全球数据保护资讯:中央网信办等四部委联合开展互联网网站安全专项整治
01
中央网信办等四部委联合开展互联网网站安全专项整治
中央网信办、工业和信息化部、公安部、市场监管总局四部门于2019年5月至2019年12月,联合开展全国范围的互联网网站安全专项整治工作,对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。
此次专项整治的一大特点是加大对未履行网络安全义务,发生事件的网站开办者的处罚力度,督促其切实落实安全防护责任,加强网站安全管理和防护。各地通信管理局、公安机关将根据《网络安全法》,对落实网络安全义务不到位,发生网页篡改、被植入后门木马、大量公民个人信息被窃取等网络安全事件,以及存在非法获取、出售或提供个人信息等行为的网站,依据情节严重程度,采取约谈主要负责人、停业整顿、关闭网站、注销备案等措施并公开曝光,涉企行政处罚信息将依法纳入市场监管总局国家企业信用信息公示系统予以公示。
专项整治期间,各地通信管理局、公安机关还将责令未按照有关规定进行ICP备案、联网备案或备案信息不准确的网站限期整改,对拒不整改的进行清理。公安机关将对非法入侵控制网站牟取利益或从事非法活动,非法提供入侵控制网站工具,买卖网站数据和控制权限,窃取买卖个人信息等违法犯罪活动和网络黑产行为,组织开展专项打击。各地网信部门统筹协调本地区专项整治工作。
来源:新华网
02
美国各州自行推进数据隐私立法填补联邦立法空缺
尽管美国国会在消费者隐私保护问题上仍陷于听证会和选举前摇摆的姿态,未作出欧盟GDPR式的立法决议,但各州正越来越多地自行肩负起对大型科技公司在数据隐私方面的审查,纽约州、缅因州和内华达邓州也着手推进州层面的数据隐私立法。
例如,纽约正在考虑推进美史上国最严格的数据隐私法。纽约州民主党参议员Kevin Thomas已经起草了参议院S5642号法案,即《纽约隐私法》(NY Privacy Act)。它将要求企业披露其去识别化个人信息的方法;在数据共享方面设置特殊的保护措施,并允许消费者获取与其共享信息的所有实体的名称;并创建一个特别账户,用于资助新的纽约州隐私和数据保护办公室。
Thomas还赞助了纽约州参议院上周通过的《停止黑客攻击和改进电子数据安全法案》(SHIELD Act)。它寻求“将个人数据的控制权交还给纽约人,并要求企业将客户的隐私置于利润之上。”
在缅因州,州长 Janet Mills上周签署了一项“保护在线客户信息隐私的法案”,使之成为法律。该法案由州参议员Shenna Bellows提出。这项互联网隐私法案得到了缅因州参议院两党议员的支持和一致通过。该法案禁止互联网提供商在未经用户明确同意的情况下使用、出售或分配处理用户的个人信息。该法律将于2020年7月1日生效。
内华达州也通过了一项新的在线隐私法,该法将于10月1日生效,赋予消费者选择不出售由企业收集的其数据和个人信息的权利。参议院220号法案于5月29日由内华达州州长签署成为法律,该法案修改了从2017年开始的现行隐私法,增加了一项要求,要求企业提供在线或电话方式,允许消费者选择不参与企业作为中间人代理处理其个人信息。该法不包括受金融服务管理局监管的金融机构和受HIPAA监管的实体。
来源:Compliance Week
03
信息安全标委会规范数据收集,金融类App或迎强监管
近日,全国信息安全标准化技术委员会在官网对外发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下文简称“规范”),对各品类APP的数据采集和业务功能进行规范。
依据个人信息收集最少够用原则,《规范》界定了金融借贷、网络约车、短视频等16类常用移动APP收集用户必要信息的范围,例如,金融借贷类APP基本业务功能不应强制读取用户通讯录,设备信息只能用于安全目的等。
《规范》中明确指出,本文件的出台是针对当前移动互联网应用存在的超范围收集、强制授权、过度索权等个人信息安全问题,为互联网应用提供实践指引。《规范》还表示,本规范同样适用于主管监管部门对个人信息收集行为进行监督、管理和评估。
在本次信息安全标委会发布的规范中,对金融借贷类和支付类APP的信息收集更是做出了明确限制。业内人士认为,如果在后续的监管过程中,监管机构按照《规范》进行监管,金融科技机构可能会迎来一波致命的打击。
来源:新浪财经
04
江苏发布第三批“净网2019”专项行动典型案例
近日,江苏网警发布第三批“净网2019”专项行动典型案例。截至2019年5月底,江苏省网安部门依据《网络安全法》等法律法规共办理行政案件1698起,对突出问题乱象挂牌整治23批次;对存在违法违规行为的单位,责令限期整改802家次;警告1431家(人)次,罚款135万元,没收违法所得5.4万元,行政拘留67人,对违法违规网络运营者暂停业务或停机整顿93家次,关停或下架违法违规移动互联网应用300余款。
发布的行动专项典型案例中,其中一个案例为关键信息基础设施的运营者未履行网络安全保护义务而被处罚的案例。
工作发现,南通市某水利工程管理所主机系统存在3个高风险漏洞,其中主机漏洞1处、弱口令2处。该所运营的港闸为国家大型水闸,承担南通地区697平方公里挡潮排涝、360万亩农田灌溉任务,相关系统被公安部、水利部列入国家关键信息基础设施目录。经查,该水利工程管理所未制定与网络运营相关的内部安全管理制度和操作规程,未有效采取防范计算机病毒和网络攻击、网络侵入等技术措施。
今年5月,南通警方依据《网络安全法》第21条、第34条、第59条规定,对该水利工程管理所予以警告,责令限期整改,落实网络安全等级保护制度。
来源:江苏网警
05
微软删除世上最大的公开人脸识别数据库
