作者:金茂律师事务所 万波 律师 徐冰清 律师 王书玥 律师助理
摘要:金茂律师事务所合规团队致力于网络安全与数据合规领域研究,帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。
目录
一、立法动态
1、最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释
2、个人信息保护新规将出台 消费者被短信轰炸将成为历史
3、三部门发文加快推进IPv6规模部署和应用 为建设网络强国和数字中国提供坚实支撑
4、《党委(党组)网络安全工作责任制实施办法》发布
5、央行推动出台《征信业务管理办法》,目标个人数据保护
二、执法动态
1、未来三年5G行业应用是发展重点 5G行业赋能将实现三大重点指标
2、中央网信办:不良粉丝文化整治工作取得阶段性成效
3、“人脸识别”别乱用,广东启动个人信息保护公益诉讼
4、广东开展摄像头网络安全集中整治专项行动
三、司法审判
1、惠州市人民检察院督促整治售楼场所违法采集消费者生物信息行政公益诉讼案
四、新闻事件
1、青爱工程开展未成年人暑期网络安全教育活动,相关热点播放5.2亿次
2、上线首日近30万人次参与 2021网民网络安全感满意度调查获网民关注
3、CNCERT发布《2021年上半年我国互联网网络安全监测数据分析报告》
4、工信部:强化大型互联网企业责任担当,切实履行数据保护义务
5、创纪录!亚马逊违反欧盟《通用数据保护条例》(GDPR)被处57.29亿元罚款
6、搞瘫美国最大燃油管道的黑客软件卷土重来:性能再升级
7、美国颁布基础设施法案 网络安全拨款20亿美元
8、iPhone手机扫描用户相册,苹果回应:保护儿童安全!
9、6300万美国用户的信息存在泄露风险
立法动态
1、最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释
7月28日上午,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。最高人民法院副院长杨万明,最高人民法院研究室副主任郭锋,最高人民法院研究室民事处处长陈龙业出席发布会并介绍相关情况,最高人民法院新闻发言人李广宇主持发布会。《规定》的起草,以习近平法治思想为指导,严格遵循民法典人格权编及相关法律的规定精神,坚持问题导向、需求导向,针对实践中反映较为突出的问题,从侵权责任、合同规则以及诉讼程序等方面规定了16个条文。其中,《规定》第10条首次明确了物业不得将人脸识别作为进出小区的唯一验证方式,对人民群众普遍关心的问题予以了回应。(来源:最高人民法院官网)
2、个人信息保护新规将出台 消费者被短信轰炸将成为历史
上海证券报记者近日获悉,工业和信息化部将会同相关部门尽快发布实施《移动互联网应用程序个人信息保护管理的暂行规定》(以下简称《规定》)。《规定》将为个人信息保护提供更加坚实的政策保障。在新规的引导下,多个电商平台已经主动加强了对客户信息的保护力度。工业和信息化部信息通信管理局的人士近日透露:“在充分吸收社会各界意见的基础上,工业和信息化部会同相关部门制定了《规定》的征求意见稿,社会各界提出了一些好的意见和建议,我们正在研究采纳。在此基础上,尽快会同有关部门发布实施。”在征求意见稿中,管理部门明确了App开发运营者的信息保护义务。《规定》要求,App开发运营者加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求。App开发运营者还要履行国家规定的其他个人信息保护义务。(来源:上海证券报)
3、三部门发文加快推进IPv6规模部署和应用 为建设网络强国和数字中国提供坚实支撑
