近日，国家数据局综合司印发了《数字中国建设2025年行动方案》，要求各地区结合实际认真贯彻落实。

　　《方案》提出，到2025年底，数字中国建设取得重要进展，数字领域新质生产力不断壮大，数字经济发展质量和效益大幅提升，数字经济核心产业增加值占国内生产总值比重超过10%，数据要素市场建设稳步推进，算力规模超过300EFLOPS，政务数字化智能化水平明显提升，数字文化建设跃上新台阶，数字社会精准化、普惠化、便捷化取得显著成效，数字生态文明建设取得积极进展，数字安全保障能力全面提升，数字治理体系更加完善。

　　《方案》部署了8个方面的重大行动。一是坚持数字中国建设工作“一盘棋”，完善数据工作央地政策协调机制。建立健全全方位多层次的统筹工作体系，加快完善地方数据管理机构的相关职能。二是着力强基固本，发展彰显优势、体现特色的数字产品和数字产业。加快锻造数据领域“长板”，通过技术创新、功能改造、品牌建设等手段提升竞争力，形成品牌效应与集群效应。三是深度挖掘人工智能应用场景，积极开展人工智能高质量数据集建设。着力发展智能网联新能源汽车、人工智能手机和电脑、智能机器人等新一代智能终端及智能制造装备。四是加快推动物联网、工业互联网优化升级，深入实施“东数西算”工程，逐步实现各地区算力需求与国家枢纽节点算力资源高效供需匹配。五是加强交通、医疗、金融、制造、农业等重点领域数据标注，建设行业高质量数据集。促进公共数据资源开发利用，推动公共数据“一本账”管理、“一平台”运营、“一体化”应用。布局建设数据产业集聚区，探索构建以数据要素驱动、数字技术赋能、数据平台支撑、产业融通发展、集群生态共建为主要特征的产业组织新形态。六是培养技能型数字人才，深入推进产教融合，支持各地和有关行业举办数字职业技术技能竞赛活动。七是持续优化营商环境，吸引更多优质数据企业和项目落地。畅通高校和企业数字人才双向流动渠道，将高层次数字人才纳入地方高级专家库。八是逐年推出一批“高效办成一件事”重点事项，加强地方特色文化遗产的数字化保护与应用，全面推动数字技术和教育、医疗、养老、托幼等公共服务深度融合，加快生态环境、国土空间、水利电力、林业草原等领域的数据资源采集、存储与开发利用。进一步夯实城市全域数字化转型底座建设，完善城市运行和治理中枢功能。

　　会议指出，要在确保数据安全基础上打通数据壁垒，推动公共服务更加普惠便捷。要构建全国一体化政务大数据体系，推动数据资源融合应用，更好赋能社会治理和繁荣产业生态，增强经济发展新动能。

　　近日，国务院办公厅印发《国务院2025年度立法工作计划》。《计划》包含：制定政务数据共享条例，预研网络安全等级保护条例等。

　　在健全国家安全法治体系、建设更高水平平安中国方面，提请全国人大常委会审议食品安全法修正草案、监狱法修订草案、国家消防救援人员法草案。制定森林草原防灭火条例。预备提请全国人大常委会审议防震减灾法修订草案、防洪法修订草案。预备制定网络安全等级保护条例、终端设备直连卫星服务管理条例、卫星导航条例、生产安全事故隐患排查治理条例、粮食储备安全管理条例，预备修订反间谍法实施细则、企业事业单位内部治安保卫条例、国境卫生检疫法实施细则、特种设备安全监察条例、军用饮食供应站供水站管理办法、气象灾害防御条例。

　　在加强政府自身建设、深入推进依法行政方面，制定政务数据共享条例，修订行政复议法实施条例、行政法规制定程序条例。预备提请全国人大常委会审议人民警察法修订草案、信访法草案、机关事务管理法草案。预备制定行政执法监督条例、行政规范性文件制定和管理监督条例、司法所条例，预备修订政府信息公开条例、规章制定程序条例。

