政策聚焦

近日，全国信安标委秘书处组织编制了《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》，旨在指导数据处理者开展网络数据安全风险评估工作。指引包括范围、术语定义、风险评估概述、评估准备、信息调研、风险评估、综合分析、评估总结共8部分，并附有“数据安全风险示例”、“评估报告模板”2个附录。评估内容主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行，评估流程主要包括评估准备、信息调研、风险评估、综合分析、评估总结五个阶段。数据处理者可以依据本指南进行风险自查，有关部门也可以参考本指南开展检查评估工作。

02 《烟台市激活数据要素潜能发挥数据要素作用行动方案（2023-2025年）》

近日，烟台市出台《烟台市激活数据要素潜能发挥数据要素作用行动方案（2023-2025年）》，旨在加速构建完善的数据要素市场供给、流通、应用、监管体系，推动数据要素由资源向资产、资本转化，促进数字经济高质量发展。该行动方案涉及数据基础支撑体系、数据要素供给体系、融合创新应用、流通交易和安全保障等五个方面，共部署了15项重点工作。其中包括建立全市统一开放的数据要素市场，优先培育制造业领域数据流通交易市场，推动公共数据资源向民开放，规范培育数据交易市场主体等。此外，该方案还提出探索有利于数据安全保护、有效利用、合规流通的产权制度和市场体系，规范数据交易市场主体，发展市场运营体系，落实数据产权制度，构建数据资源化、资产化、资本化相结合的新型数据要素分配机制。

近日，国务院总理李强主持召开国务院常务会议，会议审议通过了《商用密码管理条例(修订草案）》，该条例的通过将进一步规范密码应用市场，并督促平台企业依法履行密码保护责任。文章还提到了三大重要变化，包括督促平台企业依法履行密码保护责任、商用密码改造逐步从“建议性”变为“强制性”以及“密评”成为衡量密码建设程度的指标。此外，文章还强调了物联网面临的安全威胁问题，并指出了物联网网络主要的安全风险集中在6个方面。整体来看，密码技术在云计算、大数据、物联网、人工智能等新兴领域发挥基础支撑作用，商密作为保护数据安全的重要手段，新兴领域的出现也带来了新的市场空间。

行业要闻

4月12日，Gartner发布了最新的2023年9大顶级网络安全趋势，安全领导者必须转向聚焦以人为本（Human-Centric Focus），以建立有效的网络安全计划。9个顶级网络安全趋势分别为：以人为本的安全设计、加强人员管理以实现安全计划的可持续性、转变网络安全运营模式以支持价值创造、威胁暴露管理、身份结构免疫力、网络安全验证、网络安全平台合并、可组合的业务需要可组合的安全性、董事会扩大其在网络安全监督方面的能力。

近日，联合国贸易和发展会议发布调查报告《G20成员国跨境数据流动规则》（G20 Members’Regulations of Cross-Border Data Flows）。该报告对G20成员国和特邀嘉宾进行了调查，介绍了数据的多维性质以及各国相关政策和立法，讨论了多利益攸关方监管方法之间的共同点、差异和融合要素，力图促进成员国之间就跨境数据流动问题达成合意、建立协调的数据治理方法。报告重点涵盖调查结果和结论两大部分，“调查结果”主要从“现有法律法规”和“政策协调与对话”视角出发，对G20成员国的数据跨境流动政策进行了总结。“结论”指出跨境数据流动不仅仅涉及贸易领域，也需要更广泛的数据治理框架。报告呼吁国际社会在制定数据治理框架时扩大讨论范围，为不同数字能力水平的国家提供足够的政策空间。

近日，威胁猎人发布了《2023年Q1数据资产泄露分析报告》，显示Q1发生了近1000起数据泄露事件，涉及1204家企业和38个行业。黑产的数据交易主要集中在更加隐蔽和便利的匿名社交平台。短信通道泄露虽然占比不高但影响极大，仅一起事件就涉及1000+家企业。整体来看，Q1的数据泄露态势不容乐观。数据安全保护逐步从监管法规落实到具体的攻防实战中来，企业发生数据泄露不仅会受到监管和法律的惩罚，还可能遭受财产和名誉损失。Q1金融企业的用户遭遇钓鱼仿冒类电信诈骗案件上升，其中一个很重要的原因是诈骗分子基于泄漏的用户信息数据，通过钓鱼仿冒网站来实施精准诈骗。及时监测数据泄露风险，做好数据安全建设，是企业发展路上的重要课题。

数据要素技术企业“翼方健数”最近完成了数亿元B++轮融资，用于构建数据和计算互联网（IoDC）的技术产品和商业模式。该公司的目标是打造数据原生时代的IT Infra，即IoDC。IoDC是指数据和人工智能之间促进正循环作用，最终形成相互可以调用、互联互通的网络。翼方健数的IoDC图景包括数据、算力、算法/模型和互联网基础设施的高效组合。在IoDC的整体定位上，翼方健数以数据“安全流通，高效匹配，价值释放”为核心，并以要素流通全栈技术为基础。

