当前,数据已成为新型生产要素,保护数据安全对数字经济健康发展至关重要。为切实做好电信和互联网行业网络数据安全保护,持续提升行业数据安全治理水平,工业和信息化部网络安全管理局指导中国互联网协会充分发挥行业组织自律职能,制定发布了《电信和互联网行业网络数据安全自律公约》(以下简称《自律公约》)。《自律公约》主要倡导了企业在网络数据安全责任上的五类要求:一是明确管理责任部门,制定管理制度规范;二是加强网络数据资产梳理和分类分级管理;三是深化网络数据安全合规性评估;四是依法规范数据对外合作安全管理;五是建立完善用户举报与受理机制。在近期举办的第六届中国互联网法治大会数据安全论坛上,中国互联网协会已累计组织中国电信、中国移动、中国联通、阿里、腾讯、百度、京东、360、爱奇艺等133家基础电信企业和重点互联网企业签署了《自律公约》。
《自律公约》的签署将进一步强化行业自律和共治,促进企业自觉对标对表有关法律法规和政策标准要求,加强网络数据安全保护,共同营造健康安全网络生态,助力数字经济高质量发展。
电信和互联网行业网络数据安全自律公约
第一章 总 则
第一条 为保障电信和互联网行业网络数据安全,引导企业严格遵守国家有关法律、法规以及政策和标准,提升数据安全保护能力,促进行业持续健康有序发展,制定本公约。
第二条 中国互联网协会作为公约执行机构,负责组织签署和实施本公约。电信和互联网企业自愿签署本公约后成为公约成员机构,受本公约约束,遵守执行本公约内容。
第二章 自律内容
第三条 公约成员机构应明确网络数据安全管理责任部门、制定网络数据安全管理制度规范、配备网络数据安全管理和技术措施、开展网络数据安全合规性评估,做好网络数据安全审计管理、应急处置、教育培训等工作,建立并持续完善本机构网络数据安全保障能力。
第四条 公约成员机构应综合考虑网络数据的重要及敏感程度、类别属性、使用目的等因素,开展网络数据资产梳理和分类分级工作,并围绕网络数据全生命周期各环节推动部署差异化安全保障措施。
第五条 公约成员机构应建立企业内部网络数据安全合规性评估制度规范和工作流程,形成新上线业务全覆盖评估、存量重点业务定期评估工作机制,开展企业网络数据安全合规性评估工作,并形成评估报告。
第六条 公约成员机构应建立并不断完善数据合作方安全管理,通过签订合同和安全保密协议等方式,明确企业对外合作中数据安全保护方式和合作方责任、义务落实要求。
第七条 公约成员机构应做好网络数据安全事件应急响应,定期开展应急演练,发生网络数据安全事件时及时采取补救措施,并向电信主管部门报告。发生大规模用户个人信息泄露、毁损和丢失时,采取合理、有效方式告知用户。
第八条 公约成员机构应完善网络数据安全用户举报与受理机制,建立用户数据安全举报投诉渠道,明确处理流程并公布举报投诉处理联系方式。
第九条 公约成员机构应针对数据安全岗位人员制定培训计划并开展定期培训,培训内容应包括网络数据安全制度和实操规范等。
第十条 公约成员机构应加强网络数据安全技术能力研发和建设,积极参与网络数据安全相关试点,不断提升网络数据安全技术保障能力。
第三章 公约执行
第十一条 公约执行机构组织、指导公约成员机构对公约履行情况定期开展自查,任何单位和个人均有权向公约执行机构投诉或举报。
第十二条 公约执行机构结合自查和公众监督举报情况,在查证属实后,对违反本公约的签署单位进行指导和督促整改,必要时予以公示或公开谴责,发现违法违规线索,交相关部门处理。
第四章 附 则
第十三条 本公约生效期间,遵循“动态修订、逐步完善”的原则,经公约执行机构或本公约三分之一以上公约成员机构提议,并经三分之二以上公约成员机构同意,可对本公约进行修订。
第十四条 本公约由中国互联网协会负责解释。
第十五条 本公约自盖章之日起施行。
(来源:工信部)
