数据安全每周观察|推进行业高质量数据集建设行动方案征求意见

政策趋势

一、《关于推进行业高质量数据集建设行动的实施方案（征求意见稿）》公开征求意见

为贯彻落实党中央、国务院实施“人工智能+”行动有关决策部署，进一步加快推进行业高质量数据集建设，强化数据赋能人工智能创新发展，国家数据局综合司研究起草了《关于推进行业高质量数据集建设行动的实施方案（征求意见稿）》，现向社会公开征求意见。

《方案》保障措施部分强调，要建立健全尽职免责机制，完善试错容错管理制度，鼓励在依法依规、风险可控前提下开展创新探索。持续跟踪行业高质量数据集建设工作，完善监测指标，评估建设和应用成效，阶段性总结经验。强化安全保障，落实数据安全相关法律法规要求，建立全流程安全治理机制，防范数据投毒、数据篡改、数据泄露等安全风险，守牢数据安全底线。

二、五部门联合发布 AI 拟人化互动服务新规，7 月 15 日起施行

近日，国家网信办、国家发展改革委、工业和信息化部、公安部、市场监管总局联合发布《人工智能拟人化互动服务管理暂行办法》，自 2026 年 7 月 15 日起施行。

《办法》指出，拟人化互动服务提供者应当落实拟人化互动服务安全主体责任，建立健全算法机制机理审核、科技伦理审查、信息内容管理、网络和数据安全、风险预案和应急处置等管理制度，配备与服务类型、规模和用户特点相适应的内容管理技术措施和人员。

拟人化互动服务提供者应当在拟人化互动服务全生命周期履行安全责任，明确部署、运行、升级、终止服务等各阶段安全要求，保证安全措施与服务功能同步部署、同步使用，提升安全水平；加强安全监测和风险评估，及时发现并纠正系统偏差、处置安全事件，依法留存网络日志。

拟人化互动服务提供者应当依法落实数据产权等制度，采取数据加密、访问控制等措施保护用户交互数据安全。

国家网信部门会同有关部门指导推动人工智能沙箱安全服务平台建设，鼓励拟人化互动服务提供者接入沙箱平台进行技术创新、安全测试，促进拟人化互动服务安全有序发展。

网信、发展改革、工业和信息化、公安等部门在履行监督管理职责中，发现拟人化互动服务存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对拟人化互动服务提供者的法定代表人或者主要负责人进行约谈。拟人化互动服务提供者应当按照要求采取措施，进行整改，消除隐患。

三、2026年度第二批网络安全国家标准需求正式发布

为落实市场监管总局、中央网信办、工业和信息化部、国家数据局等四部门联合印发的《加快推动人工智能百项国家标准建设专项行动计划》，全国网络安全标准化技术委员会秘书处研究形成了2026年度第二批网络安全国家标准需求清单。

四、《数据产权登记工作指引（试行）》（公开征求意见稿）公开征求意见

为贯彻落实党中央、国务院关于加快构建数据基础制度的决策部署，培育全国一体化数据市场，国家数据局综合司研究起草了《数据产权登记工作指引（试行）》（公开征求意见稿），现向社会公开征求意见。

《指引》强调，登记机构应当具有完善的治理结构、登记业务管理制度、数据安全管理制度、数据安全风险处置预案和服务退出保障预案；配备专职审查团队，专职审查团队成员应当具备数据、法律等相关领域的专业资质和三年以上工作经验；建成支撑数据产权登记业务的信息系统，完成信息系统网络安全等级保护三级或以上备案，具备与国家数据产权登记服务平台对接的基础条件；

登记机构开展登记业务应当建立信息报送制度，按照数据管理部门要求及时报送数据产权登记有关情况；对登记申请人提供的材料承担保密义务，并采取必要措施保障数据安全，不得泄露和非法使用。

五、国家网信办、工信部、公安部三部门部署网络安全标识管理工作

国家互联网信息办公室、工业和信息化部、公安部，近日联合印发《网络安全标识管理办法》，旨在提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，将于2026年7月1日起施行。

