根据2026年5月25日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2026年第23号），全国网络安全标准化技术委员会归口的18项国家标准正式发布：

  二、《数据流通安全 重要数据脱敏要求》等数据领域推荐性国家标准计划正式下达

  近日，国家标准化管理委员会下达2026年第五批推荐性国家标准计划，其中，重要数据识别目录、数据流通安全、城市全域数字化转型、可信数据空间等15项推荐性国家标准计划由全国数据标准化技术委员会归口管理。

  为落实《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，国家数据局联合交通运输部、中国气象局征集遴选了“2026年交通运输、气象服务领域数据流通安全治理典型案例”：

  为进一步健全汽车标准体系，提升标准供给质量，深化标准国际合作，以高水平标准促进高水平质量的发展，工业与信息化部近日公开发布2026年汽车标准化工作要点，包括强化标准体系顶层设计、赋能汽车产业高水平质量的发展、提升标准国际化工作效能、优化标准管理工作机制四方面15项内容。

  具体来看，本年度汽车标准化工作要点包括：推动产业全面提质升级。聚焦智能网联汽车、汽车电子、汽车芯片等领域，开展标准引领行动，鼓励创新成果转化。重点围绕驾驶自动化、网联功能与应用、信息安全与数据安全、资源管理与信息服务、汽车软件、汽车数据、“车路云一体化”等领域加速标准研制与迭代；加强未来技术标准预研。面向汽车人工智能、新形态汽车等未来产业方向，开展标准前瞻突破行动，提前开展标准规划布局等。

  加快智能网联汽车标准研制。推进重要数据识别、入侵检测、信息安全审核指南等标准审查报批，完成智能网联汽车数据安全要求、数据交互与管理等强制性国家标准征求意见。推动车用操作系统、逻辑接口标准发布，完成软件质量发展要求与评价标准审查报批。推进生物识别、座舱功能评价、触控交互等标准制定。加快预期功能安全审核及评估、AI功能安全和预期功能安全等基础标准研制，推进驾驶自动化系统、线控底盘系统、电池管理系统、驱动电机系统等关键电控系统功能安全和预期功能安全标准制定。

  系统布局汽车人工智能标准。推进汽车人工智能技术应用、平台架构及车用大模型能力评价等国家标准化指导性技术文件审查报批，加快汽车人工智能风险评估与治理、驾驶自动化相关人工智能模型评估与测试、汽车人工智能信息安全及数据安全、端到端模型通用开发框架等国家标准指导性技术文件研制，推进汽车人工智能智能化分级等标准立项，启动车用异构智能体通信技术等标准预研。

  一、上海市网信办关于属地App个人隐私信息收集使用问题的通报（2026年第二批-消费零售专项）

  根据中央网信办、工业与信息化部、公安部联合发布《关于开展2026年个人隐私信息保护系列专项行动的公告》，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人隐私信息保护法》《中华人民共和国未成年人保护法》《网络数据安全管理条例》《App违法违规收集使用个人隐私信息行为认定方法》等法律和法规和有关法律法规，上海市网信办组织对属地App、小程序等服务产品收集使用个人隐私信息行为进行仔细的检测，并对有关问题予以通报：

  据网信新乡报道，近期，新乡市网信办工作中发现两家企业存在违背法律规定的行为，依据《中华人民共和国网络安全法》进行了处罚。现向社会公开通报如下：

  案例一：经调查核实，我市某公司未依法履行网络安全保护义务，存在通联境外传输数据的情况，网络安全日志记录存储不足6个月，致使网络攻击行为无法溯源。同时，存在购买并使用非法信道链接国际网络的行为。

  造成的原因：网络安全意识薄弱，虽然建立有网络安全管理制度，但相关制度流于形式，未能有效执行;对设备密码管理缺乏保密操作规范;同时，未能正确认识使用非法信道连接国际网络的法律风险与数据安全危害，反而将其视为开展海外业务的便捷手段，致使基础安全操作随意性大，防御与追溯能力薄弱。

  处罚依据：依据《中华人民共和国网络安全法》第二十三条第三款、第六十一条第一款及网信部门裁量基准，责令其限期整改，予以警告、罚款的行政处罚。

  案例二：经调查核实，我市某公司未依法履行网络安全保护义务，网络安全日志记录存储不足6个月，致使遭受网络攻击的行为无法溯源;防火墙特征库长期不更新，网络安全保护的方法缺乏。

  造成的原因：该公司网络安全管理制度不完善，责任边界不清，未建立网络安全日志审计与事件回溯的规范流程。同时，技术保护措施长期失效，常态化运维工作缺失，网络一直处在不安全运作时的状态。此外，存在多租户的摄像头、路由器等终端设备接入，缺乏安全隔离与访问控制措施，扩大了被攻击面，增加了安全隐患。

