美国“商务部”官网2022年4月21日刊文称，当日，美国商务部长吉娜·雷蒙多发表声明称, 美国、加拿大、日本、韩国、菲律宾、新加坡、中国台湾七个经济体共同发布《全球跨境隐私规则声明》，正式对外宣告成立全球跨境隐私规则（CBPR）论坛，致力促进数据自由流通与有效的隐私保护。这一举动本质上是将亚太经合组织（APEC）框架下的CBPR体系转变成一个全球所有国家都可以加入的体系。

全球CBPR论坛旨在建立CBPR和处理者隐私识别（PRP）系统认证，这是同类首创的数据隐私认证，可证明公司符合国际公认的数据隐私标准。通过推广全球CBPR和PRP系统，支持数据的自由流动以及有效的数据隐私保护，同时定期审查成员的数据保护和隐私标准，以确保全球CBPR和PRP计划要求符合最佳实践，促进与其他数据保护和隐私框架的互操作性。同时，新论坛将促进贸易和国际数据流动，促进全球合作，在共同的数据隐私价值观基础上，承认国内保护数据隐私方法的差异。通过这种基于创建实用合规工具和合作的独特方法，可以让数字经济为各种规模的消费者和企业服务。

雷蒙多称，“全球CBPR论坛的成立反映了多边合作新时代的开始，以促进对我们现代经济至关重要的可信赖的全球数据流。论坛将促进贸易和国际数据流动，促进全球合作，在我们共同的数据隐私价值观基础上，承认我们国内保护数据隐私方法的差异。”

（王楚译）

欧盟EDPB发布关于新《跨大西洋数据隐私框架》的声明

“欧盟数据保护委员会（EDPB）”官网2022年4月7日消息，4月6日，EDPB发布关于新《跨大西洋数据隐私框架》的声明，支持美国做出的承诺，即当欧洲经济区（EEA）的个人数据转移到美国时，美国将采取“前所未有的”措施保护其隐私和个人数据。但EDPB指出，该声明并不构成EEA数据出口商向美国转移数据的法律框架，数据出口商必须继续采取必要行动，遵守欧盟法院（CJEU）的判例法，特别是施雷姆斯第二案（Schrems II）决定。

EDPB称，将在收到欧盟委员会的所有支持文件后，根据欧盟法律、欧盟法院判例法和委员会之前的建议，仔细评估新框架可能带来的改进。特别是将分析为国家安全目的收集个人数据是否限于严格必要和适当的范围。此外，EDPB还将审查独立补救机制如何尊重EEA个人获得有效补救和公平审判的权利。EDPB将调查该机制的新权力部门在执行任务时，是否可查阅有关资料，包括个人资料，以及是否可以作出对情报机构有约束力的决定。EDPB也会考虑是否有司法补救措施来对抗权力部门的决定或不作为。

（张文远译）

Trellix发布全球网络就绪报告评估全球网络防御状况

美国网络安全公司“Trellix”网站2022年4月14日在其官网发布《全球网络就绪报告》，分析美国、澳大利亚、法国、德国、印度、日本和英国的网络安全、政府和关键基础设施提供商之间的技术采用和公私合作状况。

报告称，美国77%的负责紧急服务的州和地方政府机构尚未完全实施端点检测和响应、扩展检测和响应解决方案；美国石油和天然气行业的75%尚未完全部署多因素身份验证，导致恶意行为者更易远程访问系统；美国医疗保健74%受访者尚未完全实施软件供应链风险管理政策和流程；超过一半的美国州和地方政府关键基础设施供应商（51%）、石油和天然气（55%）将缺乏内部网络技能归咎于没有充分实施网络安全措施。

报告显示，德国、法国和英国等北约国家87%受访者认为政府主导的网络安全防护举措可在加强国家网络防御方面发挥关键作用；全球82%受访者认为软件供应链风险管理对国家安全具有高度或至关重要的意义；只有德国的40%、英国的39%和法国的36%受访者，声称已完全实施了适当的软件供应链风险管理政策和流程；来自这些国家的受访者认为，在网络防御协调、威胁信息共享和软件供应链完整性等领域，他们与政府的伙伴关系亟待改善。

