工業和信息化部辦公廳關於印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》的通知

各省、自治區、直轄市通信管理局，中國信息通信研究院、中國電子信息產業發展研究院、國家工業信息安全發展研究中心、中國電子技術標準化研究院、人民郵電報社、中國工業互聯網研究院、中國互聯網協會、中國通信標準化協會，中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國廣播電視網絡有限公司，有關互聯網企業：

現將《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》（工信廳網安﹝2019﹞42號）印發給你們，請認真抓好貫徹執行。

聯繫人及電話：苗琳010-66069800/66069561（傳真）

電子郵箱：miaolin@miit.gov.cn

近年來，隨着國家大數據發展戰略加快實施，大數據技術創新與應用日趨活躍，產生和集聚了類型豐富多樣、應用價值不斷提升的海量網絡數據，成為數字經濟發展的關鍵生產要素。與此同時，數據過度採集濫用、非法交易及用戶數據泄露等數據安全問題日益凸顯，做好電信和互聯網行業（以下簡稱行業）網絡數據安全管理尤為迫切。為積極應對新形勢新情況新問題，切實做好新中國成立70周年網絡數據安全保障工作，全面提升行業網絡數據安全保護能力，制定本方案。

一、總體要求

以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆二中、三中全會精神，嚴格落實《網絡安全法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《互聯網信息服務管理辦法》等法律法規，堅持維護數據安全與促進數據開發利用並重，堅持數據分類分級保護，堅持充分發揮政府引導作用、企業主體作用和社會監督作用，立足我部行業網絡數據安全監管職責，開展為期一年的行業提升網絡數據安全保護能力專項行動（以下簡稱專項行動），加快推動構建行業網絡數據安全綜合保障體系，為建設網絡強國、助力數字經濟發展提供有力保障和重要支撐。

二、工作目標

（一）通過集中開展數據安全合規性評估、專項治理和監督檢查，督促基礎電信企業和重點互聯網企業強化網絡數據安全全流程管理，及時整改消除重大數據泄露、濫用等安全隱患，2019年10月底前完成全部基礎電信企業（含專業公司）、50家重點互聯網企業以及200款主流App數據安全檢查，圓滿完成新中國成立70周年等重大活動網絡數據安全保障工作。

（二）基本建立行業網絡數據安全保障體系。網絡數據安全制度標準體系進一步完善，形成行業網絡數據保護目錄，制定15項以上行業網絡數據安全標準規範，貫標試點企業不少於20家；行業網絡數據安全管理和技術支撐平台基本建成，遴選網絡數據安全技術能力創新示範項目不少於30個；基礎電信企業和重點互聯網企業網絡數據安全管理體系有效建立。

三、重點任務

（一）加快完善網絡數據安全制度標準

1.強化網絡數據安全管理制度設計。梳理對標《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求，加快建立網絡數據分類分級保護、數據安全風險評估、數據安全事件通報處置、數據對外提供使用報告等制度。部署電信和互聯網企業按照法律法規要求，開展數據安全管理對標工作，健全完善企業內部網絡數據全生命周期安全管理制度。

2.完善網絡數據安全標準體系。推動出台行業《網絡數據安全標準體系建設指南》，加快完善行業網絡數據安全標準體系。制定出台行業重要數據識別指南、網絡數據安全防護等重點標準，遴選企業開展貫標試點。指導中國通信標準化協會成立網絡數據安全標準專項工作組，加快推動網絡數據安全相關標準制定工作。

（二）開展合規性評估和專項治理

3.開展網絡數據安全風險評估。出台網絡數據安全合規性評估要點，依託互聯網新技術新業務安全評估機制，部署基礎電信企業（含專業公司）和重點互聯網企業結合重點業務類型和場景，開展網絡數據安全合規性自評估工作，提升企業網絡數據安全風險防範能力。針對物聯網、車聯網、衛星互聯網、人工智能等新技術新應用帶來的重大互聯網數據安全問題，及時開展行業評估和跨部門聯合評估工作。

