自治區(qū)各基礎電信運營企業(yè)及各有關(guān)企業(yè)：

為加強全區(qū)電信數(shù)據(jù)安全管理工作，進一步提高數(shù)據(jù)安全保護水平，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)和有關(guān)規(guī)定，我局結(jié)合實際研究制定了《內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理實施細則》，現(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。

?

?

                          內(nèi)蒙古自治區(qū)通信管理局

                          2023年12月7日

內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理實施細則

第一章 總則

第一條 為加強內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全管理工作，進一步提高數(shù)據(jù)安全保護水平，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律法規(guī)和有關(guān)規(guī)定，結(jié)合我區(qū)實際，制定本細則。

第二條 內(nèi)蒙古自治區(qū)的電信數(shù)據(jù)處理者開展數(shù)據(jù)處理活動及其安全監(jiān)管，應當遵守相關(guān)法律、行政法規(guī)和本細則的要求。

第三條 本細則所稱電信數(shù)據(jù)是指在電信業(yè)務經(jīng)營過程中產(chǎn)生和收集的數(shù)據(jù)。

電信數(shù)據(jù)處理者是指數(shù)據(jù)處理活動中自主決定處理目的、處理方式的取得電信業(yè)務經(jīng)營許可證的電信業(yè)務經(jīng)營者，包括基礎電信業(yè)務經(jīng)營者和增值電信業(yè)務經(jīng)營者。

數(shù)據(jù)處理活動包括但不限于數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等活動。

第四條 在工業(yè)和信息化部統(tǒng)籌指導下，內(nèi)蒙古自治區(qū)通信管理局負責內(nèi)蒙古自治區(qū)電信數(shù)據(jù)安全的組織協(xié)調(diào)、統(tǒng)籌規(guī)劃和監(jiān)督管理工作。

第五條 數(shù)據(jù)安全管理應當堅持總體國家安全觀，統(tǒng)籌數(shù)據(jù)發(fā)展與安全，鼓勵數(shù)據(jù)開發(fā)利用，加強數(shù)據(jù)治理，保證數(shù)據(jù)供給、流通、使用全過程安全合規(guī)。

第二章 數(shù)據(jù)安全保護基礎性要求

第六條 電信數(shù)據(jù)處理者應當每年至少開展一次數(shù)據(jù)梳理工作，按照電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別標準識別重要數(shù)據(jù)和核心數(shù)據(jù)，相關(guān)工作開展情況按年度形成報告并報送內(nèi)蒙古自治區(qū)通信管理局，報告內(nèi)容包括數(shù)據(jù)梳理工作開展情況、數(shù)據(jù)分類分級情況、數(shù)據(jù)分級防護措施等。

第七條 電信數(shù)據(jù)處理者應當按要求將識別出的重要數(shù)據(jù)和核心數(shù)據(jù)進行目錄填報，并報內(nèi)蒙古自治區(qū)通信管理局備案。

備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。

備案內(nèi)容發(fā)生重大變化的，電信數(shù)據(jù)處理者應當在發(fā)生變化的三個月內(nèi)履行備案變更手續(xù)。重大變化是指某類重要數(shù)據(jù)和核心數(shù)據(jù)規(guī)模(數(shù)據(jù)條目數(shù)量或者存儲總量等)變化30%以上，重要數(shù)據(jù)或核心數(shù)據(jù)類別新增或減少，數(shù)據(jù)安全情況、責任主體信息發(fā)生變動，或者其他備案內(nèi)容發(fā)生變化。

內(nèi)蒙古自治區(qū)通信管理局對備案信息完整性、重要數(shù)據(jù)和核心數(shù)據(jù)類別、級別、數(shù)據(jù)量等填報內(nèi)容準確完備性進行審核，在電信數(shù)據(jù)處理者提交備案申請的二十個工作日內(nèi)完成并反饋審核結(jié)果。備案未通過的申請人應當在收到反饋情況后的十五個工作日內(nèi)再次提交備案申請。

內(nèi)蒙古自治區(qū)通信管理局對重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案情況進行監(jiān)督檢查，電信數(shù)據(jù)處理者應當予以配合。

