電信行業數據安全治理體系研究

潘 妍，肖 菲

（國家工業信息安全發展研究中心，北京 100040）

1 引言

近年來，我國電信業深化數字經濟與實體經濟融合，5G、千兆光網等新型信息基礎設施建設取得新進展，各項應用普及全面加速，為打造數字經濟新優勢、增強經濟發展新動能提供有力支撐。2022年，電信業務收入累計1.58萬億元，比上年增長8%。電信行業積累著大量的業務數據，類型多、數據規模大。這些數據蘊含著巨大的商業價值，如果能在監管之下被合理利用，則會對跨境服務及電信行業的發展產生推動作用。與此同時，電信業屬于通信領域，是國家的重要行業，其所掌握的重要數據一旦被泄露則有嚴重危害涉及國家安全、國計民生、公共利益的重要網絡設施、信息系統的可能。因此，完善電信行業的數據安全治理體系至關重要。

2 電信行業面臨的數據安全風險

2.1 電信行業數據特點

2.1.1 數據規模大，類型多

2022年，全國電話用戶總數達到18.63億戶，移動電話用戶總數為16.83 億戶，全年凈增4 062 萬戶，其中，5G 移動電話用戶達到5.61 億戶，占移動電話用戶的33.3%［1］。電信業積累的業務數據類型主要包括用戶屬性數據、通話數據、位置數據、終端數據、上網行為數據、消費數據等。由此可見，電信企業掌握的數據呈現出規模大、類型多的特點，面對海量的數據如何保障數據安全、促進數據利用，如何提升數據安全治理水平，是電信企業亟待解決的問題。

2.1.2 敏感數據多，分布范圍廣

電信企業收集的業務數據一般是圍繞用戶展開，大部分數據能夠單獨或與其他數據相結合識別到用戶的個人身份，屬于個人信息保護的范疇，因此敏感數據所占的比例較高。同時，在進行用戶數據收集的過程中一般涉及多個業務系統，如業務支撐系統負責收集維護用戶個人信息、消費信息、業務辦理信息等，核心網負責為用戶提供通信服務，并在此過程中積累用戶通信、上網數據。不同的系統由不同的部門負責管理運營，這就導致敏感數據信息在電信企業內部分布在不同部門的信息系統中［2］。

2.1.3 數據流轉路徑多

電信企業本身業務系統復雜，業務內容繁多，數據在內部處理過程中會歷經數據解析、清洗、轉換等流程，數據存儲也會以結構化數據、文本數據等多種形式進行存儲，數據流轉路徑較多。在邁入5G 時代后，原本的網絡架構發生了改變，數據流也隨之變化，同時5G 還為物聯網、車聯網、智慧城市等垂直行業提供了服務。電信數據除了企業內部共享外，其外部訪問也逐步增加，網絡環境愈加開放，數據流轉的路徑不斷增多。

2.2 電信行業數據安全現狀

2.2.1 數據泄露事件頻發

近年來，數據泄露事件頻繁發生。而電信企業作為大量用戶數據的持有方，其受到數據安全的外部威脅更為嚴峻。2021 年8 月，美國電信巨頭T-Mobile 發生了用戶數據泄露事件，黑客攻擊并下載用戶數據在論壇上公開售賣該企業的用戶數據［3］。2020年年初，網曝某電信企業超2 億條用戶信息被公開售賣，根據相關裁判文書，被告人從該電信企業的全資子公司獲取用戶個人信息售賣牟利［4］。電信企業成為數據泄露事件頻發的重災區，提高數據安全治理水平迫在眉睫。

2.2.2 企業安全需求增加

隨著電信企業業務不斷豐富，提供包括基礎套餐、增值服務、數據上網類、家庭、集團等業務內容，數據收集分析的需求也越來越大。在數字經濟時代，電信企業利用自身掌握海量用戶數據的優勢，加強了數據的開發利用，多與地方交管局、旅游局等展開合作，使用統計數據提供人流量分析服務。新業務的開展促進了企業內多部門、多線條數據流的融合，原有的安全機制存在管理不全面、技術體系分散等缺陷，不能滿足新業務下數據流動、數據融合計算的安全防護需求，亟需更全面的安全防護手段和隱私保護技術來保證企業合作過程中的數據安全，防止挖掘分析過程中發生數據泄露。

