北京地区电信领域数据安全管理实施 细则 第一章 总则 第一条 为了加强北京地区电信领域数据安全管理工作， 进一步提高数据安全保护水平，根据《中华人民共和国数据 安全法》《中华人民共和国网络安全法》《中华人民共和国 个人信息保护法》 《工业和信息化领域数据安全管理办法（试 行）》《关于更好发挥数据要素作用进一步加快发展数字经 济的实施意见》等法律法规和有关规定，结合本市实际，制 定本细则。 第二条 北京地区的电信领域数据处理者开展数据处理活 动及其安全监管，应当遵守相关法律、行政法规和本细则的 要求。 第三条 本细则所称电信领域数据是指在电信业务经营过 程中产生和收集的数据，包括各类基础电信业务和增值电信 业务数据。 电信领域数据处理者是指数据处理活动中自主决定处理 目的、处理方式的取得电信业务经营许可证的电信业务经营 者。 数据处理活动包括但不限于数据收集、存储、使用、加工、 传输、提供、公开等活动。 第四条 在工业和信息化部统筹指导下，北京市通信管理 局负责北京地区电信领域数据安全的组织协调、统筹规划和 监督管理工作。 第五条 数据安全管理应当坚持总体国家安全观，统筹数 据发展与安全，鼓励数据开发利用，加强数据治理，保证数 据供给、流通、使用全过程安全合规。 第二章 基础性数据安全保护要求 第六条 电信领域数据处理者应当每年至少开展一次数据 梳理工作，按照电信领域重要数据和核心数据识别标准识别 重要数据和核心数据，相关工作开展情况按年度形成报告并 报送北京市通信管理局，报告内容包括数据梳理工作开展情 况、数据分类分级情况、数据分级防护措施等。 第七条 电信领域数据处理者应当按要求将识别出的重要 数据和核心数据进行目录填报，并报北京市通信管理局备案。 备案内容包括但不限于数据来源、类别、级别、规模、载体、 处理目的和方式、使用范围、责任主体、对外共享、跨境传 输、安全保护措施等基本情况，不包括数据内容本身。 备案内容发生重大变化的，电信领域数据处理者应当在发 生变化的三个月内履行备案变更手续。重大变化是指某类重 要数据和核心数据规模（数据条目数量或者存储总量等）变 化 30％以上，重要数据或核心数据类别新增或减少，数据安 全情况、责任主体信息发生变动，或者其他备案内容发生变 化。 北京市通信管理局对备案信息完整性、重要数据和核心数 据类别、级别、数据量等填报内容准确完备性进行审核，在 电信领域数据处理者提交备案申请的二十个工作日内完成 并反馈审核结果。备案未通过的申请人应当在收到反馈情况 后的十五个工作日再次提交备案申请。 北京市通信管理局对重要数据和核心数据目录备案落实 情况进行监督检查，电信领域数据处理者应当予以配合。 第八条 电信领域数据处理者应当根据实际工作需要配备 数据安全管理人员，统筹负责数据处理活动的安全监督管理。 电信领域重要和核心数据处理者还应当建立覆盖本单位 相关部门的数据安全工作体系，明确数据安全负责人和管理 机构，负责牵头内部数据安全管理工作，明确数据处理关键 岗位和岗位职责，要并配备具备相应技能水平的专职人员， 定期参与行业认可的数据安全考核与培训。 第九条 电信领域数据处理者应加强权限审批管理，合理 配置数据处理活动的权限，明确各部门和相关人员权限管理 要求，包含但不限于数据处理活动平台系统账号权限分配原 则、流程等，建立并定期更新权限分配表。 第十条 电信领域数据处理者应对数据处理、系统运行、 权限管理、人员操作等日志进行留存管理，日志留存时间不 少于六个月。日志记录信息应包括执行时间、操作账号、处 理方式等，针对数据使用加工、关联分析、批量访问、批量 复制等数据处理行为还应记录授权情况、登录信息等，记录 完整、准确、不可修改。 第十一条 电信领域数据处理者应定期开展数据安全审计， 审计对象完整覆盖全部数据处理活动，审计发现问题需及时 进行整改，并对审计及处置记录进行留存管理。 重要数据处理活动应至少每半年开展一次审计，核心数据 处理活动应至少每季度开展一次审计。 第十二条 电信领域数据处理者应当开展数据安全风险监 测，对数据安全风险隐患进行预警，并及时开展处置。对于 可能造成较大及以上安全事件的风险，应及时向北京市通信 管理局报告，报告内容包括但不限于风险类别和级别、涉及 数据情况、产生时间、影响范围等信息。 第十三条 电信领域数据处理者应制定数据安全事件应急 预案并开展应急演练。应急预案应充分结合数据泄露、数据 滥用、数据篡改、数据损毁、数据违规使用等数据安全事件 场景和等级明确应急响应工作责任分工、实施流程、保障措 施等。 在数据安全事件发生后，电信领域数据处理者应当按照应 急预案，及时开展应急处置。涉及重要数据和核心数据的安 全事件，第一时间向北京市通信管理局报告，事件处置完成 后立即开展事件调查、问题整改、责任追究，在处置完成七 个工作日内形成总结报告并报送北京市通信管理局。对于发 生过数据安全事件的电信领域数据处理者还应每年向北京 市通信管理局报告数据安全事件处置情况。 第十四条 电信领域重要数据和核心数据处理者应当自行 或委托第三方评估机构，每年对其数据处理活动至少开展一 次风险评估，及时整改风险问题，并向北京市通信管理局报 送风险评估报告。 