信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2023年7月24日，北京市通信管理局發(fā)布《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則》全文如下：

北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則

第一章 總則

第一條 為了加強(qiáng)北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理工作，進(jìn)一步提高數(shù)據(jù)安全保護(hù)水平，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》《關(guān)于更好發(fā)揮數(shù)據(jù)要素作用進(jìn)一步加快發(fā)展數(shù)字經(jīng)濟(jì)的實(shí)施意見》等法律法規(guī)和有關(guān)規(guī)定，結(jié)合本市實(shí)際，制定本細(xì)則。

第二條 北京地區(qū)的電信領(lǐng)域數(shù)據(jù)處理者開展數(shù)據(jù)處理活動及其安全監(jiān)管，應(yīng)當(dāng)遵守相關(guān)法律、行政法規(guī)和本細(xì)則的要求。

第三條 本細(xì)則所稱電信領(lǐng)域數(shù)據(jù)是指在電信業(yè)務(wù)經(jīng)營過程中產(chǎn)生和收集的數(shù)據(jù)，包括各類基礎(chǔ)電信業(yè)務(wù)和增值電信業(yè)務(wù)數(shù)據(jù)。

電信領(lǐng)域數(shù)據(jù)處理者是指數(shù)據(jù)處理活動中自主決定處理目的、處理方式的取得電信業(yè)務(wù)經(jīng)營許可證的電信業(yè)務(wù)經(jīng)營者。

數(shù)據(jù)處理活動包括但不限于數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等活動。

第四條 在工業(yè)和信息化部統(tǒng)籌指導(dǎo)下，北京市通信管理局負(fù)責(zé)北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全的組織協(xié)調(diào)、統(tǒng)籌規(guī)劃和監(jiān)督管理工作。

第五條 數(shù)據(jù)安全管理應(yīng)當(dāng)堅(jiān)持總體國家安全觀，統(tǒng)籌數(shù)據(jù)發(fā)展與安全，鼓勵數(shù)據(jù)開發(fā)利用，加強(qiáng)數(shù)據(jù)治理，保證數(shù)據(jù)供給、流通、使用全過程安全合規(guī)。

第二章 基礎(chǔ)性數(shù)據(jù)安全保護(hù)要求

第六條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)每年至少開展一次數(shù)據(jù)梳理工作，按照電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別標(biāo)準(zhǔn)識別重要數(shù)據(jù)和核心數(shù)據(jù)，相關(guān)工作開展情況按年度形成報(bào)告并報(bào)送北京市通信管理局，報(bào)告內(nèi)容包括數(shù)據(jù)梳理工作開展情況、數(shù)據(jù)分類分級情況、數(shù)據(jù)分級防護(hù)措施等。

第七條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)按要求將識別出的重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行目錄填報(bào)，并報(bào)北京市通信管理局備案。備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護(hù)措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。

備案內(nèi)容發(fā)生重大變化的，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在發(fā)生變化的三個(gè)月內(nèi)履行備案變更手續(xù)。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲總量等)變化30%以上，重要數(shù)據(jù)或核心數(shù)據(jù)類別新增或減少，數(shù)據(jù)安全情況、責(zé)任主體信息發(fā)生變動，或者其他備案內(nèi)容發(fā)生變化。

北京市通信管理局對備案信息完整性、重要數(shù)據(jù)和核心數(shù)據(jù)類別、級別、數(shù)據(jù)量等填報(bào)內(nèi)容準(zhǔn)確完備性進(jìn)行審核，在電信領(lǐng)域數(shù)據(jù)處理者提交備案申請的二十個(gè)工作日內(nèi)完成并反饋審核結(jié)果。備案未通過的申請人應(yīng)當(dāng)在收到反饋情況后的十五個(gè)工作日再次提交備案申請。

北京市通信管理局對重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案落實(shí)情況進(jìn)行監(jiān)督檢查，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)予以配合。

第八條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)實(shí)際工作需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動的安全監(jiān)督管理。

