电信行业数据安全治理体系研究

潘 妍，肖 菲

（国家工业信息安全发展研究中心，北京 100040）

1 引言

近年来，我国电信业深化数字经济与实体经济融合，5G、千兆光网等新型信息基础设施建设取得新进展，各项应用普及全面加速，为打造数字经济新优势、增强经济发展新动能提供有力支撑。2022年，电信业务收入累计1.58万亿元，比上年增长8%。电信行业积累着大量的业务数据，类型多、数据规模大。这些数据蕴含着巨大的商业价值，如果能在监管之下被合理利用，则会对跨境服务及电信行业的发展产生推动作用。与此同时，电信业属于通信领域，是国家的重要行业，其所掌握的重要数据一旦被泄露则有严重危害涉及国家安全、国计民生、公共利益的重要网络设施、信息系统的可能。因此，完善电信行业的数据安全治理体系至关重要。

2 电信行业面临的数据安全风险

2.1 电信行业数据特点

2.1.1 数据规模大，类型多

2022年，全国电话用户总数达到18.63亿户，移动电话用户总数为16.83 亿户，全年净增4 062 万户，其中，5G 移动电话用户达到5.61 亿户，占移动电话用户的33.3%［1］。电信业积累的业务数据类型主要包括用户属性数据、通话数据、位置数据、终端数据、上网行为数据、消费数据等。由此可见，电信企业掌握的数据呈现出规模大、类型多的特点，面对海量的数据如何保障数据安全、促进数据利用，如何提升数据安全治理水平，是电信企业亟待解决的问题。

2.1.2 敏感数据多，分布范围广

电信企业收集的业务数据一般是围绕用户展开，大部分数据能够单独或与其他数据相结合识别到用户的个人身份，属于个人信息保护的范畴，因此敏感数据所占的比例较高。同时，在进行用户数据收集的过程中一般涉及多个业务系统，如业务支撑系统负责收集维护用户个人信息、消费信息、业务办理信息等，核心网负责为用户提供通信服务，并在此过程中积累用户通信、上网数据。不同的系统由不同的部门负责管理运营，这就导致敏感数据信息在电信企业内部分布在不同部门的信息系统中［2］。

2.1.3 数据流转路径多

电信企业本身业务系统复杂，业务内容繁多，数据在内部处理过程中会历经数据解析、清洗、转换等流程，数据存储也会以结构化数据、文本数据等多种形式进行存储，数据流转路径较多。在迈入5G 时代后，原本的网络架构发生了改变，数据流也随之变化，同时5G 还为物联网、车联网、智慧城市等垂直行业提供了服务。电信数据除了企业内部共享外，其外部访问也逐步增加，网络环境愈加开放，数据流转的路径不断增多。

2.2 电信行业数据安全现状

2.2.1 数据泄露事件频发

近年来，数据泄露事件频繁发生。而电信企业作为大量用户数据的持有方，其受到数据安全的外部威胁更为严峻。2021 年8 月，美国电信巨头T-Mobile 发生了用户数据泄露事件，黑客攻击并下载用户数据在论坛上公开售卖该企业的用户数据［3］。2020年年初，网曝某电信企业超2 亿条用户信息被公开售卖，根据相关裁判文书，被告人从该电信企业的全资子公司获取用户个人信息售卖牟利［4］。电信企业成为数据泄露事件频发的重灾区，提高数据安全治理水平迫在眉睫。

2.2.2 企业安全需求增加

随着电信企业业务不断丰富，提供包括基础套餐、增值服务、数据上网类、家庭、集团等业务内容，数据收集分析的需求也越来越大。在数字经济时代，电信企业利用自身掌握海量用户数据的优势，加强了数据的开发利用，多与地方交管局、旅游局等展开合作，使用统计数据提供人流量分析服务。新业务的开展促进了企业内多部门、多线条数据流的融合，原有的安全机制存在管理不全面、技术体系分散等缺陷，不能满足新业务下数据流动、数据融合计算的安全防护需求，亟需更全面的安全防护手段和隐私保护技术来保证企业合作过程中的数据安全，防止挖掘分析过程中发生数据泄露。

