版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
中国电信网络数据安全管理条例第一章总则第一条为规范中国电信集团有限公司及各级下属单位(以下统称“中国电信”)网络数据处理活动,落实网络安全主体责任,保障网络数据安全,促进数据合法合规开发利用,保护用户合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《电信和互联网用户个人信息保护规定》等法律法规及国家标准、行业监管要求,制定本条例。第二条本条例适用于中国电信开展的网络数据收集、存储、处理、传输、使用、提供、公开、销毁等全生命周期处理活动,以及围绕网络数据安全开展的管理、监督、审计、应急处置等工作,覆盖中国电信自有业务数据、运营管理数据、用户数据、合作方数据等所有类型数据。第三条中国电信网络数据安全管理遵循以下基本原则:(一)党管数据。坚持党对网络数据安全工作的全面领导,建立健全党领导下的网络数据安全管理体系,落实国家安全战略,保障数据领域意识形态安全。(二)权责统一。明确各级主体数据安全责任,落实“谁处理谁负责、谁主管谁负责、谁运营谁负责”,实现责任覆盖无盲区。(三)全生命周期防护。针对数据收集、存储、处理、传输、使用、共享、销毁全流程,构建分级分类、动态持续的安全防护体系。(四)最小必要。严格限定数据处理范围,仅收集、使用满足业务需要的最少类型、最少数量数据,不得超出授权范围处理数据。(五)公开透明。依法公开数据处理规则,明确告知用户数据处理的目的、方式、范围,保障用户知情权、选择权、决定权。(六)安全合规。所有数据处理活动符合法律法规、监管要求及内部管理制度,主动接受监管部门监督检查。第四条中国电信建立“集团统筹、省分负责、地市落实、岗责到人”四级网络数据安全管理组织架构:(一)集团层面设立网络数据安全委员会,由集团主要负责人担任主任,统筹决策全集团网络数据安全重大战略、重大规划、重大事项,承担网络数据安全第一责任;下设网络数据安全管理办公室,挂靠集团网络与信息安全部,负责全集团网络数据安全日常管理、制度建设、监督考核工作。(二)省级电信公司设立本级网络数据安全管理工作组,由省公司主要负责人担任组长,落实集团部署要求,统筹本省网络数据安全管理工作,承担属地管理责任。(三)地市级电信公司设立网络数据安全专职管理岗位,落实上级管理要求,开展本地网络数据安全日常核查、风险处置工作。(四)各业务部门、支撑部门、基层班组明确专职或兼职网络数据安全联络员,落实本岗数据安全责任,开展日常数据安全自查。第二章网络数据分级分类管理第五条中国电信对所有网络数据实行分级分类管理,依据数据重要性、敏感程度以及泄露、篡改、破坏后对国家安全、公共利益、个人或者组织合法权益造成的危害程度,将数据划分为核心数据、重要数据、一般数据三个等级,并根据业务变化动态调整分级目录:(一)核心数据:指关系国家安全、国民经济命脉、重要公共服务利益的敏感数据,包括涉及国家秘密的通信网络数据、关键信息基础设施核心配置数据、未公开的全国级通信网络运行核心数据、涉及国计民生的重大用户群体通信行为分析数据等。核心数据依法实行重点保护,未经批准不得擅自出境,不得向境外机构、组织、个人提供。(二)重要数据:指一旦泄露、篡改、破坏或者非法获取、非法利用,会危害国家安全、公共利益,或者对个人、组织合法权益造成严重损害的数据,包括:百万级以上用户群体位置信息、通信行为聚合数据,全国性通信网络运行监测数据,未公开的电信网络工程建设核心参数,重要政企客户商业秘密信息,十万级以上个人信息集合等。重要数据按照国家和行业要求制定专项保护方案,定期开展风险评估,按要求向监管部门报送备案。(三)一般数据:指除核心数据、重要数据之外的其他数据,此类数据泄露后只会对特定个人、组织造成轻微损害或者不造成损害,按照基础安全要求开展防护。