一、《网络安全技术 生成式人工智能服务安全基本要求》等三项生成式人工智能国家标准正式发布

　　2025年4月25日，GB/T 45654-2025《网络安全技术 生成式人工智能服务安全基本要求》、GB/T 45674-2025《网络安全技术 生成式人工智能数据标注安全规范》、GB/T 45652-2025《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》三项生成式人工智能国家标准正式发布，并将于2025年11月1日正式实施。

　　1.GB/T 45654-2025 网络安全技术 生成式人工智能服务安全基本要求

　　2.GB/T 45674-2025 网络安全技术 生成式人工智能数据标注安全规范

　　3.GB/T 45652-2025 网络安全技术 生成式人工智能预训练和优化训练数据安全规范

　　2025年4月25日，GB/T 45574-2025 《数据安全技术 敏感个人信息处理安全要求》和GB/T 45577-2025 《数据安全技术 数据安全风险评估方法》发布，并将于2025年11月1日正式实施。

　　1.GB/T 45574-2025 《数据安全技术 敏感个人信息处理安全要求》

　　三、《面向数据流通的匿名化处理实施指南（草案）》等技术文件及标准草案公开征求意见

　　为贯彻落实《国家数据标准体系建设指南》《国家数据基础设施建设指引》《关于促进数据标注产业高质量发展的实施意见》等政策文件要求，加快推进数据基础设施建设，推动行业高质量数据集建设，促进数据高质安全流通，全国数据标准化技术委员会秘书处推动形成了《高质量数据集建设指南（征求意见稿）》技术文件，WG5数据技术标准工作组推动形成了《高质量数据集 格式要求（草案）》、《面向数据流通的匿名化处理实施指南（草案）》、《面向数据流通的匿名化效果评估方法 （草案）》等标准，WG6数据基础设施标准工作组推动形成了《数据基础设施 参考架构（草案）》等标准，现面向社会公开征求意见。

　　为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划（2024—2028年）》等政策文件要求，充分考虑可信数据空间作为数据基础设施重要技术路线的定位，在国家数据局指导下，全国数据标准化技术委员会重点围绕可信数据空间技术架构、业务流程、安全要求等方向开展研究，编制形成《可信数据空间 技术架构》技术文件。

　　在空间运行安全方面，文件强调，可信数据空间要通过多方面举措保障自身安全与合规。在运行维护安全上，具备专业的安全运行维护能力，以此保障可信数据空间安全、合规运行，有效防止运行数据、业务数据被窃取、滥用；日志存证安全领域，支持对数据流通及使用的详细日志进行安全存证和查证溯源，合理运用分布式账本等防篡改存证技术，确保日志存证真实可靠；合规审计安全方面，对空间内数据操作行为实施全流程监控与合规性验证，并且定期开展合规审计工作，保证数据访问、传输、交付等操作都留有记录，异常行为也能够实现追溯。

　　可信数据空间在数据产品安全保障上，要通过多维度构建安全体系。在数据安全分级方面，能够对接入的数据产品进行安全等级划分，依据数据敏感度评估、分类打标结果实施差异化安全保障策略，实现分级策略管理；数据传输环节，合理运用数据加密、数字签名、虚拟数据网络等技术，确保数据在传输过程中防泄露、防篡改；数据存储时，提供或集成安全可靠的存储环境，让数据提供方放心存放数据，并利用数据加密、数字签名、访问控制等技术，保障存储数据的机密性、完整性与可用性；数据计算阶段，提供或集成安全受控的计算环境，支持数据使用方进行分析处理，借助数据沙箱、智能合约、可信执行环境等技术，不仅保障数据计算过程中的机密性、完整性、可用性，还确保计算结果正确且可验证。

　　为贯彻落实党中央、国务院关于数字中国建设的重要部署，国家数据局编制并发布《数字中国发展报告（2024年）》。

　　《报告》提出，2024年数字中国建设总体呈现发展基础进一步夯实、赋能效应进一步强化、数字安全和治理体系进一步完善、数字领域国际合作进一步深化等四方面特点。其中，出台了《网络数据安全管理条例》，印发了《促进和规范数据跨境流动规定》。车联网安全治理形成了“检测—防护—管理”闭环。数据标准化工作迈出坚实步伐，成立了全国数据标准化技术委员会，发布了《国家数据标准体系建设指南》。

