《电信领域重要数据和核心数据识别指南(试行)》规则

《电信领域重要数据和核心数据识别指南(试行)》规则一、适用范围本指南适用于电信领域各类市场主体，包括基础电信企业、增值电信业务经营者、互联网数据中心（IDC）业务经营者、内容分发网络（CDN）经营者、云计算服务提供者、移动通信转售业务经营者、卫星通信服务提供者等，开展电信领域重要数据、核心数据的识别、认定、标注、动态管理工作，同时为行业监管部门开展数据安全监管、数据分类分级保护评估提供标准依据，指导电信领域市场主体落实数据安全保护主体责任。二、术语与定义1电信领域数据指电信领域市场主体在提供电信业务、开展内部运营管理过程中，收集、存储、加工、传输、产生的所有类型数据，涵盖网络基础设施运行数据、业务运营数据、用户数据、经营管理数据、技术研发数据等类别。2核心数据指电信领域中关系国家安全、国民经济命脉、重要公共利益，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，会对国家安全、国计民生、公共利益造成严重不可逆危害的极高敏感级别数据，是电信领域数据安全保护的最高等级。3重要数据指电信领域中除核心数据外，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益，损害不特定多数用户或者组织合法权益的敏感级别数据，是电信领域数据安全保护的重点等级。三、识别基本原则1合法合规原则严格遵循《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据分类分级规则》（GB/T41479-2022）等法律法规、国家标准及行业监管规定，识别工作不得侵害国家利益、用户合法权益，符合数据主权、数据出境管理相关要求。2业务适配原则紧密结合电信领域网络基础设施的公共属性、业务运营的规模性特征，围绕数据的敏感程度、影响范围、危害后果开展识别，准确匹配数据安全级别，避免过度定级、定级不足两类偏差。3就高不就低原则同一数据同时符合多个安全级别识别条件的，按照最高安全级别认定；无法拆分的混合数据集包含不同级别数据的，按照数据集内最高级别认定。4最小精准原则对可拆分的复合数据集，仅将符合重要数据、核心数据特征的子集识别为对应级别数据，不得将整包无关数据扩大纳入保护范围，降低保护成本，提升保护精准性。四、识别前置规则1公开数据排除规则已经依法通过官方渠道、公共平台公开的电信领域数据，不纳入重要数据、核心数据识别范围，法律、行政法规另有规定的从其规定。2规模阈值适用规则除涉及国家秘密的数据、专用通信核心数据、关键网络核心配置数据外，用户个人信息类数据需达到本指南规定的规模阈值后方可认定为重要数据、核心数据；单条零星个人信息不单独认定为重要数据或核心数据，涉及特殊敏感主体的单条敏感信息除外。3衍生数据认定规则依托核心数据、重要数据加工衍生产生的新数据，若保留核心数据、重要数据的核心属性、可识别性，仍按照原数据级别认定；衍生数据已经不可逆脱敏，无法还原识别出核心属性、敏感信息的，可重新定级。4权属认定规则仅由电信领域市场主体存储、但不拥有管理权、控制权的数据，由拥有所有权、管理权的主体负责识别定级，存储方不承担定级责任，法律、行政法规另有约定的除外。五、电信领域核心数据识别规则符合下列情形之一的电信领域数据，认定为核心数据：1网络基础设施核心数据1.1国家级关键通信网络基础设施的核心配置数据，包括国家级骨干传输网核心环网的节点配置数据、核心交叉连接数据，互联网骨干直联点核心交换矩阵数据，国际互联网出入口信道的核心流量调度、带宽分配配置数据，5G核心网核心网元的全量配置信息，卫星通信核心网关的核心配置数据，根域名服务器主节点、顶级域名核心节点的核心配置数据。上述数据一旦泄露，可被攻击者利用发动针对国家级通信网络的核心攻击，造成全国范围通信中断，直接危害国家安全，因此纳入核心数据范畴。1.2涉及国家秘密的通信网络规划、建设、运行数据，包括国防通信、涉密政务通信的网络规划数据、设施位置数据、运行调度数据、通信业务数据。