第六条中国电信每年组织一次全集团网络数据梳理,更新分级分类目录,核心数据、重要数据目录按要求报送国家网信部门、工业和信息化部及通信管理局备案。针对不同等级数据制定差异化安全防护要求,核心数据落实“双人管理、多源备份、访问审批、全流程审计”要求,重要数据落实“访问授权、定期审计、加密存储”要求。第三章数据全生命周期安全管理第一节数据收集第七条中国电信收集数据应当符合合法、正当、必要原则,不得通过欺诈、误导、胁迫等方式收集数据,不得超出业务经营必需范围收集数据:(一)收集用户个人信息的,应当遵循“最小必要”原则,只收集实现业务功能所必需的信息:提供基础语音通信服务的,仅收集用户身份信息、号码信息、通信记录;提供位置服务的,应当征得用户明确同意后才可收集位置信息,用户关闭位置服务后立即停止收集;收集个人生物识别信息的,仅用于身份核验场景,不得超出范围使用,且单独征求用户同意。(二)公开收集用户信息的,应当在收集环节显著位置公开收集使用规则,明确告知用户收集数据的目的、方式、范围、存储期限、安全保护措施以及用户享有的权利,不得通过默认勾选、捆绑授权等方式变相强制用户同意收集信息。(三)从第三方获取数据的,应当对第三方数据来源的合法性进行审核,签订数据安全协议,明确双方数据安全责任,不得获取来源不合法、未获得授权的数据,不得直接获取未经用户同意收集的个人信息。第八条中国电信落实用户真实身份信息登记要求,依法对用户身份信息进行核验,仅保存完成登记后的用户身份信息,不得为不提供真实身份信息的用户提供服务,严格落实用户身份信息保密管理要求,不得违规泄露、出售用户身份信息。第二节数据存储第九条中国电信根据数据等级落实存储安全要求:核心数据、重要数据应当存储在境内符合安全标准的服务器,确需向境外提供的,依法依规进行安全评估,履行审批程序;未经安全评估不得向境外提供核心数据、重要数据,不得将核心数据、重要数据存储至境外服务器。第十条存储数据应当采用加密存储技术,核心数据、重要数据采用高强度加密算法进行存储加密,个人敏感信息采用加密或者脱敏方式存储,不得明文存储用户密码、身份证件号码、银行卡号等敏感信息。第十一条建立数据存储介质安全管理制度,对存储数据的硬盘、光盘、移动存储介质进行统一登记管理,涉密数据存储介质按照国家保密管理要求进行管理,报废存储介质应当进行不可逆消磁或者物理销毁,严禁未经销毁的报废存储介质流出。第十二条定期开展数据备份,核心数据应当采用异地多活备份方式,备份频率不低于每日一次;重要数据采用异地备份方式,备份频率不低于每周一次;备份数据应当和原始数据采用同等安全防护标准,定期验证备份数据的完整性、可用性。第三节数据处理与传输第十三条数据处理活动应当符合法定目的和用户授权范围,不得超出收集时声明的目的处理数据:(一)开展数据加工、分析、挖掘活动的,不得侵害用户隐私权,不得基于个人信息进行用户画像开展针对个人的不公平歧视性活动,不得向第三方提供可识别特定用户的分析结果。(二)对数据进行匿名化、去标识化处理的,应当严格按照国家标准开展处理工作,处理后的信息无法识别特定个人且不能复原的,可以依法依规开展开发利用,定期对去标识化处理结果进行重标识风险检测,防止通过交叉比对重新识别出个人信息。第十四条数据传输过程落实安全加密要求,核心数据、重要数据、个人敏感信息传输应当采用SSL/TLS等安全加密协议,不得在公共网络、未加密通道传输敏感数据,传输前对数据完整性进行校验,传输后进行完整性核验,防止数据被篡改、窃取。第十五条跨网络、跨地域传输核心数据、重要数据的,应当提前进行安全评估,落实访问授权审批流程,对传输全过程进行日志审计,留存传输记录不少于六个月。第四节数据使用与共享第十六条中国电信内部使用数据应当落实权限管理要求,基于岗位职责设定最小访问权限,实行“权限最小化、授权审批化”,用户访问核心数据、重要数据需要经部门主要负责人审批,建立“一人一号、一权一录”访问日志留存制度,违规越权访问及时阻断、告警。