2023年2月28日,上海市通信管理局(以下简称“上海通管局”)发布《关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》(以下简称“《通知》”)[1],成为了新年度继广东省通信管理局[2]之后第二个快速启动数据安全治理的地方行业主管部门。
本次专项行动主要依据:(1)《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《上海市数据条例》等法律法规;和(2)《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《关于促进数据安全产业发展的指导意见》等政策文件,针对上海市内的电信和互联网企业(以下简称“各企业”)的数据安全情况开展合规专项行动,旨在落实法律法规与政策标准,规范企业的数据处理活动,提升数据安全管理水平,力求保障各方主体合法权益以及促进行业数据高效流通和利用。
为了帮助企业全面理解专项行动内容及其适用要求,我们在第一时间梳理了本次合规专项行动所聚焦的六大任务,并附上要点简评与观察建议:
重点检查任务
(一)试点电信和互联网行业首席数据官制度
合规义务:
-
各企业应参照上海通管局制定发布的《上海市电信和互联网行业首席数据官制度建设指南(试行)》建立首席数据官制度,明确本单位首席数据官及其工作职责并报上海通管局备案。
监管措施:
要求指派并备案首席数据官。
简评:
本项义务旨在落实《上海市数据条例》鼓励的首席数据官制度。“首席数据官”(Chief Data Officer, CDO)制度并非上海首创,广东、浙江、江苏、北京等多省市都在当地的数据条例或数字经济促进条例中明确提出。《上海市数据条例》鼓励企业的首席数据官由本单位相关负责人担任,但目前尚不清楚“相关负责人”的具体范围(其是否指代企业负责人、法定代表人或仅指企业数据安全管理部门的负责人)。如参照广东省的首席数据官制度,企业可以在决策层中指派对数据资产的使用管理和安全全面负责的高层管理人员承担CDO职责。[3]相信即将公布的《上海市电信和互联网行业首席数据官制度建设指南(试行)》会给出答案。
(二)开展重要数据和核心数据识别认定及目录管理
合规义务:
-
各企业应在5月31日前,依据相关标准规范对本单位重要数据和核心数据进行识别认定,并形成具体目录,通过指定填报工具提交备案申请。
-
如企业构成重要数据或核心数据处理者,应当每6个月进行一次更新备案,备案内容有重大变化的,应当依法依规履行备案变更手续。
[注]:备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。
监管措施:
上海通管局将对备案内容进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。上海通管局还将定期对电信和互联网行业数据处理者开展检查,对漏报、瞒报重要数据和核心数据的单位依法依规予以通报和处罚。
简评:
去年年末出台的《工业和信息化领域数据安全管理办法(试行)》明确了工信领域重要数据、核心数据的识别要素和备案管理要求。如我们所预期的,新的一年各行业重要数据、核心数据的识别工作在工信领域率先取得进展。(关于我们对2023年网数治理的展望,请参见《环球合规与风控 | 寒尽・春生——对网络数据治理规则的期待》)据悉,上海通管局近期已建立属地数据安全风险防控重点企业名录,并组织上海电信、上海移动、上海联通、东方有线、拼多多、携程、哔哩哔哩、得物、小红书、喜马拉雅等10家重点电信和互联网企业按照工业和信息化领域重要数据和核心数据有关识别指南,开展重要数据和核心数据识别认定及目录备案工作。[4]工信部及各地通管局或已形成了本行业的重要数据和核心数据识别规则并内部下发各有关企业和支撑单位,我们建议电信和互联网企业与主管部门充分沟通,按照要求主动开展重要数据(核心数据)的识别和目录备案工作,实施数据分级防护,以确保自身的数据处理活动不触碰合规红线。
(三)开展电信和互联网行业数据安全风险评估管理
合规义务:
-
各重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并于11月30日前向上海通管局提交评估报告。
-