電信領(lǐng)域重要和核心數(shù)據(jù)處理者還應(yīng)當(dāng)建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，負(fù)責(zé)牽頭內(nèi)部數(shù)據(jù)安全管理工作，明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，要并配備具備相應(yīng)技能水平的專職人員，定期參與行業(yè)認(rèn)可的數(shù)據(jù)安全考核與培訓(xùn)。

第九條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)加強(qiáng)權(quán)限審批管理，合理配置數(shù)據(jù)處理活動的權(quán)限，明確各部門和相關(guān)人員權(quán)限管理要求，包含但不限于數(shù)據(jù)處理活動平臺系統(tǒng)賬號權(quán)限分配原則、流程等，建立并定期更新權(quán)限分配表。

第十條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)對數(shù)據(jù)處理、系統(tǒng)運(yùn)行、權(quán)限管理、人員操作等日志進(jìn)行留存管理，日志留存時(shí)間不少于六個(gè)月。日志記錄信息應(yīng)包括執(zhí)行時(shí)間、操作賬號、處理方式等，針對數(shù)據(jù)使用加工、關(guān)聯(lián)分析、批量訪問、批量復(fù)制等數(shù)據(jù)處理行為還應(yīng)記錄授權(quán)情況、登錄信息等，記錄完整、準(zhǔn)確、不可修改。

第十一條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)定期開展數(shù)據(jù)安全審計(jì)，審計(jì)對象完整覆蓋全部數(shù)據(jù)處理活動，審計(jì)發(fā)現(xiàn)問題需及時(shí)進(jìn)行整改，并對審計(jì)及處置記錄進(jìn)行留存管理。

重要數(shù)據(jù)處理活動應(yīng)至少每半年開展一次審計(jì)，核心數(shù)據(jù)處理活動應(yīng)至少每季度開展一次審計(jì)。

第十二條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測，對數(shù)據(jù)安全風(fēng)險(xiǎn)隱患進(jìn)行預(yù)警，并及時(shí)開展處置。對于可能造成較大及以上安全事件的風(fēng)險(xiǎn)，應(yīng)及時(shí)向北京市通信管理局報(bào)告，報(bào)告內(nèi)容包括但不限于風(fēng)險(xiǎn)類別和級別、涉及數(shù)據(jù)情況、產(chǎn)生時(shí)間、影響范圍等信息。

第十三條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案并開展應(yīng)急演練。應(yīng)急預(yù)案應(yīng)充分結(jié)合數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)損毀、數(shù)據(jù)違規(guī)使用等數(shù)據(jù)安全事件場景和等級明確應(yīng)急響應(yīng)工作責(zé)任分工、實(shí)施流程、保障措施等。

在數(shù)據(jù)安全事件發(fā)生后，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)按照應(yīng)急預(yù)案，及時(shí)開展應(yīng)急處置。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時(shí)間向北京市通信管理局報(bào)告，事件處置完成后立即開展事件調(diào)查、問題整改、責(zé)任追究，在處置完成七個(gè)工作日內(nèi)形成總結(jié)報(bào)告并報(bào)送北京市通信管理局。對于發(fā)生過數(shù)據(jù)安全事件的電信領(lǐng)域數(shù)據(jù)處理者還應(yīng)每年向北京市通信管理局報(bào)告數(shù)據(jù)安全事件處置情況。

第十四條 電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機(jī)構(gòu)，每年對其數(shù)據(jù)處理活動至少開展一次風(fēng)險(xiǎn)評估，及時(shí)整改風(fēng)險(xiǎn)問題，并向北京市通信管理局報(bào)送風(fēng)險(xiǎn)評估報(bào)告。

重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化的，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在履行備案變更手續(xù)后及時(shí)啟動風(fēng)險(xiǎn)評估，備案變更后三個(gè)月內(nèi)向北京市通信管理局重新提交風(fēng)險(xiǎn)評估報(bào)告。

電信領(lǐng)域一般數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評估機(jī)構(gòu)，每年至少開展一次數(shù)據(jù)安全合規(guī)性評估，及時(shí)整改問題，并向北京市通信管理局報(bào)送評估報(bào)告。評估內(nèi)容包括但不限于數(shù)據(jù)合規(guī)使用情況、數(shù)據(jù)安全保障措施配備情況與完善程度、合作方數(shù)據(jù)安全保護(hù)水平等。