　　2025年，“人工智能+”正成为经济社会高质量发展的新引擎，数据要素赋能千行百业作用将更加突出，数字技术创新和产业创新将深度融合，数字产业集群集聚效应将不断凸显，数字中国将迎来更加美好的前景和崭新局面。下一步，国家数据局将继续携手各有关方面，坚持数据要素市场化配置改革这条主线，更好统筹数字中国、数字经济、数字社会规划和建设，加快培育发展新质生产力，推动数字中国建设迈出新步伐。

　　六、《网络安全技术 SM2密码算法加密签名消息格式》等9项国家标准（征求意见稿）公开征求意见

　　近日，全国网络安全标准化技术委员会归口的《网络安全技术 SM2密码算法加密签息名消格式》等9项国家标准现已形成标准征求意见稿并向社会公开征求意见：

　　《网络安全技术 量子密钥分发的安全要求、测试和评估方法 第2部分：测试和评估方法》

　　七、《网络安全标准实践指南——个人信息保护合规审计要求（征求意见稿）》公开征求意见

　　为贯彻落实《个人信息保护法》《个人信息保护合规审计管理办法》，指导个人信息保护合规审计活动，保护个人信息权益，全国网络安全标准化技术委员会秘书处参照个人信息保护合规审计国家标准，组织编制了《网络安全标准实践指南——个人信息保护合规审计要求（征求意见稿）》并面向社会公开征求意见。

　　《要求》提出了个人信息保护合规审计原则，规定了个人信息保护合规审计的总体要求、内容方法和实施流程，适用于指导个人信息处理者开展个人信息保护合规审计工作，也可为专业机构开展个人信息保护合规审计提供参考。

　　八、国家市场监督管理总局发布《商业秘密保护规定(征求意见稿)》并公开征求意见

　　近日，市场监管总局组织开展了对《关于禁止侵犯商业秘密行为的若干规定》(1995年11月23日原工商行政管理局令第41号公布，1998年12月3日原工商行政管理局令第86号修订)的修订工作，起草形成了《商业秘密保护规定(征求意见稿)》，旨在加强企业商业秘密保护，严厉打击侵犯商业秘密行为，激励研发与创新，维护公平竞争的市场秩序。《规定》现已形成并向社会公开征求意见。

　　《规定》相较于原版，一是对以盗窃等不正当手段非法获取商业秘密的情形予以细化。二是对“披露”“使用”商业秘密等概念予以界定。三是对“保密义务或者权利人有关保守商业秘密的要求”予以界定。四是对通过教唆、引诱、帮助等方式侵犯他人商业秘密的情形予以细化。五是对第三人构成侵犯商业秘密的情形予以明确。六是对“反向工程”等不构成侵犯商业秘密的情形予以明确。

　　近日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2025年提升全民数字素养与技能工作要点》。

　　《要点》部署了6个方面16项重点任务。一是健全数字人才培育体系，包括培养复合型人工智能人才、完善高水平人才培育体系、壮大应用型技能人才队伍、增强劳动者数字工作能力。二是拓展数字经济增长空间，包括释放数字消费潜力、激发企业数字动能。三是构建普惠包容数字社会，包括推进数字助老助残行动、促进教学资源开放共享、实施数字公益志愿项目。四是打造智慧便捷数字生活，包括强化人工智能应用赋能、丰富新型数字应用场景。五是营造安全有序数字环境，包括健全人工智能治理机制、强化法治道德规范意识、筑牢网络安全防护屏障。六是完善协同联动工作格局，包括深化多方协作机制、加强国际交流合作。

　　十、国家数据局印发构建数据基础制度更好发挥数据要素作用2025年工作要点

　　为贯彻落实党中央、国务院决策部署，抓好《中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》各项任务落实，国家数据局印发构建数据基础制度更好发挥数据要素作用2025年工作要点。

　　工作要点落实“数据二十条”任务部署，一是建立保障权益、合规使用的数据产权制度方面，加快数据产权制度建设进度，推进公共数据、企业数据、个人数据确权授权使用，通过数据要素综合试验区开展基础制度试验探索，积极参与数据产权领域国际规则制定。二是建立合规高效、场内外结合的数据要素流通和交易制度方面，完善数据市场规则体系，制定数据流通交易标准示范合同、促进数据交易机构高质量发展的政策文件，鼓励各类主体扩大数据需求、加强数据供给，支持培育多类型数据市场主体，完善数据市场基础设施建设。三是建立体现效率、促进公平的数据要素收益分配制度方面，推进数据市场化价值化、建立健全公共数据价格管理制度、营造公平市场环境。四是建立安全可控、弹性包容的数据要素治理制度方面，推动《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》落地落实，逐步构建更加完善的数据流通安全治理体系，支持数据流通安全技术应用创新，依法依规培育数据流通安全服务市场。

