11月14日,国家互联网信息办公室发布关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。意见稿提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
其中,在个人信息和数据保护方面有很多首创性的规定。
一、草案规定互联网公司用爬虫等自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
二、国内API、SDK接入不规范的情况其实也不少见,草案规定,平台应以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。
三、草案对互联网平台规则、隐私政策和算法策略披露提出了新的要求,日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
草案对互联网平台运营者的大数据违法进行了空前严格的规制,包括大数据杀熟;利用大数据对平台内经营者进行不正当竞争;利用大数据对用户进行误导、欺诈、胁迫用户;利用大数据不合理的限制阻碍中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
“十四五”信息通信行业发展规划发布 全面加强网络和数据安全保障体系和能力建设
工业和信息化部11月16日上午召开“十四五”信息通信行业发展规划新闻发布会,介绍“十四五”信息通信行业发展规划有关情况。
其中,《规划》首次将创新发展网络安全产业作为重要任务之一。
在构建新型行业管理体系方面明确,提升行业服务水平,加强用户权益保护。针对反映强烈的App违规处理用户个人信息、设置障碍、骚扰用户、欺骗误导用户等问题,工信部纵深推进App侵害用户权益整治行动。
在网络安全方面提出,全面加强网络安全保障体系和能力建设,工信部提到了5个方面的举措,其中包括全面完善实施行业关键信息基础设施保护、网络安全审查、关键设备安全检测、网络漏洞管理等重要制度,进一步提升针对高级持续性攻击等网络安全威胁监测、防御、溯源技术能力,全力保障基础通信网络安全运行。
在网络数据安全方面,将建立健全数据分级分类、重要数据保护、数据跨境流动等数据安全管理制度,加快构建数据安全风险技术监测体系,保障工业和信息化领域数据安全。
星阑科技完成过亿元Pre-A+轮融资
2021年11月,北京星阑科技有限公司完成由苹果资本领投、国君景泰跟投的过亿元人民币Pre-A+轮融资,原有股东晨山资本、海贝资本在本轮融资中持续加码。
高危BIOS漏洞影响多型号英特尔处理器
英特尔披露了两个高危漏洞影响多代英特尔处理器家族,漏洞允许攻击者和恶意程序获得更高的权限。漏洞由SentinelOne发现,编号为CVE-2021-0157和CVE-2021-0158,CVSS v3 评分都是 8.3 10,前者与BIOS固件控制流管理有关,后者则与BIOS固件不正确输入验证有关。漏洞可被用于提权,但攻击者需要首先能物理访问机器。受影响的型号包括了7代、10代和11代酷睿处理器,至强E、E3 v6 和W系列等。英特尔没有披露更多细节,它建议用户如果有可用BIOS更新就打上补丁。
工信部:已下架540款违规处理用户信息等拒不整改的APP
11月16日,在工信部召开的“十四五”信息通信行业发展规划新闻发布会上,工信部信息通信管理局副局长王鹏表示,近年来,工信部聚焦人民群众反映强烈的APP违规处理用户个人信息、设置障碍、骚扰用户、欺骗误导用户等问题,纵深推进APP侵害用户权益整治行动。截至目前,已组织检测21批次共244万款APP,累计通报2049款违规APP,下架540款拒不整改的APP,对违规行为持续保持高压震慑。同时,工信部督促应用商店加强自查清理,应用商店已主动下架40余万款违规APP。
近300个WordPress 网站遭到虚假的勒索软件攻击欺诈
网络安全公司 Sucuri监测发现,有攻击者入侵了近300个WordPress网站,通过修改一个已安装的 WordPress 插件的方式,在目标机器上显示勒索赎金数额和倒计时以伪造勒索软件加密页面,试图诱骗网站所有者支付 0.1 比特币进行恢复。 Sucuri表示,通过删除插件并运行命令重新发布帖子和页面,站点就能够恢复到正常状态。目前攻击者提供的 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc 比特币地址的交易记录显示,该地址至今没有收到任何赎金。