聯(lián)合國發(fā)布《應(yīng)對COVID-19的數(shù)據(jù)保護(hù)和隱私的聯(lián)合聲明》

“聯(lián)合國”網(wǎng)站2020年11月18日消息，當(dāng)日，聯(lián)合國及其下屬機(jī)構(gòu)國際移民組織（IOM）、國際電信聯(lián)盟（ITU）、聯(lián)合國人道主義事務(wù)協(xié)調(diào)辦公室（OCHA）、世界衛(wèi)生組織（WHO）等聯(lián)合發(fā)布《應(yīng)對COVID-19的數(shù)據(jù)保護(hù)和隱私的聯(lián)合聲明》（以下簡稱《聲明》）。該聲明由聯(lián)合國隱私政策小組制定，主要基于《聯(lián)合國個(gè)人數(shù)據(jù)保護(hù)和隱私原則》以及聯(lián)合國秘書長關(guān)于數(shù)據(jù)保護(hù)、隱私和人權(quán)的數(shù)據(jù)戰(zhàn)略中的建議，支持使用數(shù)據(jù)和技術(shù)抗擊COVID-19并保護(hù)個(gè)人隱私。

《聲明》指出，聯(lián)合國組織體系使用數(shù)據(jù)技術(shù)在應(yīng)對COVID-19時(shí)應(yīng)以人權(quán)為基礎(chǔ)，遵循適用的國際法、數(shù)據(jù)保護(hù)和隱私原則，考慮包括健康權(quán)、生命權(quán)和經(jīng)濟(jì)社會發(fā)展權(quán)在內(nèi)的相關(guān)權(quán)利的平衡。

《聲明》提出，聯(lián)合國組織體系在利用數(shù)據(jù)技術(shù)應(yīng)對COVID-19時(shí)：一要保持合法性，在范圍和時(shí)間上有限且必要，與特定和合法目的相符；二要確保數(shù)據(jù)適當(dāng)保密、安全性、保留的時(shí)限性，以及進(jìn)行適當(dāng)銷毀或刪除；三要確保數(shù)據(jù)交換遵守適用的國際法、數(shù)據(jù)保護(hù)和隱私原則，并基于適當(dāng)?shù)恼{(diào)查和風(fēng)險(xiǎn)判定進(jìn)行評估；四要遵守適用的機(jī)制和程序，確保與數(shù)據(jù)使用有關(guān)的措施符合相關(guān)原則，并在不再需要此類措施時(shí)立即停止；五要保持透明性以建立信任。

（楊彥超譯）

歐盟委員會公布《歐洲數(shù)據(jù)治理?xiàng)l例》提案以促進(jìn)成員國數(shù)據(jù)共享

綜合“歐盟委員會”官網(wǎng)和英國“DataGuidance”網(wǎng)站2020年11月25日消息，當(dāng)日，歐盟委員會公布了《歐洲數(shù)據(jù)治理?xiàng)l例》（數(shù)據(jù)治理法案）提案內(nèi)容。委員會特別指出，該法規(guī)將以符合歐盟價(jià)值觀和原則處理歐洲個(gè)人數(shù)據(jù)，并促進(jìn)整個(gè)歐盟以及各部門之間的數(shù)據(jù)共享，從而為社會創(chuàng)造財(cái)富，增強(qiáng)公民和公司對數(shù)據(jù)的控制和信任，并為主要技術(shù)平臺的數(shù)據(jù)處理實(shí)踐提供一種替代歐洲模式。