　　十一、山东数字强省建设领导小组办公室关于印发《数字强省建设2025年工作要点》

　　为全面贯彻落实党中央、国务院关于数字中国建设的决策部署，着力打造数字强省、智慧山东，加快培育新质生产力，赋能全省绿色低碳高质量发展，山东数字强省建设领导小组办公室制定并印发《数字强省建设2025年工作要点》。

　　《要点》强调，要加快数据基础设施建设。开展国家数据流通利用基础设施试点，开展数场、数联网、隐私计算、区块链等数据流通利用基础设施建设，分类施策推进企业、行业、城市等可信数据空间建设和应用。打造10个左右省级数据基础设施“标杆型”“引领型”工程，推出一批数据基础设施建设应用试点示范案例。

　　强化数字安全。统筹推进数字安全体系建设，加强数据收集、存储、使用、加工、传输、提供等全过程安全监管。深化数字安全防护，开展重点领域数据安全态势监测分析，提高联防联动能力。健全数据安全事件通报和应急处理机制，定期开展多部门联合演练。建立完善网络安全能力评估体系和实施指南，持续开展网络数据安全检查评估工作。

　　近日，公安部公布了10起打击侵犯公民个人信息犯罪典型案例。其中，包含一起辽宁警方破获贩卖企业法人和信息的案件。

　　诈骗分子假借国内知名导航企业工作人员，以优先推荐的噱头向小商铺、饭店、超市骗取相关信息。主要利用商户信息注册“账户”进行贩卖，涉及被侵犯公民个人信息的个体工商户企业支付宝2万多个，整个受害的群体非常大。公民信息被侵害以后，犯罪分子利用获得的信息注册了新的账户。这些非法手段取得的账户，主要用来做电信诈骗、赌博、非法营销等次生犯罪，这些犯罪行为严重扰乱我们国家的社会经济秩序。

　　警方经过近一年时间，最终斩断了一个侵犯公民个人信息违法犯罪链条，捣毁多个犯罪团伙，抓获犯罪嫌疑人85名。目前，这些犯罪嫌疑人已经被移送检察机关审查起诉。案件告破之后，对于犯罪嫌疑人通过非法手段注册的相关“账户”，警方也协调平台进行了妥善处理。为了保护公民的合法权益，我们通过平台对这些非法注册账户都进行了屏蔽和删除，切实保护了受害人的合法信息。

　　近日，公安部网安局公布了一起通过恶意程序窃取公民信息的案例。案例情况如下 ：

　　刘某鹏制作开发黑客软件“刘某控”，该软件通过传播植入木马程序实现计算机端远程控制并窃取公民信息牟利。团伙成员刘某山、刘某昊、刘某等人将“刘某控”打包伪装，通过通讯软件投送至受害人电脑，在受害人点击伪装文件后木马病毒立即激活，即可对受害人电脑进行远程控制，刘某昊、刘某2人使用“刘某控”非法控制他人计算机并窃取公民信息牟利。2023年6月，刘某鹏团伙被公安机关抓获归案，查获非法获取公民信息一批。

　　2024年9月，法院依法对刘某鹏等犯罪团伙人员分别以提供侵入、非法控制计算机信息系统程序、工具罪和非法控制计算机信息系统罪、侵犯公民个人信息罪分别判处有期徒刑并处罚金。

　　近期，上海市网信办在专项执法行动中发现，一批医疗服务类互联网企业(主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等)未依法履行网络安全、数据安全保护义务，所属系统存在网络安全漏洞，被境外IP访问并窃取，发生个人信息泄露情况，反映出部分医疗服务类互联网企业存在个人信息制度不规范不健全、安全防护不严密、存储不合规等问题，上海市网信办根据相关法律法规对一批医疗服务类互联网企业予以行政处罚并对部分典型问题进行通报：

　　管理制度方面。部分医疗服务类互联网企业未按照《个人信息保护法》等相关法律法规要求，建立健全个人信息保护内部管理制度。检查中发现，这批被处罚的企业普遍未制定网络数据安全管理制度和操作规程，未明确安全负责人或管理机构，未制定数据分类分级管理、数据访问权限管理、应急预案等制度，网络日志留存不足6个月等问题。