杭州市推动数字经济发展，打造全国数字经济第一城。杭州国际数字交易联盟是由数字交易、数据服务、数字资产等企业和机构自愿组成的行业性社会团体，旨在宣传和贯彻党和国家的数字交易法律法规和方针政策，维护会员合法权益，加强行业交流，搭建合作平台。目前已有50余家业内领军企业加入，正在开放第二批会员单位申请，欢迎杭州地区相关单位积极加入。

AIGC正在加速成为AI领域的重要领域，并推动人工智能由感知迈入认知的下一个时代。中国信息通信研究院依托元宇宙创新探索方阵、内容科技产业推进方阵、中国通信标准化协会TC602等组织，现正式开展《2023 AIGC产业图谱》编制工作。本次调研数据将被用于统计分析，收录进入《2023 AIGC产业图谱》，图谱将拟于2023年7月 “2023世界人工智能大会（WAIC）”正式发布。征集时间：即日起至2023年5月30日。

近日，英国在议会提交了新的《数据保护和数字信息法案》，该法案被视为英国版的《通用数据保护条例》（GDPR），修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。该法案于2022年夏天首次提出，为了避免欧盟《通用数据保护条例》的问题而暂缓了立法程序。此次修订后的法案引入了一个简单清晰且对企业友好的框架，为企业提供更大的灵活性，并确保新制度与欧盟数据容量保持一致。此外，该法案还将对骚扰电话和短信的罚款提高到全球营业额的4%或1750万英镑，并加强数据监管机构地位。英国政府认为，数据对于经济增长至关重要，尤其是在人工智能等创新技术的开发和应用方面。

4月20日消息，欧盟委员会发布内部争议巨大的《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。该提案的核心要点之一是建立一个由欧盟各国和跨境安全运营中心组成的欧洲网络护盾（Cyber Shield），目标是让安全运营中心明年投入运营，并与附近的区域网络合作中心建立起联系，以监控和识别网络威胁。该提案的第二大要点是建立网络应急机制，提高欧盟在危机中的准备和应对能力，并建立欧盟“网络安全预备队”，由可信赖和经过认证的私营企业参与，并随时准备应对重大网络事件。该提案的某些条款引起欧盟成员国的激烈争论和反对，特别是涉及情报共享以及私营企业认证和责任的条款。

技术前沿

本文作为学习笔记整理了2023年4月8日冯登国院士的MPC讲座第二讲的内容。冯登国院士是我国网络与信息安全的专家，主要从事保密通信、网络安全和可信计算等理论与技术的研究。笔记主要介绍了不经意传输拓展协议、诚实大多数半诚实安全MPC协议、诚实大多数假设下乘法验证技术、半诚实安全GMW协议及其优化。干货满满，感兴趣的朋友可以阅读原文学习。

零知识证明（Zero Knowledge Proof）由S.Goldwasser、S.Micali 及 C.Rackoff于1985年在论文《The Knowledge Complexity of Interactive Proof Systems》（交互式证明系统中的知识复杂性）首次提出，是一种用于证明者在不泄露任何其他信息的情况下证明其掌握知识正确性的密码学协议。本文将带读者学习零知识证明的基础知识。

随着最近几年隐私计算的飞速发展，越来越多人想要了解隐私计算，为此OpenMPC社区推出了隐私计算知识库，带领大家从0到1认识隐私计算。隐私计算现阶段主要有三个方向：可信执行环境、安全多方计算和联邦学习，知识库第一篇我们将从可行执行环境（Trusted execution environment，TEE）开始。通过技术简介、技术流程、发展历程、应用场景、技术对比、挑战展望六个部分，来带你全面了解可行执行环境。希望让大家对 TEE 有个完整的了解。知识库里需要涵盖的内容很多，欢迎大家来投稿，一起完善隐私计算知识库。

隐私集合求交(PSI)和不经意传输(OT)的联系是深刻的。给定一个PSI，可以（在多项式时间内）借助它构造OT;反过来，给定一个OT,同样可以构造PS1。当前PS1实用化研究的一个标志性成果就是借助（扩展的）OT构造高性能PS协议，在VOLE构造出来之前，它保持了PSI计算速度的最快记录。OT-based PSI的设计思路是巧妙的，本文在这里记录构造它的细节，结合自己的理解去讨论其中值得玩味的天才思想。

第38次全国计算机安全学术交流会暨计算机安全专业委员会2023年全体委员大会暂定于2023年10月中旬在湖南长沙召开。热忱欢迎网络信息安全领域管理、科研、教学、生产、应用和服务的组织机构及个人踊跃投稿。所投稿件将在格式审查和网络查重后提交专家组评审，从中遴选出录用论文并评选出年度优秀论文。评选出的论文将在中文核心期刊《信息网络安全》，科技核心期刊《信息安全研究》《信息安全学报》《数据与计算发展前沿》，以及《网络空间安全科学学报》上刊登，同时收录在“中国知网”论文库。