　　近日，工业和信息化部组织完成了《儿童手表安全技术要求》强制性国家标准（征求意见稿）的编制工作，旨在进一步保障儿童使用手表的安全性。该标准征求意见稿及编制说明于2025年5月14日至2025年6月12向社会公示并征求意见。

　　标准编制说明指出，考虑到消费者对儿童智能手表在信息安全方面的关注度高，产品存在可能的非法窃听、信息泄漏等信息安全隐患，在标准中规定了信息安全、数据安全和个人信息保护、内容安全的要求。其中：

　　数据安全和个人信息保护要求从八个方面保证产品的安全性：一是手表要制定专门儿童个人信息处理规则，在手表操作系统或管理端界面展示。同时明确了个人信息处理规则内容包括信息处理者名称、联系方式，处理目的和方式，必要性和个人权益影响及采取的安全措施说明，还包括用户查阅、更正、删除个人信息，注销账号和撤回同意的方法途径。二是手表内置功能或预置应用首次使用，需在管理端、手表端或应用程序端告知个人信息处理规则，及支持监护人选择单独同意后处理个人信息。涉及处理个人信息目的、方式等变更的，需在管理端、手表端或应用程序端告知个人信息处理规则，及支持监护人选择单独同意后处理个人信息。未取得单独同意，手表不可启用与个人信息有关的内置功能和预置应用程序。此外对内置功能和预置应用程序的含义给出了说明。三是手表内置功能和预置应用涉及自动化决策方式处理个人信息的，要满足给定的要求，包括不可利用信息商业营销，利用上网记录进行画像推送需监护人单独同意等。四是除系统内置功能和有法律法规依据的情形外，禁止向儿童智能手表上安装的应用程序提供不可变更的唯一设备识别码，常见的不可变唯一设备标识符包括国际移动设备识别码（IMEI）、移动设备识别码（MEID）、设备媒体访问控制（MAC）地址、硬件序列号等。五是手表不可向应用程序默认开放麦克风、摄像头、定位等权限，必需使用的权限，应在手表操作体系或管理端界面提供申请使用选项，并支持监护人单独同意后开放权限，此外，手表操作系统提供申请权限，应同步提醒由监护人进行授权操作。六是内置功能和预置应用因业务需要，向其他个人信息处理者提供信息的，应同手表管理端向监护人告知接收方的名称、联系方式等，同时要取得监护人单独同意。七是手表需在操作系统或管理端提供查阅、更正、删除等个人信息方法途径，对于涉及信息转移、删除等可能影响儿童权益行使的，要在管理端向监护人明示，并需监护人单独同意。八是手表账号的解绑和注销要通过管理端由监护人操作，注销后个人信息应删除或匿名化处理。

　　近日，中央网信办、农业农村部、国家发展改革委、工业和信息化部联合印发《2025年数字乡村发展工作要点》。

　　《要点》部署了9个方面26项重点任务。一是夯实数字乡村发展基础。包括进一步完善农村网络基础设施、加快农村基础设施数智化改造、有序推进涉农数据资源集成共享。二是有力支撑守牢“两条底线”。包括完善粮食安全数字化支撑保障、强化防止返贫致贫网络帮扶举措。三是加快推进智慧农业发展。包括促进智慧农业技术装备创新应用、提升农业全产业链数字化水平。四是壮大乡村新产业新业态。包括推动农村电商高质量发展、因地制宜推动农文旅融合发展、运用数字技术促进农民就业增收。五是繁荣发展乡村数字文化。包括推进乡村文化文物资源数字化、加大乡村公共文化服务数字化供给。六是提升乡村数字治理效能。包括持续推进农村“三务”信息化建设、提升农村社会治理数字化水平、增强农村智慧应急管理能力。七是深化乡村数字普惠服务。包括持续提升乡村教育数字化水平、持续推进乡村数字健康发展、持续深化农村数字普惠金融服务、强化农村特殊人群信息服务保障。八是推进智慧美丽乡村建设。包括深化农村人居环境整治数字化应用、提升农村生态环境保护监管效能。九是统筹推进数字乡村建设。包括加强数字乡村跨部门跨层级协同联动、实施数字乡村强农惠农富农专项行动、完善数字乡村多元化投入保障机制、多措并举培育壮大数字乡村人才队伍、营造数字乡村发展良好环境。

