01 政策聚焦
POLICY FOCUS1.国家网信办发布《境内深度合成服务算法备案清单》6月20日中午,国家互联网信息办公室发布了《境内深度合成服务算法备案清单》,包括,百度、阿里、腾讯、抖音、科大讯飞等科技巨头的41个算法入选,这也是国内首批公开的算法备案清单。这些算法应用于不同场景中,比如在线智能客服场景、图像生成场景、对话生成场景中、短视频制作场景。
🔗阅读原文2.金融监管总局发布《关于加强第三方合作中网络和数据安全管理的通知》近日,中国金融监管机构发布通知,要求银行保险机构加强网络和数据安全管理,特别是与第三方合作中的风险。通知指出,部分机构的外包服务商发生安全风险事件,影响了网络和数据安全以及业务连续性。通知要求机构进行风险自查,加强科技风险管理和非驻场外包风险监测,强调主体责任和数据安全要求。🔗阅读原文3.《国家金融监督管理总局与国家医疗保障局关于推进商业健康保险信息平台与国家医疗保障信息平台信息共享的协议(征求意见稿)》发布6月21日,为推进基本医保与商业健康保险信息共享,国家医疗保障局起草了《国家金融监督管理总局与国家医疗保障局关于推进商业健康保险信息平台与国家医疗保障信息平台信息共享的协议(征求意见稿)》。根据该意见稿,两者将在六个领域展开合作,包括历史数据分析、药品目录、投保理赔情况信息共享等。🔗阅读原文4.国家网信办与香港科创工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》2023年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。🔗阅读原文5.广东人民政府发布《关于进一步深化数字政府改革建设的实施意见》6月26日,广东省人民政府发布《关于进一步深化数字政府改革建设的实施意见》(以下简称《实施意见》)。该意见强调以数据资源为核心,全面深化“数字政府2.0”建设,并力争到2025年实现“智领粤政、善治为民”的目标。其中,加强数据管理和共享、推进数据要素市场化配置、赋能实体经济发展是主要内容。通过健全数据管理机制、构建数据资源共享体系,推动数据要素在市场中流通交易,以及数据要素赋能实体经济,广东省将进一步释放数据价值,推动经济发展和社会治理。🔗阅读原文6.《贵州省政务数据资源管理办法》发布近日,贵州省发布了《贵州省政务数据资源管理办法》,推动政务数据的开放共享和授权运营。该办法规定政务数据采集应遵循“一数一源、一源多用”原则,禁止重复采集和多头采集。政府部门应制定数据采集清单,并确保数据真实、准确、完整和及时。办法还规定了政务数据的授权运营机制,允许市场主体开发不涉及国家秘密、商业秘密和个人隐私的数据服务和产品,并通过贵阳大数据交易所进行交易。🔗阅读原文7.浙江省通信管理局发布数据安全专项行动通知近日,浙江省电信和互联网行业将开展名为"之江数安"的专项行动,旨在提升数据安全防护水平,保障杭州亚运会数据安全。该行动要求建立数据安全责任人机制,识别和备案重要数据和核心数据,进行数据安全风险评估和监测预警,实施数据全生命周期安全管理,并加强数据安全能力建设和人才队伍培养。🔗阅读原文02 行业要闻
INDUSTRY HIGHLIGHTS1.招标 | 近期数据安全招标中标信息汇总7(信通院、交通运输厅、文化广电旅游体育局)
本期收录的招标信息涉及多个领域的数据安全项目。其中包括中国信息通信研究院拟采购面向5G的信息通信行业数据安全态势感知平台,暨南大学计划建设网络日志与数据安全分析系统,四川省交通运输厅信息中心需要数据中心数据安全服务,深圳市血液中心寻求网络及数据安全服务等。这些项目反映了对数据安全的关注和需求。《2023年中国网络安全市场与企业竞争力分析》报告指出,2022年我国网络安全市场规模约633亿元,同比增长率为3.1%。市场呈现向头部企业集中的趋势,行业竞争加剧,创业企业需要创新和差异化来保持竞争力。华北、华东和华南地区对网络安全投入加大,区域市场占比提升。网络安全客户分布与GDP相关,政府行业仍是主导。截至2023年上半年,我国有3984家公司从事网络安全业务,同比增长22.4%。