第十七条向外部第三方提供、共享数据的,应当遵守以下规定:(一)共享核心数据的,严格遵守国家保密法律法规,依法履行审批程序,不得擅自共享。(二)共享重要数据和个人信息的,应当开展数据安全风险评估,评估内容包括数据共享的合法性、必要性、安全性,评估通过后签订数据安全合作协议,明确双方数据安全责任,明确要求合作方不得超出约定范围使用数据,不得再次向第三方共享数据,合作结束后督促合作方及时销毁或者返还数据。(三)共享个人信息的,应当提前征得个人信息主体的同意,法律、行政法规另有规定的除外;为履行法定职责或者法定义务必须共享的,应当提前告知用户共享的范围、目的,法律法规规定不需要告知的除外。第十八条依法向监管部门、司法机关提供数据的,应当按照法定程序要求提供,由专人负责对接,核查相关单位的合法文书,做好提供记录留存,不得违规向任何单位、个人提供用户数据。第五节数据公开与销毁第十九条公开披露数据的,应当进行内容审核和安全审核,不得公开涉及国家秘密、商业秘密、个人隐私的数据,公开聚合分析数据的,应当确保无法通过公开数据识别出特定个人、特定单位的敏感信息,重要数据公开应当经集团网络数据安全委员会审批。第二十条数据达到存储期限或者业务不再需要存储的,应当及时开展数据销毁工作,存储在电子介质的数据应当采用不可逆删除、消磁、物理破坏等方式销毁,纸质数据采用粉碎方式销毁,销毁核心数据、重要数据应当安排两人以上现场监督,留存销毁记录,销毁记录留存不少于三年。第四章个人信息保护第二十一条中国电信严格落实个人信息保护各项要求,明确处理个人信息的合法基础,基于用户同意、订立履行合同、履行法定职责、公共利益等合法事由处理个人信息,用户有权撤回同意,撤回同意后及时停止处理个人信息,不得以此拒绝为用户提供基础通信服务。第二十二条落实个人信息主体权利保障要求,为用户提供查询、更正、补充、删除个人信息、注销账号、撤回授权同意的便捷渠道,在收到用户申请后十五个工作日内完成处理并答复用户,不得无故拒绝用户的合法申请,用户注销账号后,除法律法规另有规定外,十五个工作日内完成用户个人信息的删除或者匿名化处理。第二十三条不得过度收集个人信息,不得强制要求用户同意收集非必要个人信息,不得因用户拒绝提供非必要个人信息拒绝提供基础通信服务,针对互联网应用产品,落实“一屏一告知”“功能权限对应”要求,不得超范围申请权限。第二十四条委托第三方处理个人信息的,应当对受托方的data安全能力进行审核,签订委托协议明确双方个人信息保护责任,要求受托方按照约定处理个人信息,采取必要安全保护措施,定期对受托方的个人信息保护情况进行审计,发现受托方违规处理个人信息的,立即终止合作并要求整改。第二十五条开展个人信息保护影响评估,处理个人信息达到一百万人以上的,或者处理敏感个人信息、出境个人信息的,每年开展至少一次个人信息保护影响评估,评估报告报送监管部门,评估过程中发现的风险隐患及时整改。第五章关键信息基础设施数据安全保护第二十六条中国电信通信网络属于国家关键信息基础设施,按照关键信息基础设施安全保护要求,对关键信息基础设施运行产生的所有数据实行专项保护:(一)建立关键信息基础设施数据安全管理制度,明确专门安全管理机构和专职安全管理人员,落实数据安全保护责任。(二)定期开展关键信息基础设施数据安全检测评估,每年至少开展一次全范围的数据安全风险评估,评估结果报送关键信息基础设施保护工作部门。(三)关键信息基础设施运营采购网络产品、服务的,涉及核心数据、重要数据的,依法开展国家安全审查,签订安全保密协议,明确产品、服务提供者的数据安全责任。第二十七条境外机构、组织、个人申请访问中国电信关键信息基础设施数据的,按照国家网络安全审查相关规定开展安全审查,未经审查不得允许访问。