第八條 電信數(shù)據(jù)處理者應當根據(jù)實際工作需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負責數(shù)據(jù)處理活動的安全監(jiān)督管理。

電信領(lǐng)域重要和核心數(shù)據(jù)處理者還應當建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，明確數(shù)據(jù)安全負責人和管理機構(gòu)，負責牽頭內(nèi)部數(shù)據(jù)安全管理工作，明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責，并配備具備相應技能水平的專職人員，定期參與行業(yè)認可的數(shù)據(jù)安全考核與培訓。

第九條 電信數(shù)據(jù)處理者應加強權(quán)限審批管理，合理配置數(shù)據(jù)處理活動的權(quán)限，明確各部門和相關(guān)人員權(quán)限管理要求，包含但不限于數(shù)據(jù)處理活動平臺系統(tǒng)賬號權(quán)限分配原則、流程等，建立并定期更新權(quán)限分配表。

第十條 電信數(shù)據(jù)處理者應對數(shù)據(jù)處理、系統(tǒng)運行、權(quán)限管理、人員操作等日志進行留存管理，日志留存時間不少于六個月。日志記錄信息應包括執(zhí)行時間、操作賬號、處理方式等，針對數(shù)據(jù)使用加工、關(guān)聯(lián)分析、批量訪問、批量復制等數(shù)據(jù)處理行為還應記錄授權(quán)情況、登錄信息等，記錄完整、準確、不可修改。

第十一條 電信數(shù)據(jù)處理者應定期開展數(shù)據(jù)安全審計，審計對象完整覆蓋全部數(shù)據(jù)處理活動，審計發(fā)現(xiàn)問題需及時進行整改，并對審計及處置記錄進行留存管理。

重要數(shù)據(jù)處理活動應至少每半年開展一次審計，核心數(shù)據(jù)處理活動應至少每季度開展一次審計。

第十二條 電信數(shù)據(jù)處理者應當開展數(shù)據(jù)安全風險監(jiān)測，對數(shù)據(jù)安全風險隱患進行預警并及時開展處置。對于可能造成較大及以上安全事件的風險，應及時向內(nèi)蒙古自治區(qū)通信管理局報告，報告內(nèi)容包括但不限于風險類別和級別、涉及數(shù)據(jù)情況、產(chǎn)生時間、影響范圍、處置措施等信息。

第十三條 電信數(shù)據(jù)處理者應制定數(shù)據(jù)安全事件應急預案并開展應急演練。應急預案應充分結(jié)合數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改、數(shù)據(jù)損毀、數(shù)據(jù)違規(guī)使用等數(shù)據(jù)安全事件場景和等級，明確應急響應工作責任分工、實施流程、保障措施等。

在數(shù)據(jù)安全事件發(fā)生后，電信數(shù)據(jù)處理者應當按照應急預案，及時開展應急處置。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時間向內(nèi)蒙古自治區(qū)通信管理局報告，事件處置完成后立即開展事件調(diào)查、原因分析、問題整改、責任追究，在處置完成七個工作日內(nèi)形成總結(jié)報告并報送內(nèi)蒙古自治區(qū)通信管理局。對于發(fā)生過數(shù)據(jù)安全事件的電信數(shù)據(jù)處理者還應每年向內(nèi)蒙古自治區(qū)通信管理局報告數(shù)據(jù)安全事件處置情況。

第十四條 電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應當自行或委托第三方評估機構(gòu)，每年對數(shù)據(jù)處理活動至少開展一次風險評估，及時整改風險問題，并向內(nèi)蒙古自治區(qū)通信管理局報送風險評估報告。

重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生重大變化的，電信數(shù)據(jù)處理者應當在履行備案變更手續(xù)后及時啟動風險評估，備案變更后三個月內(nèi)向內(nèi)蒙古自治區(qū)通信管理局重新提交風險評估報告。

電信領(lǐng)域一般數(shù)據(jù)處理者應當自行或委托第三方評估機構(gòu)，每年至少開展一次數(shù)據(jù)安全合規(guī)性評估，及時整改問題，并向內(nèi)蒙古自治區(qū)通信管理局報送評估報告。評估內(nèi)容包括但不限于數(shù)據(jù)合規(guī)使用情況、數(shù)據(jù)安全保障措施配備情況與完善程度、合作方數(shù)據(jù)安全保護水平等。

