同促进全球人工智能健康有序安全发展。中方表示，愿与各方一道就人工智能安全治理加强沟通交流，为推动形成普遍参与的国际机制和具有广泛共识的治理框架积极贡献智慧，切实落实全球发展倡议、全球安全倡议和全球文明倡议，促进人工智能技术更好造福人类，共同构建人类命运共同体。英国《金融时报》2日报道称，美国商务部长雷蒙多在出席峰会期间宣布，美国将成立自己的AI监管机构。新成立的“AI安全研究所”隶属于美国商务部国家标准与技术研究院。雷蒙多称，“该组织的目标是与其他国家设立的AI安全组织密切合作，评估前沿AI模型已知和新出现的风险”。美国企业家埃隆·马斯克在首届全球人工智能安全峰会上表示，人工智能是人类“最大的威胁”之一，需要人们加以引导和控制。马斯克还表示，希望建立一个“第三方裁判”，监督开发人工智能的公司。“我们来这里的真正目标是建立一个洞察框架，这样至少会有一个第三方裁判，一个独立的裁判，可以观察领先的AI公司在做什么，至少在他们有顾虑时发出警报。”他说。中国现代国际关系研究院欧洲研究所学者董一凡告诉《环球时报》记者，英国重视发展AI是出于大国竞争的需要。一来英国在这个领域有较强的技术积淀、产业和人才优势，二来英国也需要在“脱欧”后用新兴产业来提振国内经济。不过，英国缺乏全球性的AI巨头，这制约了它的发展。在资金投入以及企业数量方面，英国都难与美国、中国和欧盟匹敌。不过，董一凡认为，英国在AI领域仍有独特优势，未来在全球AI版图中将占据一定的位置。而此次举办峰会就是英国在AI方面谋求更大话语权的一次尝试。来源：新华社、环球时报、中国新闻网、澎湃新闻-END-欢迎关注我们~

财政部、国务院国资委、证监会印发《国有企业、上市公司选聘会计师事务所管理办法》。《选聘办法》指标公开、规则明确，设定的各项标准适用于中国境内依法成立的所有会计师事务所，一视同仁。明确要求企业在选聘会计师事务所过程中，应当保障选聘工作公平、公正进行。国有企业、上市公司和会计师事务所应当提高信息安全意识，严格遵守国家有关信息安全的法律法规，认真落实监管部门对信息安全的监管要求，切实担负起信息安全的主体责任和保密责任。国有企业、上市公司在选聘时要加强对会计师事务所信息安全管理能力的审查，在选聘合同中应设置单独条款明确信息安全保护责任和要求，在向会计师事务所提供文件资料时加强对涉密敏感信息的管控，有效防范信息泄露风险。会计师事务所应履行信息安全保护义务，依法依规依合同规范信息数据处理活动。来源：财联社-END-欢迎关注我们~

第2部分：采用可鉴别加密技术的机制修订WG4点击阅读原文查看标准相关材料。来源：全国信安标委-END-欢迎关注我们~

关于印发医疗卫生机构网络安全管理办法的通知国卫规划发〔2022〕29号各省、自治区、直辖市及新疆生产建设兵团卫生健康委、中医药局，国家卫生健康委机关各司局、委直属和联系单位、中国老龄协会，国家中医药局、国家疾控局机关各司局、各直属单位：为指导医疗卫生机构加强网络安全管理，国家卫生健康委、国家中医药局、国家疾控局制定了《医疗卫生机构网络安全管理办法》。现印发给你们，请认真贯彻执行。