　　安全防护方面。部分医疗服务类互联网企业信息系统存在安全漏洞风险，未采取切实有效技术措施和其他必要措施，保障网络安全稳定运行，有效应对网络安全事件，切实维护网络数据的完整性、保密性和可用性。经技术检测发现，这批被处罚企业的网络信息系统普遍存在未按规定开展网络安全等级保护测评，未做访问限制，将数据访问端口开放至互联网，存在未授权访问漏洞。如某企业的网络安全高危漏洞达到3个，相关服务器存在多条境外可疑IP访问记录，导致数据被窃取。

　　存储方面。部分医疗服务类互联网企业信息系统中，大量患者个人信息未加密处于“裸奔”状态，存在数据泄露风险隐患。如某企业存储包括姓名、身份证号码、病情、开药信息在内的650余万条患者个人信息，未按规定采取加密、去标识化等安全技术措施。

　　Arstechnica网站4月28日披露表了新的ChoiceJacking攻击，允许恶意充电器从取数据。

　　据报道奥地利格拉茨科技大学的研究团队将在8月的Usenix安全研讨会上正式披露一项名为“ChoiceJacking”的新型攻击技术，彻底颠覆了公众对手机充电安全的认知。攻击者通过改造公共充电桩或提供恶意充电器，仅需25-30秒即可绕过苹果、谷歌等厂商部署了十年的安全机制，窃取手机中的照片、文档、应用数据，甚至通过USB调试模式植入恶意程序。测试显示，除某款不支持USB PD协议的Vivo手机外，包括iPhone 15系列、三星Galaxy S24、某为MXXX 60在内的10款主流机型全部沦陷。攻击过程中，用户手机屏幕会短暂闪现蓝牙配对或设置页面，但多数人误以为是系统正常弹窗，未能察觉数据正在被盗。更危险的是，若用户曾开启“开发者模式”或“USB调试”，攻击者可直接获取系统级控制权，远程安装应用、执行代码，甚至窃取银行验证短信。虽然目前还没有报道出 ChoiceJacking 漏洞的实际案例，但新的发现可能会加强人们避免使用公共充电站的呼吁，特别是对于那些没有最新安全更新的设备。

　　近日，黑客组织R00TK1T宣称对TikTok实施了大规模数据入侵，据称泄露了超过90万用户的账号凭证。该组织表示已公开发布了927,000条TikTok用户记录作为“漏洞证明”。网络安全专家表示，如果得到验证，这将代表该平台面临的一次重大安全事件。

　　据称，此次泄露的信息包含用户名、密码以及可能来自平台后端系统的其他敏感账户详情。黑客组织将这次数据泄露描述为“即将到来的事情的一小部分”，并威胁称“下一阶段将打击更猛，暴露他们最深的秘密并摧毁他们的系统”。R00TK1T在一个知名暗网论坛上发帖称，他们此前曾警告ByteDance和TikTok存在安全漏洞，但遭到忽视。黑客声称他们访问了一个不安全的云服务器，其中包含用户凭证和平台代码。虽然确切的攻击途径尚未确认，但TikTok之前的漏洞据称包括不安全的API端点和不充分的服务器端验证协议。

　　六、美国耶鲁健康系统或遇今年最大医疗隐私泄露事件，超550万患者信息恐被窃取

　　美国耶鲁纽黑文健康系统(YNHHS，Yale New Haven Health)近日通知超过550万人，他们的个人隐私信息可能在上个月的网络入侵事件中被不法分子窃取。

　　3月11日，该机构披露遭遇网络安全事件，并警告患者和员工可能会因几天前发生的IT系统入侵而遇到现场电话、互联网和应用程序连接问题。YNHHS随即聘请了Google旗下Mandiant的事件响应团队进行调查，确认确实发生了网络攻击，并通知了联邦机构和执法部门。根据其网站上的后续通知，入侵者窃取了部分患者数据，可能包括社会安全号码、人口统计信息、患者类型和医疗记录号码。该医疗机构于4月14日开始向受影响的患者发送通知信函，并最近向美国卫生与公众服务部民权办公室披露，将有5,556,702人收到这些信函。这使其成为今年最大的医疗隐私泄露事件之一，甚至可能是最大的一次。

　　网络安全研究人员发现，员工监控工具WorkComposer因未受保护的Amazon S3存储桶，将超过2100万张员工屏幕截图暴露在公开网络上。这款被全球超过20万人使用的监控软件，原本设计用于通过记录活动和定期截取员工屏幕来追踪工作效率。

