系列動態|數據安全國際動態

【政策監管】

1. 歐盟發布中小企業網絡安全報告與指南

6月28日，歐盟網絡安全局（ENISA）對外發布了《中小企業網絡安全挑戰與建議報告》和《中小企業網絡安全指南》。其中，《中小企業網絡安全挑戰與建議報告》調查研究了在新冠疫情期間歐洲中小企業面臨的安全挑戰，包括網絡威脅認識不足、關鍵和敏感信息的保護不足、網絡安全預算不足、網絡安全專業人才不足、網絡安全指導方針缺乏、移動網絡安全問題等。

《中小企業網絡安全指南》針對報告出現的問題，有針對性地為中小企業提高基礎設施和業務安全提供了12項指南，包括培養良好的網絡安全文化、提供適當的安全培訓、確保有效的第三方管理、制定事故響應計劃、確保安全的訪問系統、確保設備安全、保護網絡安全、提高物理安全性、確保備份安全、參與云計算、確保在線網站安全，以及尋求和分享信息。

2. 歐洲數據保護委員會通過多項數據處理指南

7月7日，歐洲數據保護委員會（EDPB）發布3項數據處理指南，指導數據治理工作。一是數據傳輸工具行為準則指南，為歐盟境外數據傳輸提供適當保障。在一定條件下，該指南也適用于不受《通用數據保護條例》約束的數據控制者和處理者。二是虛擬語音助手指南，提供建議應對虛擬語音助手相關合規挑戰。三是數據控制者和處理者概念指南，澄清數據控制者和處理者基本概念。

3. 德國組織開展數據跨境傳輸調查

7月8日，德國數據保護監管機構對境內公司向歐盟以外國家或歐洲經濟區（第三國）數據傳輸情況進行了調查和評估，旨在落實歐洲法院于2020年7月對Schrems II案的判決決定。根據該決定，歐盟-美國隱私盾協議被廢除，不能再根據該協議將數據傳輸到美國。同時，如果數據出口方的評估結果表明數據接收國無法確保對個人數據提供同等的保護水平，則只有在采取額外有效措施的情況下，根據數據保護標準合同條款向第三國傳輸數據才有效。德國數據保護機構設計了標準化問卷并下發到相關企業。歐洲法院明確表示希望歐洲各國當局“暫停或禁止”不符合Schrems-II案判決決定的數據轉讓，否則將采取必要的監督措施。

4. 美國科羅拉多州出臺《隱私法案》

7月8日，美國科羅拉多州頒布了《科羅拉多州隱私法案》，成為美國第三個隱私立法的州，將于2023年7月1日生效。該法案內容要點包括：一是適用范圍，該法案適用于每年收集和存儲超過10萬名消費者數據或從超過2.5萬名消費者數據中賺取收入的企業。二是消費者權利，明確了消費者享有訪問權、糾正權、刪除權、數據可攜帶權、選擇退出權和申訴權等權利。三是數據處理者的義務，包括透明性、目的告知、數據最小化、避免數據二次使用、數據防護、避免非法歧視、敏感數據處理、數據保護評估、數據處理合同約束等義務。四是法案執行，規定由州總檢察長和22名州檢察官進行執法，雖然沒有明確具體罰則，但違反《消費者權益保護法》的行為受該法案管轄，違法企業單次罰款最高可達2萬美元。

5. 美國紐約新生物識別隱私條例正式生效

7月9日，美國紐約市生物識別隱私條例正式生效。根據條例規定，收集個人生物識別信息（如人臉、指紋等）的企業必須在門口張貼顯著標識，告知顧客正在收集其生物識別信息。同時，禁止企業出售和交易生物識別信息，如企業違反規定，顧客可以向法院起訴，要求企業賠償。該條例適用于商店、餐廳、劇院、體育場、博物館等商業機構，但不適用政府機關。此前，美國已有多個州出臺生物識別技術監管法規。

6. 美國通過《統一個人數據保護法》

7月14日，美國統一法律委員會通過了《統一個人數據保護法案》，為美國各州提供了統一的數據保護法案。這意味著美國各州可以采用該法案，也可以使用本州立法。該法案確立了個人數據保護的重要地位，明確提出了數據處理相關禁止性行為。此外，該法案規定了數據控制者和處理者的義務、數據主體權利、數據保護評估要求、私人訴訟權以及相關執法機制。