Gartner公布的网络安全重要趋势预测显示：高管绩效评估将越来越多地与网络风险管理能力挂钩；未来三年内，全球近三分之一的国家将通过立法对勒索软件应对措施进行规范；安全平台整合将保障企业机构即便在恶劣环境中也能快速发展。Gartner建议，网络安全领导者应在把握以下几项战略性预测的前提下，合理制定未来两年的安全战略。从当前至2023年，各国政府要求企业机构保障消费者隐私权的法规将覆盖50亿公民和超过70%的全球GDP。截至2021年，已有50个国家近30亿人的消费者隐私权得到了保障，而且隐私法规的覆盖范围仍在继续扩大。Gartner建议，企业机构应追踪主体权利请求方面的指标，例如每项请求的处理成本和完成时间等，从中发现效率有待提升的环节，并证明加快推进自动化的必要性。到2025年，80%的企业将采取利用单一厂商的SSE平台访问网络、云服务和专用应用的策略。目前，混合办公模式已逐渐普及，随时随地通过任何设备访问数据的需求也日益增多。为此，厂商开始推出综合安全服务边缘（SSE）解决方案，围绕网络、私有访问和SaaS应用，打造一致、简洁的安全保障功能。与具有单项优势的解决方案相比，单一厂商的综合型解决方案可提高运营效率和安全效果，包括集成更紧密、控制台减少，以及进行数据解密、检查和重新加密的位置减少等。到2025年，60%的企业机构将把零信任作为安全工作的起点，超过半数的企业机构将无法发挥零信任的优势。如今，零信任一词在安全厂商的营销和政府的安全指导中十分常见。零信任使用基于身份和情境、风险适度的信任取代隐性信任，是一种非常强大的思维模式。然而，零信任既是一项安全原则，也是一项组织愿景，因此企业机构需通过文化变革和有效沟通使其与业务成果相联系，才能充分发挥其优势。到2025年，60%的企业机构将把网络安全风险作为进行第三方交易和商业往来的一项主要决定因素。与第三方有关的网络攻击正在不断增加。但Gartner调研显示，仅有23%的安全和风险领导者对第三方网络安全风险隐患进行实时监控。Gartner认为，随着消费者的担忧加剧和监管机构的关注升温，从简单的关键技术供应商监控到复杂的并购尽职调查，企业机构在与第三方开展业务时将开始把网络安全风险作为一项重要的决定因素。到2025年，30%的国家将批准立法，对勒索软件支付、罚款和谈判做出规定，而2021年的这一比例还不到1%。如今，现代勒索软件团伙不但窃取数据，而且会对数据进行加密。企业机构往往从业务而非安全角度出发，做出是否支付赎金的决定。Gartner建议，在进行谈判之前，应与专业的事件响应团队以及执法部门和相关监管机构进行沟通，获得咨询建议。到2025年，威胁行动者将成功地把运营技术环境变为武器，造成人员伤亡。针对运营技术的攻击已变得更为普遍（运营技术是指对设备、资产与流程进行监测或控制的硬件和软件），会造成更大程度的破坏。Gartner认为，安全和风险管理领导者在保障运营环境安全的过程中，应将保护人员与环境免受真实伤害置于比防止信息失窃更重要的位置。到2025年，70%的首席执行官（CEO）将要求建立具备韧性的企业文化，以应对同时出现的各类威胁：网络犯罪、恶劣天气事件、内乱和政治动荡。新冠疫情暴露了传统业务连续性管理规划工作的局限性，即无法帮助企业机构应对大规模中断。鉴于可能发生的持续中断，Gartner建议风险领导者将组织韧性作为一项战略要务，并制定一份让员工、相关方、客户和供应商共同参与的企业机构级别韧性战略。到2026年，50%的首席高管人员的劳动合同中将增加与风险有关的绩效要求。Gartner最近的一项调研发现，大多数董事会现在不仅仅将网络安全视为IT技术问题，还将其视为业务风险。因此，Gartner预计，业务高层领导者将正式接替安全领导者，成为网络安全工作的负责人。来源：Gartner

6月14日上午，中共中央宣传部举行党的十八大以来工业和信息化发展成就发布会。工业和信息化部总工程师韩夏提到，我国连续组织开展APP侵害用户权益专项整治，累计通报、下架违法违规APP近3000款。韩夏表示，随着互联网快速发展，各种在线应用和服务日益丰富，个人信息保护成为人民群众关注的焦点。工业和信息化部高度重视个人信息保护工作，深入贯彻《个人信息保护法》，综合应用法律规范、行政监管、技术支撑、社会共治等手段，个人信息保护得到有效加强。她介绍，2013年，我部出台了国内第一部针对个人信息保护的部门规章，也就是《电信和互联网用户个人信息保护规定》，去年工业和信息化部组织起草了《移动互联网应用程序个人信息保护管理暂行规定》，目前，正在对2013年出台的《规定》进行修订，强化应用程序关键责任链的管理，进一步健全个人信息保护制度体系。同时，工业和信息化部以群众关切为重点，加强电信和互联网行业个人信息保护突出问题的治理。连续组织开展APP侵害用户权益专项整治，累计通报、下架违法违规APP近3000款，APP侵害用户权益的违规行为得到有力遏制。后续将围绕“全流程、全链条、全主体”监管，实现对各类终端、应用商店、软件开发工具SDK等关键环节和在架的APP的全覆盖，全方位保护用户权益。此外，组织建设全国APP技术检测平台，累计完成322万款APP的检测。下一步，将打造面向移动互联网程序的检测和认证公共服务平台，着力提升自动化检测、大数据分析、监测预警、认证签名和公共服务能力，为行业治理提供更加有力的支撑。“我们与各有关部门加强协同，发挥社会各界的积极作用，形成了政府监管、企业自律、社会监督、用户参与的共治格局。”韩夏表示，今后工业和信息化部将不断研究新情况新问题，总结新的实践经验，参照国际成功做法，加强监督检查，督促企业落实主体责任，提高合规水平，营造安全、健康、有序的信息通信应用环境。来源：人民网