第六章数据安全风险监测与应急处置第二十八条中国电信建立覆盖全集团、全流程的网络数据安全风险监测体系,对数据访问、传输、导出、共享等全环节进行实时监测,针对核心数据、重要数据设置专门监测规则,对异常批量下载、越权访问、批量导出、未知地址传输等高风险行为进行实时告警,监测日志留存不少于六个月。第二十九条建立常态化数据安全风险排查机制,集团层面每半年开展一次全集团数据安全风险排查,省级公司每季度开展一次本地排查,针对用户信息泄露风险、核心数据违规出境风险、合作方数据滥用风险等重点风险开展专项排查,排查发现的风险隐患建立台账,明确整改责任人和整改时限,闭环整改。第三十条制定数据安全事件应急预案,按照数据安全事件的危害程度、影响范围,将事件分为特别重大、重大、较大、一般四个等级,针对不同等级事件明确响应流程、处置责任、处置措施,集团每年组织至少一次全集团数据安全应急演练,省级公司每半年组织一次应急演练,提升应急处置能力。第三十一条发生数据安全事件后,按照“先处置、后溯源,边处置、边报告”原则开展处置工作,立即启动应急预案,采取技术措施阻断攻击,防止危害扩大,及时告知受影响用户,按照法律法规要求及时向属地网信部门、通信管理部门、公安部门报告,不得迟报、漏报、瞒报,事件处置完成后开展复盘分析,完善安全防护措施,形成处置报告报送监管部门。第七章数据安全合规审计与监督考核第三十二条建立网络数据安全合规审计制度,对数据处理全流程开展定期审计,核心数据每季度审计一次,重要数据每半年审计一次,一般数据每年审计一次,审计内容包括数据处理活动是否符合法律法规、监管要求和内部制度,权限管理是否合规,安全防护措施是否到位,是否存在违规共享、泄露等风险,审计报告报送本级网络数据安全管理机构,审计发现问题及时整改。第三十三条建立第三方数据安全审计机制,针对合作方参与中国电信数据处理活动的,每年至少开展一次第三方数据安全审计,发现合作方违规处理数据的,立即终止合作,依法追究违约责任,涉嫌违法犯罪的移送司法机关处理。第三十四条将网络数据安全管理工作纳入各级单位绩效考核,权重不低于10%,明确考核指标,对发生重大数据安全事件、未落实数据安全管理要求的单位,实行绩效考核一票否决,对责任人员依法依规追究责任。第三十五条建立数据安全责任追究制度,对违反本条例规定,造成数据泄露、篡改、丢失,或者危害国家安全、侵犯用户合法权益的,根据情节轻重对责任单位给予通报批评、绩效考核扣分处理,对责任人员给予警告、记过、降职、开除等处分,涉嫌违法犯罪的,移送司法机关依法追究刑事
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- (2026年)小学防欺凌活动总结
- 切线的性质与判定课件 2026-2027学年人教版数学九年级上册
- 2026智慧水务销售面试题及答案
- 社会统计学书试题及答案
- 2026年一建市政工程考前冲刺试卷及答案
- 2026初级护士面试题及答案
- 2026年一建矿业工程难点突破试卷及答案
- 2026年一建矿业工程考前冲刺试卷及答案
- 2026风险治理面试题及答案
- 2026国考真实面试题及答案大全
- GB/T 47651-2026温室气体产品碳足迹量化方法与要求光热发电
- 2024利达消防产品价格清单
- 中国高校餐饮研究报告2025-红餐产业研究院
- 北师版八年级数学 7.5 三角形内角和定理(学习、上课课件)
- AQ 1044-2007 矿井密闭防灭火技术规范(正式版)
- 跟骨骨折个案护理
- 大数据 AI大模型-智慧统计大数据平台解决方案(2023版)
- TSG 07-2019 特种设备生产和充装单位许可规则 含2021年第号修改单和2024年第2号修改单
- 医疗器械临床试验数据管理
- 《型钢轧机复合辊环 技术规范》
- GB/T 42561-2023信息技术系统间远程通信和信息交换实时以太网适配时间敏感网络技术要求
评论
0/150
提交评论