　　《指南》坚持面向未来安全可控的原则。顺应教育数字化和人工智能技术发展趋势，构建覆盖数据安全、伦理审查、技术风险防控的全链条保障机制。

　　《指南》保障体系强调，要加强安全管理。制定人工智能教育数据安全管理规范，明确数据收集、存储、传输和使用的安全标准，建立隐私保护机制，规范人工智能教学工具与产品应用准入，确保数据安全合规使用和师生权益保护。

　　近日，在第八届数字中国建设峰会·数字气象分论坛上，中国气象局面向社会发布气象数据身份标识（Meteorological Digital Object Identifier，简称MOID）。立足解决公共数据流通质量认定难、权益保障难、安全监管难等难题，中国气象局创新构建气象数据身份标识，客观记录气象数据流通各主体、全过程信息，并赋予其全球唯一的标识码，支持在线溯源核验数据质量、主体权益、合规状况等。

　　基于该体系，中国气象局为数据持有者开通了气象数据登记监管平台，支持各类型气象数据资源快捷登记。通过严格质量检验、合规性校验的气象数据，才能获得数据登记凭证，并匹配气象数据身份标识。

　　截至目前，气象数据登记监管平台已实现国家级和省级“1+31”部署架构，同时试点联通深圳、上海、贵州、杭州等主要数据交易机构的数据交易平台，中国电信集团、上海数据集团等产业可信空间，以及城市运营平台、数据资产管理平台等数据开发利用端口，基本建立起多方共建、分级管理、覆盖全国、链通市场的气象数据流通监管矩阵。

　　《方案》强调，要统筹发展与安全，正确处理数据资产安全、个人信息保护与数据资产开发利用的关系，把安全贯穿数据资产管理全过程；严守财经纪律底线，切实规范数据资产审批、公开交易和收益管理等工作。

　　《方案》保障措施强调维护数据安全。要着力强化数据资产安全流通管理，确保数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范。各试点单位要坚决扛牢安全管理责任，防范和化解各类危害国家安全、扰乱市场秩序、侵犯个人隐私、危及其他主体人身财产安全的风险和隐患，杜绝泄露、损毁、丢失、篡改和非法使用等行为。

　　依据《网络安全法》、《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，国家计算机病毒应急处理中心检测出65款移动应用存在违法违规收集使用个人信息情况，并进行通报。

　　1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《雷石ktv》（版本1.58，长安应用商店）、《Faceu激萌》（版本7.1.0，小米应用商店）、《智石室内定位SDK》（版本2.3.1，官网）等9款移动应用。

　　2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及《回森》（版本3.113.0.350811，360手机助手）、《波点音乐》（版本4.9.5，百度手机助手）、《快剪辑》（版本6.0.4.1000，百度手机助手）、《幸福里》（版本11.5.0，vivo应用商店）等43款移动应用。

　　3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及《淘小说》（版本10.6.7，应用宝）、《免费淘小说》（版本10.1.5，应用宝）、《爱奇艺》（版本X9M_m1e_17.0.0.20221018，奇瑞预装第三方应用）等16款移动应用

　　4、App未在征得用户同意后开始收集个人信息或打开可收集个人信息的权限苹果clash软件。涉及《云掌财经》（版本11.1.2，历趣）等4款移动应用。

　　5、未提供有效的更正、删除个人信息及注销用户账号功能；为更正、删除个人信息或注销用户账号设置不必要或不合理条件；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及《雷石ktv》（版本1.58，长安应用商店）、《爱奇艺》（版本X9M_m1e_17.0.0.20221018，奇瑞预装第三方应用）等9款移动应用。

