本文来自微信公众号“安信安全”。
电信领域是数字经济发展的主阵地和先导区,是推动数字经济做强做优做大的主力军。随着数据产业和交易的不断发展,市场主体因数据收集、处理、利用产生的数据安全风险日益突出,成为关系个人权益、公共利益和国家安全的重要因素。快速发展的数字经济对电信运营企业数据合规提出更高要求,数据成为企业新的合规领域,也是国家网络空间治理的重要方面,依法规范数据处理活动、提升数据治理能力及安全保护水平成为当务之急。
2023年1月1日起施行的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)作为电信领域数据安全管理顶层制度文件,重点解决电信领域数据安全“谁来管、管什么、怎么管”的问题。电信数据是指电信运营企业在电信业务经营活动中产生和收集的数据。电信数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。电信运营企业作为关键信息基础设施运营者,需要依照《管理办法》和有关法律、行政法规的规定以及国家标准的强制性要求,积极采取技术保护措施,强化数据等级保护和合规新体系建设,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
确定数据分类分级管理制度。《管理办法》确定数据分类分级管理、重要数据识别与备案相关原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加的严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,按照其中级别最高的要求实施保护。
明确安全管理和保护要求。依据《管理办法》建立健全覆盖本企业数据安全管理工作的新体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。
建立数据安全工作机制。应当建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制,采取必要措施防范数据安全风险;对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害的措施。
明确开展数据安全监测、认证及评估要求。工信部负责制定行业数据安全评估管理制度和规范,指导评估机构开展数据安全风险评估、出境安全评估等工作,为电信运营企业提供服务。企业通过评估发现和整改的风险问题,应当按照《管理办法》要求及时上报风险评估报告。
规定监督检查及承担的法律责任。行业监管部门依法开展数据安全监督检查工作,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对数据处理者进行约谈,并要求采取措施进行整改,相关电信运营企业应当主动予以配合。有违反《管理办法》规定行为的,由行业监管部门按照相关法律法规给予行政处罚;构成犯罪的,依法追究刑事责任。