中央网信办、国家发展改革委、工业和信息化部日前印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(以下简称《通知》)。《通知》指出,互联网协议第六版(IPv6)是互联网升级演进的必然趋势、网络技术创新的重要方向、网络强国建设的基础支撑。“十四五”时期是加快数字化发展、建设网络强国和数字中国的重要战略机遇期,我国IPv6发展处于攻坚克难、跨越拐点的关键阶段,要立足新发展阶段,贯彻新发展理念,构建新发展格局,落实高质量发展要求,坚定不移推进IPv6规模部署和应用。《通知》强调,要以全面推进IPv6技术创新与融合应用为主线,以提升应用广度深度为主攻方向,着力建设开放创新的技术体系、性能先进的设施体系、全面覆盖的应用体系、生态良好的产业体系、系统完备的标准体系、自主可控的安全体系,实现IPv6规模部署和应用从能用向好用转变、从数量到质量转变、从外部推动向内生驱动转变,打造创新发展新优势,为建设网络强国和数字中国提供坚实支撑。《通知》围绕落实“十四五”目标指标,聚焦IPv6部署应用的关键环节,部署了强化网络承载能力、优化应用服务性能、提升终端支持能力、拓展行业融合应用、加快政务应用改造、深化商业应用部署、培育创新产业生态、加强关键技术研发、推动标准规范制定、强化安全保障能力等共10个方面30项重点任务,提出加强组织领导、完善政策措施、开展监测通报、组织试点示范、加强宣传推广、深化国际合作等6项保障措施。(来源:法制网—法制日报)
4、《党委(党组)网络安全工作责任制实施办法》发布
2021年8月4日,《人民日报》头版发布《中国共产党党内法规体系》一文。同时,《中国共产党党内法规汇编》公开发行,收录了《党委(党组)网络安全工作责任制实施办法》(以下简称《实施办法》),正式揭开了《实施办法》的神秘面纱。党内法规具有强烈政治属性、鲜明价值导向、科学治理逻辑、统一规范功能,高度凝结党的理论创新和实践经验,是党的中央组织,中央纪律检查委员会以及党中央工作机关和省、自治区、直辖市党委制定的体现党的统一意志、规范党的领导和党的建设活动、依靠党的纪律保证实施的专门规章制度。《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规,它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。《实施办法》所划定的责任主体,具有各自不尽相同的责任范围,形成一张相互交织、没有死角的网络安全责任网络,严密覆盖每一个行业和领域、地区、关键信息基础设施运营单位、党政机关。(来源:“关键基础设施安全应急响应中心”微信公众号)
5、央行推动出台《征信业务管理办法》,目标个人数据保护
7月30日,人民银行召开2021年下半年工作会议。会议要求,继续做好金融服务和管理。推进金融业重要立法。深化放管服改革。继续做好金融业综合统计各项工作。积极推动支付服务降费政策落地见效。做好金融科技赋能乡村振兴示范工程、金融数据综合应用试点。落实好北京冬奥会各项金融服务工作任务。深入整治拒收现金。加快完善国库管理制度,大力推进信息化建设。推动出台《征信业务管理办法》,加强个人数据和信息主体权益保护。完善反洗钱工作协调机制。严厉打击侵害金融消费者合法权益的行为。(来源:“支付百科”微信公众号)
执法动态
1、未来三年5G行业应用是发展重点 5G行业赋能将实现三大重点指标
工业和信息化部等十部委日前联合启动《5G应用“扬帆”行动计划(2021-2023年)》。工业和信息化部负责人昨天(7月25日)在5G行业应用规模化发展现场会上表示,未来三年5G行业应用是发展重点,5G行业赋能要实现三大重点指标。《5G应用“扬帆”行动计划(2021-2023年)》提出,到2023年要实现5G在大型工业企业渗透率达到35%、每重点行业5G示范应用标杆数达到100个、5G物联网终端用户数年均增长率达到200%三大指标。工业和信息化部信息通信发展司司长谢存:实施行业融合应用深化行动,推进5G在工业互联网、车联网、物流、港口、采矿、电力等9个行业的深度应用,加快重点行业数字化转型进程,争取三年内取得突破性进展,初步形成5G应用创新体系。谢存表示,当前我国5G发展已走在世界前列,5G应用无现成经验可以借鉴。5G总体上仍处于发展初期,与行业的融合是一个渐进过程,需要遵循从试点示范到规模推广再到大规模应用的规律,其中必然经历各种坎坷,要充分认识5G应用发展的复杂性和艰巨性。预计2023年,我国每万人拥有5G基站数达到18个,5G个人用户普及率要达到40%,5G网络接入流量占比达到50%。(来源:央视网)