　　6、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及《雷石ktv》（版本1.58，长安应用商店）等3款移动应用。

　　7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及《波点音乐》（版本4.9.5，百度手机助手）、《宜优选》（版本10.8.0，豌豆荚）、《幸福里》（版本11.5.0，vivo应用商店）等32款移动应用。

　　8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及《纵横小说》（版本8.1.26.61，小米应用商店）、、《爱奇艺》（版本X9M_m1e_17.0.0.20221018，奇瑞预装第三方应用）等6款移动应用。

　　9、处理敏感个人信息未取得个人的单独同意；个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及《生活服务》（版本3.1.0，奇瑞预装应用）、《宜优选》（版本10.8.0，豌豆荚）等7款移动应用。

　　10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及《红板报》（版本6.1.2，vivo应用商店）等2款移动应用。

　　11、未采取相应的加密、去标识化等安全技术措施。涉及《云掌财经》（版本11.1.2，历趣）、《生活服务》（版本3.1.0，奇瑞预装应用）、《波点音乐》（版本4.9.5，百度手机助手）等15款移动应用。

　　12、无隐私政策。涉及《AI智教》（版本1.00.49，奇瑞预装第三方应用）、《天气》（版本X9M_m1e_01.00.35_20221018，奇瑞预装应用）等5款移动应用。

　　据公安部网安局近日报道，面对群众频繁接到各类骚扰电话准确说出姓名、户型等信息进行定点推销业务的情况，公安机关网安部门从内部人员泄露、黑客人员爬取、中介非法买卖入手，对侵犯公民个人信息的各类违法乱象开展依法打击，查处并报道一起利用工作之“便”出售公民个人信息的案例。

　　2025年3月，甘肃金昌市公安局金川分局网安大队开展日常网络安全检查中发现，辖区某房产销售人员利用工作“便利”，将售楼部登记的户主姓名、联系电话、房屋地址等个人信息非法提供给方某，方某后又将相关公民个人信息出售给从事房屋装修的曹某、赵某、宋某等8人，非法获利。目前，属地公安机关已依法对相关人员作出处罚。

　　三、上海市通信管理局发布关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知

　　为全面贯彻党的二十大和二十届二中、三中全会精神，落实《数据安全法》《个人信息保护法》‌《网络数据安全管理条例》等法律法规及《工业和信息化领域数据安全管理办法（试行）》《上海市数据条例》等文件要求，统筹数据发展与安全，提升电信和互联网行业整体数据安全管理水平，结合上海市电信和互联网行业数据安全和发展实际，上海市通信管理局决定开展“浦江护航”2025年电信和互联网行业数据安全专项行动并发布关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知。

　　《通知》强调，此次专项计划的重点任务包含：促进行业数据要素安全流通和利用，深化行业首席数据官制度落地实施，深入推进重要数据识别认定及目录管理，加强行业数据安全风险评估管理，加强数据对外共享安全管理，加强互联网数据中心客户数据安全保护，加强数据安全风险防范及应急处置等内容。

　　《通知》保障措施部分强调，要强化“浦江护航”专项行动与工业和信息化部以及上海市相关主管部门关于数据发展和数据安全政策的对接协调，提升管理实效，避免监管空白和重复监管；提升行业重要数据和个人信息保护能力，重点对未开展通信网络单元定级的网络信息系统运营者加强重要数据认定排查、风险评估和现场检查等数据安全监管，确保承载重要数据和1000万人以上个人信息的网络信息系统，通信网络单元定级不低于三级；强化对在上海市范围内开展电信和互联网行业数据安全服务的第三方机构的合规指导和监督管理，提升专业服务能力和质量，存在违法违规行为的依法依规予以处置；指导行业组织、专业机构等开展数据安全公益培训，支持通信行业职业技能鉴定中心等培训组织加强数据发展和安全培训科目建设，持续推动数据安全专业人才队伍培养。

