当前位置: 首页 > 政务公开 > 政策文件 > 文件发布

上海市通信管理局关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知

发布时间:2025-05-14 16:28

各电信和互联网企业,各相关单位:

为全面贯彻党的二十大和二十届二中、三中全会精神,落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规及《工业和信息化领域数据安全管理办法(试行)》《上海市数据条例》等文件要求,统筹数据发展与安全,提升电信和互联网行业整体数据安全管理水平,结合上海市电信和互联网行业数据安全和发展实际,上海市通信管理局(以下简称市通管局)决定开展“浦江护航”2025年电信和互联网行业数据安全专项行动。现将有关事项通知如下:

一、适用范围和重点对象

上海市电信和互联网行业数据处理者。其中,重点对象为在电信和互联网行业运营重要网络信息系统或处理重要数据、1000万人以上个人信息的电信业务经营者(以下简称电信和互联网企业)。

二、重点任务

(一)促进行业数据要素安全流通和利用

市通管局持续推动电信和互联网行业数据要素安全流通和利用,强化企业数据流通全流程合规治理,指导行业组织积极开展电信和互联网行业数据要素安全流通典型案例征集和评选,鼓励企业探索数据流通与人工智能、区块链等技术的结合,推动跨行业数据协同和价值释放;指导行业组织搭建电信和互联网企业出海交流平台,编制上海市电信和互联网企业出海数据安全指引,基于出海业务场景化为企业数据安全落地提供参考;组织开展电信和互联网行业数据产品数据安全调研,规范行业数据产品数据安全管理。

(二)深化行业首席数据官制度落地实施

处理电信领域重要数据的企业应参照《上海市电信和互联网行业首席数据官制度建设指南(试行)》设立首席数据官,建立企业首席数据官制度,并于731日前向市通管局备案;已完成备案的企业,如遇人员变动等情况,需在5个工作日内更新备案;企业需在1130日前提交首席数据官制度实施情况有关材料。市通管局组织首席数据官制度实施情况成效评估,并开展优秀首席数据官评选工作,对于在企业数据发展及安全治理工作有突出成效的首席数据官进行表扬。

(三)深入推进重要数据识别认定及目录管理

电信和互联网企业应动态结合国家出台的最新法律法规及其他规范性文件定期进行数据梳理盘点,依据相关标准规范开展重要数据及1000万人以上个人信息识别工作,形成并定期更新本单位重要数据目录,在731日前向市通管局备案。当重要数据条目数量或者存储总量等变化30%以上,或者其他备案内容发生重大变化时,企业应在三个月内向市通管局更新备案。

(四)加强行业数据安全风险评估管理

处理电信领域重要数据或1000万人以上个人信息的企业,应依据《工业和信息化领域数据安全风险评估实施细则(试行)》等有关规定,自行或委托具有工业和信息化数据安全工作能力的第三方机构每年对其数据处理活动至少开展一次风险评估,及时采取适当措施消除或降低评估中发现的风险隐患,并于1130日前向市通管局报送数据安全风险评估报告。市通管局强化数据安全风险评估报告的质量审查,对评估不合规的报告予以退回,并加强对相关企业数据安全管理情况的监督检查,对未落实评估责任的单位依法依规予以通报和处罚。

(五)加强数据对外共享安全管理

电信和互联网企业应建立数据合作方安全管理制度,明确数据合作方的数据安全责任义务,并对数据合作方的数据安全保障能力及履约情况进行监督审查。企业对外提供、委托处理、共同处理重要数据前,应当进行风险评估,重点评估数据处理目的、方式、范围等是否合法、正当、必要;向境外提供中华人民共和国境内收集和产生的重要数据,应按照国家法律法规要求通过数据出境安全评估后方可出境。涉及以上情形的,企业应将相关情况纳入年度数据安全风险评估报告。涉及委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的,应在事前进行个人信息保护影响评估。市通管局对企业数据合作方安全管理落实情况及履行个人信息保护义务进行监督检查,指导督促企业及时对存在的风险隐患进行整改。

(六)加强互联网数据中心客户数据安全保护

互联网数据中心企业应依据《关于加强互联网数据中心客户数据安全保护的通知》《互联网数据中心客户数据安全保护实施指引》要求,明确客户数据安全责任边界及管控要求,开展自查自纠;互联网数据中心企业可自行或委托第三方专业机构定期开展客户数据安全保护能力评价。市通管局对互联网数据中心企业数据安全保护工作进行监督检查。

(七)加强数据安全风险防范及应急处置

电信和互联网企业应进一步加强数据安全风险排查和防范工作,落实工业和信息化部“数安护航”行动要求,重点防范数据非法收集、数据非法利用、防护措施不到位、人员违规操作等突出问题引发的数据泄露、滥用、勒索攻击等风险。企业应按照《工业和信息化领域数据安全事件应急预案(试行)》要求,开展本单位数据安全事件预防、监测、应急处置、报告等工作,处理重要数据或1000万人以上个人信息的企业,应制定本单位数据安全事件应急预案;一旦发现数据安全事件,企业应立即启动应急预案,采取相应的补救措施,对自判为较大及以上事件的,应当向市通管局报告。落实工业和信息化部“数安铸盾”行动要求,定期开展数据安全事件应急演练。市通管局组织编制上海市电信和互联网行业数据安全事件应急预案,规范行业数据安全应急响应机制。

三、保障措施

化“浦江护航”专项行动与工业和信息化部以及上海市相关主管部门关于数据发展和数据安全政策的对接协调,提升管理实效,避免监管空白和重复监管;提升行业重要数据和个人信息保护能力,重点对未开展通信网络单元定级的网络信息系统运营者加强重要数据认定排查、风险评估和现场检查等数据安全监管,确保承载重要数据和1000万人以上个人信息的网络信息系统,通信网络单元定级不低于三级;强化对在上海市范围内开展电信和互联网行业数据安全服务的第三方机构的合规指导和监督管理,提升专业服务能力和质量,存在违法违规行为的依法依规予以处置;指导行业组织、专业机构等开展数据安全公益培训,支持通信行业职业技能鉴定中心等培训组织加强数据发展和安全培训科目建设,持续推动数据安全专业人才队伍培养。

 

 

 

上海市通信管理局

2025513

 

(联系人及电话:徐妍  63902000*874


链接:上海市通信管理局关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知.pdf 


【返回顶部】 【关闭窗口】 【打印本页】