電信用戶個人信息保護(hù)技術(shù)要求編制說明

目的意義在大數(shù)據(jù)時代，日新月異的互聯(lián)網(wǎng)技術(shù)和大數(shù)據(jù)技術(shù)為生活帶來翻天覆地的變化，打破時間和空間的限制為用戶提供更方便快捷的服務(wù)，但與此同時也讓個人信息面臨泄露、濫用等風(fēng)險，給個人帶來不必要的損失。國家高度重視用戶個人信息保護(hù)，2018年4月，習(xí)近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議上的講話指示：國家網(wǎng)絡(luò)安全工作要堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。經(jīng)濟(jì)和社會發(fā)展十四五規(guī)劃中明確指出，要保障國家數(shù)據(jù)安全，加強(qiáng)個人信息保護(hù)。2021年11月1日起施行的《個人信息保護(hù)法》為個人信息保護(hù)提供法律保障。為加強(qiáng)個人信息保護(hù)，在《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國民法典》等已有個人信息保護(hù)規(guī)定的基礎(chǔ)之上，2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》(下文簡稱《個人信息保護(hù)法》)，并于2021年11月1日起正式施行。《個人信息保護(hù)法》正式實(shí)施后，在網(wǎng)信部門的統(tǒng)籌管理下，各行業(yè)監(jiān)管部門也通過開展一系列的行動推進(jìn)本行業(yè)、本領(lǐng)域開展個人信息保護(hù)工作，國家及行業(yè)相關(guān)配套標(biāo)準(zhǔn)相繼發(fā)布，但大多數(shù)個人信息處理者在個人信息保護(hù)合法要求落地實(shí)踐中仍處于探索階段。電信運(yùn)營商因其業(yè)務(wù)的特殊性，收集、存儲、處理大量的個人信息，保護(hù)措施不當(dāng)會帶來個人信息泄露、濫用等風(fēng)險，易引發(fā)個人信息安全事件。因此亟需適合電信企業(yè)的個人信息保護(hù)標(biāo)準(zhǔn)，從個人信息的收集、存儲、傳輸、使用加工、刪除等行為進(jìn)行統(tǒng)一規(guī)范，確保電信個人用戶信息安全。任務(wù)來源隨著經(jīng)濟(jì)增長及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，信息傳遞展現(xiàn)出方式多樣與快捷便利的特點(diǎn)，與此同時，用戶個人信息安全問題也越發(fā)凸顯，個人信息安全面臨嚴(yán)峻挑戰(zhàn)。黑客攻擊、惡意程序、各類釣魚和欺詐等各種網(wǎng)絡(luò)攻擊大幅增長，同時大量網(wǎng)民個人信息的泄露與財產(chǎn)損失也不斷增加，用戶隱私和權(quán)益遭到侵害，特別是一些重要數(shù)據(jù)甚至流向他國，不僅是個人和企業(yè)，信息安全威脅已經(jīng)上升至國家安全層面。國家層面高度重視個人信息安全，先后施行《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)，保護(hù)個人信息安全。在此情況下，中國電信股份有限公司聯(lián)合中國科學(xué)技術(shù)研究院信息工程研究所、西安電子科技大學(xué)等單位編寫《電信用戶個人信息保護(hù)要求》，本文件遵照《中華人民共和國個人信息保護(hù)法》《GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范》等法律法規(guī)、相關(guān)標(biāo)準(zhǔn)的要求，結(jié)合電信運(yùn)營商的業(yè)務(wù)特點(diǎn)、企業(yè)實(shí)際情況，編寫可落地、可執(zhí)行的個人信息保護(hù)要求，進(jìn)一步建設(shè)和提升電信企業(yè)用戶個人信息保護(hù)能力。編制過程2023年3月2日，規(guī)范研制正式啟動會。標(biāo)準(zhǔn)牽頭單位對前期的研究工作進(jìn)行了匯報。確定了標(biāo)準(zhǔn)的研究思路和分工。2023年3月29日，提交項(xiàng)目立項(xiàng)申請書。2023年4月26日，確定標(biāo)準(zhǔn)框架。2022年5月25日，召開立項(xiàng)評審會，邀請專家對草案給出建議。2023年6月25日，編制組召開一次編制討論會，確定分工。2023年7月25日，收集用戶個人信息相關(guān)資料。2023年8月30日至2023年12月1日，編寫標(biāo)準(zhǔn)草案。2023年12月10日，編制組召開第二次編制討論會，討論標(biāo)準(zhǔn)草案。2023年12月30日，針對上次會議的意見進(jìn)行修改，形成標(biāo)準(zhǔn)草案第二版，編制組開會討論標(biāo)準(zhǔn)草案第二版。2024年1月20日，項(xiàng)目組開會討論，形成征求意見稿初稿。2024年6月27日，邀請專家對征求意見稿后的修改版本進(jìn)行評審。2024年12月，形成征求意見稿。主要內(nèi)容本標(biāo)準(zhǔn)描述電信個人信息保護(hù)要求，對電信運(yùn)營商個人信息的收集、存儲、傳輸、使用加工、刪除等行為進(jìn)行規(guī)范。本標(biāo)準(zhǔn)共有8章，分別為范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、概述、電信用戶個人信息保護(hù)通用要求、典型業(yè)務(wù)流程個人信息保護(hù)技術(shù)要求、個人信息安全管理要求。詳情如下：1、概述：簡要描述電信運(yùn)營商收集、處理用戶個人信息涉及的系統(tǒng)和涉及用戶個人信息的典型業(yè)務(wù)場景，具體包括：涉及電信用戶個人信息的相關(guān)系統(tǒng)、電信用戶個人信息分類分級、電信用戶個人信息保護(hù)關(guān)鍵環(huán)節(jié)、涉及用戶個人信息的典型業(yè)務(wù)場景和電信用戶個人信息安全管理；2、電信用戶個人信息保護(hù)通用要求：主要包括個人信息收集、存儲、使用加工、傳輸、提供、公開披露、刪除、出境、委托處理9個章節(jié)，對個人信息提出具體的保護(hù)要求。3、典型業(yè)務(wù)流程個人信息保護(hù)技術(shù)要求：主要包括新用戶入網(wǎng)流程要求、服務(wù)開通流程要求、用戶退網(wǎng)流程要求。4、個人信息安全管理要求：包括個人信息保護(hù)影響評估、日志記錄、安全審計、個人信息安全事件處置和個人信息安全事件告知要求。本標(biāo)準(zhǔn)適用于規(guī)范電信運(yùn)營商的個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機(jī)構(gòu)等組織對個人信息處理活動進(jìn)行監(jiān)督、管理和評估。本標(biāo)準(zhǔn)牽頭單位為中國電信股份有限公司，參加單位包括中國科學(xué)院信息工程研究所、西安電子科技大學(xué)、中訊郵電咨詢設(shè)計院有限公司、中國網(wǎng)絡(luò)空間研究院、國網(wǎng)信安(北京)科技有限公司、中國移動