今年3月，全国政协十三届二次会议举行，数据安全成本届立法新重点，引两会代表热议。个人信息保护法、数据安全法、等保2.0、数据泄露... ...下面，让我们一起看看三月都发生了哪些国内外数据安全事件。

利用恶意插件收集用户数据 Facebook起诉两名开发者

3月11日，Facebook起诉两名乌克兰人利用测试应用收集用户的私密数据，在用户的消息流中插入广告。在2017年至2018年期间，两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件，受影响的用户达到约6.3万人，其中主要是俄罗斯和乌克兰用户。

Citrix收FBI警告：6TB至10TB敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者，导致国际黑客窃取了大量的数据。公司表示美国联邦调查局（FBI）已经就此事和公司取得联系，并警告称本次网络攻击行为极有可能是伊朗黑客组织所为，窃取了6TB至10TB的商业文件。

沙特智能电话本应用Dalil被爆严重漏洞：500万以上用户信息被泄露

Dalil是一款类似于Truecaller的智能电话本应用程序，但仅限于沙特和其他阿拉伯地区用户。由于该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问，导致用户数据持续泄露一周时间。该漏洞由安全研究人员Ran Locar和Noam Rotem发现，在数据库中包含了这款APP的所有数据，从用户个人详细信息到活动日志。

新加坡808201名献血者信息遭泄露

新加坡卫生科学局（HSA）在3月15日的一份声明中表示，一名网络安全专家发现了该漏洞，并通知了个人数据保护委员会（PDPC），Secur的一台服务器中包含了献血者的数据库，但没有采取足够的安全措施防止未经授权的访问。HSA表示，除了献血者的信息，服务器中不包含其他医疗信息。HSA进行初步调查及对数据库日志审查后表示，没有其他未经授权的个人访问过该数据库。HSA首席执行官Mimi Choong为安全漏洞道歉，并表示正在加强检查和监控供应商。

同性社交App热拉数据泄露 涉及530万用户信息

热门同性交友应用热拉（Rela）近日被披露，由于服务器未受密码保护，应用数据库泄露，涉及530万用户的个人资料及隐私数据遭到泄露。每条记录包括用户昵称、出生日期、身高和体重、民族、以及性取向和爱好。若用户授权，记录还包括用户的精确地理位置。数据库另外还包含2000多万条状态更新，其中也包含隐私数据。

工信部：应用商店全面下架“社保掌上通”APP

3月15日，第29届央视315晚会曝光了众多APP通过不平等、不合理条款的授权协议，强制索取用户的个人信息的问题。其中，社保掌上通APP被晚会点名，晚会主持人通过实际操作发现，当用户在该APP上输入身份证号、社保账号、手机号等信息，完成注册后，电脑远程就能截取到用户的几乎所有信息。工信部立即启动应用商店联动处置机制，要求腾讯、百度、华为、小米、OPPO、Vivo、360等国内主要应用商店全面下架 “社保掌上通”APP，对“社保掌上通”手机APP的责任主体杭州递金网络科技有限公司进行核查处理，并全力组织对同类APP进行排查检测，对类似问题一并要求整改。

个人信息保护法已被列入本届立法规划 正抓紧起草

十三届全国人大二次会议3月4日上午11时15分在人民大会堂新闻发布厅举行新闻发布会，由大会发言人张业遂就大会议程和人大工作相关的问题回答中外记者提问。张业遂说随着网络信息技术和数字经济的快速发展，因个人信息不当收集、滥用、泄露，导致公民权益受到侵害的事件时有发生。通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。全国人大常委会已将制定个人信息保护法列入本届立法规划，相关部门正在抓紧研究和起草，争取早日出台。

等级保护2.0标准今年4月有望出台

在日前举办的网络安全论坛上，公安部网络安全保卫局的处长祝国邦做了题为“等级保护标准2.0解读”的精彩演讲。祝国邦透露，等级保护步入了一个新的阶段，等级保护2.0标准今年4月份有望出台。等级保护标准2.0是根据当前的网络安全的形势变化、任务要求和整个技术的发展，重新去审视等级保护制度，提出了新的政策和要求，从而推动整个网络安全等级保护制度的落实，进一步加强整体的安全防护。

9款APP泄露用户信息 遭上海消保委约谈后将集中整改

近日，上海市消保委召开了一场“低配”版互联网大会，对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限的评测结果，有9款APP泄露用户重要信息，“日历”权限风险最令人担忧。目前，饿了么已推出更新版本，删除“读取通话记录”权限。市消保委披露，TripAdvisor猫途鹰、一嗨租车等APP已提交相关整改报告。

北京一警察倒卖公民犯罪记录5万余条，获利32万被判4年

北京一派出所警长聂某利用密钥权限，从公安系统内部网络查询公民个人犯罪记录5万余条，这些信息被其出卖给一家公司，共获利32.8万余元。近日，经两级法院审理，聂某因受贿罪被判处有期徒刑四年，辅警郭某因协助聂某实施犯罪，也获刑一年半。

☞▍▊据调研机构波洛蒙研究所的调查，组织的内部员工的无意行为是最常见的内部威胁形式，占数据泄露事件的64%，而外部攻击行为只占数据泄露事件的23%。企业应当：制定网络数据安全保护机制，实行安全保障责任制；建立网络数据违法犯罪调查配合机制，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为；建立网络数据分级管理与保护制度，平衡用户与企业利益... ...数据安全防护任重而道远。