　　近日，“国家安全部”报道了一起境内某高校学者李某主动联络境外某非政府组织，以内部数据为筹码，意图换取在国外知名期刊发文机会、提升自身学术知名度的安全事件。

　　加密货币交易巨头Coinbase近日确认其系统遭到入侵，客户数据包括政府颁发的身份证件在内的敏感信息被盗。根据Coinbase向美国监管机构提交的法定文件，一名黑客本周告知Coinbase已获取客户账户信息，并要求支付赎金以换取不公开被盗数据。

　　被盗数据包括客户姓名、邮寄和电子邮件地址、电话号码、社会安全号码的最后四位数字、掩码银行账号和部分银行标识符，以及驾照和护照等政府颁发的身份证件。此外，账户余额数据、交易历史记录和一些公司内部文档也在此次泄露中被窃取。

　　Coinbase表示，受影响的客户数量不到其970万月活用户的1%。该公司预计将花费约1.8亿至4亿美元用于事件修复和客户赔偿。为加强安全防御，Coinbase宣布将在美国境内设立新的支持中心，并强化其安全防御措施。

　　危险的勒索软件组织Interlock正加大对美国国防承包商及其供应链的攻击力度，威胁敏感军事物流、知识产权和国家安全。该组织自2024年9月首次被发现以来，采用大型猎物狩猎策略，针对高价值组织实施双重勒索，即在加密系统前先窃取数据。近期受害者包括美国致命弹药制造商AMTEC及其母公司National Defense Corporation(NDC)。Resecurity分析师确认，Interlock的数据泄露网站Worldwide Secrets Blog现已托管涉及美国国防部(DoD)、Raytheon和Thales等合同的机密文件。

　　Interlock的技术复杂性体现在其混合攻击方法上。虽然在最近的攻击中避免部署加密二进制文件，仅进行纯数据窃取，但它采用无文件攻击(Living-off-the-Land)技术规避检测。攻击者使用PowerShell和Windows管理规范(WMI)等合法工具执行恶意脚本，正如在AMTEC入侵中所见。

　　Interlock的初始访问通常源于伪装成物流合作伙伴的钓鱼活动或被入侵的第三方供应商。一旦进入系统，攻击者部署自定义PowerShell脚本禁用安全工具，然后使用Mimikatz从lsass.exe中提取凭证，实现横向移动。攻击者创建名为WindowsUpdateSync的计划任务以维持持久性，执行连接到Interlock命令与控制(C2)服务器的Base64编码负载。该组织还利用企业虚拟专用网络和Microsoft Exchange服务器中的未修补漏洞。

　　Qualys威胁研究部门（TRU）近期发现一种复杂的网络攻击，攻击者利用PowerShell脚本在内存中直接运行恶意代码，偷偷安装Remcos远程访问木马（RAT），成功规避了传统杀毒软件的检测。

　　攻击始于用户打开ZIP压缩包new-tax311.ZIP中的快捷方式文件new-tax311.lnk。该文件通过Windows工具mshta.exe执行混淆的PowerShell脚本，随后尝试削弱Windows Defender防护，修改PowerShell安全设置，并通过Windows注册表确保Remcos RAT开机自启动。攻击者将多个文件下载至C:/Users/Public/文件夹，其中关键文件24.ps1包含Remcos RAT主体，通过Win32 API直接在内存中加载运行，避开了基于文件的安全检测。Remcos RAT为32位V6.0.0版本，采用模块化设计，连接至端口2025的远程服务器（readysteaurantscom），使用TLS加密通信。一旦感染，Remcos能执行键盘记录、剪贴板监控、屏幕截图、麦克风和网络摄像头录制等多种恶意操作，并窃取用户信息。

　　迪奥官方客服近日确认，该奢侈品牌在中国的客户数据库遭到未经授权的外部方访问，导致部分客户信息泄露。

　　据迪奥于5月12日向用户发送的短信通知，受影响的中国客户个人信息可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息。被访问的数据库不包含银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务数据。