　　这些截图包含敏感信息，如电子邮件、内部聊天记录、机密业务文档、登录页面、凭证和API密钥等。这些信息可能被用于对全球企业发起攻击。泄露的实时性质更加剧了危险，使威胁行为者能够实时监控正在进行的业务操作。单张包含可见密码、API密钥或敏感对话的截图就可能导致凭证盗窃、钓鱼攻击，甚至企业间谍活动。除了直接的网络安全风险外，这一事件还涉及深层次的隐私侵犯。时间追踪工具本身就处于道德灰色地带，以提高生产力为名，捕捉工作者数字行为的分分秒秒。员工对这些截图中出现的内容都没有控制权，无论是个人邮件、医疗预约还是机密项目。

　　近日，三星One UI系统曝出重大安全漏洞，所有剪贴板内容——包括密码、银行账户详情和个人消息——以明文形式永久存储，且没有自动删除机制。

　　剪贴板功能深度集成于三星One UI系统架构中，无论用户使用何种键盘应用，都会完整记录所有复制内容。即使用户切换至谷歌Gboard键盘（通常会在1小时后删除剪贴板内容），三星的系统级实现也会覆盖这一安全特性。三星社区论坛版主在回应用户投诉时承认：目前没有内置设置可以自动删除剪贴板内容，这确实可能带来安全风险。该公司承诺会将反馈转交开发团队，但未提供修复时间表。

　　该技术问题源于三星对Android剪贴板API的实现方式。虽然标准Android通过ClipboardManager接口提供安全机制，但三星One UI绕过了这些保护措施。

　　安全专家警告，该漏洞创造了多种攻击途径。攻击者只需接触解锁状态的设备，就能轻易查看所有曾复制的密码。更令人担忧的是类似StilachiRAT这类专门窃取剪贴板数据以获取凭证和财务信息的恶意软件威胁。

　　为充分发挥标准在规范引领新兴技术应用和产业发展中的重要作用，强化相关领域网络安全标准化工作规划与布局，为后续标准制修订工作提供技术支持和指导建议。全国网络安全标准化技术委员会秘书处组织开展“2025年新兴技术应用领域安全标准化研究课题”申报工作。

　　课题方向面向下一代互联网、具身智能、智能驾驶、低空经济、脑机接口、量子信息、数据空间、新一代通信技术及其它新兴技术和产业应用主题，跟踪研究国际国内相关安全政策法规动态，分析新技术新模式新业态融合创新发展下的内生安全与应用安全风险，提出规范赋能该领域技术产业发展的安全标准体系框架和重点标准研制建议；对比分析国际国内相关标准成果，凝练国内先进技术实践，提出深度参与相关国际标准化工作和提案研究建议。

　　近日，第八届数字中国建设峰会“可信数据空间分论坛”在福州成功举办。国家数据局党组书记、局长刘烈宏出席并致辞，他指出，可信数据空间不仅是一种数据基础设施，更是数据共享共治、价值协作的产业生态，也是推进全国一体化数据市场建设，推动数据要素市场化价值化的重要抓手。他强调，各级数据管理部门要加强政策宣贯落实，将数据空间作为促进数据开发利用、培育数据产业、构建数据要素市场体系的关键抓手。产业联盟要强化专业化服务能力，做好服务、凝聚生态，引导产业各方在场景打造、标准研制、价值挖掘等方面形成创新合力。数据空间运营方要发挥市场机制作用，制定好规则体系和激励约束机制，激发各参与方供数、用数的主动性，携手生态伙伴合力推动可信数据空间发展。会上，还成立了可信数据空间发展联盟，发布了《全国数据资源调查报告（2024年）》。

　　近日，安徽省政府新闻办举行新闻发布会，介绍了推进数字安徽建设的有关情况。

　　会议指出，2024年以来，全省各地各部门深入学习贯彻关于数据发展和安全的重要论述及一系列重要讲话精神，全面落实省委、省政府决策部署，改革创新、锐意进取，数字安徽建设取得积极进展。一是深化数据要素市场化配置改革取得新成效。二是数字政府效能得到新提升。三是数字经济发展迈上新台阶。四是数字社会建设取得新进展。五是数据基础设施能级实现新跨越。

　　安徽省高度重视数字安徽建设，并在近日印发了《2025年数字安徽建设工作要点》，明确了6个方面，24项任务。重点做好以下工作：一是深入推进数据要素市场化配置改革。二是促进实体经济和数字经济深度融合。三是推动数字政府建设提质增效。四是加快数字社会建设步伐。五是提升数据基础设施能级，健全省市协同的网络安全指挥协调机制，加强重点领域数据安全管理。六是创优数字化发展环境。加强数据人才培养，探索产教融合机制。开展数据要素综合试验区创新成果新模式新场景对接活动等，加大宣传推广力度，提升数字安徽品牌影响力。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。