联合国发布《应对COVID-19 的数据保护和隐私的联合声明》等五则

联合国发布《应对COVID-19的数据保护和隐私的联合声明》

“联合国”网站2020年11月18日消息，当日，联合国及其下属机构国际移民组织（IOM）、国际电信联盟（ITU）、联合国人道主义事务协调办公室（OCHA）、世界卫生组织（WHO）等联合发布《应对COVID-19的数据保护和隐私的联合声明》（以下简称《声明》）。该声明由联合国隐私政策小组制定，主要基于《联合国个人数据保护和隐私原则》以及联合国秘书长关于数据保护、隐私和人权的数据战略中的建议，支持使用数据和技术抗击COVID-19并保护个人隐私。

《声明》指出，联合国组织体系使用数据技术在应对COVID-19时应以人权为基础，遵循适用的国际法、数据保护和隐私原则，考虑包括健康权、生命权和经济社会发展权在内的相关权利的平衡。

《声明》提出，联合国组织体系在利用数据技术应对COVID-19时：一要保持合法性，在范围和时间上有限且必要，与特定和合法目的相符；二要确保数据适当保密、安全性、保留的时限性，以及进行适当销毁或删除；三要确保数据交换遵守适用的国际法、数据保护和隐私原则，并基于适当的调查和风险判定进行评估；四要遵守适用的机制和程序，确保与数据使用有关的措施符合相关原则，并在不再需要此类措施时立即停止；五要保持透明性以建立信任。

（杨彦超译）

欧盟委员会公布《欧洲数据治理条例》提案以促进成员国数据共享

综合“欧盟委员会”官网和英国“DataGuidance”网站2020年11月25日消息，当日，欧盟委员会公布了《欧洲数据治理条例》（数据治理法案）提案内容。委员会特别指出，该法规将以符合欧盟价值观和原则处理欧洲个人数据，并促进整个欧盟以及各部门之间的数据共享，从而为社会创造财富，增强公民和公司对数据的控制和信任，并为主要技术平台的数据处理实践提供一种替代欧洲模式。

新法规提出了一个基于中立和透明的数据中介的模式，数据中介是数据共享或汇集的组织者，旨在增加信任度，并明确规定数据共享中介机构将不能自行处理数据，要遵守严格的要求，它为大型技术平台的数据处理实践提供了一种替代模型。此外，欧盟委员会还表示，新法规将包括一系列措施，以增加对数据共享的信任，促进公共部门持有的某些数据的再利用，通过让企业和个人在明确的条件下，为更广泛的共同利益相关方自愿提供数据，使欧洲人能够更容易、更安全地控制自己生成的数据的使用。

提案是《欧洲数据战略》下的第一个成果，该战略旨在释放人工智能等数据和技术的经济和社会潜力，同时尊重欧盟的规则和价值。在数据空间中，数据可以按照明确、实用和公平的获取和重用规则在欧盟内部和跨部门流动。提案还支持在确保符合欧洲公共利益和数据提供者合法利益的条件下，更广泛的国际数据共享。预计2021年将出台更多关于数据治理的专门提案，并辅以数据法案，以促进企业之间、企业与政府之间的数据共享。

（黄志涛译）

国际货币基金组织发表《中央银行数字货币的法律方面：中央银行和货币的法律思考》报告

英国“LedgerInsights”网站2020年11月23日消息，国际货币基金组织法务部门11月20日发布了《中央银行数字货币的法律方面：中央银行和货币的法律思考》报告，就中央银行数字货币（CBDC）的法律问题提出思考和建议。

报告认为，CBDC的法律地位取决于其业务和技术设计特点，基于账户的CBDC和基于令牌的CBDC具有不同的法律意义。报告指出，中央银行法律和货币法律的改革具有必要性。目前，任何类型的CBDC都没有明确的法律依据，无论它是基于令牌的、帐户的、中心化的还是去中心化的。央行发行基于令牌的CBDC需要得到明确的许可，而不是将其权力限制在钞票和硬币上，在起草法律时，应明确货币的形式是纸币、硬币或者令牌数字货币。

报告认为，相较于中央银行法改革，货币法改革更加困难，它在货币发行权、可兑换性、法定货币地位、私法特权以及防止伪造和网络犯罪的刑法保护等领域引发了诸多问题，而且货币法改革也受到宪法的限制。

报告讨论了基于令牌的CBDC是否可以借给银行，在网络犯罪下是否有足够的安全保障，以及令牌货币的计息问题。最后，报告建议，在发行CBDC之前，需要健全的法律基础，仔细考虑对现有法律的潜在修订或制定新的法律。

