浙江省通信管理局关于开展“之江数安-2025”专项行动的通知
各相关企业:
为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》及《工业和信息化领域数据安全管理办法(试行)》,结合浙江省电信领域数据安全工作实际,决定开展“之江数安-2025”专项行动,现将有关事项通知如下:
一、工作目标
进一步提升我省电信领域数据安全保障能力、数据安全风险防范重点企业的数据安全防护水平,规范数据分类分级管理,健全应急处置响应机制。2025年底前,动态更新我省数据安全风险防控重点企业名录至30家,形成2025版重要数据目录,完成重点企业数据安全风险排查,实现数据安全事件及时处置率达100%。
二、主要任务
(一)夯实数据安全管理基础
1.深化重要数据和核心数据识别备案。各企业要按照《工业和信息化领域数据安全管理办法(试行)》有关规定,依据电信领域重要数据和核心数据识别指南要求,形成本单位重要数据和核心数据目录,各网络运营者需同步梳理承载敏感用户个人数据、重要数据、核心数据的关键部位重要设备清单,于8月31日前报省通信管理局备案。当重要数据条目数量或者存储总量等变化30%以上,或者其他备案内容发生重大变化时,企业应在三个月内向省通信管理局更新备案。
2.加强行业数据安全风险评估管理。处理重要数据(含1000万以上个人信息)的企业,应依据《工业和信息化领域数据安全风险评估实施细则(试行)》等有关规定,自行或委托具有工业和信息化数据安全工作能力的第三方机构每年对其数据处理活动至少开展一次风险评估,及时采取适当措施消除或降低评估中发现的风险隐患,并于9月30日前向省通信管理局报送数据安全风险评估报告。省通信管理局强化数据安全风险评估报告的质量审查,对评估不合规的报告予以退回,并加强对相关企业数据安全管理情况的监督检查,对未落实评估责任的单位依法依规予以通报和处罚。
3.完善数据全生命周期安全管理。各企业要完善数据全生命周期安全管理制度,针对不同级别的数据,分级明确数据收集、存储、使用、加工、传输、提供、公开、销毁等环节安全要求,对数据处理各环节操作采用事前审批、交叉审核、日志审计等手段实行严格监督与管理,不同级别的数据难以区分或分别采取保护措施的,应按其中级别最高的要求实施保护。
(二)全面加强数据安全风险排查
4.着力排查对外数据业务产品合规情况。各企业要全面排查对外数据业务产品合规情况,确保数据来源合法正当,数据处理目的、用途和方式合法合规,严禁无授权使用、超范围使用和违规挪用数据问题。对外开展数据业务前,应与各业务合作方签署合同协议,约定双方数据安全责任义务、数据使用范围及数据安全保障要求。在数据业务开展过程中,要核实数据使用是否存在超出合同约束范围情况,并对合作方数据安全保护情况进行监督。
5.着力排查第三方开发运维厂商管理情况。各企业要全面排查重要业务系统相关软件开发、平台建设、运维支撑方情况,要建立合作方管理台账,明确合作方名称、合作内容、数据数量、类别、级别、处理方式、目的、范围、保障措施等。要以书面形式对双方数据安全责任义务进行约定,严禁无合同、无数据安全协议下委托开展数据处理。要排查合作方人员数据处理情况,核实合作方人员是否存在违规查询、下载、使用、外传数据等问题。
6.着力排查人员账号权限管控情况。各企业要全面排查业务系统人员账号、权限管控情况,要严格遵照最小授权、按需分配、权限到人原则开展权限分配,建立人员账号权限清单,明确权限范围、类别、有效期等。要严格限制批量查询、处理、导出个人用户数据权限,严禁为第三方人员分配高权限账号。对于长期未使用的账号、离职人员账号以及不符合业务需求的账号,要及时进行清理,避免账号被非法利用。
7.着力排查日志留存审计情况。各企业要全面排查业务系统平台访问登录日志、数据处理日志、服务器/主机设备日志以及数据传输日志等留存审计情况,要确保满足6个月留存时长要求,并采用数字签名、哈希算法等技术确保日志记录的完整性和准确性。要定期开展日志审计,覆盖全量涉敏系统、涉敏操作。