回顾2021年，在政策的有力推动下，我国数字经济已经成为了经济高质量发展的关键动力。随着数字化转型的不断深入，传统产业与新型业态的深度融合，数字经济对实体经济的赋能效应更大程度地释放。数据价值和创新力量是2021年度数字基础设施市场中，企业发展技术和打磨产品的着力点。为了能在市场表现和用户口碑获得双丰收，企业以数据应用为驱动，以数字化平台为依托，不断打磨自身技术，不断进行应用创新，不断追求更大的数字红利。在2022年伊始，《网络安全和信息化》杂志社联合IT运维网在线上举办了“一年一等待——企业之星、产品/解决方案之星公布”的开年活动，针对数据中心/云计算、网络安全、IT运维三个数字经济的重点领域，盘点了2021年度市场表现不俗、用户口碑良好、具有较高发展潜力的企业、产品及解决方案，希望所有参与者可以通过此次盘点和推荐，了解2021年度ICT科技的发展及数智化转型之路上值得关注的点滴。在本次“一年一等待”活动中，由《网络安全和信息化》杂志社的资深编辑多维度筛选，最终形成了2021年度“企业之星”“产品/解决方案之星”名单：（以下排名不分先后）2021年度企业之星网络安全企业之星：天融信科技集团、瑞数信息技术（上海）有限公司、北卡科技有限公司、浙江德迅网络安全技术有限公司安全运维企业之星：北京智和信通技术有限公司低代码平台企业之星：北京新享科技有限公司2021年度产品之星网络安全产品之星：云集至全数据安全治理平台、360本地安全大脑能力评估解决方案、天懋专网安全雷达系统IT运维产品之星：卓豪OpManager可视化综合网络监控云计算产品之星：天融信超融合管理系统企业信息化产品之星：新享常赢软件系统数据中心产品之星：Dell

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

在数字信息技术日新月异的发展趋势下，数据已成为数字经济发展的核心生产要素，是国家重要资产和基础战略资源。随着数据价值的愈加凸显，数据安全风险与日俱增，数据泄露、数据贩卖等数据安全事件频发，为个人隐私、企业商业秘密、国家重要情报等带来了严重的安全隐患。当前，数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。为此，国家高度重视数据安全的顶层设计：在相继发布的《促进大数据发展行动纲要》（2015）、《科学数据管理办法》（2018）、《关于构建更加完善的要素市场化配置体制机制的意见》（2020）以及“十四五”规划（2021）中，均提出发展数字经济、加快培育发展数据要素市场，应把保障数据安全放在突出位置的重要思想内涵。面对数据安全威胁日益严峻的态势，着力解决数据安全领域的突出问题，有效提升数据安全治理能力迫在眉睫。然而，由于数字技术促使数据应用场景和参与主体日益多样化，数据安全的外延不断扩展，数据安全治理面临多重棘手困境。为此，赛迪智库发布《数据安全治理白皮书》，在分析我国数据安全风险、治理现状、治理困境的基础上，从政策、监管、产业生态建设、国际合作等方面提出综合解决路径。更多内容，请点击文末“阅读原文”免费下载报告

在活动现场，主办方还为2021数据安全“护脸”样板工程以及2021数据安全先锋榜卓越产品的企业代表进行了授牌。“2021数据安全“护脸”样板工程”：

前言自上世纪80年代以来，移动通信基本上以十年为周期出现一次迭代升级，随着全球5G网络规模化商用步入快车道，针对6G研发的战略性布局已全面拉开帷幕。目前，全球多个国家和地区、国际组织以及学术界、产业界均开展了6G研究。我们判断，未来3-5年将是6G研发的关键窗口期。总体而言，全球范围内6G

本文作者：赛迪智库网络安全研究所

为加强个人信息和重要数据保护，规范汽车数据处理活动，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》，现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：

此外，在近期检测中，我部发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题（详见附件7），我部将依法暂停其违规行为，予以直接下架处理。

2020年是国家全面建成小康社会目标实现之年，是全面打赢脱贫攻坚战收官之年，是“十三五”目标完成与“十四五”任务开启的承接之年，是数字经济发展和新型基础设施建设的重要机遇之年，区块链作为一种数字技术，在新的机遇和挑战面前，为国家社会经济发展和智慧城市建设提供了重要保障。为全面掌握我国区块链产业发展整体态势，加快推动区块链技术创新应用，构建良好产业生态，推进区块链产业健康发展。赛迪区块链研究院从政策、规模、基础设施、园区、企业等方面对我国区块链产业发展进行了详细梳理和总结，旨在为国家、各部委以及各地方政府布局区块链产业发展方面提供良好的参考意见。以下是白皮书主要内容的PPT：（可点击图片放大阅读）

大多数金融企业对网络的管控需求较严格，此方案中的统一网络管理平台能够综合分析全部WAN的流量状况，实现统筹管控，并且能够产生数据报表，实现数字化网络管理。点

为了感谢您在百忙之中参与本次调查，凡填写有效问卷的朋友将有机会参与抽奖。本杂志社将在活动结束后抽取20名幸运者，赠送精美礼品一份。获奖者名单将在“网络安全和信息化”官方公众号中公布，敬请关注。