App专项治理工作组制定《App违法违规收集使用个人信息自评估指南》

日前，App专项治理工作组依据《网络安全法》、《消费者权益保护法》、《信息安全技术 个人信息安全规范》等法律法规和国家标准，编制了《App违法违规收集使用个人信息自评估指南》（以下简称为“指南”），App运营者可参照指南对其收集使用个人信息的情况进行自查自纠，提升个人信息保护水平。

教育部办公厅印发《2019年教育信息化和网络安全工作要点》

经教育部网络安全和信息化领导小组审议通过，印发《2019年教育信息化和网络安全工作要点》。《工作要点》指出：以习近平新时代中国特色社会主义思想为指导，深入贯彻落实党的十九大精神，全面落实全国教育大会、全国网络安全和信息化工作会议精神，围绕加快教育现代化、建设教育强国、办好人民满意的教育，以“育人为本、融合创新、系统推进、引领发展”为原则，坚持稳中求进工作总基调，深入落实《教育信息化“十三五”规划》和《教育信息化2.0行动计划》，实施好教育信息化“奋进之笔”，加快推动教育信息化转段升级，积极推进“互联网+教育”，坚持高质量发展，以教育信息化支撑和引领教育现代化。

央行发布《关于进一步加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知》

中国人民银行研究制定《通知》，针对当前打击治理电信网络新型违法犯罪面临的新形势、新要求和新情况，从健全紧急止付和快速冻结机制、加强账户实名制管理、加强转账管理、强化特约商户与受理终端管理、广泛宣传教育、落实责任追究机制等方面提出21项措施，进一步筑牢金融业支付结算安全防线。

澳大利亚推出政府数据共享临时计划

3月19日，澳大利亚联邦政府发布了联邦机构数据共享临时性指导原则。由于先前拟议的《数据共享和发布法案》细节仍在制定之中，因此，19日发布的数据共享指导原则将作为立法准备期间的临时措施。《数据共享和发布法案》的总体目标是，以一致和适当的方式保护数据的发布和共享；增强数据系统的完整性；建立对使用公共数据的信任；建立体制安排；促进更好地公共部门数据共享。

CIPL发布修订后的美国隐私框架原则白皮书

3月21日，位于Hunton Andrews Kurth LLP的信息政策领导中心（“CIPL”）发布了一份关于修订后的美国隐私框架的十项原则的白皮书（“白皮书”）。 CIPL认为，个人信息和隐私的使用可以在联邦层面得到最有效的监管，并提出应纳入任何新的联邦隐私框架的十项原则，以确保为消费者提供适当的保护，同时促进数字经济、创新和数据的负责任使用。

☞▍▊数据违规成为全球性话题，数据泄露和个人信息成重灾区，各国相关法规与合规政策相继出台。业界普遍认为，我国尚未施行针对数据保护的综合性立法，而且现有涉及数据保护的法律法规和标准的操作性不强。在十三届全国人大二次会议新闻发布会上，大会新闻发言人张业遂谈到了今年的立法计划，今年全国人大常委会将制定数据安全法。探索数据信息保护，离不开政府层面监管，应该由国家层面制定相关数据政策。各个国家之间也需要达成一致，建立相应的机制和落实细则来共同保护数据的安全。

工信安全智库报告：2018年度工业信息安全形势分析

2018年全球范围内针对工业领域的网络攻击有增无减，攻击手段花样多变，大规模高强度的安全事件屡有发生，对政治、经济、军事、国家和社会安全等造成直接威胁和现实影响，工业信息安全成为各国政府高度关注的重大安全领域。

信通院观察：物联网安全风险分析报告

随着物联网产业规模不断壮大，针对用户隐私、基础网络环境的安全攻击不断增多，网络安全问题已成为限制物联网服务广泛部署的障碍之一。分析物联网面临的安全风险，对提升物联网安全水平，促进物联网及其生态系统的健康发展有着重要意义。

360：《2018年智能网联汽车信息安全年度报告》

3月20日，360发布了《2018年智能网联汽车信息安全年度报告》。通过回顾历年的汽车安全事件，分析漏洞破解案例，统筹行业标准制定情况、车厂重视程度和供应商的解决方案和能力，《报告》为汽车信息安全产业提出相应建议，以应对安全方面的挑战。

赛门铁克：2018年度互联网安全威胁报告

赛门铁克（Symantec）近期发布了2018年度互联网安全威胁报告（ISTR24），总结性的披露其在2018年观测到全球范围的主要网络安全威胁和攻击方式，并对2019年的威胁趋势进行了预测。ISTR报告是基于赛门铁克全球最大的民用威胁情报网络，提供过去一年的全球威胁活动和态势洞见。据了解，该威胁情报网络包括1.23亿个监测终端，覆盖全球超过157个国家和地区，平均每天拦截1.42亿次网络攻击。ISTR24中强调的八大威胁态势：1.表单劫持；2.挖矿劫持；3.勒索软件；4.无文件和供应链攻击；5.定向攻击；6.云安全挑战；7.物联网威胁；8.选举扰乱。

☞▍▊安全报告、数据安全分析和网络安全态势感知等可以帮助企业、政府、行业机构等预测数据安全发展趋势，是解决新形势下的信息安全威胁的有效手段。筑牢数据安全屏障，不仅需要“技术手段”，更需要“集体智慧”、“团队力量”，需要政府、企业、社会组织、广大网民共同参与。

*来源于网络，由敏捷科技综合整理