一、政策要闻
3月7日报道,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局,由国家发改委管理,负责:协调推进数据基础制度建设;统筹数据资源整合共享和开发利用;统筹推进数字中国、数字经济、数字社会规划和建设等。
中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
今年全国“两会”上,网络安全领域代表,全国政协委员、安天集团创始人肖新光聚焦网络安全领域责任机制与公共安全机制,提交了《关于落实<网络安全法>,完善细化网络安全责任制的提案》和《关于强化网络安全公共安全属性的提案》。其中在《关于落实<网络安全法>,完善细化网络安全责任制的提案》中,肖新光指出,《网络安全法》的颁布施行,确立了网络安全责任法理依据。为达成工作要求,落实执行效果,建议主管部门围绕落实《网络安全法》进一步细化网络安全责任体系。肖新光认为,目前网络安全责任制的实际落实,仍有三方面存在问题,一是责任机制层次不够清晰,二是责任机制的覆盖范围仍存盲区,三是责任机制缺少综合支撑要素。对此,肖新光建议,可以从以下三方面展开工作:一是完善层次化风险与责任分析体系。二是压实“关口前移,防患于未然”的工作要求,提升责任制覆盖度。三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。
3月7日,最高人民法院院长周强、最高人民检察院检察长张军分别向十四届全国人大一次会议作报告。南都记者注意到,两份报告均提及网暴,这也是网暴相关内容首次出现在最高检工作报告中。
今年两会期间,多名代表委员建议制定反网络暴力专项立法,明确“网络暴力”的法律定义;提出平台企业应当履行与其技术能力和商业经验相匹配的处置义务,鼓励当事人及时回应并提供便利;为网暴治理组建算法治理独立专家委员会等。有专家表示,之所以不仅出现在两高报告中,也得到代表委员的关注,是因为网暴与个人信息泄露相关,在人格权保护越来越受到重视的当下,网暴治理无疑是网络行为规范的重点工作。还有专家建议加大对施暴者的惩处力度,还需行政机关加强规范网络行为、司法机关支持受害人维权。
日前,证监会发布《证券期货业网络和信息安全管理办法》(以下简称《办法》),将于2023年5月1日起正式实施。《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求。
二、技术资讯
一项新的研究发现,恶意行为者可以利用对谷歌云平台 (GCP) 的“不充分”取证可见性来泄露敏感数据。云事件响应公司Mitiga在一份报告中说:“不幸的是,GCP 没有在其存储日志中提供允许任何有效取证调查所需的可见性级别,从而使组织对潜在的数据泄露攻击视而不见。”
随着电动汽车近年来的销售量不断增长,电动汽车充电桩的需求也不断增加,但随之而来充电桩的网络安全问题也日益显现。新能源网络安全公司Saiflow的研究人员在开放充电点协议(OCPP)中发现了两个漏洞,可用于分布式拒绝服务(DDoS)攻击和窃取敏感信息。而爱达荷国家实验室最近发现,根据《能源》杂志对电动车充电漏洞研究的调查,所检查的每个充电器仍然在运行未更新的Linux版本,允许许多服务以root身份运行。这些潜在的风险已经被不法分子利用。
三、国际视野
据美联社3月9日报道,美国联邦调查局8日称,美国政府工作人员统一使用的健康保险出现安全漏洞,导致数百名国会议员及其家人的敏感信息被盗,成千上万的人可能因此受到影响。美国联邦调查局称,这些数据现在正在暗网上出售。美国众议院议长凯文·麦卡锡和少数党领袖哈基姆·杰弗里斯表示,此次信息泄露“大大增加了议员、政府工作人员及其家人遭遇身份盗用、金融犯罪和人身威胁的风险”。
美国联邦调查局表示,数据泄露的原因和具体规模仍有待确定,但预计波及范围将“非比寻常”。
据悉,英国政府重新引入了新的《通用数据保护条例》(GDPR)立法,它声称这将在未来十年内为企业和慈善机构节省多达47亿英镑,同时加强数据保护和隐私。保守党政府热衷于证明离开欧盟的好处,表示数据保护和数字信息 法案将减少合规“文书工作”,而不会影响欧盟的数据充分性或全球对英国的信心。
到2021年英国需要保护和发展价值约2590亿英镑(3070亿美元)的数字经济,政府声称新立法将为企业提供更大的灵活性来遵守数据法,同时降低整体合规性负担。