8.着力排查系统接口使用情况。各企业要全面排查、梳理重要业务系统与外部进行数据交互的情况,建立并定期维护数据对外接口清单。排查各接口来源是否清晰,确保数据交互内容明确、数据交互范围和频率符合业务需求。排查接口是否都有开通依据,严禁无主接口、无名接口、未报备登记接口。排查接口是否均使用加密传输协议,接口传输数据是否与合同或协议约定一致,是否存在超范围或超期提供。在业务合作结束后,要及时关闭数据接口。
(三)加强新业态数据安全管理
9.规范数据对外提供安全管理。各企业要依据数据提供场景、数据类别和级别严格履行风险评估、数据获取方管理、主管部门报备审查等责任义务。对外提供重要数据(含1000万以上个人信息)前,应当与数据获取方签订数据安全协议,清晰合理约定双方数据安全责任义务,对数据获取方数据安全资质和数据安全保护能力进行核验,按要求开展风险评估并纳入数据安全风险评估报告。对外提供核心数据前,应当在落实前款要求基础上,报工业和信息化部履行审查程序。对外提供用户个人信息前,应当向用户告知数据处理的目的、处理方式以及处理的数据种类、保存期限,取得个人用户单独同意、按要求开展个人信息保护影响评估。
10.加强互联网数据中心客户数据安全管理。各企业要落实《工业和信息化部办公厅关于加强互联网数据中心客户数据保护的通知》要求,结合业务类型,建立客户数据安全管理制度机制,通过合同协议等方式明确各方数据安全责任义务。要配备客户数据安全保护能力,结合服务器托管业务场景和数据存储与计算业务场景下的具体数据处理流程,明确数据访问、操作、销毁等重点环节的安全策略和流程机制,做好数据隔离等保护措施。在实施可能影响客户数据安全的高危操作和对外提供客户数据时,要告知客户并取得授权。
11.深化联网汽车运行重要数据识别备案。已备案联网汽车运行重要数据的企业,经审定后应在行业主管部门的指导下,做好重要数据保护、风险评估等工作,切实履行数据安全保护义务。对因业务需要确需向境外提供重要数据的相关企业,应严格落实《汽车数据出境安全指引(2025版)》,形成高效便利安全的汽车数据跨境流动机制。
(四)做好数据安全事件应急处置
12.全面做好数据安全事件应急演练。各企业应根据《工业和信息化领域数据安全事件应急预案(试行)》《浙江省电信领域数据安全事件应急预案(试行)》,结合自身情况,制定并不断完善企业数据安全事件应急预案,围绕数据勒索、大规模数据泄露,以及业务数据恶意删除、数据中心数据窃取、用户数据非法利用等典型事件场景,落实工业和信息化部“数安铸盾”行动要求,组织开展应急演练。应急演练应覆盖核心业务、重要网络设施和信息系统承载数据,应急演练脚本要突出风险、符合业务实战场景,切实提升数据安全事件实战化应对能力。
(五)拓展数据安全培训
13.体系化开展数据安全教育培训。各企业要建立系统化人才培养机制,围绕数据安全法律法规和政策文件的宣贯解读、前沿技术与管理实践交流等方面制定年度数据安全培训计划,确保一般数据安全岗位人员年度培训时长不少于10学时,重要数据和核心数据处理岗位人员年度培训时长不少于20学时,进一步加强人员数据安全意识和能力。省通信管理局将组织电信领域重要数据识别、安全防护、风险评估等重点标准的宣贯,加快以标准引领提升行业数据安全保护水平。
三、工作计划
(一)开展动员部署(2025年7月20日前)。省通信管理局组织数据安全风险防控重点企业召开专项行动动员部署会,详细解读主要任务,确保专项行动各项任务落实到位。
(二)加强任务实施(2025年7月至2025年10月)。各企业要按照方案要求,细化工作措施,全面推进工作任务,及时整改工作中存在的问题。省通信管理局将通过查阅报送材料、现场检查等方式进行督导检查,对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,将依法依规进行处罚。
(三)工作总结评估(2025年11月)。各企业要全面梳理总结专项行动工作任务落实情况、存在的问题及相关工作建议等,将专项行动要求与日常数据安全工作相结合,总结巩固经验成效,建立完善长效机制,于11月30日前将工作总结报送省通信管理局,报送材料提供单位盖章纸质版和电子版各1份。
联系人:李玉琦,0571-87060678,lyq@zca.gov.cn。
浙江省通信管理局
2025年6月30日