2、中央网信办:不良粉丝文化整治工作取得阶段性成效
央广网8月3日消息 近日,针对网上不良粉丝文化等问题,中央网信办、国家广播电视总局等部门持续加大监管力度,深入开展专项整治,督促网站平台规范和引导粉丝群体理性追星。专项整治主要围绕明星榜单、热门话题、粉丝社群、互动评论等环节,深入清理涉粉丝群体违法违规和不良信息。目前,已累计清理负面有害信息15万余条,处置违规账号4000余个,关闭问题群组1300余个。据悉,国家广播电视总局也针对个别网络综艺节目片面追逐商业利益、过度娱乐化炒作、传播畸形偶像文化等突出问题,开展了为期一个月的专项排查整治。下一步,中央网信办、国家广播电视总局将进一步通过加强网上涉明星信息规范、强化账号管理、完善黑产打击机制、进一步压实网络综艺节目制作和播出机构主体责任等方式,为长效整治和规范粉丝文化打下坚实基础。(来源:央广网)
3、“人脸识别”别乱用,广东启动个人信息保护公益诉讼
7月30日,广东省人民检察院公布广东省个人信息保护检察公益诉讼典型案例,其中,针对广东省江门市住宅小区违规设置“人脸信息识别”门禁系统存在泄露个人信息风险案件,检察机关采用“公开听证+检察建议”的方式督促行政机关依法履职,推动建立监管协作机制,保护业主个人信息安全。2021年2月,江门市江海区人民检察院在对辖区所有封闭式管理的小区使用“人脸信息识别系统”的情况进行排查中,发现了本案公益损害线索,于3月2日以行政公益诉讼立案调查。江门市江海区“某某花园”“某某豪庭”等7个住宅小区物管公司在未向行政主管部门申请并审核验收的情况下,擅自安装并投入使用“人脸信息识别”门禁系统,且已完成大部分小区业主的人脸信息采集。小区物管公司仅口头告知收集业主的人脸信息、联系电话、住宅地址等个人信息用于安保门禁,并未明示“人脸信息”的存储、传输、提供等处理情况,涉嫌侵害不特定多数人的个人信息安全。3月19日,为进一步查明公益受损事实,厘清行政机关监管职责,检察机关组织召开“人脸信息识别系统安全监管”公开听证会。3月30日,江海区人民检察院向该区公安分局发出行政公益诉讼诉前检察建议,督促其对辖区擅自安装并投入使用“人脸信息识别”门禁系统的违法行为依法履职。截至2021年5月,该区公安分局已联合相关行政机关对辖区住宅小区、商场学校、楼盘销售部等进行全面检查,对依法依规安装的场所要求签订承诺书,对存在风险隐患的场所责令限时整改并接入公安网管系统,对违法安装的场所做出拆除并清空所有数据的处理。(来源:新华网)
4、广东开展摄像头网络安全集中整治专项行动
“广东信息通信业”微信公众号8月6日消息,为深入贯彻落实工业和信息化部等四部门《关于开展摄像头偷窥等黑产集中治理的公告》要求,有效打击利用摄像头安全漏洞侵害公民个人隐私等违法违规行为,广东省通信管理局近期成立专项行动小组,组织省内基础电信企业、专业机构及视频监控云平台、摄像头生产企业开展摄像头网络安全集中整治专项行动。通过开展视频监控云平台网络和数据安全专项现场检查、规范摄像头生产企业产品安全漏洞管理、加大联网摄像头安全威胁监测处置力度等措施消除摄像头网络安全隐患,维护公民在网络空间的合法权益。为确保专项行动落到实处,广东省通信管理局结合实际制订了网络安全现场检查工作方案并下发《广东省通信管理局关于开展摄像头网络安全集中整治专项行动现场检查的通知》,细化检查要点,规范检查程序。7月中下旬,由网络安全管理处、深圳市通信管理局和第三方技术支撑单位组成的13人现场检查工作小组分成两拨分别奔赴广州、深圳对省内5家摄像头生产企业进行了针对性的现场检查和技术测试:一是检查企业网络安全管理和视频监控云平台防护技术措施落实情况;二是检查数据安全和用户个人信息保护落实情况;三是对视频监控云平台相关网络单元存在的可导致网络与系统阻塞、中断、瘫痪或者被非法控制等严重危害的高危漏洞、弱口令等重大安全隐患,以及木马、病毒、僵尸程序等恶意程序进行技术测试。四是检查视频监控APP应用违法违规收集使用个人信息情况。下一步,广东省通信管理局将按照工信部工作部署要求,加强政企联动,压实企业责任,狠抓任务落实,建立长效机制,组织各企业持续优化自身网络安全防护体系建设,确保摄像头网络安全集中整治专项行动取得成效。(来源:“广东信息通信业”微信公众号)