新法規(guī)提出了一個(gè)基于中立和透明的數(shù)據(jù)中介的模式，數(shù)據(jù)中介是數(shù)據(jù)共享或匯集的組織者，旨在增加信任度，并明確規(guī)定數(shù)據(jù)共享中介機(jī)構(gòu)將不能自行處理數(shù)據(jù)，要遵守嚴(yán)格的要求，它為大型技術(shù)平臺的數(shù)據(jù)處理實(shí)踐提供了一種替代模型。此外，歐盟委員會還表示，新法規(guī)將包括一系列措施，以增加對數(shù)據(jù)共享的信任，促進(jìn)公共部門持有的某些數(shù)據(jù)的再利用，通過讓企業(yè)和個(gè)人在明確的條件下，為更廣泛的共同利益相關(guān)方自愿提供數(shù)據(jù)，使歐洲人能夠更容易、更安全地控制自己生成的數(shù)據(jù)的使用。

提案是《歐洲數(shù)據(jù)戰(zhàn)略》下的第一個(gè)成果，該戰(zhàn)略旨在釋放人工智能等數(shù)據(jù)和技術(shù)的經(jīng)濟(jì)和社會潛力，同時(shí)尊重歐盟的規(guī)則和價(jià)值。在數(shù)據(jù)空間中，數(shù)據(jù)可以按照明確、實(shí)用和公平的獲取和重用規(guī)則在歐盟內(nèi)部和跨部門流動。提案還支持在確保符合歐洲公共利益和數(shù)據(jù)提供者合法利益的條件下，更廣泛的國際數(shù)據(jù)共享。預(yù)計(jì)2021年將出臺更多關(guān)于數(shù)據(jù)治理的專門提案，并輔以數(shù)據(jù)法案，以促進(jìn)企業(yè)之間、企業(yè)與政府之間的數(shù)據(jù)共享。

（黃志濤譯）

國際貨幣基金組織發(fā)表《中央銀行數(shù)字貨幣的法律方面：中央銀行和貨幣的法律思考》報(bào)告

英國“LedgerInsights”網(wǎng)站2020年11月23日消息，國際貨幣基金組織法務(wù)部門11月20日發(fā)布了《中央銀行數(shù)字貨幣的法律方面：中央銀行和貨幣的法律思考》報(bào)告，就中央銀行數(shù)字貨幣（CBDC）的法律問題提出思考和建議。

報(bào)告認(rèn)為，CBDC的法律地位取決于其業(yè)務(wù)和技術(shù)設(shè)計(jì)特點(diǎn)，基于賬戶的CBDC和基于令牌的CBDC具有不同的法律意義。報(bào)告指出，中央銀行法律和貨幣法律的改革具有必要性。目前，任何類型的CBDC都沒有明確的法律依據(jù)，無論它是基于令牌的、帳戶的、中心化的還是去中心化的。央行發(fā)行基于令牌的CBDC需要得到明確的許可，而不是將其權(quán)力限制在鈔票和硬幣上，在起草法律時(shí)，應(yīng)明確貨幣的形式是紙幣、硬幣或者令牌數(shù)字貨幣。

報(bào)告認(rèn)為，相較于中央銀行法改革，貨幣法改革更加困難，它在貨幣發(fā)行權(quán)、可兌換性、法定貨幣地位、私法特權(quán)以及防止偽造和網(wǎng)絡(luò)犯罪的刑法保護(hù)等領(lǐng)域引發(fā)了諸多問題，而且貨幣法改革也受到憲法的限制。

報(bào)告討論了基于令牌的CBDC是否可以借給銀行，在網(wǎng)絡(luò)犯罪下是否有足夠的安全保障，以及令牌貨幣的計(jì)息問題。最后，報(bào)告建議，在發(fā)行CBDC之前，需要健全的法律基礎(chǔ)，仔細(xì)考慮對現(xiàn)有法律的潛在修訂或制定新的法律。

（張文遠(yuǎn)譯）

世界經(jīng)濟(jì)論壇發(fā)布《未來系列：網(wǎng)絡(luò)安全、新興技術(shù)和系統(tǒng)性風(fēng)險(xiǎn)》報(bào)告

