系列动态|数据安全国际动态

【政策监管】

1. 欧盟发布中小企业网络安全报告与指南

6月28日，欧盟网络安全局（ENISA）对外发布了《中小企业网络安全挑战与建议报告》和《中小企业网络安全指南》。其中，《中小企业网络安全挑战与建议报告》调查研究了在新冠疫情期间欧洲中小企业面临的安全挑战，包括网络威胁认识不足、关键和敏感信息的保护不足、网络安全预算不足、网络安全专业人才不足、网络安全指导方针缺乏、移动网络安全问题等。

《中小企业网络安全指南》针对报告出现的问题，有针对性地为中小企业提高基础设施和业务安全提供了12项指南，包括培养良好的网络安全文化、提供适当的安全培训、确保有效的第三方管理、制定事故响应计划、确保安全的访问系统、确保设备安全、保护网络安全、提高物理安全性、确保备份安全、参与云计算、确保在线网站安全，以及寻求和分享信息。

2. 欧洲数据保护委员会通过多项数据处理指南

7月7日，欧洲数据保护委员会（EDPB）发布3项数据处理指南，指导数据治理工作。一是数据传输工具行为准则指南，为欧盟境外数据传输提供适当保障。在一定条件下，该指南也适用于不受《通用数据保护条例》约束的数据控制者和处理者。二是虚拟语音助手指南，提供建议应对虚拟语音助手相关合规挑战。三是数据控制者和处理者概念指南，澄清数据控制者和处理者基本概念。

3. 德国组织开展数据跨境传输调查

7月8日，德国数据保护监管机构对境内公司向欧盟以外国家或欧洲经济区（第三国）数据传输情况进行了调查和评估，旨在落实欧洲法院于2020年7月对Schrems II案的判决决定。根据该决定，欧盟-美国隐私盾协议被废除，不能再根据该协议将数据传输到美国。同时，如果数据出口方的评估结果表明数据接收国无法确保对个人数据提供同等的保护水平，则只有在采取额外有效措施的情况下，根据数据保护标准合同条款向第三国传输数据才有效。德国数据保护机构设计了标准化问卷并下发到相关企业。欧洲法院明确表示希望欧洲各国当局“暂停或禁止”不符合Schrems-II案判决决定的数据转让，否则将采取必要的监督措施。

4. 美国科罗拉多州出台《隐私法案》

7月8日，美国科罗拉多州颁布了《科罗拉多州隐私法案》，成为美国第三个隐私立法的州，将于2023年7月1日生效。该法案内容要点包括：一是适用范围，该法案适用于每年收集和存储超过10万名消费者数据或从超过2.5万名消费者数据中赚取收入的企业。二是消费者权利，明确了消费者享有访问权、纠正权、删除权、数据可携带权、选择退出权和申诉权等权利。三是数据处理者的义务，包括透明性、目的告知、数据最小化、避免数据二次使用、数据防护、避免非法歧视、敏感数据处理、数据保护评估、数据处理合同约束等义务。四是法案执行，规定由州总检察长和22名州检察官进行执法，虽然没有明确具体罚则，但违反《消费者权益保护法》的行为受该法案管辖，违法企业单次罚款最高可达2万美元。

5. 美国纽约新生物识别隐私条例正式生效

7月9日，美国纽约市生物识别隐私条例正式生效。根据条例规定，收集个人生物识别信息（如人脸、指纹等）的企业必须在门口张贴显著标识，告知顾客正在收集其生物识别信息。同时，禁止企业出售和交易生物识别信息，如企业违反规定，顾客可以向法院起诉，要求企业赔偿。该条例适用于商店、餐厅、剧院、体育场、博物馆等商业机构，但不适用政府机关。此前，美国已有多个州出台生物识别技术监管法规。

6. 美国通过《统一个人数据保护法》

7月14日，美国统一法律委员会通过了《统一个人数据保护法案》，为美国各州提供了统一的数据保护法案。这意味着美国各州可以采用该法案，也可以使用本州立法。该法案确立了个人数据保护的重要地位，明确提出了数据处理相关禁止性行为。此外，该法案规定了数据控制者和处理者的义务、数据主体权利、数据保护评估要求、私人诉讼权以及相关执法机制。