各单位应当参照电信和互联网数据安全有关合规性评估要点和评估规范,从组织机构、制度建设、管控措施、安全技术、全生命周期管理等方面开展数据安全评估,及时排查整改风险隐患,提升数据安全保护能力。
监管措施:
上海通管局将组织对各单位的数据安全风险评估报告进行审查,对评估不合规的报告予以退回整改,对未落实评估责任的单位依法依规予以通报和处罚。
简评:
针对工信领域的重要数据和核心数据处理者,专项行动要求每年至少开展一次数据安全风险评估,并向上海通管局提交评估报告。该项旨在落实《工业和信息化领域数据安全管理办法(试行)》第31条的要求。根据我们的项目经验,企业在数据安全风险评估报告中至少需要包含以下两方面的评估:(1)宏观层面评估(包括组织机构、制度建设、分类分级、合规评估、权限管控、安全审计、合作方管理、应急响应、投诉处理与教育培训);及(2)数据全生命周期评估(围绕数据收集、存储、使用加工、传输、对外提供、公开、销毁、出境、转移、委托等环节),建议已开展重要数据/核心数据识别工作并被确认落入上述重要数据和核心数据处理者的企业及早进行安全评估,必要时寻求律所、技术检测机构等外部力量支撑。
(四)开展常态化数据安全监测预警与通报处置
合规义务:
-
各企业应当依托行业首席数据官制度,建立内部工作机制,开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。
-
对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。
-
在数据安全事件发生后,应当及时开展应急处置,并第一时间向上海通管局报告。
监管措施:
-
上海通管局建立电信和互联网行业数据安全风险监测预警机制[5],建设行业数据安全风险信息报送和威胁通报系统,并对接工业和信息化部数据安全风险监测机制及相关数据安全通报平台。
-
对本市电信和互联网企业数据安全风险及数据安全事件开展监测通报和应急处置工作。
-
及时掌握公共互联网数据安全风险态势。
简评:
安全事件的监测和应急处置是企业的另一重要合规义务,其目的在于提高企业面临数据泄露、滥用、被篡改、被损毁、违规使用等安全事件时的预防和应急响应能力。企业应当按照《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》等上位法的具体要求,建立必要机制并履行安全事件处置和补救、报告和通知等义务。我们建议企业能够结合自身已制定的安全事件应急预案,就不同的数据处理活动和场景定期开展应急演练,及时查漏补缺,防患于未然。
(五)加强企业数据全生命周期安全管理
合规义务:
-
主体责任。各企业应当对数据处理活动负安全主体责任。
-
数据分级防护。按照《工业和信息化领域数据安全管理办法(试行)》要求,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护。
-
收集环节。收集数据应当遵循合法、正当的原则,不得窃取或者以其他非法方式收集数据,并按照法律、行政法规规定和用户约定的方式、期限进行数据存储。
-
对外提供环节。对外提供数据,应当明确提供的范围、类别、条件、程序等。
-
销毁环节。建立数据销毁制度,明确销毁对象、规则、流程和技术等要求,对销毁活动进行记录和留存,销毁重要数据和核心数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。
-
数据全生命周期各环节。应记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。
监管措施:
上海通管局将加强对企业数据全生命周期安全管理落实情况的督查,并开展实地专项检查工作。
简评:
该项要求旨在落实《工业和信息化领域数据安全管理办法(试行)》关于“数据全生命周期安全管理”的内容。对于这一合规义务,企业应首先树立责任主体意识,对本组织内部所有的数据处理活动对外承担安全主体责任。其次,应当构建数据分类分级的思维,即至少区分“一般数据-重要数据-核心数据”的类别,对三类数据实行分级防护。为实施分级防护,企业应对照所适用的法规,以数据生命周期的视角去梳理并识别不同类型数据在不同环节或处理活动中所对应的具体管理与保护要求,确保数据持续处于有效保护和合法利用的状态。需要注意的是,“数据生命周期的合规与安全”是工信部和通管局的长期关注重点,主管部门在执法行动中有可能采取约谈、现场检查、委托第三方机构进行合规评估、技术检测、安全审计等措施履行监管和问责职能。