《办法》明确，网络安全标识是指能够反映产品本身网络安全能力水平的信息标识。网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级，相应的标识等级分别用一星、二星、三星表示。

《办法》提出，网络安全标识管理工作坚持统筹发展和安全，产品生产者按照自愿原则参与；鼓励产品生产者依据本办法提升产品网络安全能力，标注网络安全标识；鼓励消费者优先选用标注网络安全标识的产品。

根据《办法》，需要标注网络安全标识的产品，产品生产者应当依据实施规则相关要求开展网络安全能力检测，确定网络安全能力等级，并取得检测报告。任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。

六、国家网信办等十部门联合公布《促进和规范电子单证应用规定》

近日，国家网信办、工业和信息化部、公安部、交通运输部、商务部、中国人民银行、海关总署、税务总局、市场监管总局、金融监管总局联合公布《促进和规范电子单证应用规定》，自2026年9月1日起施行。

《规定》明确了电子单证系统的可靠性、安全性要求。规定可靠的电子单证系统应当实现的功能，明确评价电子单证系统可靠性的因素。鼓励电子单证系统运营者向依法设立的认证机构申请系统可靠性认证。规定电子单证系统运营者等主体应当遵守《网络安全法》《数据安全法》《个人信息保护法》等法律、行政法规和国家有关规定。明确向境外提供与电子单证有关的数据，应当符合国家关于数据出境的相关规定。《规定》明确了监督管理要求和法律责任。规定国家网信部门会同国家有关主管部门制定相应的分类分级标准规范及管理要求，对电子单证系统建设运营和电子单证业务进行监督检查。

监管动态

一、科研船近海捞起筒形装置，竟然是采集水文敏感信息的“大谍鱼”

近日，国家安全部分享真实案例，一艘正在执行常规海洋环境勘测任务的科研船，突然捕捉到一条异常信号。科研人员立即启动了应急探测程序，随后将一个筒形装置打捞出水。该装置通体采用耐腐蚀合金材质，表面覆盖仿生涂层，隐约可见外文标识。

科研团队联想到了近期国家安全机关通报的情况，其中提到的某个设备与这个筒形装置特征高度相似，于是立刻拨打12339国家安全机关举报受理电话，报告了发现可疑装置的具体位置、外观特征等信息。国家安全机关迅速赶到现场，第一时间接收该装置，并展开调查工作。调查结果显示，这是一款来自境外的水下数据采集装置，能够持续采集我特定海域的水文敏感信息，并向境外回传数据，对我国家安全造成了威胁。

二、邯郸银行 晋州农商行因“违反数据安全管理等”被罚

近日，中国人民银行河北省分行行政处罚决定信息公示表显示：邯郸银行股份有限公司因：违反金融统计管理规定；违反账户管理规定；违反数据安全管理规定；违反流通人民币管理规定；违反信用信息采集、提供、查询相关管理规定；未按照规定开展客户尽职调查；未按照规定报告可疑交易；为身份不明的客户提供服务、与其进行交易，为客户开立匿名账户、假名账户，或者为冒用他人身份的客户开立账户；未按照规定制定、完善可疑交易监测标准。

针对以上问题，中国人民银行河北省分行对其警告，并处罚款190.37万元。

中国人民银行河北省分行行政处罚决定信息公示表显示：河北晋州农村商业银行股份有限公司因：违反金融统计相关规定，违反账户管理规定，违反数据安全管理规定，违反网络安全管理规定，违反流通人民币管理规定，违反人民币反假规定，占压财政存款或者资金，违反信用信息采集、提供、查询相关管理规定，未按照规定开展客户尽职调查。