司法审判
1、惠州市人民检察院督促整治售楼场所违法采集消费者生物信息行政公益诉讼案
要旨:针对房地产销售处非法采集、使用消费者人脸识别信息的市场乱象,检察机关开展统一专项监督行动,通过诉前“磋商+检察建议”方式督促行政机关履职。延伸监督范围,推动行政机关开展全市打击侵害消费者个人信息违法行为专项行动,合力维护消费者合法权益。
基本案情:惠州市部分房地产售楼处为便于商品房销售及计算销售人员业绩等目的,未经消费者同意擅自采集、使用、储存消费者人脸识别信息,严重侵害众多不特定消费者个人信息安全,损害了社会公共利益。
调查和督促履职:惠州市人民检察院(以下简称惠州市院)成立专案组,以人脸识别技术运用较泛滥、易忽视的房地产领域为“切入口”,在辖区内开展多方调查和走访后,于2021年3月1日部署开展全市房地产领域个人信息保护专项监督行动。为协同调查,惠州市院启动了市、区县两级检察院一体化办案机制,统筹各区县院开展初查,于3月5日至3月22日期间,分别对全市住房和城乡建设局、市场监督管理局、国土资源分局、房产管理局等17个行政机关立案调查。立案后,惠州市院专案组先选取7个在售楼盘作为重点查实有关情况,再商请惠州市住房和城乡建设局、惠州市公安局等多个执法部门协助开展全市范围的调查取证工作,查明全市500多家在售房产项目是否存在使用人脸识别技术的情况。为准确厘清行政机关管理职责,确保整治效果,惠州市院邀请市人大代表、政协委员、人民监督员、人脸技术专家、相关行政机关、市房地产业协会(以下简称房协会)、市消费者权益保护委员会(以下简称消委会)和房产企业代表进行磋商,广泛听取意见,共商推进整治方案。3月期间,惠州市区两级院分别向全市住房和城乡建设局、市场监督管理局、国土分局、房产管理局等17个行政机关发出行政公益诉讼诉前检察建议,督促依法履职,消除隐患、加强监管、规范行业自律,构建长效机制。收到检察建议后,各相关行政机关积极履职,相继出台了《惠州市住房和城乡建设局关于规范商品房销售场所使用人脸识别系统的通知》《惠州市市场监管局关于开展打击侵害消费者个人信息违法行为专项行动方案》和《惠东县房产管理局关于做好人脸识别信息相关工作的通知》等文件,以联合执法和督促限期自查自纠等方式要求彻底整改、规范管理。截止5月,全市共联合排查在售项目651家次,督促涉案售楼处全部按要求彻底整改,删除非法采集信息99726条,向经营者、消费者进行宣传教育和维权引导2000多人次。2021年5月下旬,惠州市院分别联合惠州市住房和城乡建设局、惠州市市场监督管理局开展“回头看”,对全市7个县区24个在售楼盘进行抽检,经确认均整改到位。
典型意义:随着人工智能等科学技术在个人消费领域的广泛运用,部分商家滥用人脸识别技术,严重威胁公民个人信息安全,侵害消费者合法权益。针对房地产销售领域非法采集、使用消费者人脸识别信息的行为,检察机关通过诉前磋商和发出检察建议的方式督促履职,促使行政机关达成一致共识,共同提出切实可行的整治方案,在各自职责范围内出台相关规范性文件,指导房地产行业自律自治、消除隐患、加强监管,共同维护消费领域个人信息安全。(来源:广东省人民检察院官网)
新闻事件
1、青爱工程开展未成年人暑期网络安全教育活动,相关热点播放5.2亿次
