近日，欧洲隐私倡导组织NOYB对社交媒体巨头X提起GDPR投诉，再次将大模型训练的用户数据隐私问题推至风口浪尖。 据NOYB称，X公司未经告知或征得用户同意，擅自使用超过6000万欧洲用户个人数据训练其大型语言模型“Grok”，这一行为严重违反了GDPR原则。NOYB认为，X公司此举缺乏透明度，且未获得适当的法律依据或用户许可，这在GDPR的框架下是不可接受的。 Grok大模型的训练过程原本悄无声息，但在2024年7月下旬被一位名为@EastBakedOven的用户揭露。 该用户在检查X账户设置的变更时，发现了一个默认勾选的设置：“允许您的帖子以及您与Grok的互动、输入和结果被用于训练和微调。”X公司声称，可能会使用这些数据来“微调”Grok，并可能与服务提供商xAI共享。 据悉，爱尔兰数据保护委员会（DPC）已与X公司达成协议，后者同意在9月份前暂停处理个人数据。DPC的公告指出，未经授权的Grok训练发生在2024年5月7日至8月1日之间。对此，NOYB的主席Max Schrems表示，DPC未能深入调查此事的法律层面，仅仅提出实施缓解措施的建议。因此，NOYB决定提起多项GDPR投诉，涉及GDPR多条条款，希望这将促使对违规行为进行彻底调查。 NOYB组织要求X公司解释为何在Grok训练开始两个月后才通知用户，已被用于训练的用户数据集如何处理，以及如何有效区分欧盟和非欧盟个人数据。此外，NOYB质疑为何X等平台仍未提示欧盟用户，以获得使用其数据训练Grok的许可，这是符合GDPR要求的唯一方法。 这起事件凸显了社交媒体数据使用的法律风险，尤其是在GDPR严格的数据保护要求下。今年6月份NOYB组织还曾向11个国家的隐私监管机构投诉Meta的人工智能训练计划，并敦促它们在该公司开始训练下一代Llama之前阻止该公司。 X用户如果不希望X使用其帖子来训练Grok，有两个选择： 第一个选择是将帐户设为私密，但对许多人来说，这会极大影响用户体验。 更好的选择是从桌面登录X站点并单击屏幕底部的“更多”按钮，然后单击“设置和隐私”，选择“数据共享和个性化”下的“Grok”，然后取消选中“允许您的帖子以及您与Grok的互动、输入和结果用于训练和微调”。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/p7uhcXU6D7E6M2bWkrfrGQ 封面来源于网络，如有侵权请联系删除

德国检察官指控一名军官犯有间谍罪，据称他代表俄罗斯情报部门从事间谍活动。 这名男子名叫托马斯·H (Thomas H)，去年八月被捕，目前仍被拘留。尽管检察官将他描述为一名士兵，但德国司法部长马可·布施曼在社交媒体上称他为“德国军官”。 据联邦总检察长称，这名在德国联邦国防军采购机构工作的嫌疑人被指控为外国情报机构工作并违反德国官方保密法。 这次逮捕是越来越多的证据中的另一个数据点，这些证据支持对德国关注俄罗斯间谍威胁的批评。此前，去年 12 月，德国外交情报部门的一名雇员再次被捕，该雇员涉嫌叛国罪和为俄罗斯从事间谍活动。 本月早些时候，一名俄罗斯宣传人员公布了截获的德国联邦国防军官员之间讨论该国对乌克兰支持的对话，令该国军方进一步陷入尴尬。这一事件促使英国前国防部长本华莱士形容该国“受到了损害”。 嫌疑人被捕前驻扎在德国西部科布伦茨的设备、信息技术和利用办公室 (BAAINBw)。 他被指控自去年 5 月以来多次“主动”主动联系俄罗斯驻波恩领事馆（科布伦茨以北一小时车程）和俄罗斯驻柏林大使馆，提供他作为调查的一部分获得的敏感信息。他在军队中的角色。 检察官办公室表示：“有一次，他将在职业活动中获得的信息传递给俄罗斯情报部门。” BAAINBw负责德国军事装备采购，包括武器和IT系统。在托马斯·H 被捕之际，该公司最近正在庆祝批准采购发往乌克兰的 18 辆豹 2 A6 替换坦克所需的“创纪录时间”。 