2.2.3 數據安全合規需求增加

隨著數據逐步成為新型生產要素，數據安全愈發受到重視。我國已經頒布并積極推進一系列數據安全相關法律法規，數據安全邁入“有法可依、有法必依”的新時期。與此同時，電信行業作為涉及海量數據包括敏感數據的特殊領域，行業監管機構也頒布了數據安全監管規則，電信企業除遵循相關法律法規的約束之外，也要服從行業監管機構的合規管理，例如遵守《電信網和互聯網大數據平臺安全防護要求》等文件要求。

3 電信行業數據安全監管規則

當下，數據安全合規是電信企業數據安全治理的最低要求，也是電信企業保障數據安全的底線，目前電信領域數據安全需滿足的監管規則，主要涵蓋法律法規和行業標準兩個維度。

3.1 法律法規

在法律法規層面，電信領域的數據安全主要遵循已發布實施的《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《電信和互聯網用戶個人信息保護規定》等。

《中華人民共和國網絡安全法》指出國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施實行重點保護。電信企業作為關鍵信息基礎設施的運營者應當履行相應的安全保護義務，包括：一是設置專門安全管理機構和安全管理負責人；二是定期對從業人員進行網絡安全教育、技術培訓和技能考核；三是對重要系統和數據庫進行備份；四是制定網絡安全事件應急預案，并定期進行演練。

《中華人民共和國數據安全法》對電信企業開展數據活動過程中的安全職責和安全能力提出了明確的要求，內容主要包括：一是企業必須對數據進行分類分級，確定重要數據保護目錄，并對列入目錄的數據進行重點保護；二是重要數據的處理者應當按照規定定期開展風險評估；三是加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施，發生數據安全事件時，應當及時告知用戶并向有關主管部門報告；四是企業應建立健全全生命周期數據安全管理制度，保障數據安全。

《中華人民共和國個人信息保護法》明確了個人信息處理的基本原則：合法正當必要誠信原則、目的明確和最小必要原則、公開透明原則、質量及安全保障原則。同時，該法律還明確了個人信息處理的法律依據，如對敏感個人信息的處理，需要取得個人的單獨同意并告知處理的必要性及對個人權益的影響。

而電信行業的《電信和互聯網用戶個人信息保護規定》不僅是在《中華人民共和國個人信息保護法》頒布之前電信行業保護個人信息的政策依據，也是對電信領域個人信息保護的細化。該規定對電信經營者收集信息及使用信息提出了具體的規范要求，還對電信經營者需采取的安全保障措施進行了列舉，同時也明確了電信管理機構的監督檢查職責。

3.2 行業標準

除法律法規以外，電信行業針對數據安全保護出臺了細化的行業標準，電信企業可以以此類標準為依據構建自身的數據安全治理體系，提升數據保護水平。

《基礎電信企業數據分類分級方法》標準根據基礎電信企業業務運營特點和企業內部管理方法，收集企業內所有部門的數據資源進行梳理，按照線分類法，根據業務屬性或特征，將基礎電信企業數據分為若干數據大類，然后按照大類內部的數據隸屬邏輯關系，將每個大類的數據分為若干層級，每個層級分為若干子類，所有數據類及數據子類構成數據資源目錄樹。該標準為電信企業數據安全管理提供了分類分級原則與方法，對企業數據分類分級安全管理工作進行了基礎指導。

《基礎電信企業重要數據識別指南》明確了基礎電信企業重要數據的定義，它是指企業在運營中收集、產生、控制的不涉及國家秘密，但與國家安全、經濟發展、社會穩定，以及公共利益密切相關的數據，特別是與國家基礎通信網絡安全密切相關的數據。該標準確定了重要數據識別的規則及工作流程，電信企業通過全面梳理數據資源，完成數據分類分級識別與標識工作，隨后根據分類分級結果重點針對安全級別較高的數據對象，逐條判定是否符合重要數據識別規則。該標準為電信企業識別重要數據從而采取更加嚴格的數據安全保障措施、提供更高水平的保護提供了依據。

4 電信企業數據安全治理體系構建

電信行業數據安全監管規則為電信企業構建數據安全治理體系提供參考指引，電信企業應圍繞數據安全管理體系、數據安全制度體系和數據安全技術體系三方面內容，切實做好數據安全治理體系建設工作。