为进一步推进新修订的《中华人民共和国未成年人保护法》的实施并响应中央网信办启动的“清朗·暑期未成年人网络环境整治”专项行动,2021年暑假期间,中国青少年艾滋病防治教育工程办公室、北京青爱教育基金会、字节跳动公益项目感光计划共同发起以“关注青少年网络安全”为主题的2021青少年网络安全教育活动。本次活动特别联合13名青爱工程爱心大使,17名青爱工程学术委员会专家、全国种子教师和青爱小屋专责教师,在“保护个人隐私”“远离不良信息”“防范网络诈骗”“拒绝网络欺凌”“抵制盗版作品”“预防网络沉迷”“理性追星与线上交友”“防止过度消费”等方面,面向全国中小学学生及家长普及安全上网知识,提高其网络安全防范意识和实践能力,共同筑牢家庭保护的第一道防线。本次活动通过剧情出演和科普问答等方式,聚焦解决网上危害未成年人身心健康的突出问题,在一定意义上解决了很多未成人上网安全防护和一些家庭在未成年子女用网管理方面的实际困难。同时活动在社会共识建立,家长责任及应对,提升未成年人使用互联网的引导与管理能力等方面,力图与家长、青少年群体达成同理共情,减少因教育缺失导致的网络安全事故发生。青爱工程爱心大使赵露思、李丹阳、林跃、李一桐、海陆、大志等,行业专家医路向前巍子、于刚美和等,抖音公益、抖音辟谣、感光计划等官方账号都对相关内容进行了深度解读和广泛传播。活动内容推动期间,“守护暑期安全”话题在抖音平台曝光量达5.2亿,话题热度仍在进一步上升中;相关热点词“这个夏天守护你”展示量1.1亿次播放。(来源:中国日报网)
2、上线首日近30万人次参与 2021网民网络安全感满意度调查获网民关注
2021网民网络安全感满意度调查活动于8月3日9时正式上线,截至8月4日22时,有效样本采集数突破50万,引发网友热议,社会反响强烈。网民网络安全感满意度调查活动是全国性大型公益活动,由全国135家网络安全行业协会及相关社会组织共同发起,重点关注网民的感受和诉求、老年人与网络世界的数字鸿沟、数据安全治理等内容。活动启动后,聚合政府、企业、学校、媒体等相关机构力量,多渠道、多平台激活网友参与调查活动热情,活动上线首日吸引近30万人次网民参与。今年是中国共产党成立100周年,也是“十四五”开局之年,数字中国建设的蓝图已绘就。在这个网络安全尤为重要的时代,群众的用网感受和建议,是国家建设网络强国的关键。网民网络安全感满意度调查活动,通过开展切实深入到寻常百姓中的民意调查,让网民说事有门、办事有人、难题有解;让政府职能部门及时发现网民反映的共性、焦点问题;也让更多网民参与网络安全共建,为国家提升数据安全治理效能汲取政策智慧、收获决策启示。(来源:人民网)
3、CNCERT发布《2021年上半年我国互联网网络安全监测数据分析报告》
为全面反映2021年上半年我国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况,CNCERT对上半年监测数据进行了梳理,形成监测数据分析报告部分如下:(一)安全漏洞。国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13,083个,同比增长18.2%。其中,高危漏洞收录数量为3,719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量为7,107个(占54.3%),同比大幅增长55.1%。按影响对象分类统计,排名前三的是应用程序漏洞(占46.6%)、Web应用漏洞(占29.6%)、操作系统漏洞(占6.0%)。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.8万起。(二)云平台安全。发生在我国云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。同时,攻击者经常利用我国云平台发起网络攻击,其中云平台作为控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的51.7%、作为攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的79.3%、作为木马和僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的65.1%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的89.5%。