针对以上问题，中国人民银行河北省分行对其警告，并处罚款225.34万元。

三、广西隆安农商行因“违反数据安全 网络安全”等被罚62.76万

近日，中国人民银行广西壮族自治区分行发布的一张罚单里，罚单显示，广西隆安农村商业银行股份有限公司的主要违法违规事实包括：违反数据安全管理规定，违反网络安全管理规定，占压财政存款或资金，违反信用信息采集、提供、查询及相关管理规定，未按规定开展客户尽职调查，未按规定报告可疑交易。

针对上述违法违规行为，中国人民银行广西壮族自治区分行对其警告，并处以62.76万元罚款。

四、光大银行重庆分行因“违反数据安全 网络安全”等被罚208.6万

近日，根据中国人民银行重庆市分行披露的行政处罚决定信息显示：中国光大银行股份有限公司重庆分行因存在以下违法行为被中国人民银行重庆市分行警告并处罚款208.6万元：

违反金融统计管理规定；违反账户管理规定；违反网络安全管理规定；违反数据安全管理规定；违反流通人民币管理规定；违反信用信息采集、提供、查询相关管理规定；未按照规定开展客户尽职调查。

五、杭州某公司因数据遭境外窃取被处罚

近期，浙江网信部门工作发现，杭州某科技有限公司数据库相关数据疑被窃取。经查，该公司所属服务器端口存在弱口令漏洞，被黑客攻击利用，导致相关数据被境外窃取。

该公司未依法履行网络安全、数据安全保护义务，未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》第二十三条、《数据安全法》第二十七条等法律法规规定。浙江省网信办依法责令其改正，并予以警告、罚款五万元处罚。

六、上海市网信办关于属地App个人信息收集使用问题的通报（2026年第一批）

根据中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定，上海市网信办组织对属地App、小程序等服务产品收集使用个人信息行为进行检测，并对有关问题予以通报。

七、Cloudinary误配置致敏感PDF可被枚举访问

近期，安全研究人员披露，知名自由职业平台Fiverr出现数据暴露事件。问题源于其使用的云媒体服务Cloudinary配置不当，导致大量PDF文档可被未授权访问。该事件并非传统入侵，而是典型的云资源“误配置（misconfiguration）”引发的数据泄露。

研究显示，这些PDF文件被公开托管在Cloudinary云存储中，且访问控制（access control）未正确限制，攻击者或普通用户仅通过可预测URL即可直接访问文件内容。暴露数据主要涉及用户提交的业务文档，包括合同、身份证明及其他敏感信息，存在潜在的个人身份信息（PII）泄露风险。

从技术角度看，问题核心在于Cloudinary资源的公开访问策略与文件命名机制。部分文件URL采用连续或可推测的路径结构，使得“枚举攻击（enumeration attack）”成为可能，即攻击者通过批量尝试URL即可获取大量文件。此外，缺乏鉴权机制（authentication）和访问令牌（token）保护，进一步扩大了暴露面。

该事件再次印证了当前云安全的主要风险来源并非底层漏洞，而是配置错误。据统计，约70%的云安全事件与误配置或人为错误相关。在多云和SaaS环境下，企业往往忽视对第三方服务的访问控制审计，导致数据在“合法平台”中被非法访问。

八、教育科技巨头数据泄露事件曝光，超亿级用户信息面临风险

教育科技公司McGraw Hill近日确认发生数据泄露事件，影响约1350万个用户账户。此次事件发生于2026年4月，攻击组织ShinyHunters通过利用其Salesforce环境中的配置错误获取数据，并在勒索未果后公开泄露超过100GB信息。

泄露数据主要包含个人身份信息（PII），包括电子邮件地址、姓名、电话号码及物理地址等，其中已确认至少涉及1350万个唯一邮箱账号。 这些信息具备较高滥用价值，可能被用于钓鱼攻击（phishing）和社会工程攻击。

McGraw Hill表示，此次事件仅涉及托管在Salesforce平台某网页上的“有限数据集”，未影响其核心系统，包括客户数据库、课程内容（courseware）及内部基础设施。 不过，攻击者声称曾获取多达4500万条记录，显示实际影响范围仍存在争议。

