2025年1-2月安全月报
发布时间:2025-03-12
2025年1-2月份网络安全月报
以下是2025年1-2月份国家新发布的法规政策以及行业相关动态:
发布时间:2025-02-08
发布链接:
http://www.cac.gov.cn/2025-02/08/c_1740714184323988.htm
内容概要:
该《互联网军事信息传播管理办法》旨在规范互联网军事信息的传播,维护国家安全和社会公共利益。
办法明确了适用范围,强调政治方向、舆论导向、安全保密等原则,并由军地多部门共同负责监管。办法对军事网站、账号的开办提出具体要求,包括身份核验、内容审核、运营资质等规定,确保军事信息传播的权威性和安全性。同时,鼓励传播正面、权威的军事信息,如国防政策、军队建设成就、英模事迹等,并严禁发布危害国家安全、歪曲军队形象、泄露军事秘密等违法信息。
此外,办法要求严格保密管理,防范军事泄密,并对违规行为设定了相应的法律责任,以维护互联网军事信息传播的良好秩序。
发布时间:2025-02-08
发布链接:
https://plan.hainan.gov.cn/sfgw/0400/202502/df645fd9512144af9e2879a7e63392ac.shtml?ddtab=true
内容概要:
为推动自贸港数据跨境流动更加便利,依据《促进和规范数据跨境流动规定》等有关文件规定,中共海南省委自贸港工作委员会办公室、海南省互联网信息办公室、海南省发展和改革委员会(海南省数据局)会同有关部门制定了《海南自由贸易港数据出境管理清单(负面清单)(2024 版)》,已通过上级部委备案。
附件内容详情请看链接:
https://plan.hainan.gov.cn/sfgw/0400/202502/df645fd9512144af9e2879a7e63392ac/files/234ddff7d69a447fbe9b167311f4e02b.docx
发布时间:2025-02-08
发布链接:
https://www.lingang.gov.cn/html/website/lg/index/government/gonggaogongshi/qitagongshi/1888157894414757890.html
内容概要:
为贯彻党的二十届三中全会关于“建立高效便利安全的数据跨境流动机制”的部署精神,依据《促进和规范数据跨境流动规定》等有关文件规定,上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、中国(上海)自由贸易试验区管委会、中国(上海)自由贸易试验区临港新片区管委会会同有关部门制定了《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》。
附件内容详情请看链接:
https://www.lingang.gov.cn/html/website/lg/index/government/gonggaogongshi/qitagongshi/1888157894414757890.html
发布时间:2025-02-10
发布链接:
https://www.gov.cn/yaowen/liebiao/202502/content_7003106.htm
内容概要:
国务院总理李强签署颁布的《公共安全视频图像信息系统管理条例》(2025年4月1日施行),以统筹公共安全与隐私保护为核心,构建覆盖“建设-管理-使用-监督”全链条的监管框架。条例明确五维治理逻辑:①政治方向坚持党的领导,强化政策执行统一性;②建设端实行负面清单管理,严禁在民宿、宿舍、更衣室等隐私敏感区域安装设备,军事禁区等涉密区域安装需事先审批;③责任端细化“政府规划、单位运维、电信保障、第三方保密”四方主体义务,建立全生命周期管理;④使用端严格限定信息保存期限(到期删除)和调取权限,非公共场所设备不得危害公共安全或侵权;⑤监管端实施“备案+举报+处罚”组合措施,对违法安装或传播行为最高可吊销执照,同步约束执法机关内部责任。
发布时间:2025-02-14
发布链接:
https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm内容概要:
《个人信息保护合规审计管理办法》是由国家互联网信息办公室发布的,旨在规范个人信息保护合规审计活动,保护个人信息权益。该办法适用于在中国境内开展的个人信息保护合规审计,明确了个人信息处理者自行或受国家网信部门要求委托专业机构进行合规审计的责任和频率。它还规定了专业机构进行合规审计的能力要求、保密义务以及不得转委托的规定。此外,办法还涵盖了个人信息处理者在面对个人信息安全事件时的应对措施,以及对个人信息保护负责人的指定和职责。
发布时间:2025-02-17
发布链接:
https://www.cac.gov.cn/2025-02/17/c_1741491981121565.htm
内容概要:
国家互联网信息办公室根据《区块链信息服务管理规定》,发布了第十八批境内区块链信息服务备案编号清单,共包含48个区块链信息服务名称及备案编号。任何单位或个人如有疑议,需通过邮件向指定邮箱提交相关证据材料进行反馈。
附件内容详情请看链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvFgGtdLvabs3ScSmkHVldmMilaT7McWm2qr856cPYSDu1r/ukjvZxtr17qZwzxQ5eTZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E5%8C%BA%E5%9D%97%E9%93%BE%E4%BF%A1%E6%81%AF%E6%9C%8D%E5%8A%A1%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%88%E7%AC%AC%E5%8D%81%E5%85%AB%E6%89%B9%EF%BC%89
事件概况:
美国财政部指控中国网络安全公司永信至诚参与针对美国的“亚麻台风”黑客活动,并将其列入特别指定国民清单(SDN)。永信至诚否认相关指控,称未在美国开展业务,但事件引发了对企业合规性和网络安全的广泛讨论。
如何防范:
1、加强合规审查:国际企业需严格遵守所在国法律,避免涉及地缘政治风险。
2、提升供应链透明度:确保第三方合作方无安全漏洞,定期进行安全审计。
3、建立危机响应机制:提前制定公关与法律应对策略,减少声誉损失。
事件概况:
2025年1月,中国人工智能企业DeepSeek因推出高性能、低成本的AI模型R1引发全球关注后,遭遇大规模跨国网络攻击。攻击自1月初开始试探性渗透,1月27-28日升级为高强度DDoS攻击和暴力破解,攻击IP主要来自美国。此次攻击导致DeepSeek服务多次中断,由于此前美股科技股(如英伟达单日暴跌17%)及全球AI产业估值体系的剧烈震荡,事件被解读为中美AI技术主导权争夺的缩影。
如何防范:
基础设施防护
事件概况:
2025年1月9日早高峰期间,比亚迪王朝App和海洋App因云服务系统异常突发崩溃,用户界面显示“网络不给力”或无法连接,导致全国多地车主无法通过App解锁车辆、查看车况或使用语音控制功能。北京、上海、广州、深圳、杭州、西安等城市大量依赖手机App解锁且未携带实体钥匙的车主出行受阻,部分用户被迫步行上班或迟到。故障持续约1.5小时(7:30-9:00),比亚迪技术部门紧急修复后逐步恢复,官方建议用户启用NFC钥匙或机械钥匙作为备用方案。此次事件暴露了智能汽车过度依赖云端服务的风险,被视为新能源汽车普及后首次大规模网络服务故障案例。
如何防范:
事件概况:
1月12日有B站用户发布视频称,B站某员工利用职权擅自在整个B站网页版中加载恶意代码,被攻击的账号点击任何视频,页面都会被替换为空白页,并不断弹出红色文字“你的账号已被封禁”。他还晒出了聊天记录截图,显示该B站员工威胁要封禁其账号。
事件的起因是倪某在社交平台看到某UP主的观点不满,双方发生争执,倪某表示知道该UP主家庭地址、宽带服务商等信息;并利用系统漏洞对该用户进行恶意报复。
1月16日,该UP主晒出最新进展,显示B站内部成立了一个专门的调查小组,查明确实属于某位员工违规操作,对其进行了开除处理,还准备上报到监管部门,并在内部通报批评、处罚相关主管人员。B站还向受害者提供了一年大会员作为补偿,并争取公开通报和道歉。
B站客服也表示,B站已移除相关恶意代码,并建议用户清除浏览器缓存和 Cookies,以防止再次受到影响。
如何防范:
用户端防护:
1、发现账号出现异常提示(如无故封禁、功能失效)时,立即通过官方渠道(如App内置反馈入口、客服专线)报备,并保存截图、日志等证据。
2、启用浏览器隐私模式(如Chrome无痕模式)访问敏感平台,减少个人信息泄露风险。
企业端治理优化:
1、建立代码发布前的沙盒测试机制,强制所有更新在隔离环境运行72小时以上,检测异常行为。
2、部署员工行为分析系统(UEBA),对敏感操作(如数据库访问、代码库修改)实时预警。
事件概况:
国家计算机病毒应急处理中心在我国境内捕获仿冒国产人工智能大模型DeepSeek官方App的安卓平台手机木马病毒。
该木马通过诱导用户点击“更新”按钮,安装包含恶意代码的子安装包,并窃取用户短信、通讯录、应用列表等隐私信息,同时阻止用户卸载。经分析,该病毒为金融盗窃类木马的新变种,可能用于电信诈骗,威胁用户隐私和经济利益。
病毒样本信息如下:
具体病毒样本信息请参见国家计算机病毒协同分析平台:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=e1ff086b629ce744a7c8dbe6f3db0f68