4.深化App違法違規專項治理。持續推進App違法違規收集使用個人信息專項治理行動，組織第三方評測機構開展App安全滾動式評測，對在網絡數據安全和用戶信息保護方面存在違法違規行為的App及時進行下架和公開曝光。組織開展應用商店安全責任專項部署，督促應用商店落實App運營者真實身份信息驗證、應用程序安全檢測、違法違規App下架等責任。創新工作模式，引導鼓勵第三方機構開展App數據安全管理認證，探索推動應用商店等明確標識並優先推薦通過認證的App。

5.強化網絡數據安全監督執法。將企業網絡數據安全責任落實情況、數據安全合規性評估落實情況作為重點內容，納入2019年網絡信息安全「雙隨機一公開」檢查和基礎電信企業網絡與信息安全責任考核檢查，採取遠程測試、實地檢查等方式開展監督檢查，督促問題整改。持續開展數據泄露等網絡數據安全和用戶信息安全事件監測跟蹤與執法調查，對違法違規行為及時採取約談、公開曝光、行政處罰等措施，將處罰結果納入電信業務經營不良名單或失信名單。

（三）強化行業網絡數據安全管理

6.穩步實施網絡數據資源「清單式」管理。開展電信和重點互聯網企業網絡數據資源調研摸底，依據網絡數據重要敏感程度和泄露濫用可能造成的危害，研究形成行業網絡數據保護目錄，並選取重點企業開展試點應用。指導督促試點企業建立內部網絡數據清單和數據分類分級管理制度，對列入目錄的網絡數據實施重點保護。

7.明確企業網絡數據安全職能部門。指導電信和重點互聯網企業加強內部網絡數據安全組織保障，推動設立或明確網絡數據安全管理責任部門和專職人員，負責承擔企業內部網絡數據安全管理工作，督促協調企業內部各相關主體和環節嚴格落實操作權限管理、日誌記錄和安全審計、數據加密、數據脫敏、訪問控制、數據容災備份等數據安全保護措施，組織開展數據安全崗位人員法律法規、知識技能等培訓。

8.強化網絡數據對外合作安全管理。落實《工業和信息化部關於加強基礎電信企業數據安全管理規範清理數據對外合作工作的通知》等相關管理要求，督促企業定期開展網絡數據對外合作業務專項排查，及時發現問題消除隱患。研究明確利用行業網絡數據進行大數據開發應用的數據安全管理要求，督促企業開展合作方數據安全保障能力動態評估，充分依託合同約束、信用管理等手段強化合作方管理，切實提升網絡數據共享安全管理水平。

9.加強行業網絡數據安全應急管理。落實工業和信息化部相關應急預案要求，指導企業進一步健全完善企業網絡數據安全事件應急處置機制，開展應急演練，落實重大網絡數據安全事件報告、調查追責、向社會公告等要求。在新中國成立70周年等重大活動保障期間，明確企業數據安全重要崗位職責要求，強化應急響應，及時處置網絡數據安全突發情況。

（四）創新推動網絡數據安全技術防護能力建設

10．加強網絡數據安全技術手段建設。加快建設行業網絡數據安全管理和技術支撐平台，支撐開展行業數據備案管理、事件通報、溯源核查、技術檢測和安全認證等工作，提升網絡數據安全監管技術支撐保障能力。指導企業加大網絡數據安全技術投入，加快完善數據防攻擊、防竊取、防泄漏、數據備份和恢復等安全技術保障措施，提升企業網絡數據安全保障能力。

11.推動網絡數據安全技術創新發展。推動成立大數據安全聯盟，打造網絡數據安全技術交流、聯合攻關和試點應用平台。組織開展網絡數據安全技術最佳實踐案例徵集和試點示範項目評選，加大技術研發、成果轉化和解決方案的支持力度，促進網絡數據安全先進技術創新和產品服務應用推廣。制定發布網絡數據安全產業發展白皮書。