綜合“世界經(jīng)濟(jì)論壇”官網(wǎng)、“安全內(nèi)參”網(wǎng)站2020年11月16日、23日消息，世界經(jīng)濟(jì)論壇發(fā)布《未來系列：網(wǎng)絡(luò)安全、新興技術(shù)和系統(tǒng)性風(fēng)險(xiǎn)》報(bào)告，重點(diǎn)介紹了新興技術(shù)環(huán)境中固有的隱性和系統(tǒng)性風(fēng)險(xiǎn)，以呼吁國際社會和業(yè)界重視并采取措施保障網(wǎng)絡(luò)安全。

報(bào)告主要就五個(gè)方面挑戰(zhàn)進(jìn)行闡述：一是數(shù)字生態(tài)系統(tǒng)正面臨著維護(hù)網(wǎng)絡(luò)安全能力匱乏、技術(shù)和政策的碎片化、現(xiàn)有維護(hù)安全的技術(shù)和能力并不適用、對安全地開發(fā)新興技術(shù)的支持和投資不足和問責(zé)模糊5項(xiàng)挑戰(zhàn)。二是網(wǎng)絡(luò)攻擊者和防守者都在加緊部署AI，同時(shí)也面臨攻擊范圍擴(kuò)大并操縱算法、深度偽造問題等挑戰(zhàn)。三是網(wǎng)絡(luò)密切連接帶來了潛在的攻擊面擴(kuò)大、不可預(yù)見的連鎖風(fēng)險(xiǎn)、共享資源存在系統(tǒng)性風(fēng)險(xiǎn)等許多挑戰(zhàn)。四是量子技術(shù)存在先下載，再解密、地緣政治和公平、新型的二級安全風(fēng)險(xiǎn)、破壞加密基礎(chǔ)設(shè)施等風(fēng)險(xiǎn)。五是薄弱的數(shù)字身份管理加劇了網(wǎng)絡(luò)安全問題，身份管理系統(tǒng)中的大量個(gè)人信息存在重大的保密風(fēng)險(xiǎn)、身份管理系統(tǒng)的完整性被破壞會降低用戶的信心。

報(bào)告針對有關(guān)挑戰(zhàn)提出三點(diǎn)建議：一是人工智能建議采取發(fā)展防御工具、采取協(xié)同安全操作方法、增強(qiáng)防御能力以及開發(fā)安全的防御算法等方式應(yīng)對挑戰(zhàn)。二是量子技術(shù)建議應(yīng)識別與解決分散的風(fēng)險(xiǎn)、安全開發(fā)量子技術(shù)、重新審視治理原則、加強(qiáng)企業(yè)領(lǐng)導(dǎo)者的量子安全教育、確保量子公平。三是數(shù)字身份管理建議保證信用和透明度、創(chuàng)建可共享和互操作的治理框架、召集各方合作、協(xié)同運(yùn)營安全社區(qū)。

（張文遠(yuǎn) 薛春竹譯）

博思艾倫發(fā)布《2021年網(wǎng)絡(luò)威脅趨勢展望》報(bào)告

美國“MSSP Alert”網(wǎng)站2020年11月消息，美國信息技術(shù)咨詢公司博思艾倫發(fā)布《2021年網(wǎng)絡(luò)威脅趨勢展望》報(bào)告，列出了以下網(wǎng)絡(luò)罪犯可能發(fā)動嚴(yán)重攻擊的8個(gè)領(lǐng)域，并就緩解措施給出了建議。

下一代惡意軟件商業(yè)模式：網(wǎng)絡(luò)罪犯會在試驗(yàn)勒索軟件的商業(yè)模式和將惡意軟件子集“專業(yè)化”方面“加注”?！熬W(wǎng)絡(luò)罪犯討論了創(chuàng)建風(fēng)險(xiǎn)投資組織或股票市場，以便有關(guān)各方可以在無需編寫代碼的情況下就資助惡意軟件、工具和框架的開發(fā)?！眻?bào)告建議，制定補(bǔ)丁政策，確保每月被識別關(guān)鍵漏洞并部署相關(guān)補(bǔ)丁。同時(shí)，在從管理員到用戶的所有帳戶上實(shí)施雙因素身份驗(yàn)證（2FA）。