　　迪奥表示已采取措施防止事态扩大，并在网络安全专家协助下持续调查此事件。同时，公司已向相关监管部门进行报备。为保护客户安全，迪奥建议客户对任何可疑通信保持警惕，不要打开或点击来自不明来源的链接，不要透露验证码、密码等敏感信息，如收到可疑信息应咨询官方客服中心。

　　近日，网络安全研究员发现并报告了一起重大数据泄露事件，涉及超过300万希望获得大学奖学金的年轻运动员及其教练的个人信息。这个未受保护的数据库属于芝加哥公司PrepHero，该公司由EXACT Sports运营，主要帮助高中运动员创建招募档案以申请大学体育项目。

　　据调查，该数据库包含了惊人的315万条记录（约135GB），且未设置密码或任何形式的加密保护。泄露的敏感信息包括学生运动员的姓名、电话号码、电子邮件地址、家庭住址和护照信息，以及家长和教练的联系方式。更严重的是，数据库中还包含未受保护的学生运动员护照图像链接。此外，数据库还包含一个标记为mail cache的文件夹，其中存储了10GB的电子邮件信息，时间跨度从2017年到2025年。这些邮件包含指向公开可访问页面的个性化网络链接，显示姓名、出生日期、电子邮件地址、家庭住址和薪酬详情。一些邮件甚至包含临时密码。

　　近日，加拿大最大的教育局和北美其他教育局收到了与寒假期间发生的大规模PowerSchool网络安全漏洞有关的赎金要求——此前该公司向黑客支付了赎金以删除被盗数据。

　　多伦多地区教育局(TDSB)周三表示，尽管保证数据已被删除，但事实并非如此。该委员会周三在给受害者家属的一封电子邮件中表示，他们收到了“威胁行为者”提出的赎金要求，要求使用2024年12月泄露的数据。位于多伦多西部的皮尔区教育局和加拿大西部最大的教育局卡尔加里教育局也警告家长们，有人试图利用这些数据进行敲诈勒索。这些数据是在用于提供技术支持的PowerSchool管理员帐户遭到入侵后被盗的。加拿大各地的学区——包括阿尔伯塔省、安省、马尼托巴省、纽芬兰和拉布拉多省、新斯科舍省、西北地区、爱德华王子岛省和萨斯喀彻温省——主要使用这家加州公司的网络系统来管理学生个人信息，有时还包括医疗信息、成绩和其他详细信息。有些学区将其用作与家长沟通的门户。此次数据泄露事件涉及不同类型的数据，有些甚至涉及数十年前的数据。根据董事会的说法，这些数据可能包括姓名、出生日期、家庭住址和电话号码。在其他情况下，甚至可能泄露了更多个人信息，例如学生证号码、性别、医疗信息和紧急联系人。该公司周三表示，支付赎金的决定十分艰难。但该公司并未透露支付的具体金额。该公司在一份声明中表示：“我们相信这符合我们的客户以及我们所服务的学生和社区的最佳利益。”并补充说，新的赎金要求已报告给美国和加拿大执法部门。我们对这些事态发展深感遗憾——我们的客户再次受到威胁和伤害，这让我们感到痛心。多伦多和卡尔加里教育委员会再次鼓励家庭寻求 PowerSchool 提供的信用监控和身份保护服务。

　　在线创作游戏平台Roblox因涉嫌秘密收集儿童用户数据而面临集体诉讼。Michael和Salena Garcia在美国加利福尼亚联邦法院提起的诉讼指控该公司在未获得适当同意的情况下，暗中监控玩家活动。

　　根据诉讼书，Roblox使用隐藏的追踪工具收集广泛的用户数据，包括按键记录、聊天信息、鼠标活动和搜索查询。诉讼还指控该公司通过唯一标识符将这些交互数据与个人设备关联，从而构建详细的用户行为档案，用于定向内容推送并与第三方广告商共享。诉讼书中指出：这种数据监控在用户访问或启动Roblox的那一刻就开始了，甚至在账户登录或同意之前，并通过持久标识符和指纹技术在各平台（网页、iOS、Android、macOS、Windows）上持续进行。

