一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2023年11月份国家新发布的法规政策以及行业相关动态：

1.1 工信部就《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》公开征求意见

发布来源：中华人民共和国工业和信息化部
发布时间：2023-11-23
发布链接：
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_2fb5b9dff755480284099f08eebdfa1e.html
内容概要：
为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，我们研究起草了《工业和信息化领域数据安全行政处罚裁量指引（试行）》。现向社会公开征求意见，如有意见或建议，请于2023年12月23日前反馈。
传真：010-66069561
邮箱：zhanghong@miit.gov.cn
地址：北京市西城区西长安街13号工业和信息化部网络安全管理局（邮编：100804）。请在信封上注明“《工业和信息化领域数据安全行政处罚裁量指引（试行）》（公开征求意见稿）意见反馈”。
附件内容详情请看链接：
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_2fb5b9dff755480284099f08eebdfa1e.html

1.2 关于对《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》公开征求意见的通知

发布来源：全国信安标委
发布时间：2023-11-01
发布链接：
https://www.tc260.org.cn/front/postDetail.html?id=20231101123231
内容概要：
为促进粤港澳大湾区个人信息跨境安全有序流动，秘书处组织编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》。
根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2023年11月15日前反馈至秘书处。
联系人：王秉政  010-64102746  wangbz@cesi.cn
附件内容详情请看链接：
https://www.tc260.org.cn/upload/2023-11-01/1698813097992054356.pdf

1.3 公安部就《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》公开征求意见

发布来源：公安部
发布时间：2023-11-13
发布链接：
https://www.mps.gov.cn/n2254536/n4904355/c9288546/content.html
内容概要：
为保障《中华人民共和国反电信网络诈骗法》的贯彻实施，进一步建立健全联合惩戒制度，经充分调研论证，公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》，现向社会公开征求意见。公众可以通过公安部网站（www.mps.gov.cn）查阅公开征求意见稿，请在2023年12月12日前将有关意见建议通过电子邮件发送至gjfzzx@163.com。
附件内容详情请看链接：
https://www.mps.gov.cn/n2254536/n4904355/c9288546/part/9288559.docx

1.4 网络关键设备和网络安全专用产品安全认证和安全检测结果发布

发布来源：中国网信办
发布时间：2023-11-13
发布链接：
http://www.cac.gov.cn/2023-11/13/c_1701281129184662.htm
内容概要：
由中央网络安全和信息化委员会办公室公布最新的（2023年11月13日更新）关于网络关键设备和网络安全专用产品安全认证和安全检测结果，其中通过安全认证的设备含415台网络关键设备和762台网络安全专用产品。详细结果请看链接：
http://www.cac.gov.cn/2023-11/13/c_1701281129184662.htm
 

 

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 浙江温州某大药房“内鬼”侵犯公民个人信息

事件日期：2023-11-10
事件概况：
温州网安部门在日常工作中发现有人在暗网上售卖温州某大药房销售数据。通过侦查发现，该大药房数据分析师利用工作便利将大量交易数据导出并售卖。
温州网安在依法对该数据分析师采取刑事强制措施的同时，启动“一案双查”工作机制。经进一步侦查发现，该大药房因未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全，最终导致大量敏感数据泄露。
该大药房数据分析师因违反《中华人民共和国刑法》第二百五十三条之一之规定，涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留，现案件还在进一步办理中。同时，温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该大药房直接负责的主管人员处罚款10万元。
如何防范：
管理上：
1、建立数据安全培训计划。强调员工对敏感信息的责任和保密义务，加强他们的安全意识。
2、制定内部准入规范。确立内部准入规范，明确员工在获取敏感信息时的合法性和必要性。
3、建立内部监察机制。设立独立的内部监察部门，负责监督和审查员工的行为，发现和制止内部恶意行为。
4、数据泄露应急响应计划。制定完善的数据泄露应急响应计划，包括及时报告、隔离受影响系统、修复漏洞、通知相关方等步骤。技术上：
1、数据加密。对存储在数据库中的敏感数据进行加密，确保即使数据泄露，也难以被恶意使用。
2、数据访问控制。实施强化的身份验证机制，限制对敏感数据的访问权限，确保只有经过授权的人员能够获取敏感信息。
3、内部监测和审计。引入审计系统，记录数据访问和操作日志，以便在发生安全事件时进行追溯和调查。

 

2.2 WPS隐私政策中提到将用户文档用于AI训练

事件日期：2023-11-18
事件概况：
金山办公11月15日更新的隐私政策，4.2.1在线服务提及，“为提升您使用我们提供的包括但不限于在线文档美化、在线PPT美化、在线表格美化的AI功能的准确性，我们将对您主动上传的文档材料，在采取脱敏处理后作为AI训练的基础材料使用，同时请您放心，我们将采取严格的安全措施和技术手段对该资料进行去标识化处理，以降低其他组织或个人通过去标识化处理后的个人信息识别到您的风险、保护您的个人信息。”
16日，有相关用户在社交媒体发文质疑，同时不少用户称感觉其个人隐私受到侵犯。事情发酵两天之后，11月18日深夜，WPS官方微博表示，之前版本的相关表述为用户造成困扰。为此更新《WPS隐私政策》，去除容易引起误解的表述，并确保内容与实际操作严格对应。同时郑重声明，“所有用户文档不会被用于任何AI训练目的，也不会在未经用户同意的情况下用于任何场景。”
如何防范：
管理上：
1、透明的隐私政策。制定清晰、透明、易懂的隐私政策，以用户友好的方式解释数据使用目的，强调对用户隐私的尊重和保护。
2、严格遵守相关隐私法规，确保应用的数据处理活动符合法律要求。
3、明示数据用途和目的。在隐私政策中明确说明数据的具体用途和目的，避免模糊不清的表述，确保用户了解他们的数据将被用于AI训练的具体方面。
4、用户选择权。提供用户选择是否同意其数据用于AI训练的权利，通过明确的选择和设置，确保用户有更多掌控权。
技术上：
1、脱敏和匿名化处理。在进行AI训练时，采用脱敏和匿名化等技术手段，确保训练数据无法被还原为个人身份，保护用户隐私。
2、数据访问和控制。建立严格的数据访问控制机制，限制可以访问和使用训练数据的人员范围。