如何防范:
1.不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载APP程序,仅通过DeepSeek官方网站或正规手机应用商店下载安装相应APP程序。
2.保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态,并保持手机操作系统和安全软件更新到最新版本。
3.在手机使用过程中,谨慎处理非用户主动发起的APP安装请求,一旦发现APP在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求,应一律予以拒绝。
4.如遭遇安装后无法正常卸载的APP程序,应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据,在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息,以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息,一旦出现上述相关情况,应及时联系相关软件供应商和亲友说明有关情况。
5.警惕和防范针对流行APP软件的电信网络诈骗话术,如“由于XXX软件官方网站服务异常,请通过以下链接下载官方应用程序”“由于XXX软件更新到最新版本,需要用户重新授予后台运行和无障碍功能权限”等,避免被网络犯罪分子诱导。
6.对已下载的可疑文件,可访问国家计算机病毒协同分析平台(virus.cverc.org.cn)进行上传检测。
事件概况:
针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依据《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规,依法依规查处“开个密室馆”等82款违法违规App(含小程序)。
经查,“开个密室馆”等4款App存在未公开收集使用规则问题,违反《个人信息保护法》等法律法规,依法依规予以下架处置;“动态壁纸帝”等78款App存在未按法律规定提供删除或更正个人信息功能问题,违反《个人信息保护法》等法律法规,依法依规责令限期1个月完成整改,逾期未完成整改的,依法依规予以下架处置。
部分清单内容如下,详细清单可访问如下链接获取:
https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
如何防范:
管理上:
1、定期法规合规检查:建立定期的法规合规检查流程,确保App的所有功能和操作都符合相关的隐私保护法规。
2、建立用户投诉渠道:设立用户投诉渠道,确保用户能够方便地提出隐私相关的问题和投诉。
3、内部员工培训:进行内部员工培训,使所有员工都了解隐私政策和合规操作的必要性。
技术上:
1、公开收集使用规则:完善App的用户协议和隐私政策,确保明确、详尽地公开收集使用规则。引入用户友好的界面,以便用户能够轻松访问并理解隐私政策,明确数据收集和处理的目的。
2、合规数据收集与处理:审查并更新数据收集和处理的流程,确保其符合相关法规和用户隐私保护的必要原则。采用数据最小化原则,只收集并处理必要的用户信息,减少不必要的数据采集。
3、数据加密和安全措施:引入端到端的数据加密技术,确保用户敏感信息在传输和存储过程中的安全性。加强对用户数据的安全控制,限制有权限的人员和系统能够访问敏感信息。
一、 国家安全动态、政策和法规
定期了解国家安全动态、政策和法规,以及相关行业规范标准,有助于完善单位自身的信息安全管理体系。以下是2025年1-2月份国家新发布的法规政策以及行业相关动态:
1.1 关于印发《互联网军事信息传播管理办法》的通知
发布来源:中国网信网发布时间:2025-02-08
发布链接:
http://www.cac.gov.cn/2025-02/08/c_1740714184323988.htm
内容概要:
该《互联网军事信息传播管理办法》旨在规范互联网军事信息的传播,维护国家安全和社会公共利益。
办法明确了适用范围,强调政治方向、舆论导向、安全保密等原则,并由军地多部门共同负责监管。办法对军事网站、账号的开办提出具体要求,包括身份核验、内容审核、运营资质等规定,确保军事信息传播的权威性和安全性。同时,鼓励传播正面、权威的军事信息,如国防政策、军队建设成就、英模事迹等,并严禁发布危害国家安全、歪曲军队形象、泄露军事秘密等违法信息。
此外,办法要求严格保密管理,防范军事泄密,并对违规行为设定了相应的法律责任,以维护互联网军事信息传播的良好秩序。
1.2 关于印发《海南自由贸易港数据出境管理清单(负面清单)(2024年版)》的通知
发布来源:省发展和改革委员会发布时间:2025-02-08
