国家计算机网络应急技术处理协调中心（CNCERT）、中国网络空间安全协会发布《App 违法违规收集使用个人信息监测分析报告》

2021 年 12 月 9 日，据CNCERT官网消息，近期，CNCERT会同中国网络空间安全协会对前期专项治理和平台监测发现的App 违法违规收集使用个人信息问题进行了总结梳理，对问题特点和趋势进行了深入分析，形成了关于App收集使用个人信息情况的监测分析报告。报告主要分为两个部分：

一是 App 收集使用个人信息的总体状况。从 9 个方面进行态势分析和问题阐述，包括依法治理、强制收集、超范围收集、知情同意、隐私政策、明示告知、SDK 收集、账号注销、社会监督等。

二是工作建议。从鼓励示范应用、持续专项治理、关键环节把关、强化标准规范、完善投诉举报、加大宣传教育、推进行业自律等方面提出思路建议。此次向社会公开发布该报告，旨在及时反映当前 App 收集使用个人信息的整体情况，为行业企业和全社会了解当前App个人信息安全形势提供参考。同时，对广大 App 运营者以及应用商店、智能终端等平台积极落实主体责任、提升个人信息保护水平起到参考监督作用，对社会公众提高个人信息安全意识起到宣传促进作用。

来源：国家互联网应急中心

关于 Apache Log4j2 存在远程代码执行漏洞的安全公告

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了 Apache Log4j2 远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。CNVD 对该漏洞的综合评级为“高危”。漏洞影响的产品版本包括：Apache Log4j2 2.0-2.15.0-rc1。目前，漏洞利用细节已公开，Apache官方已发布新版本完成漏洞修复，建议用户尽快进行自查，并及时升级至最新版，同时采取防范性措施避免漏洞攻击威胁。

来源：国家互联网应急中心

微软发布2021年12月安全更新

12月16日，据国家信息安全漏洞共享平台（CNVD）消息，12月14日，微软发布了2021年12月份的月度例行安全公告，修复了多款产品存在的64个安全漏洞。

受影响的产品包括：Windows 11 （29 个）、Windows Server 2022（29 个）、Windows 10 21H1（30 个）、Windows 10 20H2 & Windows Server v20H2（30 个）、Windows 10 2004 & Windows Server v2004（30 个）、Windows 8.1 & Server 2012 R2（21 个）、Windows Server 2012（21 个）、Windows RT 8.1（21 个）和 Microsoft Office-related software（6 个）。

利用上述漏洞，攻击者可以绕过安全功能限制，获取敏感信息，提升权限，执行远程代码，或发起拒绝服务攻击等。在此提醒广大 Microsoft 用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

来源：国家互联网应急中心

修订版《网络安全审查办法》将施行：经研判影响国家安全的 不许赴国外上市

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。

国家互联网信息办公室有关负责人表示，网络安全审查是网络安全领域的重要法律制度，原《办法》自2020年6月1日施行以来，对于保障关键信息基础设施供应链安全，维护国家安全发挥了重要作用。为落实《中华人民共和国数据安全法》等法律法规要求，国家互联网信息办公室联合相关部门修订了《办法》。

《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，同时完善了国家安全风险评估因素等内容。国家互联网信息办公室有关负责人表示，《办法》修订对保障国家网络安全和数据安全具有重要意义。

来源：央视新闻客户端