2.2.3 数据安全合规需求增加

随着数据逐步成为新型生产要素，数据安全愈发受到重视。我国已经颁布并积极推进一系列数据安全相关法律法规，数据安全迈入“有法可依、有法必依”的新时期。与此同时，电信行业作为涉及海量数据包括敏感数据的特殊领域，行业监管机构也颁布了数据安全监管规则，电信企业除遵循相关法律法规的约束之外，也要服从行业监管机构的合规管理，例如遵守《电信网和互联网大数据平台安全防护要求》等文件要求。

3 电信行业数据安全监管规则

当下，数据安全合规是电信企业数据安全治理的最低要求，也是电信企业保障数据安全的底线，目前电信领域数据安全需满足的监管规则，主要涵盖法律法规和行业标准两个维度。

3.1 法律法规

在法律法规层面，电信领域的数据安全主要遵循已发布实施的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《电信和互联网用户个人信息保护规定》等。

《中华人民共和国网络安全法》指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。电信企业作为关键信息基础设施的运营者应当履行相应的安全保护义务，包括：一是设置专门安全管理机构和安全管理负责人；二是定期对从业人员进行网络安全教育、技术培训和技能考核；三是对重要系统和数据库进行备份；四是制定网络安全事件应急预案，并定期进行演练。

《中华人民共和国数据安全法》对电信企业开展数据活动过程中的安全职责和安全能力提出了明确的要求，内容主要包括：一是企业必须对数据进行分类分级，确定重要数据保护目录，并对列入目录的数据进行重点保护；二是重要数据的处理者应当按照规定定期开展风险评估；三是加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施，发生数据安全事件时，应当及时告知用户并向有关主管部门报告；四是企业应建立健全全生命周期数据安全管理制度，保障数据安全。

《中华人民共和国个人信息保护法》明确了个人信息处理的基本原则：合法正当必要诚信原则、目的明确和最小必要原则、公开透明原则、质量及安全保障原则。同时，该法律还明确了个人信息处理的法律依据，如对敏感个人信息的处理，需要取得个人的单独同意并告知处理的必要性及对个人权益的影响。

而电信行业的《电信和互联网用户个人信息保护规定》不仅是在《中华人民共和国个人信息保护法》颁布之前电信行业保护个人信息的政策依据，也是对电信领域个人信息保护的细化。该规定对电信经营者收集信息及使用信息提出了具体的规范要求，还对电信经营者需采取的安全保障措施进行了列举，同时也明确了电信管理机构的监督检查职责。

3.2 行业标准

除法律法规以外，电信行业针对数据安全保护出台了细化的行业标准，电信企业可以以此类标准为依据构建自身的数据安全治理体系，提升数据保护水平。

《基础电信企业数据分类分级方法》标准根据基础电信企业业务运营特点和企业内部管理方法，收集企业内所有部门的数据资源进行梳理，按照线分类法，根据业务属性或特征，将基础电信企业数据分为若干数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，所有数据类及数据子类构成数据资源目录树。该标准为电信企业数据安全管理提供了分类分级原则与方法，对企业数据分类分级安全管理工作进行了基础指导。

《基础电信企业重要数据识别指南》明确了基础电信企业重要数据的定义，它是指企业在运营中收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及公共利益密切相关的数据，特别是与国家基础通信网络安全密切相关的数据。该标准确定了重要数据识别的规则及工作流程，电信企业通过全面梳理数据资源，完成数据分类分级识别与标识工作，随后根据分类分级结果重点针对安全级别较高的数据对象，逐条判定是否符合重要数据识别规则。该标准为电信企业识别重要数据从而采取更加严格的数据安全保障措施、提供更高水平的保护提供了依据。

4 电信企业数据安全治理体系构建

电信行业数据安全监管规则为电信企业构建数据安全治理体系提供参考指引，电信企业应围绕数据安全管理体系、数据安全制度体系和数据安全技术体系三方面内容，切实做好数据安全治理体系建设工作。