发布链接:
https://plan.hainan.gov.cn/sfgw/0400/202502/df645fd9512144af9e2879a7e63392ac.shtml?ddtab=true
内容概要:
为推动自贸港数据跨境流动更加便利,依据《促进和规范数据跨境流动规定》等有关文件规定,中共海南省委自贸港工作委员会办公室、海南省互联网信息办公室、海南省发展和改革委员会(海南省数据局)会同有关部门制定了《海南自由贸易港数据出境管理清单(负面清单)(2024 版)》,已通过上级部委备案。
附件内容详情请看链接:
https://plan.hainan.gov.cn/sfgw/0400/202502/df645fd9512144af9e2879a7e63392ac/files/234ddff7d69a447fbe9b167311f4e02b.docx
1.3 上海市网信办等五部门关于印发自由贸易试验区数据出境负面清单管理办法、负面清单(2024版)的通知
发布来源:上海市网信办发布时间:2025-02-08
发布链接:
https://www.lingang.gov.cn/html/website/lg/index/government/gonggaogongshi/qitagongshi/1888157894414757890.html
内容概要:
为贯彻党的二十届三中全会关于“建立高效便利安全的数据跨境流动机制”的部署精神,依据《促进和规范数据跨境流动规定》等有关文件规定,上海市互联网信息办公室、上海市数据局、上海市发展和改革委员会、中国(上海)自由贸易试验区管委会、中国(上海)自由贸易试验区临港新片区管委会会同有关部门制定了《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》。
附件内容详情请看链接:
https://www.lingang.gov.cn/html/website/lg/index/government/gonggaogongshi/qitagongshi/1888157894414757890.html
1.4 李强签署国务院令 公布《公共安全视频图像信息系统管理条例》
发布来源:中国网信网发布时间:2025-02-10
发布链接:
https://www.gov.cn/yaowen/liebiao/202502/content_7003106.htm
内容概要:
国务院总理李强签署颁布的《公共安全视频图像信息系统管理条例》(2025年4月1日施行),以统筹公共安全与隐私保护为核心,构建覆盖“建设-管理-使用-监督”全链条的监管框架。条例明确五维治理逻辑:①政治方向坚持党的领导,强化政策执行统一性;②建设端实行负面清单管理,严禁在民宿、宿舍、更衣室等隐私敏感区域安装设备,军事禁区等涉密区域安装需事先审批;③责任端细化“政府规划、单位运维、电信保障、第三方保密”四方主体义务,建立全生命周期管理;④使用端严格限定信息保存期限(到期删除)和调取权限,非公共场所设备不得危害公共安全或侵权;⑤监管端实施“备案+举报+处罚”组合措施,对违法安装或传播行为最高可吊销执照,同步约束执法机关内部责任。
1.5 个人信息保护合规审计管理办法
发布来源:中国网信网发布时间:2025-02-14
发布链接:
https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm内容概要:
《个人信息保护合规审计管理办法》是由国家互联网信息办公室发布的,旨在规范个人信息保护合规审计活动,保护个人信息权益。该办法适用于在中国境内开展的个人信息保护合规审计,明确了个人信息处理者自行或受国家网信部门要求委托专业机构进行合规审计的责任和频率。它还规定了专业机构进行合规审计的能力要求、保密义务以及不得转委托的规定。此外,办法还涵盖了个人信息处理者在面对个人信息安全事件时的应对措施,以及对个人信息保护负责人的指定和职责。
1.6 国家互联网信息办公室关于发布第十八批境内区块链信息服务备案编号的公告
发布来源:中国网信网发布时间:2025-02-17
发布链接:
https://www.cac.gov.cn/2025-02/17/c_1741491981121565.htm
内容概要:
国家互联网信息办公室根据《区块链信息服务管理规定》,发布了第十八批境内区块链信息服务备案编号清单,共包含48个区块链信息服务名称及备案编号。任何单位或个人如有疑议,需通过邮件向指定邮箱提交相关证据材料进行反馈。