供應(yīng)鏈攻擊：預(yù)計(jì)威脅行為者對以平臺即服務(wù)（PaaS）解決方案為目標(biāo)的興趣將上升，使之為實(shí)施供應(yīng)鏈攻擊的潛在載體。報(bào)告建議，部署端點(diǎn)檢測和響應(yīng)工具，以檢測應(yīng)用程序的異常或可疑行為，包括那些通常被認(rèn)為可信的應(yīng)用程序。

AI和機(jī)器學(xué)習(xí)攻擊：預(yù)計(jì)網(wǎng)絡(luò)攻擊者會將目標(biāo)鎖定為組織使用的機(jī)器學(xué)習(xí)方法，例如AI賦能的工具，從而“在使用前確定惡意軟件的有效載荷，類似于今天使用的復(fù)雜的編碼器、包裝器和混淆器。”報(bào)告建議組織實(shí)施縱深防御策略，以破壞殺傷鏈中其他地方的攻擊。

對包裹/航運(yùn)部門的攻擊：可以預(yù)見，網(wǎng)絡(luò)犯罪分子會利用包裹和航運(yùn)部門來破壞關(guān)鍵服務(wù)，破壞公眾對美國公共部門服務(wù)的信心。報(bào)告建議，針對公眾對包裹和航運(yùn)服務(wù)部門日益增加的依賴加強(qiáng)網(wǎng)絡(luò)監(jiān)控，如假期、選舉、自然災(zāi)害或其他事件。

COVID-19追蹤App生態(tài)系統(tǒng)：預(yù)計(jì)COVID-19跟蹤應(yīng)用程序?qū)⒈弧昂箝T”，從而收集移動設(shè)備上的敏感信息。報(bào)告建議，探索能夠集中控制并實(shí)現(xiàn)對數(shù)據(jù)安全性、配置、軟件部署和其他管理功能的遠(yuǎn)程管理的移動設(shè)備管理平臺。

健康數(shù)據(jù)：在COVID-19的影響下，預(yù)計(jì)網(wǎng)絡(luò)罪犯將利用遠(yuǎn)程醫(yī)療服務(wù)鎖定患者數(shù)據(jù)。報(bào)告建議，醫(yī)療保健系統(tǒng)應(yīng)該開發(fā)或改進(jìn)企業(yè)遠(yuǎn)程醫(yī)療戰(zhàn)略，將網(wǎng)絡(luò)安全考慮植入遠(yuǎn)程醫(yī)療生態(tài)系統(tǒng)的每一層，從基礎(chǔ)設(shè)施到供應(yīng)鏈、軟件、終端供應(yīng)，以及臨床醫(yī)生和患者教育。

5G和工業(yè)控制系統(tǒng)：5G網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)/運(yùn)營技術(shù)的合并將導(dǎo)致復(fù)雜的攻擊面，并暴露工業(yè)物聯(lián)網(wǎng)（IIOT）網(wǎng)絡(luò)運(yùn)行方式的潛在缺陷。報(bào)告提出，組織應(yīng)該預(yù)期并準(zhǔn)備好應(yīng)對5G/IIOT攻擊和漏洞；盡可能確保系統(tǒng)是最新的；如果廠商不支持的設(shè)備有一個(gè)附帶支持和安全更新的新版本，應(yīng)考慮升級設(shè)備。

5G采用：5G的采用將增加攻擊者尋找和利用這些設(shè)備中漏洞的動機(jī)。報(bào)告建議，確保5G的采用和采購過程包括強(qiáng)大的安全審計(jì)和完整的供應(yīng)鏈調(diào)查，為安全驅(qū)動的決策提供信息。