未来发展趋势包括数字经济、人工智能、数据安全、合规先行、信创加速和服务化转型。3.数据空间技术与系统全国重点实验室及安全可信数据空间科创融合基地在深圳揭牌6月28日,在深圳举行的数据空间技术与系统全国重点实验室及安全可信数据空间科创融合基地揭牌仪式上,中国电子党组书记、董事长曾毅等领导共同揭牌。曾毅表示,实验室是中国电子打造国家网信事业核心科技力量的重要实践,将为中国电子加快实现网信领域高水平科技自立自强注入强大动能。梅宏表示希望中国电子以实验室和基地建设为抓手,推动我国数字经济高质量发展。近日,信通院发布了《2023大数据十大关键词》,今年的重点在数据开发应用、数据要素市场建设和数据安全方面。关键词包括湖仓一体、数据资产化、DataOps、数据服务、智能增强分析和数据伦理。5.国内首部《中国文化元宇宙AIGC发展研究报告》发布近日,由中国文化产业协会文化元宇宙专业委员会组织编写的国内首部《中国文化元宇宙AIGC发展研究报告》在清华大学科技园重磅发布。报告由中国文化产业协会文化元宇宙专业委员会组织编写,为社会各界系统建构文化元宇宙与AIGC理论体系和产业认知框架、科学把握文化元宇宙与AIGC发展趋势、深刻识别产业发展新机遇提供了卓有价值的研究参考和实践案例。6.中国信通院联合腾讯安全发布《数据安全治理与实践白皮书》近日,中国信息通信研究院和腾讯云在“2023大数据产业发展大会”上发布了《数据安全治理与实践白皮书》。该白皮书概述了数据安全治理的趋势、挑战和实施框架,为企业提供了全面的参考指南。白皮书提到,数据安全治理面临合规、管理和技术等层面的痛点与困境。为解决这些问题,白皮书提出了五大体系的数据安全治理框架,包括法律合规体系、组织保障体系、流程体系、技术体系和安全基础设施。7.浙江省通信管理局发布《关于侵害用户权益行为18款App的通报(2023年第4批)》近日,浙江省通信管理局发布《关于侵害用户权益行为18款App的通报(2023年第4批)》,其中包括知名电子签名服务平台e签宝。通报指出,这些App存在违规收集个人信息、超范围收集个人信息以及强制、频繁、过度索取权限等问题。浙江省通信管理局要求相关App开发运营者在6月28日前完成整改落实工作,否则将采取下架、关停、行政处罚等措施。近日,网络安全行业组织NetSecOpen发布了新版网络安全设备性能基准测试指南草案,旨在提供统一的测试标准,使不同供应商的设备可比较性增强。该标准将取代20年历史的旧标准,以适应不断演变的安全功能实施和技术发展。NetSecOpen的测试目的是使用真实数据对网络安全设备进行比对,包括攻击流量测试集、真实场景的测试用例和各种吞吐性能的测试。9.2021-2023年因违反《数据安全法》被罚的28个案件梳理《中华人民共和国数据安全法》(下文简称为《数据安全法》)自2021年6月10日正式通过,于2021年9月1日正式生效。本文汇总了三年来相关案例进行分享。这些案件涉及不同行业和单位,包括商旅服务公司、信息科技公司、物业公司、燃气公司、商贸公司、医院、学校等。违法行为主要包括数据泄露、未授权访问漏洞、弱口令密码、未制定数据安全管理制度、未落实网络安全等级保护制度等。10.亚马逊或面临其在欧盟区域内首起个人隐私集体诉讼荷兰隐私保护基金会(SDBN)计划起诉亚马逊,指控其大规模侵犯用户隐私,并要求赔偿约500万名荷兰用户。研究发现,亚马逊通过自有平台和第三方App收集大量个人数据,并未经充分告知用户的情况下存储cookie。此外,亚马逊未采取必要的安全措施,非法传输用户数据至美国,导致数据易受黑客攻击和泄露。6月28日,首届海南数据安全生态大会在海南省澄迈县成功举办。大会旨在促进数据要素安全有序流动,为海南自贸港高质量发展提供支持。与会领导、专家学者和企业界人士就数据安全管理、数字经济发展等议题发表演讲并提出建议。海南省澄迈县依托生态软件园,借助自贸港政策优势,积极推动数字经济发展,为数据流通提供广阔平台。2023年6月29日,C3安全大会·2023在南京盛大召开,C3安全大会·2023以“安全向未来”为主题,以“新”为主基调,以“未来”为愿景,锚定网络强国、数字中国战略总体目标,展示新形势下的新发展,解读多元环境中,从技术到体系变革的新一代安全建设理念,护航数字时代产业发展。03 技术前沿
