上海通管局关于纵深推进“浦江护航”数据安全专项行动的通知
AITrust社区
文末扫码订阅,AI和数据合规专题
CAIM报名
CAIL报名
上海市通信管理局文件
沪通信管互〔2024〕16号
上海市通信管理局关于纵深推进“浦江护航”
数据安全专项行动的通知
各电信和互联网企业,各相关单位:
为深化本市电信和互联网行业数据治理,提升各电信和互联网企业数据安全管理水平,促进行业数据要素高效流通和利用,护航本市信息通信产业高质量发展,根据工业和信息化部2024年“数安护航”专项行动有关精神,结合本市电信和互联网行业数据发展和安全实际,我局决定纵深推进2024年度“浦江护航”数据安全专项行动。现将有关事项通知如下:
一、总体要求
坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,根据《数据安全法》《关于构建数据基础制度更好发挥数据要素作用的意见》《工业和信息化领域数据安全管理办法(试行)》《关于促进数据安全产业发展的指导意见》《“数据要素×”三年行动计划(2024—2026年)》《上海市数据条例》等法律法规和文件精神,统筹数据发展与安全,科学有序提升本市电信和互联网行业数据保护水平,进一步促进电信和互联网企业数据高效合规流通和利用。贯彻实施数据安全法律法规和政策标准,纵深推进数据安全管理重要制度和重点任务,持续保护个人、组织的合法权益,护航本市信息通信产业高质量发展,维护国家安全和发展利益,为建设网络强国、助力数字经济发展提供有力保障和重要支撑。
二、主要对象
本市电信和互联网行业数据处理者。其中,重点对象为在电信和互联网行业运营重要网络信息系统或处理100万人以上个人信息等重要数据的电信业务经营者。
三、重点任务
(一)促进行业数据要素高效流通和利用
组织制定上海市电信和互联网行业数据要素高效流通指引,强化电信和互联网企业数据流通全流程合规治理,鼓励、支持电信和互联网企业探索面向数据流通的安全保障技术、标准、方案。指导行业组织积极开展电信和互联网行业数据要素流通典型场景申报和评选,支持电信和互联网企业在合规利用的前提下,加强企业间以及企业与政府间的数据要素流通和融合。
(二)深化行业首席数据官制度实施
在重要数据处理者中加快推进实施首席数据官制度。处理电信领域重要数据的企业要参照《上海市电信和互联网行业首席数据官制度建设指南(试行)》建立企业首席数据官制度,设立首席数据官,统筹做好数据发展和安全,尤其是重要数据的合规利用和安全管理工作,并在11月30日前报上海市通信管理局备案。加强首席数据官制度实施情况的跟踪指导和成效评估,推动首席数据官全面履行数据安全与发展的统筹管理职能。重点评估首席数据官在企业内关于数据发展利用、数据合规治理等业务以及涉及数据领域的重大事项中参与决策的情况,并根据评估结果对各企业的首席数据官制度落实情况进行通报。
(三)深入推进重要数据识别认定及目录管理
重点在未对网络信息系统开展通信网络定级的、网络信息系统的通信网络定级为三级及以上的,以及处理100万人以上个人信息的电信和互联网企业中推进重要数据识别认定工作。相关企业应当依据相关标准规范对本单位重要数据进行识别认定,并形成具体目录,于11月30日前通过指定填报工具提交备案申请。已报送重要数据目录备案的企业,应当每6个月进行一次更新报送,备案内容有重大变化的,应当依法依规履行备案变更手续。鼓励、支持各行业组织、研究机构加强技术能力探索,研发基于电信领域识别标准的重要数据识别工具,推动电信领域重要数据的全面、精准、高效识别和认定,支撑企业重要数据目录和行业重要数据目录的建立。
(四)全面加强行业数据安全风险评估管理
健全完善数据安全评估管理机制,全面加强行业数据安全风险评估工作。各重要数据处理者要按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)》有关规定,自行或委托第三方评估机构每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并于11月30日前向市通信管理局提交评估报告。强化数据安全风险评估报告的质量审查,对评估不合规的报告予以退回,并加强相关企业的数据安全管理情况督查检查,对未落实评估责任的单位依法依规予以通报和处罚。指导建立数据安全专家评审组,为主管部门提供科学、专业的评审意见,支撑主管部门加强对数据安全风险评估工作的合规管理。
(五)加强数据对外共享使用管理