1.3国家级关键信息基础设施的核心安全数据，包括国家级核心通信枢纽的安全防护核心策略、异常流量监测核心规则、针对国家级通信网络的重大网络攻击的原始数据、全量分析报告。1.4国家级通信管制核心数据，包括重大国家活动、特殊时期全国范围通信保障的核心调度数据，未公开的涉恐涉稳涉政通信监测核心数据集。2核心用户数据2.1累计规模超过1亿条的去重后用户个人信息集合，包含用户身份信息、位置信息、通信行为信息、敏感个人信息的批量聚合数据集。2.2覆盖全国范围的全量移动用户连续30天以上的精准位置信息聚合数据集，可还原全国人员流动规律，危害国家安全和公共利益。3行业核心运行数据3.1未公开的全国范围电信行业全量通信运行汇总数据，包括全国用户发展规模、网络资源存量、全网流量流向、国际通信收支等核心汇总数据。3.2党政机关、国防单位、重要涉密单位专用通信产生的全量业务数据、用户数据、运行数据。4新技术新业务核心数据4.1面向车联网、工业互联网等关键行业的国家级5G定制网核心控制数据，涉及国家关键生产设施、重点军工配套企业生产控制的核心交互数据。4.26G试验网、量子通信试验网等国家级通信技术试验网络的核心参数、核心运行数据、核心试验成果数据。5其他核心数据经国家行业主管部门认定，关系国家安全、国计民生、重大公共利益的其他电信领域数据，直接认定为核心数据；属于国家秘密的电信领域数据，按照密级管理要求直接认定为核心数据。六、电信领域重要数据识别规则除核心数据外，符合下列情形之一的电信领域数据，认定为重要数据：1网络基础设施类重要数据1.1通信网络基础设施地理信息与配置数据：省级骨干传输网的节点位置信息、管线走向信息；地级市核心通信机房的位置信息、电力保障配置信息；公众移动通信网宏基站及以上级别基站的经纬度位置信息、无线配置信息；大型以上IDC机房的位置信息、机柜资源分配信息、电力系统配置信息；国际海缆、跨境陆地光缆的登陆点位置信息、境内段路由走向信息；省级及以上域名系统节点的配置信息。1.2网络运行数据：省级及以上范围通信网络的全量流量统计数据、流量流向分析数据；核心网、承载网的运行性能全量监测数据、网络质量统计数据；单次影响10万用户以上的通信故障全量日志、处置记录数据；省级及以上范围网络运行质量的汇总统计数据。1.3网络安全数据：针对省级及以上通信网络的网络攻击事件全量记录、攻击源分析数据；涉及关键通信设备、核心业务系统的高危漏洞未公开信息；省级及以上范围内容安全监测敏感信息汇总数据。2用户数据类重要数据2.1批量用户个人信息：去重后累计规模10万条以上、1亿条以下的用户个人信息集合，包含用户姓名、身份证件号码、手机号码、生物识别信息、行踪轨迹、通信记录、消费信息等内容的批量数据集；去重后累计规模1万条以上的敏感个人信息（生物识别、行踪轨迹、医疗健康、金融账户等）批量数据集；用户个人信息数量按照去重后的独立自然人信息条数计算，重复数据不纳入累计统计。2.2特定群体批量用户信息：党政机关、金融机构、能源、交通、国防工业等关键领域企事业单位累计超过1000条的工作人员通信信息、位置信息；累计超过1万条的未成年人个人信息批量数据集。2.3组织用户重要数据：关键行业专线用户、IDC用户、5G定制网用户的企业基本信息、业务使用信息、通信流量汇总信息；百万级以上规模互联网平台用户的批量业务数据。3业务运营类重要数据3.1通信资源管理数据：全国范围码号资源、频率资源分配使用的汇总统计数据；跨境通信电路资源分配使用数据；移动网号段分配使用数据；全国IP地址、AS号分配使用的汇总统计数据。3.2业务发展统计数据：省级及以上范围分区域、分业务的未公开用户发展数、普及率、业务收入、用户消费行为分析等运营汇总数据；跨地市范围的移动用户漫游流量、通话行为汇总统计数据；年交易规模超过10亿元的增值电信业务交易汇总数据。3.3结算与计费数据：省级及以上范围电信业务计费汇总数据；电信企业间网间结算全量汇总数据；与国际运营商通信结算全量汇总数据。3.4服务管理数据：重大通信故障、重大用户信息泄露事件、重大网络安全事件的未公开处置记录；影响超过1000用户的群体性投诉事件全量记录数据。