　　根据《儿童在线隐私保护法》(COPPA)，公司在收集13岁以下儿童的个人数据前必须获得可验证的父母同意。Garcia夫妇声称Roblox通过父母从未看到的静默追踪绕过了这些要求。截至发稿时，Roblox Corporation尚未对此诉讼发表公开声明。

　　自称隶属于Anonymous的黑客组织近日攻击了美国政府合同包机公司GlobalX Airlines，该公司主要负责执行驱逐出境航班任务。黑客不仅入侵并篡改了航空公司官方网站，还窃取了包括航班记录和乘客名单在内的敏感信息。

　　被篡改的网页上出现了 Anonymous 标志性的 Guy Fawkes 面具，指责GlobalX无视法律指令，推行他们所认为的法西斯计划。这表明攻击源于黑客行动主义者对该航空公司参与美国境内外驱逐行动的不满。除了网站篡改，黑客还向包括 404 Media 在内的媒体分享了大量泄露数据。404 Media通过与官方移民和海关执法局(ICE)航班日志和法庭文件核对，确认了这些数据的线日分类，包含了数百名委内瑞拉移民被驱逐的航班细节，其中一些人在飞行途中仍在对驱逐的合法性提出质疑。

　　据透露，黑客通过发现 GlobalX 开发人员的令牌，获取了该公司 Amazon Web Services 云存储的访问和密钥，从而入侵公司数字基础设施。黑客声称还使用 Airbu 提供的 NAVBLUE 航班操作工具向飞行员发送内部消息，并访问了公司的 GitHub 代码库。

　　网络安全研究人员发现，黑客正利用伪装成AI视频生成工具的网站传播新型信息窃取恶意软件Noodlophile。

　　据Morphisec公司报告，这些恶意网站使用Dream Machine等吸引人的名称，通过Facebook高曝光度群组进行广告宣传，伪装成可根据用户上传文件生成视频的高级AI工具。Noodlophile目前在暗网论坛上销售，通常与Get Cookie + Pass服务捆绑，是一种与越南语操作者相关的恶意软件即服务(MaaS)。

　　感染链始于用户访问恶意网站并上传文件，随后收到一个ZIP压缩包，声称包含AI生成的视频。实际上，该压缩包含有一个具有误导性名称的可执行文件(Video Dream MachineAI.mp4.exe)和一个隐藏文件夹。该恶意程序是经过重新打包的CapCut合法视频编辑工具，使用通过Winauth创建的证书进行签名，以逃避用户怀疑和安全解决方案检测。执行后，恶意软件会启动一系列程序，最终运行批处理脚本，使用Windows合法工具certutil.exe解码并提取伪装成PDF文档的加密RAR档案，同时添加注册表项实现持久性。随后，它执行srchost.exe，运行从远程服务器获取的混淆Python脚本，最终在内存中执行Noodlophile窃取程序。

　　Noodlophile主要窃取网络浏览器中存储的账户凭证、会话cookie、令牌和加密货币钱包文件，通过Telegram机器人将窃取的数据传输至命令控制服务器。在某些情况下，它还会与XWorm远程访问木马捆绑，提升数据窃取能力。

　　近日，全国网络安全标准化技术委员会秘书处发布了关于征集ISO/IEC JTC1/SC27网络安全国际标准提案的通知。

　　ISO/IEC JTC1/SC27（以下简称“SC27”）是国际上专门负责网络安全领域标准研制工作的技术组织，具体负责开展信息安全、网络安全、数据安全和隐私保护领域的国际标准研制工作。全国网络安全标准化技术委员会（以下简称“网安标委”）承担SC27国内技术业务工作，负责统筹协调和组织参加网络安全领域国际标准化活动。