ADVANCED TECHNOLOGY本次课程由浙江大学的张秉晟老师介绍了密码学中的可证明安全理论基础。课程主要涵盖了现代密码学的发展背景和应用领域,包括零知识证明、全同态加密等。重点讲解了可证明安全的三个步骤:确定威胁模型、构造方案和进行正式的安全性证明。课程还介绍了Textbook RSA的不安全性、单向函数、离散对数以及基于DH的密钥协商协议。讲解了安全目标和规约理论,特别关注了DH密钥协商协议的规约和CDH与DL的关系。最后,课程涉及了不可区分安全和决定性DH问题,提供了详细的推导和证明过程。合成数据是通过使用各种技术和方法来生成与真实数据相似但不包含真实个人信息的数据。常见的合成数据技术包括统计方法、生成对抗网络(GANs)、序列模型以及数据脱敏和扰动等。合成数据可以用于数据分析、模型开发和算法测试,可以加速开发过程并提供更多的数据资源。然而,合成数据也面临着挑战,如数据质量和真实性、泛化能力和适应性以及合成数据与真实数据之间的差异等。尽管存在挑战,但合成数据技术在隐私保护、数据共享、数据增强、数据民主化和教育培训等方面具有广阔的前景和潜力。零知识证明是一种让验证者相信某个命题的正确性,同时不泄漏证明者任何有用信息的协议。它涉及证明者和验证者之间的交互步骤,其中包括承诺阶段、挑战阶段、回应挑战阶段和验证阶段。零知识证明具有正确性、完备性和零知识性的性质。Schnorr协议是一种基于离散对数难题的零知识证明机制。原始的Schnorr机制是交互式的,涉及哈希函数和椭圆曲线的离散对数难题。为了解决私钥泄露问题,可以将交互式协议转变为非交互式协议。非交互式Schnorr协议通过哈希函数计算挑战数,将三步协议合并为一步,实现了简化和更安全的零知识证明。论文针对对偶学习场景,设计了面向特征的差分隐私技术,保证了数据隐私性。同时,引入同态加密算法保证多方协同中的计算安全性。该算法适用于图像、网络和数值型数据,可以修复图像、进行用户推荐和节点分类,实现数据敏感型企业之间的隐私协同。该算法具有通用性和高精度,并且不需要对现有的多方学习结构进行大幅修改。未来的工作方向包括探索更多场景的应用、降低模型复杂性和提高效率,以及减少采样误差。可信执行环境(TEE)技术被提出用于保护计算设备中安全敏感程序的运行环境,然而传统的侧信道攻击已经发展到仅基于微体系结构状态的软件方式获取机密信息,这种攻击方式对TEE架构提出了新的挑战。本文深入研究了ARM TrustZone、Intel SGX和AMD SEV这三种TEE架构的软件侧信道攻击及相应的防御措施,并探讨了这些攻击和防御机制的发展趋势。未来的研究方向包括挖掘微体系结构的侧信道漏洞、探索TLB的处理逻辑以及继续改进硬件和软件层面的防御措施。由于数据隐私限制,多个中心之间的数据共享受到限制,这就影响了联邦学习架构下多中心合作开发高性能深度学习模型的效果。持续学习(Continual Learning)作为点对点联合学习的一种方法,可以通过共享中间模型而不是训练数据来绕过数据隐私的限制,从而促进多中心协作开发深度学习算法。近期不断有研究人员探索联邦持续学习方法(Federated Continual Learning,FCL),即,研究持续学习在联邦学习架构下多中心协作的可行性。多方安全计算(MPC)在分布式金融产品中具有广泛应用,特别是在关注用户授权的领域。MPC的历史可以追溯到20世纪80年代,并且阈值签名方案(TSS)是MPC的一种重要应用。然而,分发ECDSA签名的协议相对复杂,而基于Paillier加密的阈值ECDSA方法需要高计算占用量。最近提出的DKLs协议提供了一种替代方案,利用了Oblivious Transfer (OT)构建MUL,并在效率和安全性之间取得平衡。该方法可以在分布式钱包等场景中实现高效且用户几乎感觉不到延迟的签名过程。在密码学时代,保护私钥成为组织面临的重要问题。传统解决方案使用复杂硬件设备或多因素认证,但仍存在被黑客获取的风险。多方计算(MPC)是解决私钥安全问题的关键。MPC将私钥分割并存储在多个位置,黑客必须同时入侵所有位置才能获取完整密钥。用户登录时,必须从各位置获取份额并使用MPC重新计算私钥进行身份验证。这种方法提供了更高的安全性,防止黑客通过几行代码窃取私钥。04企业动态