4、工信部:强化大型互联网企业责任担当,切实履行数据保护义务
7月28日,受工业和信息化部网络安全管理局委托,中国互联网协会组织阿里巴巴、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58集团、百度、拼多多、蚂蚁集团等12家重点互联网企业召开贯彻落实《数据安全法》座谈研讨会,进一步提高思想认识,指导督促企业做好贯彻落实工作,切实承担起数据安全企业责任。中国互联网协会介绍了在数据安全领域的工作,包括组建相关工作委员会、开展数据安全论坛等活动、发布团体标准和研究报告、受理有关举报投诉等。会上,12家重点互联网企业主管数据安全工作的公司主要负责人就《数据安全法》的认识和理解、企业落实数据安全责任的具体措施进行了交流,分享了各自企业在数据安全方面的典型工作经验。网络安全管理局要求各企业深入落实《数据安全法》,明确数据安全责任部门和责任人,切实加强数据安全保护。一是认真学习贯彻《数据安全法》明确的监管机制、制度体系、主体责任、保护义务等相关要求,做到知法、懂法、守法,将保护数据安全作为企业生产经营的底线和红线,维护国家主权、安全和发展利益。二是强化大型互联网企业责任担当,切实履行数据保护义务,企业要加强组织领导,建立全生命周期的数据安全管理体系和机制,采取相应的技术措施开展风险监测和应急处置,加强重要数据风险评估和出境管理。三是希望企业积极参与、主动配合,共同构建协同共治的行业数据安全监管体系,鼓励企业参与数据安全标准研制,主动支持行业监管和关键技术研发等工作。(来源:“第一财经”微信公众号)
5、创纪录!亚马逊违反欧盟《通用数据保护条例》(GDPR)被处57.29亿元罚款
2021年7月30日,据彭博社报道,亚马逊面临欧盟有史以来最大的数据隐私泄露罚款,欧盟监管机构将对其违反《通用数据保护条例》(GDPR)的行为作出7.46亿欧元(约57.29亿元人民币,8.88亿美元)的处罚。亚马逊周五在一份监管文件中披露了卢森堡数据保护局(CNPD)7月16日的决定。该决定称,亚马逊“对个人数据的处理不符合GDPR”。亚马逊在文件中说,罚款是“没有根据的”,并将“在这个问题上为自己大力辩护”。亚马逊将对该决定提出上诉。该决定始于2018年一家法国隐私权利团体的投诉调查。亚马逊在一份声明中说:“没有数据泄露,也没有客户数据被暴露给任何第三方。这些事实是无可争议的。我们坚决不同意CNPD的裁决。”自GDPR于2018年5月生效以来,欧盟数据保护监管机构的权力大大增加。它首次允许监督机构对一家公司征收高达全球年销售额4%的罚款。IT之家获悉,迄今为止,最大的罚款是法国CNIL对谷歌开出的5000万欧元(约3.84亿元人民币)的罚单。卢森堡的数据监督机构CNPD没有立即回复寻求评论的电子邮件。当地法律规定,卢森堡当局必须保守职业秘密,不能对个别案件进行评论,也不能确认收到投诉。(来源:IT之家)
6、搞瘫美国最大燃油管道的黑客软件卷土重来:性能再升级
在今年5月,黑客团队“黑暗面”(DarkSide ransomware group)导致美国“输油大动脉”一度瘫痪,甚至宣布进入国家紧急状态,也因此声名大噪。在成功获得了赎金后,迫于多方压力最终DarkSide宣布解散。据外媒报道,日前,网络安全公司声称一个新的危险黑客组织已经成立,该组织融合了DarkSide和另外两种著名勒索软件的功能。根据网络安全公司Recorded Future的说法,新成立的黑客团队名为黑物质集团(BlackMatter group),该组织声称其已经成功融合了DarkSide和勒索软件“REvil”和“Lockbit”的最佳功能。目前,BlackMatter正在活跃在各大黑客论坛上,但是它并不是为了出售自己的软件,而是在搜集那些已经被其他黑客攻击的企业。Recorded Future指出,BlackMatter的目标主要是已经被黑客入侵的澳大利亚、加拿大、英国和美国的公司网络,并要求这些公司的收入至少1亿美元以上,拥有500-15000台网络主机。此外,网络安全公司Malwarebytes表示,BlackMatter在其网站发表声明称,并不会针对医院、关键基础设施、国防工业和政府部门等特定行业发动攻击。而这一声明与之前黑客组织DarkSide的声明颇为相似,该组织在今年5月曾表示,其目的是为了赚钱,而不是制造社会混乱。以后将对每一家公司进行核查,以避免造成不必要的社会问题。(来源:人民产经观察)
