電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案

電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案近年來，隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略加快實施，大數(shù)據(jù)技術(shù)創(chuàng)新與應(yīng)用日趨活躍，產(chǎn)生和集聚了類型豐富多樣、應(yīng)用價值不斷提升的海量網(wǎng)絡(luò)數(shù)據(jù)，成為數(shù)字經(jīng)濟發(fā)展的關(guān)鍵生產(chǎn)要素。與此同時，數(shù)據(jù)過度采集濫用、非法交易及用戶數(shù)據(jù)泄露等數(shù)據(jù)安全問題日益凸顯，做好電信和互聯(lián)網(wǎng)行業(yè)（以下簡稱行業(yè)）網(wǎng)絡(luò)數(shù)據(jù)安全管理尤為迫切。為積極應(yīng)對新形勢新情況新問題，切實做好新中國成立70周年網(wǎng)絡(luò)數(shù)據(jù)安全保障工作，全面提升行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護能力，制定本方案。一、總體要求以習(xí)近平新時代中國特色社會主義思想為指導(dǎo)，全面貫徹黨的十九大和十九屆二中、三中全會精神，嚴格落實《網(wǎng)絡(luò)安全法》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)，堅持維護數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用并重，堅持數(shù)據(jù)分類分級保護，堅持充分發(fā)揮政府引導(dǎo)作用、企業(yè)主體作用和社會監(jiān)督作用，立足我部行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管職責，開展為期一年的行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動（以下簡稱專項行動），加快推動構(gòu)建行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全綜合保障體系，為建設(shè)網(wǎng)絡(luò)強國、助力數(shù)字經(jīng)濟發(fā)展提供有力保障和重要支撐。二、工作目標（一）通過集中開展數(shù)據(jù)安全合規(guī)性評估、專項治理和監(jiān)督檢查，督促基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)強化網(wǎng)絡(luò)數(shù)據(jù)安全全流程管理，及時整改消除重大數(shù)據(jù)泄露、濫用等安全隱患，2019年10月底前完成全部基礎(chǔ)電信企業(yè)（含專業(yè)公司）、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查，圓滿完成新中國成立70周年等重大活動網(wǎng)絡(luò)數(shù)據(jù)安全保障工作。（二）基本建立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保障體系。網(wǎng)絡(luò)數(shù)據(jù)安全制度標準體系進一步完善，形成行業(yè)網(wǎng)絡(luò)數(shù)據(jù)保護目錄，制定15項以上行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全標準規(guī)范，貫標試點企業(yè)不少于20家；行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)支撐平臺基本建成，遴選網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)能力創(chuàng)新示范項目不少于30個；基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理體系有效建立。三、重點任務(wù)（一）加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標準1.強化網(wǎng)絡(luò)數(shù)據(jù)安全管理制度設(shè)計。梳理對標《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求，加快建立網(wǎng)絡(luò)數(shù)據(jù)分類分級保護、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全事件通報處置、數(shù)據(jù)對外提供使用報告等制度。部署電信和互聯(lián)網(wǎng)企業(yè)按照法律法規(guī)要求，開展數(shù)據(jù)安全管理對標工作，健全完善企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)全生命周期安全管理制度。2.完善網(wǎng)絡(luò)數(shù)據(jù)安全標準體系。推動出臺行業(yè)《網(wǎng)絡(luò)數(shù)據(jù)安全標準體系建設(shè)指南》，加快完善行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全標準體系。制定出臺行業(yè)重要數(shù)據(jù)識別指南、網(wǎng)絡(luò)數(shù)據(jù)安全防護等重點標準，遴選企業(yè)開展貫標試點。指導(dǎo)中國通信標準化協(xié)會成立網(wǎng)絡(luò)數(shù)據(jù)安全標準專項工作組，加快推動網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)標準制定工作。（二）開展合規(guī)性評估和專項治理3.開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估。出臺網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點，依托互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估機制，部署基礎(chǔ)電信企業(yè)（含專業(yè)公司）和重點互聯(lián)網(wǎng)企業(yè)結(jié)合重點業(yè)務(wù)類型和場景，開展網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性自評估工作，提升企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險防范能力。