4.1 數據安全管理體系構建

電信企業數據安全管理體系的組織建設包括組織架構、崗位設置、團隊建設、數據安全責任等內容，是各項數據安全職能工作的基礎。

4.1.1 組織架構

電信企業可以通過建立數據體系配套的權責明確且內部溝通順暢的組織，確保數據安全戰略的實施。對照電信企業的組織架構，組織架構采用“一級管理、二級維護、三級應用”的模式，數據管理組織覆蓋集團總部和省分公司，包括數據管理域和生產業務域，分別設置數據管理所需的各種不同崗位，如：數據管理域可設置數據生命周期管理員、數據安全管理員、元數據管理員、數據標準管理員和數據質量管理員；生產業務域可設置業務主管、業務人員、系統建設主管和系統建設人員［5］。

4.1.2 崗位職責

在設置了數據管理所需崗位后，需要明確各個崗位的職責和任職要求：數據管理域中，數據生命周期管理員負責統一管理數據生命周期，包括負責數據生命周期管理日常工作，提交數據生命周期管理報告，督導數據生命周期的查詢、監控、告警等日常工作；數據安全管理員負責統一管理數據安全，包括負責數據安全管理日常工作，提交數據安全管理報告，督導數據安全監控、分析、問題處理等日常工作；元數據管理員負責統一管理元數據，包括負責元數據管理日常工作，提交元數據管理報告；數據標準管理員則統一管理數據標準，包括負責數據標準管理日常工作，提交數據標準管理報告；而數據質量管理員負責統一管理數據質量管控，包括負責數據質量管理日常工作，審批數據質量管理規則，提交數據質量管理報告，督導數據質量監控、分析、問題處理等日常工作。

4.1.3 評價體系

根據團隊人員職責、管理數據范圍的劃分，制定相關人員的績效考核體系。考核可以分為月度考核、季度考核、年度考核。在考核初期，考核人為被考核人制訂考核計劃，明確考核內容和考核規則，考核計劃需經過被考核人確認和上級領導批準；在考核期末，可以先由被考核人自評，然后考核人根據被考核人的表現和指標，為考核人打分，考核結果經過被考核人確認和上級領導批準后生效，考核結果作為員工定崗、升職和獎金發放的依據。考核方式可以采用主觀考核和客觀考核兩種方式，數據管控平臺能夠提供數據的內容的，采用客觀量化考核，并由平臺周期性自動執行，若系統不能夠提供數據的內容，由相關管理人員人工打分。

4.2 數據安全制度體系構建

數據制度體系通常分層次設計，遵循嚴格的發布流程并定期檢查更新。制度建設是各項數據安全治理開展的基礎。根據數據安全職能的層次和授權決策次序，制度框架分為政策、辦法、細則三個層次。政策說明數據安全管理和應用的目的，明確其組織與范圍；辦法規定數據安全中各項活動開展的規則和流程；細則是為確保各數據安全方法執行落實而制定的具體操作層面的文件。組織內部通過文件、郵件等形式發布審批通過的數據制度，定期開展制度相關的培訓、宣傳工作宣貫數據制度并結合數據管控組織的設置推動制度落地實施。

4.2.1 數據分類分級

數據分類分級是數據治理的核心任務，它是數據安全管理生命周期的重要組成部分，能夠確保組織可以快速安全地訪問和共享數據資產。數據分類分級標準能夠為數據分類分級工作提供規范化流程和標準化技術規范支撐。

數據分類可以有多種維度，除了可以依據《基礎電信企業數據分類分級方法》標準中提到的基于電信企業業務屬性分類，還可以基于數據產生方式、數據使用頻率或者數據應用場景等進行分類。例如，某移動通信運營公司根據公司內部管理和對外開放場景的特點，將數據分為以下四個類別：用戶身份相關數據（A類）、用戶服務內容數據（B類）、用戶服務衍生數據（C 類）、企業運營管理數據（D 類）。而各大類數據類別下又根據需要分為各個子類，如企業運營管理數據（D類）又可分為企業管理數據（D1）、業務運營數據（D2）、網絡運維數據（D3）、合作伙伴數據（D4）。

數據分級指的是根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時，對個人、企業乃至國家造成的危害程度，將數據分為不同的安全保護級別。合理的數據分級通常在3至5級之間。根據基礎電信企業數據重要程度以及泄露后對國家安全、社會秩序、企業經營管理和公眾利益造成的影響和危害程度，基礎電信企業網絡數據資源的分級按照以下步驟和方法進行：首先，確定分級對象；其次，分別判斷數據破壞對國家安全、社會秩序、公共利益造成的影響，數據破壞對企業利益造成的影響，以及數據破壞對用戶利益造成的影響；再次，綜合評定對客體的侵害程度；最終，確定數據對象的安全等級。