近日,据英国《金融时报》报道,微软目前已经悄然删除其最大的公开人脸识别数据库——MS Celeb。
MS Celeb数据库2016年建立,拥有超过1000万张图像,将近10万人的面部信息。微软描述其为世界上最大的公开面部识别数据集,并用于培训全球科技公司和军事研究人员的面部识别系统。据了解,数据库中的面孔来自公众人物,但许多人并没有授权微软使用自己的面部照片。相反,微软是通过“知识共享”许可来抓取图像和视频的。根据“知识共享”(Creative Commons)许可,你可以将照片用于学术研究,但照片中的人物并不一定授权许可,而是拥有版权所有者授权。
根据人工智能论文中的引文资料统计,在微软删除该资料库前,已经有多个商业组织在使用MS Celeb数据库,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技均有使用。“这个网站是用于学术用途,它是由一位已经不在Microsoft工作的员工运行的,并且已被删除。”微软称。
不过,即使MS Celeb已被删除,其内容仍可以从网络上下载获得。“你不能让数据库消失。一旦你发布它,人们下载它,它就存在于全世界的硬盘上。”发现MS Celeb数据库侵权问题的柏林研究员Adam Harvey在接受媒体采访时称。
作为一家技术公司,微软本身一直在公开反对将这种技术作为政府监督的一种形式。在2018年12月的一篇博客中,微软呼吁各公司建立保障措施,敦促各国政府制定立法,要求对面部识别技术进行独立测试,以确保准确性。今年4月份,微软还拒绝了加利福尼亚州一家执法机构的要求,这家机构要求在警车和身体摄像头上安装面部识别技术。
来源:澎湃新闻
06
世界最大飞机零件供应商惨遭勒索病毒,四个工厂已经停产
2019年6月13日据报道:世界上最大的飞机零部件供应商ASCO,由于其位于比利时扎芬特姆的工厂报告遭勒索软件感染,已停止在四个国家的工厂生产。由于被勒索软件感染导致IT系统瘫痪,该公司已将1,400名工人中的大约1,000人送回家带薪休假。
根据报告:感染于6月7日星期五发生,最初袭击了比利时公司的Zaventem工厂,但ASCO也关闭了德国,加拿大和美国的工厂。位于法国和巴西的非生产办事处未受影响。目前还不清楚该公司是否关闭其他工厂的运营,因为勒索软件可能具有横向传播功能,如果不是因为勒索软件具有内网传播功能,那么关闭工厂可能只是作为预防措施。
ASCO是世界上最重要的飞机零部件设计供应商之一。该公司的一些客户包括航空运输和军事领域的大腕,如空中客车公司,波音公司,庞巴迪公司和洛克希德马丁公司。例如,ASCO制造的零件用于F-35战斗机,空中客车A400M军用飞机,空中客车和波音商用客机以及阿丽亚娜太空发射火箭。感染该公司比利时工厂的勒索软件名称尚未公开。
目前还不清楚ASCO是否已支付赎金以恢复其系统的访问权限,从备份中恢复,或从头开始购买新系统和重建其计算机网络,就像过去一些其他被勒索攻击的公司所做的那样。这充分说明了,目前的飞机零件制造工厂,均是采用互联网智能化管理模式进行批量生产,往往是机器流水线,而人在其中是与自动化设备合作进行,因此两者缺一不可。
来源:ZDNet
07
上海交大泄露8.4TB电子邮件数据 官方称漏洞已修复
2019年6月10日消息据外媒援引rainbowtabl.es安全博客上的文章报道,上海交通大学一个ElasticSearch数据库因未正确配置公开访问权限,而导致泄漏了8.4TB的电子邮件元数据。这一服务器漏洞是由CloudFlare安全总监贾斯汀·潘恩于2019年5月22日发现的。
据介绍,这一服务器包含95亿行数据,发现时,数据库仍处于活跃状态,因为其大小从5月23日的7TB增加到一天后的8.4TB。
根据研究人员的说法,这些邮件缓存似乎还包括了电子邮件的IP地址和用户代理。可以看到特定用户之间的电子邮件状态,不过这些信息只涉及元数据并不包含邮件主题和内容。
在发现泄漏一天后,上海交通大学接到了数据库泄漏的通知。漏洞在24小时后被修复。“我最近发现了一个没有任何身份验证的ElasticSearch数据库,此数据库包含与大量电子邮件相关的元数据。”潘恩表示,“我要感谢校方的安全团队,他们一接到通知就迅速采取行动,确保这些数据的安全。”
来源:PConline
更多多闻新闻央行吹风会:征信监管以个人信息保护为重点,严厉打击倒卖征信数据等行为
新闻链接:
https://baijiahao.baidu.com/s?id=1636292058062597118&wfr=spider&for=pc
4万多个Kubernetes及Docker容器携大量个人数据暴露在互联网上
新闻链接:
https://www.secrss.com/articles/11241
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
请关注我们的微博:享法互联网法律
上周回顾
点击文章名就可以看(更多内容可以长按下方二维码查看更多历史信息)
周一全球数据保护资讯:用户诉腾讯QQ浏览器违法收集个人隐私,法院:立即停止
周二周五往期回顾
全球数据保护资讯:用户诉腾讯QQ浏览器违法收集个人隐私,法院:立即停止(6.10)
全球数据保护资讯:GDPR一周年:欧洲数据保护委员会发布首份GDPR年度报告(6.3)
全球数据保护资讯:App专项治理工作组发布百款常用App申请收集使用个人信息权限情况(5.27)
全球数据保护资讯:防止权力滥用,美国旧金山禁止市政部门使用人脸识别技术(5.20)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~