九、欧洲连锁健身房Basic-Fit被入侵，银行信息与到店记录遭泄露

欧洲大型健身连锁机构 Basic-Fit 于周一发布声明，其系统遭不明黑客入侵，多国会员个人信息被下载。该企业总部位于荷兰，此次泄露数据涵盖姓名、地址、电话号码、电子邮箱、出生日期、银行账户信息，以及会员订阅编号、类型、近期到店记录等。企业表示，用户密码与身份证件信息未被获取，目前暂无证据表明相关数据被公开或滥用。

据荷兰媒体报道，攻击者入侵了 Basic-Fit 存储多国会员数据的核心系统，受影响国家包括比利时、荷兰、卢森堡、法国、西班牙及德国，总计约一百万会员信息遭泄露，其中荷兰用户约二十万人。企业在数分钟内发现并阻断入侵，但部分数据已被窃取。

十、三星电子员工利用公司系统漏洞大规模收集个人信息 被起诉

近日，三星电子以一名员工利用公司内部安全系统漏洞,擅自大规模收集员工个人信息并向第三方提供为由,将该员工A某起诉至侦查机关。

三星电子当天通过公司内部公告表示:“近期,公司一名员工在公司内部业务网站上,在约1个小时内进行了两万余次访问并查询员工个人信息,这一情况已通过异常流量监测系统被探知。”公司解释称:“鉴于保护员工个人信息的必要性,我们判断有必要迅速采取措施防止类似事件再次发生,已收回相关特定网站的访问权限,并依据相关法律法规,向外部侦查机关正式请求展开调查。” 调查结果显示,A某使用自动重复运行的程序——“宏程序”,收集了员工姓名、所属部门、内联网ID等信息,并以文件形式向公司内部第三方转交。公司认为,这些信息很可能被用于谋取私利或达成特定目的。

侦查机关预计将重点调查从A某处接收信息的第三方身份,以及相关信息是否实际被用于制作和散布未加入工会人员名单等问题。三星电子表示,将通过强化系统和教育培训,防止员工个人信息受到不当侵害,并强调对任何未经授权的信息泄露行为,无论出于何种理由,都绝不予以容忍。

十一、北京某中西医结合医院被罚4.5万并责令停业

近日，北京某中西医结合医院因医疗信息安全制度和保障措施不健全，以及医疗质量管理和安全措施缺失，被给予警告、罚款4.5万元并责令停止执业活动。 根据“京朝卫医罚〔2026〕0035号”行政处罚决定书显示：北京某中西医结合医院存在“医疗信息安全制度、保障措施不健全，导致医疗信息泄露，或者医疗质量管理和医疗技术管理制度、安全措施不健全”的问题。

十二、在线旅游公司Booking遭黑客入侵 旅客姓名电话等隐私信息外泄

据外媒报道，全球最大的在线旅游公司Booking.com 昨日确认公司发生一起数据泄露事件，部分用户个人信息遭泄露，不过目前没有证据显示用户的金融支付信息被获取。

Booking.com在发送给受害者的通知邮件中透露相应用户的姓名、电子邮箱、住址、电话号码，以及用户曾提供给住宿方的其他信息均遭外泄，为降低风险，平台已对相关订单的PIN码进行了更新。 同时，Reddit平台还有部分受影响用户称，事发后接到诈骗来电及社交平台钓鱼信息，这表明黑客很有可能已经将相应数据转卖给黑灰产团体实施进一步诈骗。 值得注意的是，这并非该Booking.com平台首次曝出安全事件。早在 2023年底，就就黑客利用社会工程学手段入侵合作酒店员工设备，进而在设备中注入窃密木马，从而获取酒店方管理员账号，并导出旅客信息转卖给黑灰产团体。