（张文远译）

世界经济论坛发布《未来系列：网络安全、新兴技术和系统性风险》报告

综合“世界经济论坛”官网、“安全内参”网站2020年11月16日、23日消息，世界经济论坛发布《未来系列：网络安全、新兴技术和系统性风险》报告，重点介绍了新兴技术环境中固有的隐性和系统性风险，以呼吁国际社会和业界重视并采取措施保障网络安全。

报告主要就五个方面挑战进行阐述：一是数字生态系统正面临着维护网络安全能力匮乏、技术和政策的碎片化、现有维护安全的技术和能力并不适用、对安全地开发新兴技术的支持和投资不足和问责模糊5项挑战。二是网络攻击者和防守者都在加紧部署AI，同时也面临攻击范围扩大并操纵算法、深度伪造问题等挑战。三是网络密切连接带来了潜在的攻击面扩大、不可预见的连锁风险、共享资源存在系统性风险等许多挑战。四是量子技术存在先下载，再解密、地缘政治和公平、新型的二级安全风险、破坏加密基础设施等风险。五是薄弱的数字身份管理加剧了网络安全问题，身份管理系统中的大量个人信息存在重大的保密风险、身份管理系统的完整性被破坏会降低用户的信心。

报告针对有关挑战提出三点建议：一是人工智能建议采取发展防御工具、采取协同安全操作方法、增强防御能力以及开发安全的防御算法等方式应对挑战。二是量子技术建议应识别与解决分散的风险、安全开发量子技术、重新审视治理原则、加强企业领导者的量子安全教育、确保量子公平。三是数字身份管理建议保证信用和透明度、创建可共享和互操作的治理框架、召集各方合作、协同运营安全社区。

（张文远 薛春竹译）

博思艾伦发布《2021年网络威胁趋势展望》报告

美国“MSSP Alert”网站2020年11月消息，美国信息技术咨询公司博思艾伦发布《2021年网络威胁趋势展望》报告，列出了以下网络罪犯可能发动严重攻击的8个领域，并就缓解措施给出了建议。

下一代恶意软件商业模式：网络罪犯会在试验勒索软件的商业模式和将恶意软件子集“专业化”方面“加注”。“网络罪犯讨论了创建风险投资组织或股票市场，以便有关各方可以在无需编写代码的情况下就资助恶意软件、工具和框架的开发。”报告建议，制定补丁政策，确保每月被识别关键漏洞并部署相关补丁。同时，在从管理员到用户的所有帐户上实施双因素身份验证（2FA）。

供应链攻击：预计威胁行为者对以平台即服务（PaaS）解决方案为目标的兴趣将上升，使之为实施供应链攻击的潜在载体。报告建议，部署端点检测和响应工具，以检测应用程序的异常或可疑行为，包括那些通常被认为可信的应用程序。

AI和机器学习攻击：预计网络攻击者会将目标锁定为组织使用的机器学习方法，例如AI赋能的工具，从而“在使用前确定恶意软件的有效载荷，类似于今天使用的复杂的编码器、包装器和混淆器。”报告建议组织实施纵深防御策略，以破坏杀伤链中其他地方的攻击。

对包裹/航运部门的攻击：可以预见，网络犯罪分子会利用包裹和航运部门来破坏关键服务，破坏公众对美国公共部门服务的信心。报告建议，针对公众对包裹和航运服务部门日益增加的依赖加强网络监控，如假期、选举、自然灾害或其他事件。

COVID-19追踪App生态系统：预计COVID-19跟踪应用程序将被“后门”，从而收集移动设备上的敏感信息。报告建议，探索能够集中控制并实现对数据安全性、配置、软件部署和其他管理功能的远程管理的移动设备管理平台。

健康数据：在COVID-19的影响下，预计网络罪犯将利用远程医疗服务锁定患者数据。报告建议，医疗保健系统应该开发或改进企业远程医疗战略，将网络安全考虑植入远程医疗生态系统的每一层，从基础设施到供应链、软件、终端供应，以及临床医生和患者教育。

5G和工业控制系统：5G网络和工业控制系统/运营技术的合并将导致复杂的攻击面，并暴露工业物联网（IIOT）网络运行方式的潜在缺陷。报告提出，组织应该预期并准备好应对5G/IIOT攻击和漏洞；尽可能确保系统是最新的；如果厂商不支持的设备有一个附带支持和安全更新的新版本，应考虑升级设备。

5G采用：5G的采用将增加攻击者寻找和利用这些设备中漏洞的动机。报告建议，确保5G的采用和采购过程包括强大的安全审计和完整的供应链调查，为安全驱动的决策提供信息。