　　此次征集工作旨在继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出。

　　近日，“数安中国行——2025年数据安全和个人信息保护法规政策系列宣讲会（重庆站）”在重庆成功举办，旨在加强数据安全和个人信息保护政策法规宣贯。

　　宣讲会上，国家网信办网络数据管理局有关工作负责同志及行业领域内多位专家，深入解读了《网络数据安全管理条例》、数据出境政策及操作指引、《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》、数据安全和个人信息保护相关标准（包括数据库安全、接口安全等）、汽车数据安全管理指南等政策法规标准。与会专家针对企业关心关注的数据出境安全管理、人脸识别技术应用安全管理、个人信息保护合规审计、汽车数据安全管理具体问题进行了解答。

　　大会以“瓯江论数 数安未来”为核心主题，汇聚行业大咖、专家学者、企业精英，共商数据安全发展大计，共寻数据要素产业机遇，共创数字中国美好未来。大会共设置1个主论坛、“31”场专题分论坛及数享会，同期还将举办“数据要素×”大赛浙江分赛温州站比赛及专业工作会议、专题培训等多个配套活动。主论坛将围绕数据要素市场化、AI驱动下的数据安全等议题展开对话，为数据产业发展带来新思路、新观点。

　　作为新兴产业发展的风向标，本次大会将集中释放一批极具战略价值的重磅成果，包括中国电子信息产业发展研究院编制的《2025 高质量数据集研究报告》、政务数据管理能力成熟度贯标试点名单等一批标志性成果，这些成果汇聚了行业前沿洞察与深度研究，为高质量数据集的建设与应用提供权威指引，也为行业发展提供可复制、可推广的实践范本。当天，大会还将举行数据要素合作“百城行动”联盟、数据企业落地数安港等签约仪式和6项国家数据基础设施试点投用仪式，同时将发布温州“数据要素×”“人工智能+”等场景需求，以“揭榜挂帅”形式鼓励数据企业参与数据要素市场建设。

　　近日，《行政法学研究》在“中国知网”发布了北京电子科技学院讲师王玎的文章《论个人信息安全事件通知义务》。

　　文章指出，个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》、《数据安全法》、《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。

　　个人信息安全事件通知义务，是个人信息未经授权访问或获取后，个人信息处理者通知信息主体和报告主管机构的法定义务。《中华人民共和国网络安全法》第42条第2款规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当及时告知用户并向有关主管部门报告；《中华人民共和国个人信息保护法》第57条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当通知履行个人信息保护职责的部门和个人；《中华人民共和国数据安全法》第29条规定，发生数据安全事件时，应当及时告知用户并向有关主管部门报告。在域外，欧盟《一般数据保护条例》第33、34条专门规定了“data breach”条款，美国华盛顿哥伦比亚特区和50个州均制定有“Data Breach Notification Act”。域外立法所指的“data breach”就是我国立法中“泄露、毁损、篡改、丢失”等情形，其特征为个人信息未经授权访问或获取，使个人信息的完整性、保密性、可用性受到损害。因此，文章拟采用接近《数据安全法》中“数据安全事件”的表述，用“个人信息安全事件”作为“data breach”的对应翻译和国内立法所指的泄露、毁损、篡改、丢失等情形的统称。

　　文章强调，根据现行立法，凡个人信息发生安全事件，均应履行通知义务。然而，部分个人信息即使发生安全事件，也不会影响信息主体实际权益。立法一律要求个人信息处理者履行通知义务，难免会为个人信息处理者施予不必要的负担。因此，有必要对应履行通知义务的“个人信息”范畴作出精细化规定。

　　《网络安全法》、《数据安全法》、《个人信息保护法》等法律规范已经为数据安全保护义务构建起行政、民事、刑事为一体的综合责任体系。个人信息安全事件通知义务是信息安全保护义务的重要组成部分，违反通知义务在行政、民事、刑事责任方面具有不同的功能定位和责任标准。具体而言，在刑事责任领域，未履行个人信息安全事件通知义务的行为本身，并不涉及刑事责任问题；在行政责任领域，不同法律所规定的个人信息处理者未履行通知义务的责任并不一致；在民事责任领域，民事赔偿的方式和标准尚不明确。个人信息安全事件通知义务的行政责任和民事责任亟待进一步厘清释明。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。