4.1 数据安全管理体系构建

电信企业数据安全管理体系的组织建设包括组织架构、岗位设置、团队建设、数据安全责任等内容，是各项数据安全职能工作的基础。

4.1.1 组织架构

电信企业可以通过建立数据体系配套的权责明确且内部沟通顺畅的组织，确保数据安全战略的实施。对照电信企业的组织架构，组织架构采用“一级管理、二级维护、三级应用”的模式，数据管理组织覆盖集团总部和省分公司，包括数据管理域和生产业务域，分别设置数据管理所需的各种不同岗位，如：数据管理域可设置数据生命周期管理员、数据安全管理员、元数据管理员、数据标准管理员和数据质量管理员；生产业务域可设置业务主管、业务人员、系统建设主管和系统建设人员［5］。

4.1.2 岗位职责

在设置了数据管理所需岗位后，需要明确各个岗位的职责和任职要求：数据管理域中，数据生命周期管理员负责统一管理数据生命周期，包括负责数据生命周期管理日常工作，提交数据生命周期管理报告，督导数据生命周期的查询、监控、告警等日常工作；数据安全管理员负责统一管理数据安全，包括负责数据安全管理日常工作，提交数据安全管理报告，督导数据安全监控、分析、问题处理等日常工作；元数据管理员负责统一管理元数据，包括负责元数据管理日常工作，提交元数据管理报告；数据标准管理员则统一管理数据标准，包括负责数据标准管理日常工作，提交数据标准管理报告；而数据质量管理员负责统一管理数据质量管控，包括负责数据质量管理日常工作，审批数据质量管理规则，提交数据质量管理报告，督导数据质量监控、分析、问题处理等日常工作。

4.1.3 评价体系

根据团队人员职责、管理数据范围的划分，制定相关人员的绩效考核体系。考核可以分为月度考核、季度考核、年度考核。在考核初期，考核人为被考核人制订考核计划，明确考核内容和考核规则，考核计划需经过被考核人确认和上级领导批准；在考核期末，可以先由被考核人自评，然后考核人根据被考核人的表现和指标，为考核人打分，考核结果经过被考核人确认和上级领导批准后生效，考核结果作为员工定岗、升职和奖金发放的依据。考核方式可以采用主观考核和客观考核两种方式，数据管控平台能够提供数据的内容的，采用客观量化考核，并由平台周期性自动执行，若系统不能够提供数据的内容，由相关管理人员人工打分。

4.2 数据安全制度体系构建

数据制度体系通常分层次设计，遵循严格的发布流程并定期检查更新。制度建设是各项数据安全治理开展的基础。根据数据安全职能的层次和授权决策次序，制度框架分为政策、办法、细则三个层次。政策说明数据安全管理和应用的目的，明确其组织与范围；办法规定数据安全中各项活动开展的规则和流程；细则是为确保各数据安全方法执行落实而制定的具体操作层面的文件。组织内部通过文件、邮件等形式发布审批通过的数据制度，定期开展制度相关的培训、宣传工作宣贯数据制度并结合数据管控组织的设置推动制度落地实施。

4.2.1 数据分类分级

数据分类分级是数据治理的核心任务，它是数据安全管理生命周期的重要组成部分，能够确保组织可以快速安全地访问和共享数据资产。数据分类分级标准能够为数据分类分级工作提供规范化流程和标准化技术规范支撑。

数据分类可以有多种维度，除了可以依据《基础电信企业数据分类分级方法》标准中提到的基于电信企业业务属性分类，还可以基于数据产生方式、数据使用频率或者数据应用场景等进行分类。例如，某移动通信运营公司根据公司内部管理和对外开放场景的特点，将数据分为以下四个类别：用户身份相关数据（A类）、用户服务内容数据（B类）、用户服务衍生数据（C 类）、企业运营管理数据（D 类）。而各大类数据类别下又根据需要分为各个子类，如企业运营管理数据（D类）又可分为企业管理数据（D1）、业务运营数据（D2）、网络运维数据（D3）、合作伙伴数据（D4）。

数据分级指的是根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用时，对个人、企业乃至国家造成的危害程度，将数据分为不同的安全保护级别。合理的数据分级通常在3至5级之间。根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度，基础电信企业网络数据资源的分级按照以下步骤和方法进行：首先，确定分级对象；其次，分别判断数据破坏对国家安全、社会秩序、公共利益造成的影响，数据破坏对企业利益造成的影响，以及数据破坏对用户利益造成的影响；再次，综合评定对客体的侵害程度；最终，确定数据对象的安全等级。