針對物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用帶來的重大互聯(lián)網(wǎng)數(shù)據(jù)安全問題，及時開展行業(yè)評估和跨部門聯(lián)合評估工作。4.深化App違法違規(guī)專項治理。持續(xù)推進App違法違規(guī)收集使用個人信息專項治理行動，組織第三方評測機構(gòu)開展App安全滾動式評測，對在網(wǎng)絡(luò)數(shù)據(jù)安全和用戶信息保護方面存在違法違規(guī)行為的App及時進行下架和公開曝光。組織開展應(yīng)用商店安全責任專項部署，督促應(yīng)用商店落實App運營者真實身份信息驗證、應(yīng)用程序安全檢測、違法違規(guī)App下架等責任。創(chuàng)新工作模式，引導(dǎo)鼓勵第三方機構(gòu)開展App數(shù)據(jù)安全管理認證，探索推動應(yīng)用商店等明確標識并優(yōu)先推薦通過認證的App。5.強化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法。將企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全責任落實情況、數(shù)據(jù)安全合規(guī)性評估落實情況作為重點內(nèi)容，納入2019年網(wǎng)絡(luò)信息安全“雙隨機一公開”檢查和基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責任考核檢查，采取遠程測試、實地檢查等方式開展監(jiān)督檢查，督促問題整改。持續(xù)開展數(shù)據(jù)泄露等網(wǎng)絡(luò)數(shù)據(jù)安全和用戶信息安全事件監(jiān)測跟蹤與執(zhí)法調(diào)查，對違法違規(guī)行為及時采取約談、公開曝光、行政處罰等措施，將處罰結(jié)果納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單。（三）強化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理6.穩(wěn)步實施網(wǎng)絡(luò)數(shù)據(jù)資源“清單式”管理。開展電信和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源調(diào)研摸底，依據(jù)網(wǎng)絡(luò)數(shù)據(jù)重要敏感程度和泄露濫用可能造成的危害，研究形成行業(yè)網(wǎng)絡(luò)數(shù)據(jù)保護目錄，并選取重點企業(yè)開展試點應(yīng)用。指導(dǎo)督促試點企業(yè)建立內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)清單和數(shù)據(jù)分類分級管理制度，對列入目錄的網(wǎng)絡(luò)數(shù)據(jù)實施重點保護。7.明確企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全職能部門。指導(dǎo)電信和重點互聯(lián)網(wǎng)企業(yè)加強內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全組織保障，推動設(shè)立或明確網(wǎng)絡(luò)數(shù)據(jù)安全管理責任部門和專職人員，負責承擔企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全管理工作，督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴格落實操作權(quán)限管理、日志記錄和安全審計、數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問控制、數(shù)據(jù)容災(zāi)備份等數(shù)據(jù)安全保護措施，組織開展數(shù)據(jù)安全崗位人員法律法規(guī)、知識技能等培訓(xùn)。8.強化網(wǎng)絡(luò)數(shù)據(jù)對外合作安全管理。落實《工業(yè)和信息化部關(guān)于加強基礎(chǔ)電信企業(yè)數(shù)據(jù)安全管理規(guī)范清理數(shù)據(jù)對外合作工作的通知》等相關(guān)管理要求，督促企業(yè)定期開展網(wǎng)絡(luò)數(shù)據(jù)對外合作業(yè)務(wù)專項排查，及時發(fā)現(xiàn)問題消除隱患。研究明確利用行業(yè)網(wǎng)絡(luò)數(shù)據(jù)進行大數(shù)據(jù)開發(fā)應(yīng)用的數(shù)據(jù)安全管理要求，督促企業(yè)開展合作方數(shù)據(jù)安全保障能力動態(tài)評估，充分依托合同約束、信用管理等手段強化合作方管理，切實提升網(wǎng)絡(luò)數(shù)據(jù)共享安全管理水平。9.加強行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理。落實工業(yè)和信息化部相關(guān)應(yīng)急預(yù)案要求，指導(dǎo)企業(yè)進一步健全完善企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急處置機制，開展應(yīng)急演練，落實重大網(wǎng)絡(luò)數(shù)據(jù)安全事件報告、調(diào)查追責、向社會公告等要求。在新中國成立70周年等重大活動保障期間，明確企業(yè)數(shù)據(jù)安全重要崗位職責要求，強化應(yīng)急響應(yīng)，及時處置網(wǎng)絡(luò)數(shù)據(jù)安全突發(fā)情況。（四）創(chuàng)新推動網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)防護能力建設(shè)10．加強網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)手段建設(shè)。加快建設(shè)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)支撐平臺，支撐開展行業(yè)數(shù)據(jù)備案管理、事件通報、溯源核查、技術(shù)檢測和安全認證等工作，提升網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管技術(shù)支撐保障能力。指導(dǎo)企業(yè)加大網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)投入，加快完善數(shù)據(jù)防攻擊、防竊取、防泄漏、數(shù)據(jù)備份和恢復(fù)等安全技術(shù)保障措施，提升企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保障能力。