重要数据和核心数据目录备案内容发生重大变化的，电信 领域数据处理者应当在履行备案变更手续后及时启动风险 评估，备案变更后三个月内向北京市通信管理局重新提交风 险评估报告。 电信领域一般数据处理者应当自行或委托第三方评估机 构，每年至少开展一次数据安全合规性评估，及时整改问题， 并向北京市通信管理局报送评估报告。评估内容包括但不限 于数据合规使用情况、数据安全保障措施配备情况与完善程 度、合作方数据安全保护水平等。 第十五条 电信领域数据处理者应加强数据安全教育培训， 鼓励企业通过积极参与本地区、本行业数据安全人才培养计 划等方式，提升相关岗位人员数据安全保护意识和技能水平。 电信领域数据处理者应定期组织开展内部数据安全教育 培训，培训内容涵盖数据安全法律法规、标准规范、管理制 度和工作要求、知识技能、保护意识等，培训对象覆盖数据 安全岗位人员，年度培训时长不小于 30 学时。 电信领域重要数据和核心数据处理者还应针对处理重要 数据和核心数据的重点岗位人员定期开展教育培训，培训内 容包括但不限于重要数据和核心数据安全管理要求、安全操 作规程、风险评估规范等，年度培训时长不少于 45 学时。 第十六条 电信领域数据处理者应当加强对合作方管理， 通过签订合同协议等方式，明确数据委托处理、数据处理系 统开发运维等合作方数据安全责任和义务。涉及重要数据和 核心数据的，应当对合作方的数据安全保护能力、资质进行 核验。 第三章 数据全生命周期安全保护要求 第十七条 电信领域数据处理者应当对数据处理活动负安 全主体责任，建立健全全流程数据安全管理制度，针对不同 级别数据，制定数据收集、存储、使用、加工、传输、提供、 公开等环节的具体分级防护要求和操作规程。 第十八条 电信领域数据处理者收集数据应当遵循合法、 正当的原则，不得窃取或者以其他非法方式获取数据。 数据收集过程中，采取规范化采集流程、方式、渠道和数 据格式，根据数据安全级别采取相应的安全措施，加强重要 数据和核心数据收集人员、设备的管理，并对收集来源、时 间、类型、数量、频度、流向等进行记录。 对直接采集或者通过间接渠道获得的数据负有同等的保 护责任和义务。通过间接途径获取重要数据和核心数据的， 电信领域数据处理者应当与数据提供方通过签署相关协议、 承诺书等方式，明确双方法律责任。 通过移动应用程序或其他方式面向用户直接收集个人信 息类数据的，应在业务用户协议或隐私政策文件中明确个人 信息收集的目的、用途和范围，按照公开透明原则将收集规 则以通俗易懂、简单明了的文字向用户明示，在获得授权或 有其他合法性基础的前提下开展。 第十九条 电信领域数据处理者应当按照法律、行政法规 规定和用户约定的方式、期限进行数据存储，应结合数据分 类分级策略明确差异化数据存储安全策略和操作规程。 存储重要数据和核心数据的，应当采用校验技术、密码技 术等措施进行安全存储，并实施数据容灾备份和存储介质安 全管理，定期开展数据恢复测试，对备份数据的有效性和可 用性进行检查和恢复验证。 第二十条 电信领域数据处理者进行数据使用加工应遵循 目的明确原则，制定不同目的下数据使用审批流程、数据脱 敏处理使用规则，明确数据使用结果发布和使用的安全保护 规则。 利用数据进行自动化决策的，应当保证决策的透明度和结 果公平合理。使用、加工重要数据和核心数据的，还应当加 强访问控制。 第二十一条 电信领域数据处理者应当根据传输的数据类 型、级别和应用场景，制定安全策略并采取保护措施。针对 不同网络安全域之间的数据传输采取访问控制、监控等安全 防护技术措施。传输重要数据和核心数据的，应当采取校验 技术、密码技术、安全传输通道或者安全传输协议等措施。 第二十二条 电信领域数据处理者对外提供数据，应当明 确提供的范围、类别、条件、程序等，对数据提供形式、期 限、涉及的业务或系统、数据安全保护措施等实施管理。提 供重要数据和核心数据的，应当与数据获取方签订数据安全 协议，对数据获取方数据安全保护能力进行核验，采取校验 技术、密码技术、安全传输通道、安全传输协议等必要的安 全保护措施。 第二十三条 电信领域数据处理者应当在数据公开前分析 研判可能对国家安全、公共利益产生的影响，拟公开前十个 工作日前向北京市通信管理局提交重要数据和核心数据公 开申请，审批通过后予以公开，存在重大影响的不得公开。 对于法律、行政法规要求公开的数据场景，应采用静态脱敏 等措施防止数据泄露或滥用。 第二十四条 电信领域数据处理者在中华人民共和国境内 收集和产生的重要数据和核心数据，法律、行政法规有境内 存储要求的，应当在境内存储，确需向境外提供的，应当依 法依规进行数据出境安全评估。 第二十五条 电信领域数据处理者应当建立数据销毁制度， 明确销毁对象、规则、流程和技术等要求，对销毁活动进行 记录和留存。个人、组织按照法律规定、合同约定等请求销 毁的，电信领域数据处理者应当销毁相应数据。 销毁重要数据和核心数据的，应当设置销毁相关监督角色 并采用多人操作模式，单人不得拥有完整操作权限。重要数 据和核心数据销毁后，不得以任何理由、任何方式进行恢复； 引起重要数据和核心数据目录备案内容发生变化的，应当履 行备案变更手续。 电信领域数据