  处罚依据：依据《中华人民共和国网络安全法》第二十三条第三款、第六十一条第一款及网信部门裁量基准，责令其限期整改，予以警告、罚款的行政处罚。

  近日，中国人民银行北京市分行公示行政处罚决定信息(银京罚决字〔2026〕24号)。江苏银行股份有限公司北京分行因存在：违反账户管理规定，违反网络安全管理规定，违反数据安全管理规定，违反信用信息采集、提供、查询及相关管理规定以及未依规定履行客户身份识别义务。针对以上行为，中国人民银行北京市分行对其警告并罚款51.2万元;对吴某生罚款1万元，对杨某罚款6万元。处罚决定日期为2026年4月30日。

  四、屏南县农信社因”数据安全管理不到位”等被罚65万 一责任人被禁业三年

  近日，国家金融监督管理总局宁德监管分局公示一则行政处罚信息，屏南县农村信用合作联社因数据安全管理不到位、案件风险防控不到位，合计被处以65万元罚款，相关责任人也受到监管处分。

  近日，美国电信运营商Trump Mobile特朗普移动官方发言人克里斯·沃克证实，数千名客户的个人隐私信息遭到泄露，这中间还包括客户姓名、电子邮件地址、邮寄地址、手机号码和订单号等信息。

  沃克称，暂未发现客户的财务信息遭到泄露的证据，特朗普移动正在调查这起事件。特朗普移动公司在一份声明中表示，公司的网络、系统或基础设施均未遭到入侵，也未曾发现客户财务数据、密码或通信记录等关键数据泄露的迹象。声明将泄露事件归咎于“一家为特朗普移动提供某些业务支持的第三方平台供应商”，但没有点名任何公司。

  TechCrunch披露，英国签证申请门户存在严重数据泄露漏洞，导致数千名申请人的护照扫描件、照及其他敏感身份信息可被在线公开访问，而相关问题在曝光后仍未得到修复。

  报道称，问题出现在负责英国签证申请流程的在线门户系统。研究人员发现，该平台生成的文件访问链接缺乏有效身份验证，攻击者可通过修改URL参数访问其他申请人的文档。暴露的数据包括护照照片页、个人照以及用于身份验证的材料，部分文件还包含姓名、出生日期和旅行信息等Personally Identifiable Information（PII）。

  研究人员表示，该漏洞本质上属于“直接对象引用（IDOR，Insecure Direct Object Reference）”问题，即系统未正确校验用户是否有权限访问特定资源。由于相关文件托管在公开可访问的云存储环境中，任何获得有效链接结构的人都可能批量枚举并下载敏感数据。

  更受关注的是，研究人员称其已多次向相关方报告漏洞，但问题长期未被彻底修复。安全专家警告，泄露的护照和生物识别信息可能被用于身份盗用、金融诈骗以及深度伪造（Deepfake）攻击。事件再次暴露部分政府外包数字服务在访问控制和云存储安全方面存在很明显缺陷。

  近日报道，美军中央司令部（Centcom）首次证实，敌方正利用商业位置数据追踪中东战区美军人员，而五角大楼对此风险已预警近十年，却长期未落实有效防护。

  早在 2016 年，军方技术人员就演示过：通过购买商业数据可追踪美军精英单位手机，锁定海外秘密基地。2023 年，杜克大学受西点军校委托测试，以每条 0.12 美元从数据经纪商购得现役军人姓名、住址、健康及财务信息，无需严格身份核验。2024 年，媒体核查发现，谷歌广告平台存在针对美国国家安全人员的定向营销数据；同年，德国境内 36 亿条位置数据中，曝光美军人员日常轨迹，含核武器存放基地。

  2025 年 5 月，西点军校网络研究所报告说明，美军本土非涉密网络超 20% 域名含商业追踪器，禁用 Chrome、关闭广告 ID 即可低成本防护。但五角大楼直至 2026 年 5 月才为公务手机开通位置关闭功能，近期还要求士兵用个人手机办公，逐步扩大数据泄露风险。国会两党议员联名批评军方无视专业建议，相关隐私保护法案也因各方博弈长期受阻。

  近日，邮轮运营商 Carnival Corporation 发布了重要的公告，确认旗下系统于 4 月遭网络攻击，近 600 万用户个人数据泄露，涉事黑客组织为 ShinyHunters。

  此次攻击始于 4 月 14 日，攻击者利用社会工程学手段诱导 Carnival 员工授权访问其部分 IT 系统；4 月 22 日，攻击者凭借窃取的账号侵入系统，复制用户数据后被拦截。缅因州备案文件显示，本次泄露波及 5,995,277 人，泄露信息含姓名、邮箱、出生日期、性别、会员身份及内部客户标识等。

  ShinyHunters 以数据勒索为主要手段，若企业拒绝支付赎金，便会公开或售卖泄露数据。邮轮用户数据因价值较高，常成为黑客攻击目标，可被用于身份盗窃、精准钓鱼及金融诈骗。