RECOMMENDED READING1.原语科技携手北京航空航天大学共建“隐私计算联合实验室”
6月27日,原语科技与北京航空航天大学合作成立了隐私计算联合实验室,致力于推动隐私计算技术的研究和应用。双方将在隐私计算与数据安全领域进行科学研究,并建设示范平台。合作还包括人才培养和学科建设,共同推进数据要素化产教研的协同发展。该合作旨在为数据要素化产业的高质量发展提供技术支持,促进数字经济的繁荣。
🔗阅读原文
2.蓝象智联隐私计算研究成果入选国际顶级期刊《IEEE TIFS》
近日,蓝象智联、西安电子科技大学和浙江大学联合撰写的论文《iPrivJoin: An ID-Private Data Join Framework for Privacy-Preserving Machine Learning》入选国际顶级期刊《IEEE TIFS》,提出了全新的“iPrivJoin”隐匿求交方案。该方案实现了全流程加密联邦建模,能够更安全、更高效、更低成本地进行隐私计算。
3.翼方健数-揽睿星舟与天猫DIGITAL生态实验室共探AI驱动品牌经营的质效提升
翼方健数自主研发的AI服务平台揽睿星舟,正与DIGITAL生态实验室探索共建,高效对接AIGC服务方和品牌商家,推动营销场景下的内容进化。应用AI赋能的消费者运营场景有:AI人群、AI运营、AI客服以及隐私计算技术实现隐私保护的数字资产与模型共享。
4.瑞莱智慧加速构建通用人工智能,联合蚂蚁、百度风投等成立多模态大模型公司
近日,瑞莱智慧RealAI发起设立多模态大模型公司「北京生数科技有限公司」(简称生数科技),以加速构建通用人工智能能力。生数科技成立于2023年3月,将专注于打造世界领先的可控多模态通用大模型。日前,生数科技已完成近亿元人民币天使轮融资,本轮融资由蚂蚁集团领投,BV百度风投、卓源资本跟投,目前估值已达1亿美金。
05 推荐阅读
RECOMMENDED READING1.朱啸虎与傅盛隔空对辩,隐私数据才是大模型创业的未来赛场?近日,金沙江创投董事总经理朱啸虎和猎豹移动CEO傅盛就大模型创业的价值展开了激烈的辩论。尽管双方未能完全说服对方,但他们一致认为依靠私域隐私数据是未来创业的正确方向。隐私数据为创业公司提供了宝贵的驱动力,通过构建个性化的大模型,创业者可以提供精准、个性化的产品和服务。私域数据不仅有助于脱颖而出,还可以提升市场份额和用户忠诚度。虽然大模型创业存在挑战,但利用私域数据构建个性化大模型可能是最有活力的创业赛道之一。2.隐私计算技术确保的是安全还是隐私?它们有什么区别?隐私和安全是在隐私计算技术中重要的概念。隐私涉及保护个人自主权和避免不必要的干扰,而安全涉及保护数据免受未经授权的访问和保持数据的机密性、完整性和可用性。虽然安全对于保护隐私至关重要,但并非所有安全措施都能实现隐私保护。隐私计算技术如同态加密、可信执行环境、多方安全计算和差分隐私可以提供数据保护,同时确保数据安全和个人隐私的需求得到满足。综合考虑隐私和安全,可以保护个人权利、数据安全,并促进研究和创新。数字孪生是应对气候问题和降低碳排放的关键技术之一。它利用数据驱动的数字技术,在能源系统等行业实现数字化和脱碳,促进绿色循环经济发展。然而,数字孪生面临着安全和隐私挑战,需要解决数据共享和保护问题。针对英国能源系统实践,数字孪生在实现智能电网方面具有潜力,但需要解决数据隐私和安全性的问题。解决方案包括基于MPC的智能电表数据隐私保护、基于TEE和同态加密的数据隐私保护以及基于联邦学习的隐私能源数据保护。综上所述,数字孪生在降低碳排放和实现可持续发展方面具有重要作用,但需要充分考虑隐私和安全问题。4.《AI安全:技术与实战》一本书读懂人工智能AIGC安全腾讯安全团队在2018年遭遇了一支利用AI技术的黑产团伙,这引发了安全从业者对AI安全的关注。