7、美国颁布基础设施法案 网络安全拨款20亿美元
美国参议员最近公布了1.2万亿美元的跨党派基础设施法案终版,白宫表示,该法案将拨款约20亿美元,用于提升美国网络安全能力。《基础设施投资和就业法案》旨在为道路、桥梁、交通安全、公共交通、铁路、电动汽车基础设施、机场、港口、水道、宽带互联网、环境修复和电力基础设施提供资金。本周,白宫表示,该法案还将投资约20亿美元,以“实现联邦、州和地方IT及网络的现代化和安全;保护关键基础设施和公共设施;并支持公营或私营实体应对重大网络攻击和漏洞并从中恢复。”该法案中共有300多处出现“网络”和“网络安全”字样,其中包括网络响应与恢复基金,该基金将在2028年之前每年提供2000万美元,用于协助政府和私营部门企业应对网络事件。用于加强电网安全的拨款总额达5.5亿美元。部分资金用于开发各类解决方案,从而识别和缓解漏洞,提高现场设备和控制系统的安全性,以及解决与劳动力和供应链相关的问题。(来源:数世咨询)
8、iPhone手机扫描用户相册,苹果回应:保护儿童安全!
据美国《金融时报》等主流媒体报道,苹果计划使用名为“neuraIMatch”系统扫描iPhone手机、iCloud上面的照片,以便找到不利于保护儿童的照片。一旦苹果发现非法图像,主动转移至人工审核,经人工验证确属非法内容将联系执法部门。如果该项计划真正得到实施,那就意味着你在苹果手机、苹果云端存储的所有照片都有可能受到neuraIMatch监视,甚至你的照片还有可能被人工查看,苹果引以为傲并不断攻击对手的绝对隐私能力荡然无存。消息公布后引发轩然大波,无数苹果粉丝要求给出说法,并且请愿苹果停止neuraIMatch计划,不想无缘无故泄露隐私。苹果方面对此解释,neuraIMatch并不会完全扫描手机所有图库,而是使用密码学把图片与机器学习数据进行对比,不会影响到普通用户的隐私问题。而且苹果明确表示neuraIMatch暂时只会在美国使用,只有在用户打开iCloud时才能开启,再三强调neuraIMatch不会被有心人利用。虽然苹果方面否认存在泄露用户隐私,然而美国霍普金斯大学教授、密码学专家Matthew Green从专业的角度驳斥苹果狡辩,并且对neuraIMatch系统感到担忧。这位密码学专家认为,虽然苹果暂时还不会拿neuraIMatch做更多事情,但可以想象掌握如此能力的公司或机构,未来会发生什么?neuraIMatch存在可能被滥用的数据库,而普通消费者却无法查看这些数据,另有多位顶级科技领域专家和学者表示“苹果的这一举动将是让个人隐私领域倒退一大步”。(来源:老孙说手机)
9、6300万美国用户的信息存在泄露风险
据外媒,近日美国安全企业VPNMentor发现了一起重大数据泄露事件,一个属于OneMoreLead的数据库将多达6300万的用户信息(工作地点、电子邮件地址和姓名)储存在一个没有保护的数据库中。据悉,VPNMentor在4月16日注意到这起数据泄漏事件,并在四天后通知OneMoreLead。由于他们未能保证这个数据库的安全,至少有6300万人可能被诈骗,他们的身份信息被盗,甚至更糟。该公司的安全研究人员表示,VPNMentor的网络安全团队在一个常规研究项目中发现了这个数据库,但目前尚不清楚数据的来源。研究人员指出,如果要收集1.26亿美国公民的数据,OneMoreLead公司必须在该公司启动之前很久开始收集数据。无论他们是如何掌握这些数据的,该公司都要对因未能保护这些记录而造成的任何损失负责。而且OneMoreLead有很大可能会受到法律诉讼,因为受数据泄露影响的大多数人都是加利福尼亚的居民,这意味着他们受到该州数据隐私法的保护。(来源:中关村在线)