2022简述:数据泄露是最大的风险和问题,隐私方面对于敏感数据(儿童数据、生物信息等)的处理和披露是重中之重,
- 2022 年 12 月隐私新闻
- 2022 年 11 月隐私新闻
- 2022 年 10 月隐私新闻
- 2022 年 9 月隐私新闻
- 2022 年 8 月隐私新闻
- 2022 年 7 月隐私新闻
- 2022 年 6 月隐私新闻
- 2022 年 5 月隐私新闻
- 2022 年 4 月隐私新闻
数据泄露
- source: 2022年全球数据泄露TOP 100
- date: 2023-01-05
整体总结是top100,抽一些相对重大的case
- 1月:印尼央行遭勒索软件袭击,超13GB数据外泄
- 2月:俄罗斯黑客入侵美国承包商长达一年,敏感信息被窃取
- 3月:南非所有公民征信数据全泄露,美国征信巨头TransUnion赔偿百亿元,10月:中国台湾省全岛个人信息在网上被兜售。
- 3月:Anonymous泄露从俄罗斯央行窃取的28GB数据
- 4月:匿名黑客入侵俄罗斯文化部并泄露 446 GB数据
- 4月:可口可乐遭入侵,161GB数据泄露
- 5月:ES服务器配置错误,泄露579GB用户网站记录
- 7月:AMD450GB数据被盗,使用弱密码。
- 7月:意大利税务局100GB数据泄露
- 重要企业:4月yandax也发生过外卖数据泄露,5月可口可乐数据泄露,7月万豪发生数据泄露,8月doordash和Twillio发生数据泄露,12月uber和蔚来又发生数据泄露等
总结:泄露数据今年在国家和政府机构尤其多,台湾、南非等甚至全员泄露,还是要从存储脱敏或者全密态数据库角度入手解决。
数据治理
- source: 2022年度数据治理十大新闻
- date: 2023-01-10
- 0112:国务院发布《“十四五”数字经济发展规划》,提出数字资源作为关键要素,重组全球要素资源和全球经济结构。
- 0106:国务院发布《要素市场化配置综合改革试点总体方案》,提出探索建立流通技术规则,聚焦采集、开放、流通、使用、开发、保护。
- 0110:中国银监会发布《关于银行业保险业数字化专项的指导意见》,确保网络安全、数据安全的前提下,建设合作共赢、安全高效的经营生态环境。
- 0217:发改委宣布"东数西算"工程全面启动,8个国家算力枢纽和10个国家数据中心批复。
- 0730:工信部提出加快建立数据分类分级保护的基本原则,提出了加快建立数据分类分级保护、跨境数据流动监管等基本原则。
- 0609:网信办、市场监管总局颁布《数据安全管理认证实施规则》,依法实施认证。
- 0623:国务院印发《关于加强数字政府建设的指导意见》,提出推进国家治理体系和治理能力现代化。
- 0707:网信办发布《数据出境安全评估办法》20220901实施,旨在促进数据跨境安全、自由流动。
- 1208:工信部发布《工业和信息化领域数据安全管理办法》,旨在加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
- 0307:工信部发布《车联网网络安全和数据安全标准体系建设指南》,重点研究基础共性、终端与设施网络安全、网联通信安全。
总结:数据资源作为关键要素被明确,数据治理成为数据要素的流通的关键,尤其是跨境流通和数据交易
罚款判例
- source: Biggest GDPR Fines of 2022
- date: 2023-01-02
- meta €405m fine 儿童数据处理 - 欧盟EDPB
- breaches: Art. 5 (1) a), c), Art. 6 (1), Art. 12 (1), Art. 24, Art. 25 (1), (2), Art. 35
- meta €265m fine 违规收集 - 欧盟DPC
- breaches - Art. 25 (1), (2)
- Clearview AI Inc. - €20m fine 数据处理不合规,包含生物信息和地理信息 - 意大利DPA
- breaches - Art. 5 (1) a), b), e), Art. 6, Art. 9, Art. 12, Art. 13, Art. 14, Art. 15, Art. 27
- Clearview AI Inc. - €20m fine 违反合法性和透明性原则 - 希腊HDPA
- breaches- Art. 5 (1) a), Art. 6 Art. 9, Art. 12, Art. 14, Art. 15, Art. 27
- Clearview AI Inc. - €20m fine 没有合法基础 - 法国CNIL
- breaches - Art. 6, Art. 12, Art. 15, Art. 17, Art. 31
- Meta Platforms - €17m fine - 存在12个数据泄露,数据保护的技术和组织措施不到位 - 欧盟DPC
- breaches - Art. 5 (2), Art. 24 (1)
- Google LLC - €10m fine 传输和销毁不合规 - 西班牙AEPD
- breaches - Art. 6, Art. 17
- Clearview AI Inc. - €9m fine 缺少声明,对生物信息保护不足- UK ICO
- breaches - Art. 5 (1) a), e), Art. 6, Art. 9, Art. 14 GDPR, Art. 15, Art. 16, Art. 17, Art. 21, Art. 22, Art. 35
- REWE International - €8m fine 未经用户同意,采集信息用于营销 - AU DPA
- breach - Non-compliance with general data protection principles
- Cosmote Mobile Telecommunications - €6m fine 数据泄露 - 希腊HDPA
- breaches - Art.5(1)a), Art. 5(2), Art. 13, Art. 14, Art. 25(1), Art. 26, Art. 28, Art. 35(7)
总结:罚款还是聚焦在敏感数据的收集和处理,尤其是儿童数据、生物信息等,透明性和最小化原则是重中之重
云安全
- source: 2022年中国十大云安全事件
- date: 2022-12-20
- FlexBooker数据泄露,1900万泄露,未加密在S3上存储
- 2.4TB的BlueBleed数据泄露,100多国家,65000多公司,,azure storage存储桶未加密
- 上海警方10亿中国公民数据,从阿里云托管的数据库中获取,大概率未脱敏
- 微软遭到Lapsus$数据勒索组织的攻击,37GB数据泄露,员工访问权限问题
- Medibank数据泄露,900多万客户信息,云上获取,未脱敏存储
- 土耳其飞马航空公司泄露2300万份文件,6.5TB数据,存储桶未脱敏
- Mangatoon数据泄露,2300万用户数据,从es中获取
- 彪马在Kronos勒索软件攻击中被攻陷,6000多名员工数据,私有云上获取,大概率未脱敏
- 错误配置的亚马逊服务器泄露了Prime视频观看数据,2.15亿条,存储在内部服务器上
- Civicom遭到大规模数据泄露,8GB隐私信息,错误配置S3泄露 总结:数据加密和脱敏存储是解决此类问题的关键
数据安全
- source: 2022年中国十大数据安全事件
- date: 2022-12-16
- 12月:蔚来声明,用户信息遭窃取
- 8月:上海随申码数据泄露,4850万信息泄露
- 6月:学习通1.7亿用户数据泄露
- 11月:平台忍受泄露4万条公民信息
- 8月:香格里拉29万港人资料泄露
- 9月:西北工业大学遭美国国安局攻击
- 2月:虚拟东奥知识,导致350万学生信息泄露
- 8月:40多家金融机构数据被窃取
- 2月:爬取2.1亿条简历,法院做出最重处罚
- 10月:10万条中国个人信息在境外论坛销售 总结:数据安全的最主要风险还是数据泄露