检察官表示，根据 7 月份发出的搜查令，对该男子的住所和工作场所进行了搜查，随后法官在一个月后打开了搜查令并将其还押候审。 检察官没有透露该男子被指控向俄罗斯提供了哪些信息。除了采购工作外，BAAINBw还负责提供外国国防物资的技术分析，并为非北约国家提供装备援助。 自去年2月俄罗斯入侵乌克兰以来，德国已向乌克兰提供了大量军事物资，并于去年在布查发现平民乱葬坑后驱逐了40名外交官。 英国军情六处负责人估计，俄罗斯在欧洲各地驱逐外交官的事件包括400 名在外交掩护下工作的情报官员，据信破坏了该国的情报工作。 专家警告说，由于其人类情报网络遭受这些挫折，俄罗斯可能会更多地利用其网络能力进行工业间谍活动，并指出弗拉基米尔·普京向该国外国情报部门发表讲话，呼吁他们帮助减轻制裁。   转自会杀毒的单发狗，原文链接：https://mp.weixin.qq.com/s/yhHj3J7BiH8ov1JRlFDP6w 封面来源于网络，如有侵权请联系删除

安全内参3月4日消息，日本电报电话公司（NTT）西日本总裁森林正彰（Masaaki Moribayashi）在上周四宣布，由于去年10月曝光的928万客户数据泄露事件，其将于3月底引咎辞职。 森林正彰在大阪召开的新闻发布会上表示：“我们对社会负有极大的责任。我决定下台以承担责任。”这场发布会吸引了众多媒体关注。 自2022年6月起，森林正彰一直在NTT西日本担任总裁职务。 在日本，发生类似事件后辞职并不鲜见。辞职者选择主动担责，要么是为了维护个人荣誉，要么是为了缓和公众愤怒。如果领导者选择拿出部分薪水作为赔偿，通常可以避免辞职。 此次数据泄露事件性质恶劣 上周四，NTT西日本就泄露事件表示歉意，并公布了相关调查的细节。 NTT西日本表示，被派遣到NTT商务解决方案公司的临时员工窃取了数据，并将其卖给了第三方。 据信，这起窃案发生在十年前，早在森林正彰掌舵之前。 不过，NTT西日本早在2022年就收到一位客户提供的潜在泄露线索。当时的内部调查不仅未找到泄露线索，还提供了有关安全措施的错误信息，比如该机构从未使用过调查公布的加密软件。 这名前员工前些时候已经被逮捕，并于今年2月被控违反了反不正当竞争法。 今年2月，日本通信部门得出结论，NTT西日本未能正确监管和管理客户数据，并要求该企业修改与就业机构的合同。 NTT西日本对此表示悔过的同时，发布声明承诺：“为防止再次发生类似事件，NTT西日本集团将逐步落实预防措施，加强信息安全，力图重建大众对NTT西日本集团有关各方的信任。” 这些升级措施包括将信息安全部门扩员100人、为监控升级拨款100亿日元（约合6650万美元）。   转自安全内参，原文链接：https://www.secrss.com/articles/64128 封面来源于网络，如有侵权请联系删除

美国国安部门国防安全局的内部文件显示，由于从NSA等机构获取信息耗费时间过长，该机构转而向私企Team Cymru购买网络流量数据（netflow），以便分析人员跟踪虚拟网络中的黑客活动。 数字媒体调查网站404 Media近日报道称，《信息自由法案》从美国国防安全局（DSS，现名“国防反情报和安全局”，DCSA）获取的内部文件显示，这家联邦反情报机构正从一家私营互联网公司手中购买数据，以便对黑客活动进行更快速、更便捷的追踪。 与私企打交道更快更方便 文件显示，DSS是从附属于Team Cymru公司的某个承包商手中获取所需数据的。Team Cymru是一家互联网安全公司，虽然在整体情报能力方面不如NSA等全球最强大的情报机构，但在数据获取和提供方面却也有上述联邦部门无法比拟的优势。 比如他们可以在未获同意的情况下，借助与互联网服务提供商（ISP）之间的关系对使用该ISP的个人或团队敏感数据进行收集。这些数据被称为“互联网流量日志”，可以显示用户在网络上的通信情况，还可以帮助分析人员借助虚拟专用网络对网络活动进行追踪。