今年以来,浙江省通信管理局立足行业管理职责,始终坚守安全底线,扎实开展“之江数安”专项行动,积极推进电信和互联网行业数据安全工作,凝聚本行业数据安全领域各方力量,助力浙江省数据安全产业高质量发展。
动态调整,机制为先。聚焦电信和互联网行业数据安全保护工作实际需求,把握我省重点行业、重点企业数据特点,动态更新重点企业名录,重新确定省内数据安全重点企业24家,深入推进重要数据识别认定及目录更新管理,提升企业数据全生命周期治理能力。
浙江电信
构建全员全生命周期精准管理,实现从人员进场、规范服务、动态更替、人员退出的端到端管控,通过人员责任制、定期审阅审计、信用积分机制等精细化管控措施,确保管理责任落实到人,最终形成全员人员的闭环管理,确认2612个支局及以上的标准组织构建新标准组织树,完成组织支局及以上组织准确率100%。在提高管理的效率同时降低管理成本和风险。
华数集团
以数据安全为核心,围绕数据安全生命周期的六大阶段,从组织建设、制度流程、技术工具和人员能力四个维度出发,精心编制了《华数集团数据合规指引》和《华数集团数据分类分级指南》,使得管理运营依法合规,数据风险可管可控,数据价值显著提升。
风险管理,预警为要。进一步完善电信和互联网领域数据安全风险监测预警机制,形成线索汇聚、多级研判、预警通报、监督整改的数据安全风险处置闭环。截至目前,我局共研判数据安全风险线索85条,向省内企业发送《浙江省数据安全预警通报》73份。
浙江联通
成功部署数据安全运营平台,以尖端科技为盾,全方位守护用户数据安全。该平台通过精细化的数据分类与敏感度深度评估,实现对海量数据的精准识别与差异化保护策略,确保每一份数据都在遵循法律法规的同时,得到最适宜、最高效的利用。截至目前,平台已完成对内部数据库中19万张数据表的精准分级分类,并对其中5万张高度敏感的数据表实施了严格的脱敏访问控制,有效降低数据泄露风险。
数据处理,评估为重。邀请中国信息通信研究院专家进行数据安全法规政策解读,指导电信和互联网行业开展重要数据和核心数据备案、风险评估工作,培训覆盖42家企业55人。
浙江移动
通过常态化合规评估,促进公司各部门管理制度、安全机制、责任落实等工作持续优化提升。推动各责任部门结合业务情况分场景进行测评,如利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息前,开展个人信息保护影响评估;同时加强数据安全评估队伍人才建设,在首届“强基杯”数据安全评估赛道,浙江移动取得全国一等奖、三等奖的好成绩。
阿里云
严格按照《电信领域数据安全风险评估规范》要求,建立重要数据相关活动进行登记、审批,并对重要数据的处理活动进行严格管理并留存记录,动态识别重要数据处理活动,开展重要数据安全风险评估和监测处置;组织8名数据安全专业人员参加“电信和互联网行业数据安全人才强基计划”数据安全中级评估师培训并均通过认证,提升内部人员对数据安全风险发现及评估能力。
场景细化,防范为本。深化重点场景数据安全保护,召开“之江数安-2024”专项行动宣贯培训会,组织省内基础电信、数据中心和云服务、车联网服务平台和“人工智能+”大模型业务等26家企业,聚焦处理重要数据和核心数据非法收集、数据非法利用、防护措施不到位、人员违规操作等四方面突出问题引发的数据泄露、滥用、勒索攻击等风险,开展数据风险排查和防范工作,加强数据安全保护能力建设。
淘天集团
深入贯彻知情同意、最小必要、全方位保障安全能力三项数据安全基本原则,将隐私保护融入产品设计;淘宝APP陆续上线“位置权限分场景管理”功能,每个场景调用位置权限时均告知目的用途并征求用户同意;直播和短视频服务模块均支持未成年人模式设置,未成年人模式开启后屏蔽直播和短视频服务模块的搜索、评价、打赏和短剧付费等功能和不适宜未成年人的内容,并限制直播和短视频服务模块的使用时长、时间段和消费额度,以保护未成年人用户身心健康。
应急处置,演练为径。编制《浙江省电信领域数据安全事件应急预案》,构建事件处置组织体系,明确细化事件定级规则、应急处理机制、应急响应流程、事后总结上报等管理要求,提升数据安全事件快速反应、规范处置、协同联动水平。
网易集团
定期进行数据安全应急演练,包括数据损毁演练、数据泄漏演练、数据滥用演练和数据被篡改演练、确保发生故障时候可以及时恢复数据;与数据处理者签订保密协议,明确问责措施,在员工终端侧进行个人敏感信息和重要数据防泄露管控,同时,数据操作审计平台对数据操作行为进行告警,确保行为可追溯。
下一步,浙江省通信管理局将在工业和信息化部指导下,进一步提升电信和互联网领域企业数据全生命周期治理能力,强化数据安全风险评估和防范,指导企业不断完善数据安全事件应急预案,切实增强电信和互联网领域数据安全保障水平,为浙江数字经济高质量发展贡献行业力量。