上海市通信管理局关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知

本市各电信和互联网企业，各相关单位：

根据《数据安全法》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《工业和信息化领域数据安全管理办法（试行）》《上海市数据条例》《关于促进数据安全产业发展的指导意见》等法律法规和文件精神，结合上海市电信和互联网行业数据安全和发展实际，我局决定开展“浦江护航”——2023年电信和互联网行业数据安全专项行动。现将有关事项通知如下：

    一、指导思想

以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神，按照《数据安全法》《工业和信息化领域数据安全管理办法（试行）》《上海市数据条例》等法律法规和《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》《关于促进数据安全产业发展的指导意见》等文件精神，统筹数据发展与安全，贯彻实施数据安全法律法规和政策标准，科学有序提升本市电信和互联网行业数据安全管理水平，促进本市电信和互联网行业数据高效合规流通和利用，切实保护个人、组织的合法权益，维护国家安全和发展利益，护航本市数字化转型和数字经济繁荣发展。

二、重点任务

（一）试点实施电信和互联网行业首席数据官制度

贯彻《数据安全法》《上海市数据条例》有关规定精神，健全电信和互联网行业数据治理体系，坚持数据处理活动安全与发展并重，试点实施电信和互联网行业首席数据官制度。

市通信管理局将制定发布《上海市电信和互联网行业首席数据官制度建设指南（试行）》，优化完善电信和互联网企业数据管理组织，指导首席数据官制度建设，全面落实数据安全与发展统筹管理工作。

各电信和互联网企业要参照相关指南要求，积极建立首席数据官制度，明确本单位首席数据官及其工作职责并报市通信管理局备案。要依托首席数据官制度，构建、激活企业数据管理能力，加强企业数据安全管理体系建设，落实企业数据保护责任。

（二）开展重要数据和核心数据识别认定及目录管理

落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》有关规定，组织开展全市电信和互联网行业数据分类分级管理工作，重点做好重要数据和核心数据的识别认定及目录管理。

本市电信和互联网行业数据处理者须在5月31日前，依据相关标准规范对本单位重要数据和核心数据进行识别认定，并形成具体目录，通过指定填报工具提交备案申请，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。市通信管理局将对备案内容进行审核，对符合要求的予以备案并纳入行业重要数据和核心数据目录。

重要数据和核心数据处理者应当每6个月进行一次更新备案，备案内容有重大变化的，应当依法依规履行备案变更手续。市通信管理局定期对电信和互联网行业数据处理者开展检查，对漏报、瞒报重要数据和核心数据的单位依法依规予以通报和处罚。

（三）开展电信和互联网行业数据安全风险评估管理

按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》有关规定，全面开展电信和互联网行业数据安全风险评估管理。各重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并于11月30日前向市通信管理局提交评估报告。

各单位应当参照电信和互联网数据安全有关合规性评估要点和评估规范，从组织机构、制度建设、管控措施、安全技术、全生命周期管理等方面开展数据安全评估，及时排查整改风险隐患，提升数据安全保护能力。市通信管理局将组织对各单位的数据安全风险评估报告进行审查，对评估不合规的报告予以退回整改，对未落实评估责任的单位依法依规予以通报和处罚。

（四）开展常态化数据安全监测预警与通报处置

市通信管理局建立电信和互联网行业数据安全风险监测预警机制，建设行业数据安全风险信息报送和威胁通报系统，并对接工业和信息化部数据安全风险监测机制及相关数据安全通报平台，对本市电信和互联网企业数据安全风险及数据安全事件开展监测通报和应急处置工作，及时掌握公共互联网数据安全风险态势，提升数据安全监管能力，强化企业数据安全风险治理。

各企业应当依托行业首席数据官制度，建立内部工作机制，开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险；对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施；在数据安全事件发生后，应当及时开展应急处置，并第一时间向市通信管理局报告。鼓励本市各安全服务机构、行业组织、科研机构等依法合规开展数据安全风险信息监测、上报和共享。

（五）加强企业数据全生命周期安全管理

电信和互联网行业数据处理者应当对数据处理活动负安全主体责任，按照《工业和信息化领域数据安全管理办法(试行)》要求，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据，并按照法律、行政法规规定和用户约定的方式、期限进行数据存储；对外提供数据，应当明确提供的范围、类别、条件、程序等；建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存，销毁重要数据和核心数据后，不得以任何理由、任何方式对销毁数据进行恢复，引起备案内容发生变化的，应当履行备案变更手续。

在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。市通信管理局加强对企业数据全生命周期安全管理落实情况的督查，并开展实地专项检查工作。

（六）加强数据安全能力建设和人才培养

市通信管理局鼓励数据开发利用和数据安全技术研究，支持推广数据安全产品和服务，培育数据安全企业、研究和服务机构，发展数据安全产业，提升数据安全保障能力，促进数据的创新应用。指导、鼓励在数据安全方向具备相应专业能力的机构，依据相关标准开展电信和互联网行业数据安全监测、检测、评估、认证工作。

开展2023年“上海市通信管理局网络和数据安全支撑单位”选拔工作，并加强数据安全方向的专业机构遴选。指导行业组织、专业机构等面向本市电信和互联网企业开展数据安全公益性系列培训，宣贯数据安全法律法规和政策标准，开展数据安全前沿技术和管理实践交流，加快数据安全专业人才队伍培养，赋能企业数据安全合规实践。

各电信和互联网企业应当积极参加行业相关培训并开展数据安全内部培训，相关培训情况纳入年度数据安全风险评估。

三、保障措施

（一）强化统筹协调。市通信管理局加强与国家和本市相关主管部门的对接协调，推动“浦江护航”数据安全专项行动在本市电信和互联网行业取得实效，行动将与电信和互联网行业网络和数据安全监管等相关工作进行融合衔接，避免监管空白和重复监管。

（二）强化责任落实。各电信和互联网企业应当深刻认识提升本单位、本行业数据安全保护能力的重要性和紧迫性，结合本单位实际制定工作方案，细化工作措施，部署工作落实。市通信管理局组织对电信和互联网企业落实“浦江护航”行动任务的情况进行专项督查，并结合督查结果对工作优秀的单位予以表扬，对责任落实不到位的单位进行通报和处置。

（三）强化专业支撑。市通信管理局结合网络和数据安全支撑单位选拔、“磐石行动”网络安全攻防演练等工作，持续发掘、优化和加强数据安全方向的专业支撑能力建设，并组织建设数据安全一体化管理平台，汇聚各类专业支撑力量和特色能力，全面提升电信和互联网行业数据安全管理水平。

（四）强化生态建设。市通信管理局指导、支持组建数据安全专业委员会、建设数据安全协同创新实验室、举办数据安全论坛等载体形式，进一步强化本市电信和互联网行业数据安全生态建设，协同全行业助推本市数字化转型和数据安全产业高质量发展。

特此通知。

                 上海市通信管理局

                  2023年2月22日