  九、Eleven便利店遭黑客团伙ShinyHunters入侵 超18.3万名用户个人隐私信息泄露门户曝严重数据泄露，护照与照可被公开访问

  据外媒报道，便利店巨头7-Eleven(711便利店)上月遭遇黑客团伙ShinyHunters攻击，超过18.3万名用户的个人隐私信息被窃取。虽然7-Eleven官方并未公开确认具体攻击者身份，但ShinyHunters已主动宣称对此次攻击负责。该组织声称，其通过入侵7-Eleven的Salesforce环境，同时因7-Eleven拒绝支付赎金，目前ShinyHunters已将用户数据打包为一份9.4GB的数据压缩包公开发布。对此，分析师“Have I Been Pwned”对泄露数据来进行查证后指出，此次黑客事件共波及约18.53万人，包括姓名、出生日期、邮箱地址、手机号以及家庭住址等信息均遭泄露。实际上，这并不是7-Eleven首次遭遇网络安全事件。2022年8月，7-Eleven丹麦公司就曾遭到勒索软件攻击，部分系统被加密，导致约175家门店被迫暂停营业。

  近日消息，越南官方披露，该国两大部委系统出现重大数据泄露事件，数百万用户数据遭泄露，目前国家网络安全机构已介入处置。据越南国家网络空间应急响应中心负责的人介绍，涉事部委虽已部署SOC安全运营系统，但未能监测拦截本次黑客攻击，疑似黑客伪装为正常用户行为渗透系统，具体调查结论将于近期公布。

  本次事件暴露越南网络安全体系的核心漏洞。其一为专业人才严重短缺，大量政企即便投入巨资搭建安全基础设施，却缺乏专职运维人员，部分金融机构仅日间开展安全监控，导致系统夜间处于裸奔状态，黑客甚至可在系统内潜伏数月伺机攻击。其二为安全管理体系失效，多数企业及机构领导层风险认知薄弱，基层员工为规避追责刻意隐瞒安全事件，形成信息壁垒。官方警示，若因安全疏漏造成机密泄露、危害国家安全，相关负责人将被追究刑事责任。

  近日，2026年“数据要素×”大赛于数据安全发展大会开幕式期间真正开始启动，国家数据局党组书记、局长刘烈宏，浙江省委常委、常务副省长徐文光，浙江省委常委、温州市委书记张振丰等出席致辞并共同启动大赛。

  会议指出，2026年是“数据要素价值释放年”，举办“数据要素×”大赛是深入贯彻落实党中央、国务院关于数据要素市场化配置改革决策部署的重要举措，是持续深化“数据要素×”行动、赋能AI创新发展的关键抓手。与前两届相比，今年大赛赛道更为丰富、激励更有力、协同更加紧密、导向更加明确，新增了人力资源、体育发展、文物保护利用、中医药、数据基础设施建设等赛道；推出试点试验、成果认定、应用推广等支持举措；让参赛队伍更大程度释放数据价值，实现数据“供得出、流得动、用得好、保安全”。

  会议强调，各方要以大赛为重要平台，着力实现六方面新突破：一是以赛搭台，推动数据基础制度落地见效；二是以赛强基，加快数据基础设施建设运营；三是以赛促用，发挥高价值场景牵引作用；四是以赛兴市，助力全国一体化数据市场建设；五是以赛强产，壮大数据产业生态；六是以赛赋智，赋能AI创新发展。

  二、上海启动“浦江护航”2026数据安全专项行动，八大任务全面压实行业数据合规

  近日，上海市通信管理局正式印发通知，部署开展“浦江护航”2026年电信和互联网行业数据安全专项行动。本次行动依据《数据安全法》《个人隐私信息保护法》及工信部、上海市地方有关数据安全管理规范，面向上海全部电信与互联网数据处理主体，重点监管处理重要数据、千万级以上个人隐私信息及运营关键信息系统的企业，全方位提升行业数据安全治理能力。

  本次专项行动明确八项重点治理任务，覆盖AI数据安全、制度建设、数据台账、风险评估、共享管理、跨境合规、IDC防护、应急体系全维度。一是强化人工智能数据安全治理，护航大模型与智能体全生命周期数据安全。二是深化首席数据官履职评估，要求重点企业按时完成备案与年度履职报送。三是常态化开展重要数据识别梳理与目录动态备案管理。四是落实年度数据安全风险评估制度，将AI应用、出海业务纳入评估范围。五是规范对外数据共享与委托处理，严控合作方数据安全风险。六是强化企业出海数据双向合规，配套建设合规指引与公共服务平台。七是压实IDC企业客户数据安全保护责任，防范AI训练数据泄露污染。八是完善风险排查、应急处置与常态化演练机制，落实工信部专项行动要求。

  此外，上海通管局将通过优化政企沟通、强化重点系统安全定级、规范第三方服务机构、开展行业公益培训等保障举措，压实企业主体责任，补齐行业数据安全与AI治理短板。

  北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

  数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。