第十五條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)加強(qiáng)數(shù)據(jù)安全教育培訓(xùn)，鼓勵企業(yè)通過積極參與本地區(qū)、本行業(yè)數(shù)據(jù)安全人才培養(yǎng)計(jì)劃等方式，提升相關(guān)崗位人員數(shù)據(jù)安全保護(hù)意識和技能水平。

電信領(lǐng)域數(shù)據(jù)處理者應(yīng)定期組織開展內(nèi)部數(shù)據(jù)安全教育培訓(xùn)，培訓(xùn)內(nèi)容涵蓋數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、管理制度和工作要求、知識技能、保護(hù)意識等，培訓(xùn)對象覆蓋數(shù)據(jù)安全崗位人員，年度培訓(xùn)時(shí)長不小于30學(xué)時(shí)。

電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者還應(yīng)針對處理重要數(shù)據(jù)和核心數(shù)據(jù)的重點(diǎn)崗位人員定期開展教育培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于重要數(shù)據(jù)和核心數(shù)據(jù)安全管理要求、安全操作規(guī)程、風(fēng)險(xiǎn)評估規(guī)范等，年度培訓(xùn)時(shí)長不少于45學(xué)時(shí)。

第十六條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)對合作方管理，通過簽訂合同協(xié)議等方式，明確數(shù)據(jù)委托處理、數(shù)據(jù)處理系統(tǒng)開發(fā)運(yùn)維等合作方數(shù)據(jù)安全責(zé)任和義務(wù)。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)對合作方的數(shù)據(jù)安全保護(hù)能力、資質(zhì)進(jìn)行核驗(yàn)。

第三章 數(shù)據(jù)全生命周期安全保護(hù)要求

第十七條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)處理活動負(fù)安全主體責(zé)任，建立健全全流程數(shù)據(jù)安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程。

第十八條 電信領(lǐng)域數(shù)據(jù)處理者收集數(shù)據(jù)應(yīng)當(dāng)遵循合法、正當(dāng)?shù)脑瓌t，不得竊取或者以其他非法方式獲取數(shù)據(jù)。

數(shù)據(jù)收集過程中，采取規(guī)范化采集流程、方式、渠道和數(shù)據(jù)格式，根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施，加強(qiáng)重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理，并對收集來源、時(shí)間、類型、數(shù)量、頻度、流向等進(jìn)行記錄。

對直接采集或者通過間接渠道獲得的數(shù)據(jù)負(fù)有同等的保護(hù)責(zé)任和義務(wù)。通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)任。

通過移動應(yīng)用程序或其他方式面向用戶直接收集個(gè)人信息類數(shù)據(jù)的，應(yīng)在業(yè)務(wù)用戶協(xié)議或隱私政策文件中明確個(gè)人信息收集的目的、用途和范圍，按照公開透明原則將收集規(guī)則以通俗易懂、簡單明了的文字向用戶明示，在獲得授權(quán)或有其他合法性基礎(chǔ)的前提下開展。

第十九條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進(jìn)行數(shù)據(jù)存儲，應(yīng)結(jié)合數(shù)據(jù)分類分級策略明確差異化數(shù)據(jù)存儲安全策略和操作規(guī)程。

存儲重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲，并實(shí)施數(shù)據(jù)容災(zāi)備份和存儲介質(zhì)安全管理，定期開展數(shù)據(jù)恢復(fù)測試，對備份數(shù)據(jù)的有效性和可用性進(jìn)行檢查和恢復(fù)驗(yàn)證。

第二十條 電信領(lǐng)域數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)使用加工應(yīng)遵循目的明確原則，制定不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)脫敏處理使用規(guī)則，明確數(shù)據(jù)使用結(jié)果發(fā)布和使用的安全保護(hù)規(guī)則。

利用數(shù)據(jù)進(jìn)行自動化決策的，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應(yīng)當(dāng)加強(qiáng)訪問控制。