【行业研究】

7. 36%的组织因云配置错误导致数据泄露

7月27日，Fugue和Sonatype发布2021年云安全状况调查报告。报告指出，36%的组织在过去一年遭受了严重的云安全数据泄露；80%的组织担心容易因云错误配置导致数据泄露；64%的组织担心这种情况将在未来一年持续或变得更糟。此外，调查显示，大规模云环境的复杂性和动态性超过了团队的安全能力；组织安全团队将继续加大在云安全方面的时间和资源投入，但仍缺乏可见性和自动化。

8. IBM发 布《2021年数据泄露成本报告》

7月28日，IBM Security和Ponemon Institute发布《2021年数据泄露成本报告》，深入分析了全球500多家组织在2020年5月至2021年3月期间10万条记录在案的数据泄露案件，指出受访企业平均每起数据泄露事件成本为424万美元，创下了该系列报告17年以来的新高。研究表明，由于新冠疫情期间企业运营方式发生显著变化，安全事件的成本变得更高、更难控制，与前一年相比上升了10%；同时安全性可能落后于快速发展的信息技术变化，从而影响组织应对数据泄露的能力。

【产业动态】

9. 谷歌添加HTTPS优先模式确数据安全

7月14日，谷歌公司表示将在谷歌浏览器中添加HTTPS优先模式，以防止攻击者拦截或窃听用户的网络流量。在目前版本中，谷歌浏览器只会接入更安全的HTTPS网页，而在无法通过HTTPS浏览时页面上也会显示隐私、安全风险警告。谷歌公司称，未来版本的浏览器仍将继续支持HTTP连接，且当用户访问不安全的链接时，浏览器将采取额外措施来通知和保护用户。此外，为了让用户看到更易看到关键隐私和安全风险信息，谷歌还将地址列旁边的锁形标志替换成“向下箭头”，确保传输过程中的数据安全。

【安全事件】

10. 研究人员披露多个安卓木马窃取脸书用户凭据

7月3日，研究人员披露9个安卓木马能够窃取脸书（Facebook）用户凭据。这些木马伪装成无害的照片编辑、优化、健身和占星应用程序，诱使受害者登录脸书账户，通过代码劫持输入凭证，通过木马程序将窃取信息泄露到服务器。研究人员还表示，此类攻击不仅针对Facebook帐户，也可以加载任何网络平台的登录页面，来窃取用户的用户名和密码。

11. 西班牙电信巨头遭Revil勒索软件攻击

7月5日，西班牙电信运营商巨头MasMovil遭到REvil勒索软件的攻击。该勒索团伙声称已窃取到该公司的敏感数据，并公开发布被盗数据的屏幕截图，截图显示了该公司系统的文件夹，包括备份、经销商、评分等。为此，该勒索软件索要价值7000万美元的比特币。

12. 全球投资巨头摩根士丹利遭攻击泄露客户信息

7月8日，全球投资巨头摩根士丹利（Morgan Stanley）表示，攻击者通过入侵其账户维护服务供应商的服务器，窃取了其客户的个人信息。Morgan Stanley在全球范围内提供银行投资、证券、财富和投资管理服务，拥有超过41个国家的公司、政府、机构和个人客户。此次泄露信息包括其客户的姓名、地址、出生日期、社会安全号码和法人公司名称等。此外，该公司的一些加密文件及解密密钥也一同被盗。

13. 美国多个市政机关敏感数据遭泄露

7月20日，美国80多个市政机关敏感数据遭泄露。这些市政机关均使用了美国PeopleGIS公司提供的数据管理软件。由于该数据管理软件的数据存储桶配置错误，导致大多数数据无需任何密码即可访问。此次错误配置导致超过1000GB的数据和超过160万个文件被泄露，泄露信息类型包括营业执照、居住记录、税务信息等，且大部分数据具有高度敏感性，易导致不法分子冒充政府官员进行欺诈和盗窃。