第十五條 電信數(shù)據(jù)處理者應加強數(shù)據(jù)安全教育培訓，鼓勵企業(yè)通過積極參與本地區(qū)、本行業(yè)數(shù)據(jù)安全人才培養(yǎng)計劃等方式，提升相關(guān)崗位人員數(shù)據(jù)安全保護意識和技能水平。

電信數(shù)據(jù)處理者應定期組織開展內(nèi)部數(shù)據(jù)安全教育培訓，培訓內(nèi)容涵蓋數(shù)據(jù)安全法律法規(guī)、標準規(guī)范、管理制度和工作要求、知識技能、保護意識等，培訓對象覆蓋數(shù)據(jù)安全崗位人員，年度培訓時長不少于30學時。

電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者還應針對處理重要數(shù)據(jù)和核心數(shù)據(jù)的重點崗位人員定期開展教育培訓，培訓內(nèi)容包括但不限于重要數(shù)據(jù)和核心數(shù)據(jù)安全管理要求、安全操作規(guī)程、風險評估規(guī)范等，年度培訓時長不少于45學時。

第十六條 電信數(shù)據(jù)處理者應當加強對合作方管理，通過簽訂合同協(xié)議等方式，明確數(shù)據(jù)委托處理、數(shù)據(jù)處理系統(tǒng)開發(fā)運維等合作方數(shù)據(jù)安全責任和義務。涉及重要數(shù)據(jù)和核心數(shù)據(jù)的，應當對合作方的數(shù)據(jù)安全保護能力、資質(zhì)進行核驗。

第三章 數(shù)據(jù)全生命周期安全保護要求

第十七條 電信數(shù)據(jù)處理者應當對數(shù)據(jù)處理活動負安全主體責任，建立健全全流程數(shù)據(jù)安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。

第十八條 電信數(shù)據(jù)處理者收集數(shù)據(jù)應當遵循合法、正當?shù)脑瓌t，不得竊取或者以其他非法方式獲取數(shù)據(jù)。

數(shù)據(jù)收集過程中，采取規(guī)范化采集流程、方式、渠道和數(shù)據(jù)格式，根據(jù)數(shù)據(jù)安全級別采取相應的安全措施，加強重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設備的管理，并對收集來源、時間、類型、數(shù)量、頻度、流向等進行記錄。

對直接采集或者通過間接渠道獲得的數(shù)據(jù)負有同等的保護責任和義務。通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，電信數(shù)據(jù)處理者應當與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責任。

通過移動應用程序或其他方式面向用戶直接收集個人信息類數(shù)據(jù)的，應在業(yè)務用戶協(xié)議或隱私政策文件中明確個人信息收集的目的、用途和范圍，按照公開透明原則將收集規(guī)則以通俗易懂、簡單明了的文字向用戶明示，在獲得授權(quán)或有其他合法性基礎的前提下開展。

第十九條 電信數(shù)據(jù)處理者應當按照法律、行政法規(guī)規(guī)定和用戶約定的方式、期限進行數(shù)據(jù)存儲，應結(jié)合數(shù)據(jù)分類分級策略明確差異化數(shù)據(jù)存儲安全策略和操作規(guī)程。

存儲重要數(shù)據(jù)和核心數(shù)據(jù)的，應當采用校驗技術(shù)、密碼技術(shù)等措施進行安全存儲，并實施數(shù)據(jù)容災備份和存儲介質(zhì)安全管理，定期開展數(shù)據(jù)恢復測試，對備份數(shù)據(jù)的有效性和可用性進行檢查和恢復驗證。

第二十條 電信數(shù)據(jù)處理者進行數(shù)據(jù)使用加工應遵循目的明確原則，制定不同目的下數(shù)據(jù)使用審批流程、數(shù)據(jù)脫敏處理使用規(guī)則，明確數(shù)據(jù)使用結(jié)果發(fā)布和使用的安全保護規(guī)則。

利用數(shù)據(jù)進行自動化決策的，應當保證決策的透明度和結(jié)果公平合理。使用、加工重要數(shù)據(jù)和核心數(shù)據(jù)的，還應當加強訪問控制。

