觀點 | 電信領域數據安全“誰來管、管什么、怎么管”?
電信領域是數字經濟發展的主陣地和先導區,是推動數字經濟做強做優做大的主力軍。隨著數據產業和交易的不斷發展,市場主體因數據收集、處理、利用產生的數據安全風險日益突出,成為關系個人權益、公共利益和國家安全的重要因素。快速發展的數字經濟對電信運營企業數據合規提出更高要求,數據成為企業新的合規領域,也是國家網絡空間治理的重要方面,依法規范數據處理活動、提升數據治理能力及安全保護水平成為當務之急。
2023年1月1日起施行的《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》)作為電信領域數據安全管理頂層制度文件,重點解決電信領域數據安全“誰來管、管什么、怎么管”的問題。電信數據是指電信運營企業在電信業務經營活動中產生和收集的數據。電信數據處理活動包括但不限于數據收集、存儲、使用、加工、傳輸、提供、公開等活動。電信運營企業作為關鍵信息基礎設施運營者,需要依照《管理辦法》和有關法律、行政法規的規定以及國家標準的強制性要求,積極采取技術保護措施,強化數據等級保護和合規新體系建設,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
確定數據分類分級管理制度。《管理辦法》確定數據分類分級管理、重要數據識別與備案相關原則,要求一般數據加強全生命周期安全管理,重要數據在一般數據保護的基礎上進行重點保護,核心數據在重要數據保護的基礎上實施更加的嚴格保護。對于不同級別數據同時被處理且難以分別采取保護措施的,按照其中級別最高的要求實施保護。
明確安全管理和保護要求。依據《管理辦法》建立健全覆蓋本企業數據安全管理工作的新體系,明確數據安全負責人和管理機構,建立常態化溝通與協作機制。針對不同級別的數據,圍繞數據收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉移、委托處理等環節,提出相應安全管理和保護要求。
建立數據安全工作機制。應當建立數據安全監測預警、風險信息報送和共享、應急處置、投訴舉報受理等工作機制,采取必要措施防范數據安全風險;對發生的可能損害用戶合法權益的數據安全事件,應當及時告知用戶,并提供減輕危害的措施。
明確開展數據安全監測、認證及評估要求。工信部負責制定行業數據安全評估管理制度和規范,指導評估機構開展數據安全風險評估、出境安全評估等工作,為電信運營企業提供服務。企業通過評估發現和整改的風險問題,應當按照《管理辦法》要求及時上報風險評估報告。
規定監督檢查及承擔的法律責任。行業監管部門依法開展數據安全監督檢查工作,發現數據處理活動存在較大安全風險的,可以按照規定權限和程序對數據處理者進行約談,并要求采取措施進行整改,相關電信運營企業應當主動予以配合。有違反《管理辦法》規定行為的,由行業監管部門按照相關法律法規給予行政處罰;構成犯罪的,依法追究刑事責任。