第二十一條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景，制定安全策略并采取保護(hù)措施。針對不同網(wǎng)絡(luò)安全域之間的數(shù)據(jù)傳輸采取訪問控制、監(jiān)控等安全防護(hù)技術(shù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。

第二十二條 電信領(lǐng)域數(shù)據(jù)處理者對外提供數(shù)據(jù)，應(yīng)當(dāng)明確提供的范圍、類別、條件、程序等，對數(shù)據(jù)提供形式、期限、涉及的業(yè)務(wù)或系統(tǒng)、數(shù)據(jù)安全保護(hù)措施等實(shí)施管理。提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議，對數(shù)據(jù)獲取方數(shù)據(jù)安全保護(hù)能力進(jìn)行核驗(yàn)，采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道、安全傳輸協(xié)議等必要的安全保護(hù)措施。

第二十三條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響，擬公開前十個(gè)工作日前向北京市通信管理局提交重要數(shù)據(jù)和核心數(shù)據(jù)公開申請，審批通過后予以公開，存在重大影響的不得公開。對于法律、行政法規(guī)要求公開的數(shù)據(jù)場景，應(yīng)采用靜態(tài)脫敏等措施防止數(shù)據(jù)泄露或?yàn)E用。

第二十四條 電信領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲要求的，應(yīng)當(dāng)在境內(nèi)存儲，確需向境外提供的，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評估。

第二十五條 電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求，對銷毀活動進(jìn)行記錄和留存。個(gè)人、組織按照法律規(guī)定、合同約定等請求銷毀的，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)銷毀相應(yīng)數(shù)據(jù)。

銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)設(shè)置銷毀相關(guān)監(jiān)督角色并采用多人操作模式，單人不得擁有完整操作權(quán)限。重要數(shù)據(jù)和核心數(shù)據(jù)銷毀后，不得以任何理由、任何方式進(jìn)行恢復(fù);引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生變化的，應(yīng)當(dāng)履行備案變更手續(xù)。

電信領(lǐng)域數(shù)據(jù)處理者發(fā)生重組、解散、宣告破產(chǎn)、業(yè)務(wù)撤銷等情形的，應(yīng)當(dāng)在有關(guān)情形發(fā)生前向北京市通信管理局報(bào)告，按照相關(guān)要求移交或銷毀數(shù)據(jù)。

第二十六條 跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的，電信領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)評估安全風(fēng)險(xiǎn)，采取必要的安全保護(hù)措施，并報(bào)送北京市通信管理局。北京市通信管理局按照有關(guān)規(guī)定進(jìn)行審查后報(bào)工業(yè)和信息化部。

第四章 支持與保障

第二十七條 加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)和引進(jìn)，推動北京地區(qū)高等院校和職業(yè)院校加強(qiáng)數(shù)據(jù)安全相關(guān)學(xué)科建設(shè);創(chuàng)新教育培養(yǎng)模式，鼓勵高等院校、職業(yè)院校、優(yōu)質(zhì)企業(yè)和培訓(xùn)機(jī)構(gòu)深化產(chǎn)教融合，培養(yǎng)實(shí)用型、復(fù)合型數(shù)據(jù)安全專業(yè)技術(shù)技能人才和優(yōu)秀管理人才。

第二十八條 鼓勵開展數(shù)據(jù)安全知識宣傳普及、教育培訓(xùn)，增強(qiáng)全市公共數(shù)據(jù)安全保護(hù)意識，推動有關(guān)部門、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)和個(gè)人共同參與數(shù)據(jù)安全保護(hù)工作，提高數(shù)據(jù)安全風(fēng)險(xiǎn)管理能力。

第二十九條 加強(qiáng)投訴舉報(bào)，北京市通信管理局健全數(shù)據(jù)安全違法行為投訴舉報(bào)機(jī)制，依法接收、處理投訴舉報(bào)，根據(jù)工作需要開展執(zhí)法調(diào)查。鼓勵電信領(lǐng)域數(shù)據(jù)處理者建立用戶投訴處理機(jī)制。

第五章 附則

第三十條 本細(xì)則自印發(fā)之日起施行。