4.2.2 数据安全评估

根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等要求，电信企业数据确需跨境提供时应当经过国家网信部门组织的安全评估。同时，电信企业应当定期及在数据安全管理环境发生重大变更时，对数据安全管理情况开展合规性评估。开展数据安全评估的条件包括：（1）数据安全相关法律法规发生变化时；（2）涉及客户信息等关键数据的新业务上线前；（3）向第三方提供客户信息等关键数据前；（4）因业务终止等涉及数据的承接、转移及销毁时；（5）其他数据安全管理环境重大变更的情况。评估需按照相关规范标准要求，参照新技术新业务安全评估方法进行。根据上级要求编制细化数据安全评估要点，从机构人员、基本制度、技术能力、重点环节等方面进行评估，评估内容覆盖数据安全风险情况、数据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。对评估结果进行分析总结，生成评估报告并向相关管理部门报备，同时及时响应整改，防止数据泄露发生。

因此，电信企业需组建数据安全评估体系，包括自评估机制、联审联评机制、安全检查机制、违规举报机制等。自评估机制是由单位自行按照规范要求进行比对和评判，得到初步结论。联审联评机制是委托第三方测评机构对数据跨境流动的风险进行公正、客观的评价，包括制度风险、业务风险、安全风险等。违规举报机制则是对存在违规行为的部门和业务，经举报后进行核查，根据事实做出处理并通报。

4.2.3 个人信息保护

个人信息在电信企业掌握的数据中所占比例较高，因此个人信息保护应当贯穿于企业的数据制度体系构建中，做好以下几个方面的管理制度建设。

（1）用户授权管理。向合作方提供用户个人信息、境外存储用户个人信息等场景下，确保用户知情同意并获得用户授权。同时，建立公开受理渠道，对用户发现的错误个人信息予以更正。

（2）服务最小化管理。在内部共享个人信息时，经用户授权后向合作方开放，按权限最小化原则仅提供业务开展明确需要的数据属性、标签属性及规模，降低多余数据外泄风险。

（3）对外业务合作管理。对外业务合作范围涉及大数据交易、大数据代分析、代理市场销售和技术服务等，一旦涉及收集、使用用户个人信息的，确保合作方具备用户个人信息保护相关安全资质，并对合作方业务开展过程的合规性进行不定期监督检查。

（4）个人信息模糊化处理。对用户敏感信息进行对外查询、展现、统计等操作时，需经过模糊化处理；对用户敏感信息进行开放前，需通过数据脱敏、数据模糊标签化、群体统计等方式进行处理，保证处理后的数据不能定位到个人。

4.3 数据安全技术体系构建

随着新一代信息技术的发展，传统的安全防护手段已经不适应跨部门、跨区域、跨应用流动的数据安全保护。因此，需要采取技术手段保障数据安全，数据安全技术体系构建是电信企业数据安全治理的重要内容。

（1）在安全通信网络方面，通过接入控制、加密传输、完整性校验等技术手段，保证数据跨境流动的通信安全。

（2）在安全区域边界方面，利用身份鉴别、接入控制、外部网络攻击防御、恶意代码防范、网络安全审计、可信基等技术手段，提供边界防护。

（3）在安全计算环境方面，利用身份鉴别、接入控制、外部网络攻击防御、恶意代码防范、网络安全审计、数据备份与恢复、可信基等技术手段，保障数据安全。

（4）在安全管理中心方面，利用网络安全监控设备对网络链路、安全设备、服务器等运行状况进行集中检测，对各类安全事件进行识别报警，对各类行为进行安全审计。

5 结论

电信行业的重要性质以及其掌握的数据的特殊性、复杂性使电信企业在运营过程中面临着各种形式的数据安全威胁。电信数据泄露事件频繁发生，企业的安全需求增加，数据安全合规需求相应增加。当前，电信领域数据安全工作受到法律法规和行业标准的严格规制，电信企业应当遵守法律法规，依据行业标准构建自身数据安全管理体系、数据安全制度体系和数据安全技术体系。