4经营管理类重要数据4.1核心经营数据：基础电信企业省级及以上分支机构未公开的年度财务决算数据、亿元以上重大投资项目数据、重大资产重组数据；年营业收入超过10亿元的增值电信企业未公开的核心财务数据、核心业务发展规划数据。4.2工程建设数据：国家级、省级电信重点建设工程的未公开勘察数据、设计数据、竣工验收数据；跨境通信基础设施建设项目的未公开前期勘察、工程建设数据。4.3供应链数据：核心通信设备采购招投标核心信息、核心供应商信息；涉及关键通信设备的软硬件供应链安全监测汇总数据。5新技术新业务类重要数据5.1车联网数据：接入规模超过10万辆的车联网平台的车辆位置数据、运行状态汇总数据、用户出行轨迹聚合数据。5.2物联网数据：接入规模超过1000万设备的公众物联网平台的全量设备运行状态、位置信息汇总数据。5.3云计算与大数据：面向关键行业提供云服务的平台存储的关键行业客户核心业务数据、政务数据汇聚数据集；电信大数据平台汇聚的跨行业关联分析用户行为数据集。5.4人工智能：电信领域面向公众服务的大模型汇聚的超过10万条敏感个人信息的训练数据集、未公开的行业核心训练数据集。6其他重要数据经省级通信管理部门认定，可能危害国家安全、公共利益、损害用户合法权益的其他电信领域数据，认定为重要数据。七、识别工作流程1数据资产梳理电信领域市场主体应当全面梳理本企业所有业务环节、所有存储载体的数据资产，覆盖内部管理系统、对外业务平台、对外合作共享、备份存储等全场景，形成完整的数据资产清单，明确每个数据项的来源、规模、存储位置、流转路径、使用场景、管理权归属。2初步识别定级由企业数据管理部门牵头，联合业务部门、网络安全部门、合规部门，对照本指南的识别规则对所有数据资产逐一判定，初步形成本企业核心数据、重要数据目录，明确每个数据项的级别、名称、规模、存储位置、责任部门、防护要求。3专家复核评审初步识别完成后，企业应当组织内部数据安全、业务、技术专家开展初审，核心数据认定应当邀请至少3名行业外部专家参与评审，对存在争议的数据项进行集体论证，形成书面评审意见，确保识别结果准确。4备案管理识别完成的核心数据、重要数据目录，经企业内部主要负责人审批后，应当在10个工作日内按照监管要求完成备案：地方企业向所在地省级通信管理局备案，中央企业集团向工业和信息化部备案；目录发生调整的，应当在调整完成后15个工作日内更新备案信息。八、识别标注与全生命周期管理1统一标注规则识别完成的核心数据标注为“电信核心数据”，重要数据标注为“电信重要数据”，标注内容应当包含数据级别、识别时间、责任单位、防护要求四个核心要素，确保全流程可追溯。2全流程标注要求数据收集阶段，应当在数据入库时完成初始标注；数据加工阶段，对衍生新数据重新定级后补充标注；数据共享、传输、出境环节，应当在数据包、申报材料中明确标注数据级别，不得隐瞒、篡改数据级别。3标注变更管理数据级别调整后，应当及时更新所有存储、流转环节的标注信息，移除原级别标注，确保标注信息与实际定级一致。九、动态更新与管理要求1定期复核电信领域市场主体应当至少每年开展一次核心数据、重要数据识别结果的全面复核，结合本企业业务变化、数据规模变化、监管规则调整更新目录；发生下列情形之一的，应当立即启动复核：（1）企业发生重大业务调整、资产重组，数据资产范围发生重大变化；（2）相关法律法规、行业标准、监管要求发生调整；（3）发生重大数据安全事件，发现原有识别结果存在重大遗漏；（4）监管部门要求开展复核。2动态调整新增数据资产应当在纳入企业管理后30个工作日内完成识别定级；已经销毁、不再持有核心数据、重要数据的，应当及时从目录中移除，更新备案信息。3档案管理识别工作全流程的所有记录，包括数据资产梳理表、初步识别结果、专家评审意见、审批文件、备案凭证，应当完整归档留存，留存期限不少于5年，满足监管检查溯源要求。4版本管理核心数据、重要数据目录实行版本管理，每次更新后留存历史版本，记录更新时间、更新原因、更新责任人，便于追溯核查。十、监督与责任1主体责任电信领