报告还显示，印度、澳大利亚和日本等国家正面临着对提供关键基础设施服务的政府机构和组织日益复杂的攻击；印度、澳大利亚和日本89%的受访者认为政府主导的正式举措可在改善其国家对网络威胁的保护方面发挥重要作用；日本74%的受访者、印度65%的受访者和澳大利亚63%的受访者认为软件供应链风险管理政策和流程难以实施；印度近60%的受访者和日本45%的受访者认为缺乏实施专业知识是实施的最大障碍之一，这反映了网络技能和网络人才的全球短缺状态。

（张运洪译）

美国国务院成立网络空间和数字政策局

美国“ABC57”网站2022年4月4日消息，美国国务院正式成立网络空间和数字政策局，将数字权利问题作为美国外交政策的一个固有部分。在美国参议院提名该局“巡回大使”之前，该局由职业外交官詹妮弗·巴丘斯临时领导。

报道称，网络空间和数字政策局的成立其实是恢复当初特朗普政府否定的一个官僚机构。该局旨在为国务院的优先事项提供更多外交人员和专业知识，如制定网络空间政府行为规范，帮助美国盟友加强自己网络安全计划等。该局成立的第一年将直接向副国务卿报告。美国国务卿安东尼·布林肯在描述新的网络空间和数字政策局的角色时表示，乌克兰和俄罗斯正在发生的事情表明，各国之间的竞争本质就是定义数字未来的规则、基础设施和标准。布林肯称，民主国家必须共同回答这样一个问题，即普世权利和民主价值观是否将成为我们数字生活的中心，数字技术是否能为人们的生活带来真正的好处。美国国务院最后一任的网络事务协调员克里斯托弗·佩因表示，成立网络空间和数字政策局可以让国务院在讨论网络问题时拥有更大的影响力。

（薛春竹译）

SAM Seamless Network报告显示2021年物联网攻击超过10亿次

美国“VentureBeat”网站2022年4月25日消息，根据以色列网络安全公司SAM Seamless Network的一份最新报告，2021年发生了超过10亿次网络攻击，其中超过9亿次是与物联网相关，该报告中的数据来源于1.32亿个活跃的物联网设备和73万个安全网络。报告显示，安全摄像头、游戏平台、电视、家电、门铃等智能设备正日益成为个人和企业的攻击载体。在所有被分析的遭受网络攻击的设备中，路由器占了46%。其他常见的易受攻击设备包括扩展器和网状网络（17%）、接入点（17%）、NAS（5%）、VoIP（4%）、摄像头（3%）和智能家居设备（3%）。

值得关注的是，自2016年以来，Mirai和Mozi恶意软件的活跃度持续上升，Mirai僵尸网络的变种经常以物联网设备和家庭路由器为目标开展网络攻击。在2021年，Mirai和Mozi僵尸网络还在持续增加重要的新功能，并扩大攻击范围，以攻击更多设备。大量基于物联网的攻击可以归因于多种因素。一方面，物联网生态系统普遍缺乏安全性，尤其是对于消费者或微型企业来说，他们可能没有意识到这些设备构成的威胁。另一方面，在物联网生态系统中，原始设备制造商和操作系统存在很大差异，这通常会导致安全更新的方法碎片化。

（王钰蓥译）

印媒刊文分析2022年亚太地区四大网络安全趋势

印度“CRN”网站2022年4月6日消息，近年来，亚太地区（APAC）对网络犯罪分子的吸引力越来越强。以下是2022年亚太地区的四大网络安全趋势：

一是重新关注数据隐私和数据安全。欧盟《一般数据保护条例》（GDPR）促使亚太地区各国相继出台数据保护相关的网络安全法案，引入强制性数据泄露通知法。例如孟加拉国出台《网络安全战略草案》；印度提出《个人数据保护法案》；新加坡《网络安全法》要求11个关键行业的组织必须在事件发生后3天内向新加坡网络安全局报告所有关键基础设施的违规行为。二是打击勒索软件即服务（RaaS）。Thales《2022年数据威胁报告》称亚太地区的组织平均每周遭受51次攻击；亚太地区更有可能支付高达100万美元的赎金。这推动亚太地区领导者制定勒索软件防御计划，优先创建网络弹性。三是协作式网络安全的兴起。鉴于日益增加的威胁和挑战，许多企业和政府正在信息分享和最佳实践方面展开协作，并开发新的网络安全解决方案。四是网络安全教育。世界经济论坛发布的2021年报告显示亚太地区的网络安全人才短缺在全球占比66%，高达204.5万人。为解决网络安全劳动力缺口，组织、机构和政府正在开展专门的网络安全培训计划。

（文娟译）