12.加強專業支撐隊伍建設。成立行業網絡數據安全專家委員會，為網絡數據安全政策標準制定、關鍵技術研究、重大網絡數據安全風險評估、網絡數據安全示範項目評審等提供決策支撐。委託中國信息通信研究院、中國電子信息產業發展研究院、中國電子技術標準化研究院、中國互聯網協會、中國通信標準化協會等單位開展面向行業的網絡數據安全法律法規和政策標準宣貫、技能培訓和測試檢查。

（五）強化社會監督和宣傳交流

13.強化社會監督和行業自律。依託中國互聯網協會12321網絡不良與垃圾信息舉報受理中心，建立網絡數據違法違規行為舉報平台，及時受理用戶投訴舉報。強化行業自律，指導中國互聯網協會聯合基礎電信企業、重點互聯網企業、第三方機構等簽署網絡數據安全自律公約，引導企業自覺履行數據安全保護義務，努力提高數據安全保護水平。

14.加強宣傳展示和國際交流。充分利用中國互聯網大會、中國國際大數據產業博覽會、國家網絡安全宣傳周等，指導相關單位舉辦網絡數據安全論壇，開展網絡數據安全主題宣傳日等活動，促進網絡數據安全管理和技術經驗交流，提升全行業數據安全意識。加強數據安全國際交流合作，利用世界互聯網大會、中歐數字經濟與網絡安全會議等，積極開展數據安全管理經驗交流和信息共享。

四、工作安排

（一）工作部署階段（2019年7月）。部制定印發專項行動方案，組織開展宣貫部署，向各單位、各企業制定印發工作任務清單，明確各項任務時間節點和工作要求。

（二）重點保障階段（2019年8-10月）。部組織完成電信和重點互聯網企業網絡數據資源調研摸底，明確數據安全合規性評估要點，指導完成各省級基礎電信企業和重點互聯網企業重點環節數據安全合規性評估，持續開展App違法違規收集使用個人信息專項治理，組織完成對重點企業網絡數據安全責任落實情況的監督檢查和隱患整改，全力做好新中國成立70周年網絡數據安全保障工作。

（三）長效建設階段（2019年11月-2020年5月）。總結固化新中國成立70周年網絡數據安全保障工作經驗，重點圍繞關鍵制度、重點標準、技術手段、示範項目、支撐隊伍等方面，加快推進完成重點任務舉措，推動建立網絡數據安全管理長效機制。

（四）總結提升階段（2020年6-7月）。各單位、各企業梳理總結專項行動完成情況、工作成效及問題，形成工作總結報部（網絡安全管理局）。部組織對專項行動工作情況進行總結通報，對典型經驗做法進行推廣，鞏固相關工作成效。

五、工作要求

（一）加強組織領導。各單位要充分認識加快提升行業網絡數據安全保護能力的重要性和緊迫性，結合本單位實際，精心組織，周密部署，迅速行動，確保專項行動順利開展。部網絡安全管理局牽頭做好專項行動總體部署、推進落實、督導檢查等工作；各地通信管理局結合實際，組織開展屬地網絡數據安全能力提升專項行動各項工作。

（二）明確任務分工。各企業要明確責任部門和責任人，對照任務清單，堅持問題導向，逐一細化工作措施和責任分工，做到措施到位、責任到人，確保專項行動各項任務落實到位、取得實效。中國信息通信研究院、中國電子信息產業發展研究院、中國電子技術標準化研究院、人民郵電報社、中國互聯網協會、中國通信標準化協會等單位要做好相關支撐保障工作。

（三）強化監督檢查。部和各地通信管理局組織對各單位、各企業專項行動落實情況進行督導檢查，指導督促基礎電信企業和互聯網企業進一步落實相關制度標準要求，健全完善企業網絡數據安全合規管理體系，對存在問題及時督促整改。

（四）加強宣傳通報。各單位、各企業要建立信息通報機制，及時總結專項行動進展和成效，每月底前將工作進展情況、取得成效、問題和建議報部網絡安全管理局。大力宣傳專項行動新進展、新動態及典型經驗做法，營造全行業重視網絡數據安全、自覺維護網絡數據安全的良好氛圍，推動專項行動紮實深入開展。