4.2.2 數據安全評估

根據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》等要求，電信企業數據確需跨境提供時應當經過國家網信部門組織的安全評估。同時，電信企業應當定期及在數據安全管理環境發生重大變更時，對數據安全管理情況開展合規性評估。開展數據安全評估的條件包括：（1）數據安全相關法律法規發生變化時；（2）涉及客戶信息等關鍵數據的新業務上線前；（3）向第三方提供客戶信息等關鍵數據前；（4）因業務終止等涉及數據的承接、轉移及銷毀時；（5）其他數據安全管理環境重大變更的情況。評估需按照相關規范標準要求，參照新技術新業務安全評估方法進行。根據上級要求編制細化數據安全評估要點，從機構人員、基本制度、技術能力、重點環節等方面進行評估，評估內容覆蓋數據安全風險情況、數據收集使用合規情況、數據安全保障措施完善程度、合作方數據安全保護水平等。對評估結果進行分析總結，生成評估報告并向相關管理部門報備，同時及時響應整改，防止數據泄露發生。

因此，電信企業需組建數據安全評估體系，包括自評估機制、聯審聯評機制、安全檢查機制、違規舉報機制等。自評估機制是由單位自行按照規范要求進行比對和評判，得到初步結論。聯審聯評機制是委托第三方測評機構對數據跨境流動的風險進行公正、客觀的評價，包括制度風險、業務風險、安全風險等。違規舉報機制則是對存在違規行為的部門和業務，經舉報后進行核查，根據事實做出處理并通報。

4.2.3 個人信息保護

個人信息在電信企業掌握的數據中所占比例較高，因此個人信息保護應當貫穿于企業的數據制度體系構建中，做好以下幾個方面的管理制度建設。

（1）用戶授權管理。向合作方提供用戶個人信息、境外存儲用戶個人信息等場景下，確保用戶知情同意并獲得用戶授權。同時，建立公開受理渠道，對用戶發現的錯誤個人信息予以更正。

（2）服務最小化管理。在內部共享個人信息時，經用戶授權后向合作方開放，按權限最小化原則僅提供業務開展明確需要的數據屬性、標簽屬性及規模，降低多余數據外泄風險。

（3）對外業務合作管理。對外業務合作范圍涉及大數據交易、大數據代分析、代理市場銷售和技術服務等，一旦涉及收集、使用用戶個人信息的，確保合作方具備用戶個人信息保護相關安全資質，并對合作方業務開展過程的合規性進行不定期監督檢查。

（4）個人信息模糊化處理。對用戶敏感信息進行對外查詢、展現、統計等操作時，需經過模糊化處理；對用戶敏感信息進行開放前，需通過數據脫敏、數據模糊標簽化、群體統計等方式進行處理，保證處理后的數據不能定位到個人。

4.3 數據安全技術體系構建

隨著新一代信息技術的發展，傳統的安全防護手段已經不適應跨部門、跨區域、跨應用流動的數據安全保護。因此，需要采取技術手段保障數據安全，數據安全技術體系構建是電信企業數據安全治理的重要內容。

（1）在安全通信網絡方面，通過接入控制、加密傳輸、完整性校驗等技術手段，保證數據跨境流動的通信安全。

（2）在安全區域邊界方面，利用身份鑒別、接入控制、外部網絡攻擊防御、惡意代碼防范、網絡安全審計、可信基等技術手段，提供邊界防護。

（3）在安全計算環境方面，利用身份鑒別、接入控制、外部網絡攻擊防御、惡意代碼防范、網絡安全審計、數據備份與恢復、可信基等技術手段，保障數據安全。

（4）在安全管理中心方面，利用網絡安全監控設備對網絡鏈路、安全設備、服務器等運行狀況進行集中檢測，對各類安全事件進行識別報警，對各類行為進行安全審計。

5 結論

電信行業的重要性質以及其掌握的數據的特殊性、復雜性使電信企業在運營過程中面臨著各種形式的數據安全威脅。電信數據泄露事件頻繁發生，企業的安全需求增加，數據安全合規需求相應增加。當前，電信領域數據安全工作受到法律法規和行業標準的嚴格規制，電信企業應當遵守法律法規，依據行業標準構建自身數據安全管理體系、數據安全制度體系和數據安全技術體系。