第二十一條 電信數(shù)據(jù)處理者應當根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應用場景，制定安全策略并采取保護措施。針對不同網(wǎng)絡安全域之間的數(shù)據(jù)傳輸采取訪問控制、監(jiān)控等安全防護技術(shù)措施。傳輸重要數(shù)據(jù)和核心數(shù)據(jù)的，應當采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。

第二十二條 電信數(shù)據(jù)處理者對外提供數(shù)據(jù)，應當明確提供的范圍、類別、條件、程序等，對數(shù)據(jù)提供形式、期限、涉及的業(yè)務或系統(tǒng)、數(shù)據(jù)安全保護措施等實施管理。提供重要數(shù)據(jù)和核心數(shù)據(jù)的，應當與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議，對數(shù)據(jù)獲取方數(shù)據(jù)安全保護能力進行核驗，采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道、安全傳輸協(xié)議等必要的安全保護措施。

第二十三條 電信數(shù)據(jù)處理者應當在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響，擬公開日十個工作日前向內(nèi)蒙古自治區(qū)通信管理局提交重要數(shù)據(jù)和核心數(shù)據(jù)公開申請，審批通過后予以公開，存在重大影響的不得公開。對于法律、行政法規(guī)要求公開的數(shù)據(jù)場景，應采用靜態(tài)脫敏等措施防止數(shù)據(jù)泄露或濫用。

第二十四條 電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲要求的，應當在境內(nèi)存儲，確需向境外提供的，應當依法依規(guī)進行數(shù)據(jù)出境安全評估。

第二十五條 電信數(shù)據(jù)處理者應當建立數(shù)據(jù)銷毀制度，明確銷毀對象、規(guī)則、流程和技術(shù)等要求，對銷毀活動進行記錄和留存。個人、組織按照法律規(guī)定、合同約定等請求銷毀的，電信數(shù)據(jù)處理者應當銷毀相應數(shù)據(jù)。

銷毀重要數(shù)據(jù)和核心數(shù)據(jù)的，應當設置銷毀相關(guān)監(jiān)督角色并采用多人操作模式，單人不得擁有完整操作權(quán)限。重要數(shù)據(jù)和核心數(shù)據(jù)銷毀后，不得以任何理由、任何方式進行恢復；引起重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案內(nèi)容發(fā)生變化的，應當履行備案變更手續(xù)。

電信數(shù)據(jù)處理者發(fā)生重組、解散、宣告破產(chǎn)、業(yè)務撤銷等情形的，應當在有關(guān)情形發(fā)生前向內(nèi)蒙古自治區(qū)通信管理局報告，按照相關(guān)要求移交或銷毀數(shù)據(jù)。

第二十六條 跨主體提供、轉(zhuǎn)移、委托處理核心數(shù)據(jù)的，電信數(shù)據(jù)處理者應當評估安全風險，采取必要的安全保護措施，并報送內(nèi)蒙古自治區(qū)通信管理局。內(nèi)蒙古自治區(qū)通信管理局按照有關(guān)規(guī)定進行審查后報工業(yè)和信息化部。

第四章 支持與監(jiān)督

第二十七條 鼓勵電信數(shù)據(jù)處理者開展數(shù)據(jù)安全知識宣傳普及、教育培訓，增強全區(qū)公共數(shù)據(jù)安全保護意識，提高數(shù)據(jù)安全風險管理能力。

鼓勵高等院校、職業(yè)院校、優(yōu)質(zhì)企業(yè)和培訓機構(gòu)深化產(chǎn)教融合，培養(yǎng)實用型、復合型數(shù)據(jù)安全專業(yè)技術(shù)技能人才和優(yōu)秀管理人才。

第二十八條 內(nèi)蒙古自治區(qū)通信管理局負責電信數(shù)據(jù)安全違法行為投訴舉報處理工作，依法接收、處理投訴舉報，根據(jù)工作需要開展執(zhí)法調(diào)查。電信數(shù)據(jù)處理者應建立健全用戶投訴處理機制。

第五章 附則

第二十九條 本細則自印發(fā)之日起施行。