通常情况下，此类连接数据只有运营服务器的公司或个人，以及他们的互联网服务提供商才有权限获取。不过Team Cymru能侵入某个大多数人不可见但互联网运行又不可或缺的重要网络节点，对这些数据进行收集并把读取权限出售给其他私人企业甚至政府部门。 更重要的是，从Team Cymru公司购买数据要远比从政府部门手中申请数据更快速、更便捷。404 Media网站获取的文件抱怨，走流程向NSA等政府部门申请数据需要的时间要以“天”为单位计算，而向私营企业购买则“立即可取”。 其中一份文件指出，网络安全分析人员要花费大量时间对发生在联邦政府范围内的网络攻击进行IP地址和域名解析，有时需要向US-CERT（美国计算机应急响应小组）、NSA和其他各类“网络安全国家队”申请所需要的数据。但“这些部门并非查找机构，经常会让一个需要决定性回应的申请陷入长达数天的等待，”文件称。“等待时间越长，国家安全遭到破坏的可能性就越大。” 使用是否合法合规遭质疑 向政府部门和机构出售网络流量日志是互联网行业内的公开秘密。比如美国国税局、海军、陆军和网络司令部都曾是Team Cymru公司的客户。FBI和特勤局（Secret Service）也曾向Team Cymru的分公司Argonne Ridge Group进行过相关采购。DSS在文件中为自己向私人企业购买数据的行为进行了辩解，称是为了“通常情况下，外国情报实体往往会对他们的（网络黑客）行为进行深度隐藏”，向私营互联网企业采购数据的目的，是为了“获得对外国情报实体（网络）恶意活动进行追踪的能力”。 据悉，DSS的数据采购被归类为“商业行为”，在采购清单中列支的名目，是“向网络威胁情报公司Team Cymru购买技术”，数年中所花费的金额已高达几百万美元。专家认为，DSS的花费在某种程度上是“物有所值”，因为其购买的互联网流量日志等数据对网络安全分析人员来说是一款得心应手的工具，可以对黑客发起网络攻击的源头进行追踪。 虽然DSS和专家的解释向外界说明了反情报机构使用互联网流量日志的合法性，但部分互联网人士仍然担心DSS可能会非法使用从私营公司采购的数据，或超出宣称的使用范围（指追踪黑客）。这不是没有先例的。早前参议员罗恩·怀登就曾收到一封举报信，称海军罪案调查处（NCIS）向Team Cymru公司非法采购和使用网络数据。 他们的担心是出于两个方面的原因。一方面是Team Cymru公司获取数据的手段并不完全合法，因为这些数据是在大多数人并不知情的情况下收集并出售的，而且有些数据（比如位置信息）的收集并未得到应有的授权。另一方面是DSS使用这些数据时可能超出了追踪黑客的范围。DSS曾表示，该部门希望获得的数据服务，可以帮助自己锁定“谋划攻击、内部威胁、洗钱、破坏系统或尝试利用网络漏洞”的人群。这些目标显然超出了追踪黑客活动的范围，不由得不引起外界对反情报部门可能会滥用权力的焦虑。 与Team Cymru合作更节约成本 在被披露的文件中，DSS也阐述了不向Team Cymru公司的替代方案，即在全球范围内布设传感器，自己收集所需要的数据。 “我们也曾考虑过另外的数据获取方案，即在全球范围内设置可覆盖整个互联网的流量监视和收集传感器，”文件称。“但其设计、采购、部署、运行和支持是一个大工程，耗费的资金量将（比采购Team Cymru数据）更巨大。” 所以DSS最终决定不再做重复工作，因为Team Cymru公司已经拥有了一整套可供利用的全球网络传感器。“（Team Cymru公司）收集的网络数据来自全球范围内超过550个收集点位。这些收集点位遍布欧洲、中东、南北美洲、非洲和亚洲，每天都能产生至少1000亿条更新数据。”     转自安全内参，原文链接：https://www.secrss.com/articles/60167 封面来源于网络，如有侵权请联系删除

扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 一杯奶茶也许不贵，但订单里却包含着消费者的个人信息和消费轨迹。对商家来说，成千上万笔订单背后的用户数据堪称一笔重要的“财富”。 扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用” 相比直接窃取个人信息的案件，人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下，被商家索取姓名、位置、手机号码等个人信息，然后由于各种原因导致信息泄露。 互联网安全专家表示，个人信息泄露主要的危害有两类：一类是黑灰产对个人信息的利用；另一类是企业滥用用户信息，获取更多非正常的商业报酬、商业利益。除此以外，还会通过个人信息建立情报体系、树立行业壁垒。 尽管消费者抱怨声不断，为什么企业仍热衷于收集消费者个人信息呢？ 专家表示，在数字经济时代，数据就像石油。尤其是大量数据，具有非常大的价值。把这些数据全部整合在一起，形成每个人的画像，就是最具有商业价值的事。 一句话概括：数据就是打开财富大门的钥匙。因此，不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。 针对这些乱象，从6月中旬起，上海市网信办会同市场监管局开展了为期半年的专项执法行动，重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。 强制索取信息、信息保管、隐私权政策为执法焦点 通过对上海29家知名度较高的奶茶店、快餐店明察暗访中，执法小组发现了几个比较突出的问题。 首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所，仍被告知要通过App或者小程序扫码点餐，而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求，否则就无法完成点餐。 专家表示，这种做法既违反了最小必要原则，也剥夺了消费者的自主选择权，违反了消费者权益保护法。 门店越多，产生的数据也越多，有时甚至达到惊人的地步。比如，某知名连锁奶茶品牌每收到一笔订单，就会产生87条数据，目前已累计产生超过100亿条。其中，涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。 专家表示，在数字经济时代，数据通常被用于经营管理，这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用，但在采集信息的过程中，必须遵循“合法、正当、必要”三原则。 据了解，要搭建一个收集消费者个人信息的技术平台，门槛很低，费用也不高。网络安全专家表示，扫码点餐存在一定的风险性，尤其是在小商家扫描那些来路不明的二维码。 那么，这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢？ 调查发现，不少企业在保管用户信息时，存在一定的隐患。比如，采集数据量巨大的某知名奶茶店，根据网络安全法和数据保护法，应该按照三级标准进行等级保护，但是这家企业却没有做这些工作。 此外，隐私权政策也是本次检查的重点内容之一。所谓隐私权政策，就是信息收集方就如何收集个人信息所发布的声明。简单讲，就是告诉用户采集个人信息的目的、用途以及如何保管等。 执法人员发现，不少企业要么没有隐私权政策，要么不完善。还有些企业虽然制定了隐私权政策，但过于冗长，用户体验非常不友好。有的隐私权政策洋洋洒洒近万字，与其说是为了告知用户，倒不如说是为了保护企业自己。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。     转自安全内参，原文链接:https://www.secrss.com/articles/58508 封面来源于网络，如有侵权请联系删除