刘权 孙小越
为应对近年来日益凸显的数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,积极应对当前新形势新情况新问题,全面提升电信和互联网行业网络数据安全保护能力,工业和信息化部办公厅近日印发了《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《行动方案》),在行业内部署开展为期一年的提升网络数据安全保护能力专项行动。
《行动方案》发布了为期一年的工作安排,提出了工作要求,从加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流等5个方面提出14项重点任务。
第一,对专项行动做出具体时间规划。《行动方案》中提出本次专项行动分四个阶段进行,分别是工作部署阶段(2019年7月)、重点保障阶段(2019年8月-10月)、长效建设阶段(2019年11月-2020年5月)、总结提升阶段(2020年6月-7月)。其中第二阶段聚焦新中国成立70周年的保障工作,通过集中开展数据安全台规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。
第二,对专项行动的工作任务提出具体要求。《行动方案》中要求在2019年10月底前要完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查;进一步完善网络数据安全制度标准体系,制定15项以上行业网络数据安全标准规范,贯标试点企业不少于20家;基本建成行业网络数据安全管理和技术支撑平台,遴选网络数据安全技术能力创新示范项目不少于30个;基础电信企业和重点互联网企业网络数据安全管理体系有效建立等。
第三,对保障网络数据安全的重点环节做出指导。《行动方案》明确提出要加快完善网络数据安全制度标准,加快推动网络数据安全相关标准制定工作;组织开展网络数据安全风险评估,提升企业网络数据安全风险防范能力;深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动;加强行业网络数据安全应急管理,处置网络数据安全突发情况;加强网络数据安全技术手段建设等,针对保障网络数据安全的重点环节提出了明确要求。
内容丰富直面热点
《行动方案》中的重点任务内容丰富全面,针对需解决的数据安全整治、管理和监管问题都有所涉及。
《行动方案》中提出的重点任务内容丰富全面,直面当前热点问题,针对当前需解决的数据安全整治、管理和监管问题都有所涉及。
一是明确数据安全制度和标准的具体内容。《行动方案》要求制度方面要加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度,健全完善企业内部网络数据全生命周期安全管理制度;在行业标准上要制定出台行业重要數据识别指南、网络数据安全防护等重点标准,遴选企业开展贯标试点等。
二是对电信和互联网企业的网络安全管理提出要求。《行动方案》提出要推动设立或明确网络数据安全管理责任部门和专职人员,负责承担企业内部网络数据安全管理工作,督促协调企业内部各相关主体和环节严格落实操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据容灾备份等数据安全保护措施,并组织开展数据安全岗位人员法律法规、知识技能等培训。
三是完善网络数据的资源管理和执法监督。《行动方案》要求稳步实施网络数据资源“清单式”管理。开展电信和重点互联网企业网络数据资源调研摸底,依据网络数据重要敏感程度和泄露滥用可能造成的危害,研究形成行业网络数据保护目录,指导督促试点企业建立内部网络数据清单和数据分类分级管理制度。在监督上要将企业网络数据安全责任落实情况、数据安全合规性评估落实情况作为重点内容,纳入2019年网络信息安全“双随机一公开”检查和基础电信企业网络与信息安全责任考核检查,对违法违规行为及时采取约谈、公开曝光、行政处罚等措施,将处罚结果纳入电信业务经营不良名单或失信名单。
四是强调网络数据安全技术的重要作用。《行动方案》中提出要通过加强网络数据安全技术手段建设,推动网络数据安全技术创新发展。要指导企业加大网络数据安全技术投入,加快完善数据防攻击、防窃取、防泄漏、数据备份和恢复等安全技术保障措施,提升企业网络数据安全保障能力。加强专业支撑队伍建设,不断创新,推动网络数据安全技术防护能力进一步提升。
重要意义和影响
《行动方案》将加快推动构建电信和互联网行业网络数据安全的综合保障体系。
此次《行动方案》出台将加快推动构建电信和互联网行业网络数据安全的综合保障体系,为建设网络强国、助力数字经济的发展提供有力保障和重要支撑。
一是完善了网络数据安全制度和标准体系,让网络数据安全监管有章可循。《行动方案》中对于制度和标准体系的建设从内容和数量上进行了详细的说明,以适应新形势对网络数据安全工作的更高要求,建立了统一权威的国家标准。监管部门可依据相关制度标准要求,对网络数据安全进行检查监督,确保专项行动各项任务落实到位、取得实效。
二是提升企业数据管理水平,营造维护网络数据安全的良好氛围。通过专项行动在企业内部建立网络数据安全管理责任部门,由专职管理人员进行数据的风险控制和管理,有效保障企业日常网络数据安全。《行动方案》能引导企业自觉履行数据安全保护义务,在工作中不断提高数据安全保护水平,共同营造全行业重视网络数据安全、自觉维护网络数据安全的良好氛围。
三是有效保障网络数据安全,助力数字经济发展。面对当前新形势新问题,要把握好网络数据安全发展趋势,着力防范新威胁新风险。在工信部办公厅下发的《行动方案》指导下,工作目标更清晰,工作任务更具体,进一步明确了网络数据安全的重要性,通过不断创新数据安全防护技术,切实提升网络数据安全防护和管理水平,在保障数据安全的基础上,为数字经济发展提供支撑。