(六)加强数据安全能力建设和人才培养
-
鼓励数据开发利用和数据安全技术研究。
-
支持推广数据安全产品和服务。
-
培育数据安全企业、研究和服务机构。
-
发展数据安全产业。
-
指导、鼓励在数据安全方向具备相应专业能力的机构,依据相关标准开展电信和互联网行业数据安全监测、检测、评估、认证工作。
-
开展2023年“上海市通信管理局网络和数据安全支撑单位”选拔工作,并加强数据安全方向的专业机构遴选。
-
指导行业组织、专业机构等面向本市电信和互联网企业开展数据安全公益性系列培训,宣贯数据安全法律法规和政策标准,开展数据安全前沿技术和管理实践交流,加快数据安全专业人才队伍培养。
合规义务:
-
各企业应当积极参加行业相关培训并开展数据安全内部培训,相关培训情况纳入年度数据安全风险评估。
监管措施:
数据安全内部培训被纳入数据安全风险评估考核点之一,其余事项为政策鼓励性内容。
简评:
该项工作主要是鼓励性的政策供给,旨在落实工信部于今年年初下发的《关于促进数据安全产业发展的指导意见》。企业若将研发数据安全技术、推广数据安全产品和解决方案、参与数据要素市场建设(例如场内外数据交易)、培育数据安全人才等作为未来重点深耕和发展方向,则可能因此享受主管部门的政策红利与产业机遇。值得注意的是,企业开展数据安全内部培训情况将被纳入年度数据安全风险评估(详见上述重点检查任务三),这意味着“教育培训”是主管部门审查与考核企业数据安全能力的要点之一,企业应及早制定有关培训计划,并开展培训人员考核评定。
建议与准备
针对上述重点检查任务,《通知》明确上海通管局将加强与国家和市级其他主管部门的对接协调,对于各企业落实行动任务的情况进行专项督查,并视违规情节和问题性质,对责任落实不到位的企业进行通报和处罚。而对于重要数据/核心数据识别备案与数据安全风险评估两项义务,上海通管局还特别设置了5月31日和11月30日这两个重要的报送期限节点。该《通知》的适用范围虽然仅限于上海地区的电信和互联网企业,但其提出的六大检查重点是上位法所明确要求的,具有坚实的法律依据,因此其他地区的电信和互联网企业完全可以对标和参考。我们建议相关企业:
-
积极开展合规自查。企业结合自身业务模式与数据处理情况,对标法规梳理合规义务清单并积极开展合规自查或者聘请外部第三方机构进行合规审查或审计,重点排查“重要数据(核心数据)识别与保护”、“数据分类分级”、“数据安全风险评估管理”、“数据安全监测与通报机制”、“数据全生命周期安全管理”等方面的合规差距。
-
制定具体细致的可落地的合规整改计划。企业应基于现有的内部管理制度、各部门职责、已发现的合规差距等相关现实情况制定详实可落地的合规整改计划,明确各整改项的优先级、分工及完成期限。
-
进行长效稳固的合规建设。合规既是企业的生命线,也是生产力。企业应立足自身情况,有条不紊地进行合规体系的搭建与落地,并持续关注监管动态和有关法律法规的更新以不断改进合规建设成果,保持巩固自身数据安全合规状态。
注释:
[1]上海市通信管理局关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知,https://mp.weixin.qq.com/s/kn8mdCJLsV8CidPttmCWDA
[2]关于开展2023年广东省电信和互联网行业网络数据安全和应用合规行政检查的通知,https://www.cagd.gov.cn/v/2023/02/2591.html
[3]广东省工业和信息化厅关于印发《广东省企业首席数据官建设指南》的通知,http://gdii.gd.gov.cn/zcgh3227/content/post_4002033.html
[4]上海市通信管理局组织完成电信和互联网行业首批重要数据和核心数据认定工作,https://mp.weixin.qq.com/s/cn_Bdytwzju_oIZneIC53A
[5]上海市电信和互联网企业可登录上海市通信管理局的“网络安全监测预警和信息通报管理系统(http://61.171.46.209:9999/isas/#/login?redirect=%2Fhome%2Findex)”履行安全监测和通报义务。