推荐阅读

2023年4月13日，2023年度中国电机工程学会电力系统自动化专委会青年论坛在云南昆明召开，会议主题为“电力系统自动化再青春‘新时代 新活力’”。会上，清华大学助理研究员凡航作了题为“隐私计算及其在新型电力系统中的应用”的报告，分为研究背景和现状、通用隐私计算技术、基于MPC的隐私保护电力系统数据分析框架、实际应用展示及分析、结论与展望等部分。经作者授权发布，欢迎品读！

针对传统的能源数据共享模型中存在的能源企业部门间访问控制中心化、访问透明度低和效率低等问题，本文提出一种基于区块链的能源数据共享访问控制方案。首先，设计了基于区块链和能源数据分级的访问控制模型，以零信任的“永不信任，始终验证”为原则，将区块链与基于属性的访问控制(attribute based access control, ABAC)相结合，利用区块链智能合约保证访问控制自动可信的判决，利用ABAC实现以属性为决定因素的细粒度访问控制；其次，对能源数据进行分级，体现其资源的隐私程度，设计相应的访问控制策略.实验结果表明，该方案能够保证在大规模访问控制策略下，能源数据实现可控共享。

不了解隐私计算？概念晦涩难懂？本文将带给你趣味满满的科普，丝滑地学习隐私计算。联邦学习、多方安全计算、可信执行环境将不再只是冷冰冰的公式，结合图片和视频，你将很快学会！

中国数据流通市场迎来新的发展浪潮，政策的引导和影响下，企业参与数据流通的热情日益高涨。然而，在数据要素流通与治理的过程中，仍面临着诸多挑战，如数据资源规模化流通需要攻克安全大关，数据产业生态建设面临互信难题等。数据流通交易市场仍处于探索期，交易机构运行机制和支撑能力有待进一步完善。同时，缺乏标准化广域覆盖的可信数据流通基础设施，其中核心技术亟须探索和突破。行业需要尽快研究攻关，构建统一、高效、可信的数据流通基础设施。此外，数据资源本身要实现大循环也面对不少挑战，如数据资源规模化流通、数据资源开发深度与应用范围不足、数据产业生态建设正面临互信难题等。

在数字经济时代，数据已成为重要的战略资源，数据安全应与发展并重，密码技术与隐私计算的重要性也愈发凸显。中国科学院院士、清华大学教授王小云在2022年世界人工智能大会可信隐私计算高峰论坛上发表演讲，介绍了密码学中的隐私计算技术，包括提供隐私保护的签名方案、安全多方计算以及同态加密，认为隐私计算在密码技术中占据重要地位，可为各类信息提供保护，有利于打破数据孤岛，释放数据价值。同时，隐私计算技术不仅局限于密码学，还包括其他技术，如差分隐私等。

2023年4月9日，“零壹读书会04期：《隐私计算：数字经济新基建》”在北京举办，中国精算师协会会长、数字保险智库学术委员会主席王和，全联并购公会信用委副主任、北京信用学会副会长刘新海，洞见科技创始人、董事长姚明，锘崴科技合伙人、医疗大健康事业部总经理吴凡，零壹智库CEO柏亮围绕书籍共同探讨了隐私计算在数字经济时代的发展、应用、创新和趋势。读书会上涌现了许多专业独到的见解：“隐私计算市场还在发展初期，渗透率有待提高”、“隐私计算不是一个单纯的技术概念，别把所有的宝都押在技术上、“商业隐私需通过加密，才能跟ChatGPT进行交互”、“隐私计算应用：多层级、多领域的密态数据计算网络正在形成”、“隐私计算落地场景：医疗行业难度高、价值大”。

近日，中国计算机学会（CCF）计算机安全专委会中来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2023年网络安全十大发展趋势。十大发展趋势分别是：一、数据安全治理成为数字经济的基石；二、智能网联汽车安全成为产业重点；三、关键信息基础设施保护领域成为行业增长点；四、隐私计算技术得到产学研界共同关注；五、数据安全产业迎来高速增长；六、国产密码技术将得到更加广泛地应用；七、供应链安全风险管理成为重要挑战；八、信创需求将全面爆发；九、网络安全云化服务被用户广泛接纳；十、人工智能网络攻防呈现对抗发展演化。

随着数字化营销的发展，越来越多的鞋服品牌采用线上线下相结合的方式进行广告投放。品牌方利用隐私计算技术，通过第三方数据赋能私域数据应用，安全合规进行广告投放的潜力得到充分挖掘。本文通过分析Convertlab隐私计算技术成功案例，探讨广告投放的最新趋势，以及如何通过Convertlab PEC Hub完成隐私增强计算的全域流程闭环广告投放，包括构建安全计算节点、洞察三方画像、精准圈选投放以及沉淀私域画像。