【行業研究】

7. 36%的組織因云配置錯誤導致數據泄露

7月27日，Fugue和Sonatype發布2021年云安全狀況調查報告。報告指出，36%的組織在過去一年遭受了嚴重的云安全數據泄露；80%的組織擔心容易因云錯誤配置導致數據泄露；64%的組織擔心這種情況將在未來一年持續或變得更糟。此外，調查顯示，大規模云環境的復雜性和動態性超過了團隊的安全能力；組織安全團隊將繼續加大在云安全方面的時間和資源投入，但仍缺乏可見性和自動化。

8. IBM發 布《2021年數據泄露成本報告》

7月28日，IBM Security和Ponemon Institute發布《2021年數據泄露成本報告》，深入分析了全球500多家組織在2020年5月至2021年3月期間10萬條記錄在案的數據泄露案件，指出受訪企業平均每起數據泄露事件成本為424萬美元，創下了該系列報告17年以來的新高。研究表明，由于新冠疫情期間企業運營方式發生顯著變化，安全事件的成本變得更高、更難控制，與前一年相比上升了10%；同時安全性可能落后于快速發展的信息技術變化，從而影響組織應對數據泄露的能力。

【產業動態】

9. 谷歌添加HTTPS優先模式確數據安全

7月14日，谷歌公司表示將在谷歌瀏覽器中添加HTTPS優先模式，以防止攻擊者攔截或竊聽用戶的網絡流量。在目前版本中，谷歌瀏覽器只會接入更安全的HTTPS網頁，而在無法通過HTTPS瀏覽時頁面上也會顯示隱私、安全風險警告。谷歌公司稱，未來版本的瀏覽器仍將繼續支持HTTP連接，且當用戶訪問不安全的鏈接時，瀏覽器將采取額外措施來通知和保護用戶。此外，為了讓用戶看到更易看到關鍵隱私和安全風險信息，谷歌還將地址列旁邊的鎖形標志替換成“向下箭頭”，確保傳輸過程中的數據安全。

【安全事件】

10. 研究人員披露多個安卓木馬竊取臉書用戶憑據

7月3日，研究人員披露9個安卓木馬能夠竊取臉書（Facebook）用戶憑據。這些木馬偽裝成無害的照片編輯、優化、健身和占星應用程序，誘使受害者登錄臉書賬戶，通過代碼劫持輸入憑證，通過木馬程序將竊取信息泄露到服務器。研究人員還表示，此類攻擊不僅針對Facebook帳戶，也可以加載任何網絡平臺的登錄頁面，來竊取用戶的用戶名和密碼。

11. 西班牙電信巨頭遭Revil勒索軟件攻擊

7月5日，西班牙電信運營商巨頭MasMovil遭到REvil勒索軟件的攻擊。該勒索團伙聲稱已竊取到該公司的敏感數據，并公開發布被盜數據的屏幕截圖，截圖顯示了該公司系統的文件夾，包括備份、經銷商、評分等。為此，該勒索軟件索要價值7000萬美元的比特幣。

12. 全球投資巨頭摩根士丹利遭攻擊泄露客戶信息

7月8日，全球投資巨頭摩根士丹利（Morgan Stanley）表示，攻擊者通過入侵其賬戶維護服務供應商的服務器，竊取了其客戶的個人信息。Morgan Stanley在全球范圍內提供銀行投資、證券、財富和投資管理服務，擁有超過41個國家的公司、政府、機構和個人客戶。此次泄露信息包括其客戶的姓名、地址、出生日期、社會安全號碼和法人公司名稱等。此外，該公司的一些加密文件及解密密鑰也一同被盜。

13. 美國多個市政機關敏感數據遭泄露

7月20日，美國80多個市政機關敏感數據遭泄露。這些市政機關均使用了美國PeopleGIS公司提供的數據管理軟件。由于該數據管理軟件的數據存儲桶配置錯誤，導致大多數數據無需任何密碼即可訪問。此次錯誤配置導致超過1000GB的數據和超過160萬個文件被泄露，泄露信息類型包括營業執照、居住記錄、稅務信息等，且大部分數據具有高度敏感性，易導致不法分子冒充政府官員進行欺詐和盜竊。