经过一年多的研究和实践,他们出版了《AI安全:技术与实战》一书。这本书从实际应用场景出发,深入分析各类攻击方法和技术原理,并提供了案例总结和实现过程,帮助提升AI技术的安全性。读者可以通过本书深入了解AI安全的重要性、识别安全挑战以及未来发展方向,并获得实际应用和技术实现方面的指导。该书在豆瓣上获得广泛好评,点击原文并通过留言可以免费获得本书。5.【AIGC与数据安全】线上专题沙龙回顾(附直播回放)在2023年的【AIGC与数据安全】线上主题沙龙中,北京航空航天大学、浙江理工大学、原语科技和华为MindSpore等机构的专家和学者们分享了关于AIGC技术和数据安全的见解。讨论内容包括生成式大模型的技术现状与挑战、AIGC的数据合规问题与挑战、联邦学习大模型的技术实践以及MindSpore在超大规模AI实践中的应用。这次活动为我们提供了更深入的了解,然而在保障数据安全方面,我们仍然面临许多挑战,需要持续努力和探索。近日,中国工程院中国新一代人工智能发展战略研究院首席经济学家、南开大学经济研究所所长刘刚教授发布了《中国新一代人工智能科技产业发展 2023》(原文文末可下载)。2023年报告的主题为“建设具有全球竞争力的人工智能产业集群”。报告指出,中国人工智能产业呈现明显的集群化趋势。超级平台如华为、腾讯、百度和阿里巴巴成为核心节点,推动人工智能产业发展。北京、广东和上海形成人工智能集群的"极点",技术合作关系密度最高。人工智能应用领域广泛,产业智能化创新集群逐渐形成。报告还强调网络空间产业创新生态对人工智能产业集群的重要性。7.衡阳一医院因数据保护不力造成泄露,当地网信办开出罚单!近日,衡南县网信办在省、市网信办的指导下,对违反《中华人民共和国数据安全法》的相关单位及责任人作出行政处罚。经查,衡南县某医院未履行数据安全保护义务,造成部分数据泄露,违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。据悉,这是衡阳市县级网信部门开出的首张“罚单”,也是衡阳网信部门在数据安全领域开出的首张“罚单”。近期国外发生了多起数据安全事件。美国政府被指购买个人信息,对公众隐私构成威胁;英伟达的人工智能软件被发现可操纵个人信息,引发数据泄露担忧;微软遭受DDoS攻击,虽未泄露客户数据但引发通信故障;健康保险公司Point32Health遭勒索攻击,患者数据可能被泄露;英国外包巨头Capita数据暴露7年,包含政府客户信息;丰田泄露200万辆车的敏感数据,包括实时位置;德国莱茵金属遭网络攻击,可能泄露敏感文件等。这些事件凸显了数据安全的重要性和挑战,提醒人们保护个人信息的重要性。9.微软:因DDoS攻击导致客户数据遭截取或外泄!微软在6月遭受一次重大通信故障,导致其服务中断近15个小时。经调查发现,这是一次复杂的DDoS攻击,攻击者使用多个工具和虚拟专用服务器来实施攻击。虽然服务中断影响广泛,但客户数据并未被访问或泄露。微软加强了第7层的保护措施,并分享了有关攻击的技术细节。微软为Azure客户提供了保护建议,但未披露具体损失或财务影响。美国国土安全部(DHS)发布了一项最终规定,要求国土安全部承包商保护受控非机密信息(CUI)的安全和隐私,改进事件报告流程。规定明确了受控非机密信息的处理要求、安全流程和程序,并要求承包商通知个人身份信息(PII)或敏感PII的受影响个体。该规定的成本估计为1.0762亿至1.2137亿美元,但预计将缩短操作授权时间、减少审核和重新发布时间,并提供更好的通知和信用监控服务。这项规定是对最近网络攻击事件的回应。上海市场监管局约谈了星巴克、SHAKE SHACK等饮食店,指责它们频繁索取用户手机号和注册会员等个人信息。执法人员对涉事门店进行了现场检查,并展示了相关录屏证据。指责内容包括诱导关注公众号、频繁索取用户信息、强制要求注册会员等行为。此举旨在保护消费者个人信息权益,促使企业改正相关行为。消费者对餐饮行业过度收集个人信息的行为表示强烈反对,商家若继续这样操作可能面临消费者抵制。编辑:李安国 | 谢彪 | 陈袁园 | 杨博慧