十三、欧洲最大健身连锁品牌Basic-Fit遭入侵100万会员数据泄露

近日，欧洲最大健身连锁品牌Basic-Fit披露一起严重数据泄露事件。Basic-Fit在其网站上发布声明称，黑客未经授权访问了记录会员到访信息的系统，导致约100万名会员个人信息遭窃取，涉及荷兰、比利时、卢森堡、法国、西班牙及德国六国。经调查确认，泄露数据包括会员姓名、住址、电子邮箱、电话号码、出生日期、银行账户详情及其他会员信息。Basic-Fit强调，其系统监控程序在数分钟内即发现并阻止了入侵行为。且加盟店客户数据因存储于独立系统未受影响，因为它存储在单独的系统中。 Basic-Fit的指出，欧洲各地的健身房拥有约500万会员。官方披露，此次数据泄露事件并未导致任何身份证明文件或账户密码被访问。

根据欧盟的数据保留法律，Basic-Fit必须在两年后自动删除所有个人数据和会员资格。会员终止服务一年后，仍可通过“My Basic-Fit”应用程序访问其数据。应用程序内的信息应在用户从设备卸载该应用两个月后以及会员资格终止时自动删除。 Basic-Fit公司表示，其对该事件影响的调查并未发现数据已泄露到网上。尽管如此，该公司仍将在外部专家的协助下继续进行监控。

业界之声

一、深入推进数字中国建设，三方面部署十五五时期数字中国建设

近日，国家数据局局长刘烈宏发表署名文章《深入推进数字中国建设》，系统总结了数字中国建设第一个十年的显著成就。

文章指出，目前数字化发展环境持续改善优化。数字经济发展常态化监管制度加快建立，数据标准化工作体系不断健全，数字化发展环境更加公平有序。网络安全和数据安全保障体系逐步健全，数据流通安全治理制度加快完善，关键信息基础设施安全防护能力不断提升，网络生态持续向好，为促进新业态的健康发展提供有力保障。数字领域国际合作加快推进，近两年与29个国家签署数字经济合作谅解备忘录，“丝路电商”伙伴国增至36个，数字经济“中国主张”得到越来越多国家的积极响应。

要营造健康有序的发展生态。良好的国内和国际发展环境是数字中国建设行稳致远的有力支撑。“十五五”时期，要坚持促进发展和规范管理相统筹，深入推进数字中国建设综合试点、数字经济创新发展试验区、数据要素综合试验区、数据领域国际合作试点等工作，加快建立健全适应数智化发展的制度规则体系，持续优化营商环境，提升数智领域国际化水平，充分激发数智化发展的内生动力和创新活力。一要健全数据要素基础制度。深化数据要素市场化配置改革，建设开放共享安全的全国一体化数据市场，构建全国统一的数据产权登记体系，探索兼顾各方利益的数据收益分配机制，推进数据安全保护能力建设。二要完善科学有效监管机制。健全人工智能等新技术新业态安全监管框架，推动平台经济创新和健康发展，依法打击数据滥用、深度伪造、泄露隐私等行为。三要拓展数智领域国际合作。构建全球数字合作伙伴关系网络，深化电子商务、数字支付、智慧城市等领域合作。积极参与人工智能、数字货币、数据跨境流动等领域国际治理，推动建立各国广泛参与的人工智能治理框架。

二、让公共数据“跑起来”“活起来

近日，国家数据局数据资源司司长张望做客人民网“数据大家谈”栏目，围绕公共数据资源开发利用的政策体系、实践成效与安全底线进行了深度解读。

他强调，安全问题是在推进开发利用过程中始终牢牢把握的底线。 一方面，要坚持规范化管理。通过“1+3”政策文件，明确了授权运营过程中必须严格履行的资源登记、科学决策、规范运营、强化监管等程序。另一方面，要综合利用制度和技术手段守牢数据安全底线。他指出，国家数据局部署了隐私保护计算、区块链、可信数据空间等6种技术路线的试点验证，建立数据安全流通利用的“工具箱”，确保开发利用全过程可追溯、可管控。开发利用公共数据，必须在依法合规，充分保护个人隐私、企业商业秘密和国家安全的前提下进行，这条底线和红线任何时候都不能逾越。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。

相关阅读