上海市通信管理局关于开展“浦江护航”2026年电信和互联网行业数据安全专项行动的通知
各电信和互联网企业,各相关单位:
为深入贯彻习近平新时代中国特色社会主义思想,全面落实党的二十大和二十届历次全会精神,依据《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规及《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166 号)、《上海市数据条例》等法规文件要求,结合树立和践行正确政绩观学习教育,立足上海市电信和互联网行业数据安全发展实际,进一步提升电信和互联网行业整体数据安全综合治理水平,上海市通信管理局(以下简称市通管局)决定开展“浦江护航”2026年电信和互联网行业数据安全专项行动。现将有关事项通知如下:
一、适用范围和重点对象
上海市电信和互联网行业数据处理者。其中,重点对象为在电信和互联网行业处理重要数据、1000万人以上个人信息或运营重要网络信息系统的电信业务经营者(以下简称电信和互联网企业)。
二、重点任务
(一)赋能行业人工智能数据安全治理
市通管局指导电信和互联网企业强化人工智能数据安全治理,保障大模型及智能体全生命周期中的训练数据安全、业务数据保护、基础数据服务安全,重点防范数据标注、汇聚、训练、合成等环节的数据泄露、篡改、丢失等各类数据安全风险。市通管局组织提供易使用的技术检测工具,协助企业快速识别大模型及智能体相关数据安全风险并提供改进建议;组织专业机构和专家开展人工智能数据安全专项培训并提供实践指导,保障电信和互联网行业人工智能安全有序发展。
(二)深化行业首席数据官履职效能评估
处理电信领域重要数据或1000万人以上个人信息的企业应参照《上海市电信和互联网行业首席数据官制度建设指南(试行)》设立并完善首席数据官制度,于7月31日前向市通管局备案,并于11月30日前提交年度履职及制度实施情况材料;相关企业应强化首席数据官在人工智能安全治理与企业出海数据安全管理中的统筹决策职能。市通管局将组织开展首席数据官履职成效评估工作,对在保障行业数据安全、促进行业数智化转型中成效显著的首席数据官予以肯定,总结创新实践经验并推广。
(三)深入推进重要数据识别认定及目录管理
电信和互联网企业应动态结合国家出台的最新法律法规及其他规范性文件定期进行数据资产梳理,依据《电信领域重要数据识别指南》(YD/T 3867-2024)等相关标准规范开展重要数据及1000万人以上个人信息识别工作,形成并定期更新本单位重要数据目录,在7月31日前向市通管局备案。当重要数据条目数量或者存储总量等变化30%以上,或者其他备案内容发生重大变化时,企业应在3个月内向市通管局更新备案。
(四)加强行业数据安全风险评估管理
处理电信领域重要数据或1000万人以上个人信息的企业,应按照《工业和信息化领域数据安全风险评估实施细则(试行)》(工信部网安〔2024〕82号)《电信领域数据安全风险评估规范》(YD/T 3956—2024)等要求,自行或委托具有工业和信息化数据安全工作能力的第三方机构每年对其数据处理活动至少开展一次风险评估,及时采取适当措施消除或降低评估中发现的风险隐患,并于11月30日前向市通管局报送数据安全风险评估报告。风险评估应将人工智能应用及企业出海业务涉及的一般数据纳入抽样范围。市通管局强化数据安全风险评估报告的质量审查,对评估不合规的报告予以退回,并加强对相关企业数据安全管理情况的监督检查,对未落实评估责任的单位依法依规予以处理。
(五)加强数据对外共享安全管理
电信和互联网企业应建立数据合作方安全管理制度,明确数据合作方的数据安全责任与义务,并对数据合作方的数据安全保障能力及履约情况进行监督审查。企业对外提供、委托处理、共同处理重要数据前,应当进行风险评估,重点评估数据处理目的、方式、范围等是否合法、正当、必要。涉及委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的,应在事前进行个人信息保护影响评估。市通管局对企业数据合作方安全管理落实情况及履行个人信息保护义务进行监督检查,指导督促企业及时对存在的风险隐患进行整改。
(六)强化企业出海数据安全与跨境合规
电信和互联网企业应主动应对出海目的地国家及地区数据安全相关监管要求,统筹境内外双重合规义务,防范因法律环境差异引发的经营风险。向境外提供在中华人民共和国境内收集和产生的重要数据或个人信息的,应按照国家法律法规要求,做好数据出境安全保护。市通管局加强企业出海数据安全合规指导,推动编制《上海市电信和互联网行业出海企业数据双向合规指引》,探索建设企业出海公共服务平台,为企业出海提供数据安全和跨境合规实务支持,护航企业全球化发展。
(七)加强互联网数据中心客户数据安全保护
互联网数据中心企业应按照《工业和信息化部办公厅关于加强互联网数据中心客户数据安全保护的通知》(工信厅网安〔2025〕5号)等要求,严格落实客户数据安全保护要求,明确客户数据安全责任边界及管控要求,定期开展自查自纠;涉及提供人工智能训练数据集管理功能的,应具备保障客户自有训练数据集安全的能力,避免客户自有训练数据集被泄露、污染。互联网数据中心企业可自行或委托第三方专业机构定期开展客户数据安全保护能力评价。市通管局对互联网数据中心企业数据安全保护工作进行监督检查。
(八)加强数据安全风险防范及应急处置
电信和互联网企业应进一步加强数据安全风险排查和防范工作,落实工业和信息化部“数安护航”行动要求,重点防范因数据非法收集、数据非法利用、防护措施不到位、人员违规操作等突出问题引发的数据泄露、滥用、勒索攻击等风险。企业应按照《工业和信息化领域数据安全事件应急预案(试行)》(工信部网安〔2024〕214号)要求,开展本单位数据安全事件预防、监测、应急处置、报告等工作,建立高效联动的应急管理体系;一旦发现数据安全事件,企业应立即启动应急预案,采取相应补救措施,对自判为较大及以上事件的,应向市通管局报告;落实工业和信息化部“数安铸盾”行动要求,定期开展数据安全事件应急演练。市通管局加快完善行业数据安全风险监测预警机制,并持续强化风险监测分析与通报处置。
三、保障措施
持续优化营商环境,建立健全常态化政企沟通机制,强化“浦江护航”专项行动与工业和信息化部及上海市相关部门在数据发展与数据安全、人工智能治理等政策上的对接协调;提升行业核心资产保护水平,重点对承载重要数据、1000 万人以上个人信息的网络信息系统加强监管,确保其通信网络单元定级不低于三级;强化对在上海市范围内开展电信和互联网行业数据安全服务的第三方机构的合规指导和监督管理,提升专业服务能力和质量,存在违法违规行为的依法依规予以处置;指导行业组织、专业机构等开展数据安全、智能体安全治理及企业出海合规相关主题公益培训,支持行业组织加强数据发展和安全培训科目建设,持续推动数据安全专业人才队伍培养。
上海市通信管理局
2026年5月26日
(联系人及电话:纪容 63902000*874)