附件内容详情请看链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvFgGtdLvabs3ScSmkHVldmMilaT7McWm2qr856cPYSDu1r/ukjvZxtr17qZwzxQ5eTZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E5%8C%BA%E5%9D%97%E9%93%BE%E4%BF%A1%E6%81%AF%E6%9C%8D%E5%8A%A1%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%88%E7%AC%AC%E5%8D%81%E5%85%AB%E6%89%B9%EF%BC%89
二、 境内安全事件
汇总本月发生的重大安全事件,分析事件的发生原因、影响和对应解决方案,可提高对相应事件的应对能力,实现“防患于未然”。2.1 永信至诚被美列入SDN清单事件
事件日期:2025-01-05事件概况:
美国财政部指控中国网络安全公司永信至诚参与针对美国的“亚麻台风”黑客活动,并将其列入特别指定国民清单(SDN)。永信至诚否认相关指控,称未在美国开展业务,但事件引发了对企业合规性和网络安全的广泛讨论。
如何防范:
1、加强合规审查:国际企业需严格遵守所在国法律,避免涉及地缘政治风险。
2、提升供应链透明度:确保第三方合作方无安全漏洞,定期进行安全审计。
3、建立危机响应机制:提前制定公关与法律应对策略,减少声誉损失。
2.2 DeepSeek遭受持续性跨国网络攻击事件
事件日期:2025-01-28事件概况:
2025年1月,中国人工智能企业DeepSeek因推出高性能、低成本的AI模型R1引发全球关注后,遭遇大规模跨国网络攻击。攻击自1月初开始试探性渗透,1月27-28日升级为高强度DDoS攻击和暴力破解,攻击IP主要来自美国。此次攻击导致DeepSeek服务多次中断,由于此前美股科技股(如英伟达单日暴跌17%)及全球AI产业估值体系的剧烈震荡,事件被解读为中美AI技术主导权争夺的缩影。
如何防范:
基础设施防护
- 部署分布式流量清洗系统,结合IP切换和边缘节点分流技术,抵御UDP泛洪、反射放大等攻击。
- 采用Web应用防火墙(WAF)和API安全网关,识别并拦截HTTP慢速攻击、恶意参数注入等行为。
- 启用多因素认证(MFA)和动态访问令牌,限制非必要端口开放,防止暴力破解和横向渗透。
- 利用机器学习实时监测异常流量模式(如僵尸网络特征),自动触发防御机制。
- 结合IP信誉库和网络协议分析,快速定位攻击来源并阻断。
- 定期模拟DDoS、APT攻击场景,测试应急响应团队的协同能力。
- 针对钓鱼链接、仿冒APP安装等高风险场景进行专项教育。
2.3 比亚迪App早高峰云服务异常事件
事件日期:2025-01-09事件概况:
2025年1月9日早高峰期间,比亚迪王朝App和海洋App因云服务系统异常突发崩溃,用户界面显示“网络不给力”或无法连接,导致全国多地车主无法通过App解锁车辆、查看车况或使用语音控制功能。北京、上海、广州、深圳、杭州、西安等城市大量依赖手机App解锁且未携带实体钥匙的车主出行受阻,部分用户被迫步行上班或迟到。故障持续约1.5小时(7:30-9:00),比亚迪技术部门紧急修复后逐步恢复,官方建议用户启用NFC钥匙或机械钥匙作为备用方案。此次事件暴露了智能汽车过度依赖云端服务的风险,被视为新能源汽车普及后首次大规模网络服务故障案例。
如何防范:
- 部署多地域云服务器集群,避免单点故障引发全局瘫痪。增加边缘节点缓存机制,在网络中断时维持基础功能(如本地蓝牙解锁)。
- 强制用户绑定至少两种解锁方式(如实体钥匙+NFC+蓝牙),减少对单一云服务的依赖。
- 在购车时明确告知云服务依赖风险,并强制用户完成备用解锁方式配置。定期推送安全提醒,例如“早高峰前检查App连接状态”。
- 压力测试常态化:每月模拟早高峰并发请求(如百万级用户同时访问),验证系统承载能力。
2.4 B站回应员工植入恶意代码报复用户
事件日期:2025-01-21事件概况:
1月12日有B站用户发布视频称,B站某员工利用职权擅自在整个B站网页版中加载恶意代码,被攻击的账号点击任何视频,页面都会被替换为空白页,并不断弹出红色文字“你的账号已被封禁”。他还晒出了聊天记录截图,显示该B站员工威胁要封禁其账号。
事件的起因是倪某在社交平台看到某UP主的观点不满,双方发生争执,倪某表示知道该UP主家庭地址、宽带服务商等信息;并利用系统漏洞对该用户进行恶意报复。
1月16日,该UP主晒出最新进展,显示B站内部成立了一个专门的调查小组,查明确实属于某位员工违规操作,对其进行了开除处理,还准备上报到监管部门,并在内部通报批评、处罚相关主管人员。B站还向受害者提供了一年大会员作为补偿,并争取公开通报和道歉。
B站客服也表示,B站已移除相关恶意代码,并建议用户清除浏览器缓存和 Cookies,以防止再次受到影响。
如何防范:
用户端防护:
1、发现账号出现异常提示(如无故封禁、功能失效)时,立即通过官方渠道(如App内置反馈入口、客服专线)报备,并保存截图、日志等证据。
2、启用浏览器隐私模式(如Chrome无痕模式)访问敏感平台,减少个人信息泄露风险。
企业端治理优化:
1、建立代码发布前的沙盒测试机制,强制所有更新在隔离环境运行72小时以上,检测异常行为。
2、部署员工行为分析系统(UEBA),对敏感操作(如数据库访问、代码库修改)实时预警。
2.5 仿冒DeepSeek官方App手机木马病毒事件
事件日期:2025-02-17事件概况:
国家计算机病毒应急处理中心在我国境内捕获仿冒国产人工智能大模型DeepSeek官方App的安卓平台手机木马病毒。
该木马通过诱导用户点击“更新”按钮,安装包含恶意代码的子安装包,并窃取用户短信、通讯录、应用列表等隐私信息,同时阻止用户卸载。经分析,该病毒为金融盗窃类木马的新变种,可能用于电信诈骗,威胁用户隐私和经济利益。
病毒样本信息如下:
具体病毒样本信息请参见国家计算机病毒协同分析平台:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=e1ff086b629ce744a7c8dbe6f3db0f68
如何防范:
1.不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载APP程序,仅通过DeepSeek官方网站或正规手机应用商店下载安装相应APP程序。
2.保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态,并保持手机操作系统和安全软件更新到最新版本。
3.在手机使用过程中,谨慎处理非用户主动发起的APP安装请求,一旦发现APP在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求,应一律予以拒绝。
4.如遭遇安装后无法正常卸载的APP程序,应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据,在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息,以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息,一旦出现上述相关情况,应及时联系相关软件供应商和亲友说明有关情况。
5.警惕和防范针对流行APP软件的电信网络诈骗话术,如“由于XXX软件官方网站服务异常,请通过以下链接下载官方应用程序”“由于XXX软件更新到最新版本,需要用户重新授予后台运行和无障碍功能权限”等,避免被网络犯罪分子诱导。
6.对已下载的可疑文件,可访问国家计算机病毒协同分析平台(virus.cverc.org.cn)进行上传检测。
2.6 国家网信办依法集中查处一批侵害个人信息权益的违法违规App
事件日期:2025-02-19事件概况:
针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依据《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规,依法依规查处“开个密室馆”等82款违法违规App(含小程序)。
经查,“开个密室馆”等4款App存在未公开收集使用规则问题,违反《个人信息保护法》等法律法规,依法依规予以下架处置;“动态壁纸帝”等78款App存在未按法律规定提供删除或更正个人信息功能问题,违反《个人信息保护法》等法律法规,依法依规责令限期1个月完成整改,逾期未完成整改的,依法依规予以下架处置。
部分清单内容如下,详细清单可访问如下链接获取:
https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
如何防范:
管理上:
1、定期法规合规检查:建立定期的法规合规检查流程,确保App的所有功能和操作都符合相关的隐私保护法规。
2、建立用户投诉渠道:设立用户投诉渠道,确保用户能够方便地提出隐私相关的问题和投诉。
3、内部员工培训:进行内部员工培训,使所有员工都了解隐私政策和合规操作的必要性。
技术上:
1、公开收集使用规则:完善App的用户协议和隐私政策,确保明确、详尽地公开收集使用规则。引入用户友好的界面,以便用户能够轻松访问并理解隐私政策,明确数据收集和处理的目的。
2、合规数据收集与处理:审查并更新数据收集和处理的流程,确保其符合相关法规和用户隐私保护的必要原则。采用数据最小化原则,只收集并处理必要的用户信息,减少不必要的数据采集。
3、数据加密和安全措施:引入端到端的数据加密技术,确保用户敏感信息在传输和存储过程中的安全性。加强对用户数据的安全控制,限制有权限的人员和系统能够访问敏感信息。
上一篇:2024年12月漏洞通告 下一篇:返回列表
返回列表