各企业应明确数据共享和开发利用的安全管理和责任要求,建立数据合作方安全管理制度,明确数据合作方的数据安全责任义务。企业需跨主体提供或委托处理电信领域重要数据的,应对数据合作方的数据安全保护能力进行审查评估,并将拟共享数据的类型、规模、用途、提供方式、提供周期、合作方主体等情况以及内部审核评估记录向市通信管理局报备,报备内容不包含数据本身。企业应加强对合作方数据安全保护能力的实质性审查,并对重要数据的共享使用情况进行监督管理。其中,重要数据的接收方应提供经上海市通信管理局或其所在地省级通信管理局审核通过的数据安全风险评估报告或审核通过的相关证明材料。
(六)加强数据安全保护能力提升
电信和互联网行业数据处理者应当对本单位数据处理活动负安全主体责任,对各类数据实行分级防护,开展数据全生命周期安全管理和风险监测,加强数据安全保护能力建设。各单位要进一步加强数据安全风险排查和防范工作,落实工业和信息化部“数安护航”行动要求,对照《电信领域数据安全风险排查和防范指导手册》,重点防范数据非法收集、数据非法利用、防护措施不到位、人员违规操作等突出问题引发的数据泄露、滥用、勒索攻击等风险。市通信管理局建立行业数据安全风险监测预警和信息通报机制,定期开展数据安全远程检测、现场诊断和通报公示,并对数据安全保护义务落实不到位的典型案例强化执法。
(七)实施人工智能应用领域数据安全管理
鼓励、支持各电信和互联网企业应用人工智能技术发挥数据要素价值,对各企业利用“人工智能+”应用和模型进行数据处理活动等场景实施数据安全专题管理。各企业要统筹做好行业数据的开发利用和安全保护、新型技术的高效应用和风险防范等工作,对利用“人工智能+”应用和模型进行数据处理活动的场景加强备案记录和安全管理。在开展相关数据处理活动前,应对拟进行处理的数据类型及规模、处理的目的及用途、拟使用的人工智能应用或模型及其使用的持续周期,以及预期产生的数据处理结果等内容做好记录,并将相关情况向市通信管理局报告。其中,利用“人工智能+”应用或模型处理重要数据的,应当评估数据处理活动的安全保护措施,并将相关情况纳入年度数据安全风险评估。
四、保障措施
(一)强化统筹协调
强化“浦江护航”行动与工业和信息化部“数安护航”专项行动的统筹部署以及与本市相关主管部门关于数据发展和数据安全政策的对接协调,进一步推动“浦江护航”数据安全专项行动在电信和互联网行业取得实效,行动将与电信和互联网行业网络和数据安全监管等相关工作进行融合,避免监管空白和重复监管。
(二)强化制度衔接
强化行业数据安全管理制度与通信网络安全防护管理制度的衔接。重点对未开展通信网络定级和通信网络定级为三级及以上的网络信息系统运营者加强重要数据认定排查、风险评估和现场检查等数据安全监管。各类承载了电信和互联网行业数据的网络信息系统均应完成通信网络定级和安全防护工作。其中,承载了重要数据的网络信息系统,其通信网络定级不得低于三级。
(三)强化机构管理
强化对在本市范围内开展电信和互联网行业数据安全服务的第三方机构的合规指导和监督管理。鼓励、引导相关机构加强数据安全服务能力建设,积极申请、持有工业和信息化领域数据安全服务资质。各第三方机构在本市电信和互联网行业开展数据安全相关服务的,其从业人员应当具备实施数据安全服务的专业能力,并持有工业和信息化领域数据安全相关技能证书。建立数据安全服务责任追究机制,本市各电信和互联网企业发生数据安全事件的,倒查其近两年内委托开展数据安全风险评估服务的第三方机构及其评估结果。经核查发现第三方机构的安全评估等数据安全服务开展存在问题的,视情节采取行业通报、列入安全风险警示名单等措施,存在违法违规行为的依法依规予以处置。
(四)强化人才培养
结合电信和互联网行业数据安全形势和特点,进一步指导行业组织、专业机构等开展数据安全公益性系列培训,加强数据安全前沿技术和管理实践交流。持续推动数据安全专业人才队伍培养,支持通信行业职业技能鉴定中心等培训组织加强数据发展和安全培训科目建设,赋能企业数据流通利用和安全合规实践。鼓励各企业积极参加行业相关培训并开展数据安全内部培训。
上海市通信管理局
2024年6月20日
全文共3719字
新会员订阅即读全文;老会员直接读
AI Trust是一个聚焦AI治理的高端开放平台,一个整合法律、技术及管理的AI治理专家共同体,一个制造干货、相互赋能及塑造职业品牌的AI治理生态体。AI Trust将持续举办沙龙、读书会、论坛、年度大会等开放性活动,并同时提供首席人工智能官CCAIO系列培训、ISO/IEC42001人工智能管理体系认证、欧盟人工智能法合规咨询、AI安全及技术落地等前沿服务。现招募“AI Trust×”共建活动的合作单位及AI大咖!
微信扫码关注该文公众号作者