11.推動網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)創(chuàng)新發(fā)展。推動成立大數(shù)據(jù)安全聯(lián)盟，打造網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)交流、聯(lián)合攻關(guān)和試點應(yīng)用平臺。組織開展網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)最佳實踐案例征集和試點示范項目評選，加大技術(shù)研發(fā)、成果轉(zhuǎn)化和解決方案的支持力度，促進網(wǎng)絡(luò)數(shù)據(jù)安全先進技術(shù)創(chuàng)新和產(chǎn)品服務(wù)應(yīng)用推廣。制定發(fā)布網(wǎng)絡(luò)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展白皮書。12.加強專業(yè)支撐隊伍建設(shè)。成立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全專家委員會，為網(wǎng)絡(luò)數(shù)據(jù)安全政策標準制定、關(guān)鍵技術(shù)研究、重大網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估、網(wǎng)絡(luò)數(shù)據(jù)安全示范項目評審等提供決策支撐。委托中國信息通信研究院、中國電子信息產(chǎn)業(yè)發(fā)展研究院、中國電子技術(shù)標準化研究院、中國互聯(lián)網(wǎng)協(xié)會、中國通信標準化協(xié)會等單位開展面向行業(yè)的網(wǎng)絡(luò)數(shù)據(jù)安全法律法規(guī)和政策標準宣貫、技能培訓(xùn)和測試檢查。（五）強化社會監(jiān)督和宣傳交流13.強化社會監(jiān)督和行業(yè)自律。依托中國互聯(lián)網(wǎng)協(xié)會12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心，建立網(wǎng)絡(luò)數(shù)據(jù)違法違規(guī)行為舉報平臺，及時受理用戶投訴舉報。強化行業(yè)自律，指導(dǎo)中國互聯(lián)網(wǎng)協(xié)會聯(lián)合基礎(chǔ)電信企業(yè)、重點互聯(lián)網(wǎng)企業(yè)、第三方機構(gòu)等簽署網(wǎng)絡(luò)數(shù)據(jù)安全自律公約，引導(dǎo)企業(yè)自覺履行數(shù)據(jù)安全保護義務(wù)，努力提高數(shù)據(jù)安全保護水平。14.加強宣傳展示和國際交流。充分利用中國互聯(lián)網(wǎng)大會、中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會、國家網(wǎng)絡(luò)安全宣傳周等，指導(dǎo)相關(guān)單位舉辦網(wǎng)絡(luò)數(shù)據(jù)安全論壇，開展網(wǎng)絡(luò)數(shù)據(jù)安全主題宣傳日等活動，促進網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)經(jīng)驗交流，提升全行業(yè)數(shù)據(jù)安全意識。加強數(shù)據(jù)安全國際交流合作，利用世界互聯(lián)網(wǎng)大會、中歐數(shù)字經(jīng)濟與網(wǎng)絡(luò)安全會議等，積極開展數(shù)據(jù)安全管理經(jīng)驗交流和信息共享。四、工作安排（一）工作部署階段（2019年7月）。部制定印發(fā)專項行動方案，組織開展宣貫部署，向各單位、各企業(yè)制定印發(fā)工作任務(wù)清單，明確各項任務(wù)時間節(jié)點和工作要求。（二）重點保障階段（2019年8-10月）。部組織完成電信和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源調(diào)研摸底，明確數(shù)據(jù)安全合規(guī)性評估要點，指導(dǎo)完成各省級基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)重點環(huán)節(jié)數(shù)據(jù)安全合規(guī)性評估，持續(xù)開展App違法違規(guī)收集使用個人信息專項治理，組織完成對重點企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全責任落實情況的監(jiān)督檢查和隱患整改，全力做好新中國成立70周年網(wǎng)絡(luò)數(shù)據(jù)安全保障工作。（三）長效建設(shè)階段（2019年11月-2020年5月）?？偨Y(jié)固化新中國成立70周年網(wǎng)絡(luò)數(shù)據(jù)安全保障工作經(jīng)驗，重點圍繞關(guān)鍵制度、重點標準、技術(shù)手段、示范項目、支撐隊伍等方面，加快推進完成重點任務(wù)舉措，推動建立網(wǎng)絡(luò)數(shù)據(jù)安全管理長效機制。（四）總結(jié)提升階段（2020年6-7月）。各單位、各企業(yè)梳理總結(jié)專項行動完成情況、工作成效及問題，形成工作總結(jié)報部（網(wǎng)絡(luò)安全管理局）。部組織對專項行動工作情況進行總結(jié)通報，對典型經(jīng)驗做法進行推廣，鞏固相關(guān)工作成效。五、工作要求（一）加強組織領(lǐng)導(dǎo)。各單位要充分認識加快提升行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護能力的重要性和緊迫性，結(jié)合本單位實際，精心組織，周密部署，迅速行動，確保專項行動順利開展。部網(wǎng)絡(luò)安全管理局牽頭做好專項行動總體部署、推進落實、督導(dǎo)檢查等工作；各地通信管理局結(jié)合實際，組織開展屬地網(wǎng)絡(luò)數(shù)據(jù)安全能力提升專項行動各項工作。（二）明確任務(wù)分工。各企業(yè)要明確責任部門和責任人，對照任務(wù)清單，堅持問題導(dǎo)向，逐一細化工作措施和責任分工，做到措施到位、責任到人，確保專項行動各項任務(wù)落實到位、取得實效。中國信息通信研究院、中國電子信息產(chǎn)業(yè)發(fā)展研究院、中國電子技術(shù)標準化研究院、人民郵電報社、中國互聯(lián)網(wǎng)協(xié)會、中國通信標準化協(xié)會等單位要做好相關(guān)支撐保障工作。（三）強化監(jiān)督檢查。部和各地通信管理局組織對各單