电信大数据炙手可热，运营合规化刻不容缓

电信大数据运营大数据

吴丹君周天一 | 2017-10-26 12:38

【数据猿导读】随着电信行业与大数据的结合愈加紧密，电信运营商对于数据安全风险尤其是运营过程中收集的个人信息可能产生的法律风险需要特别关注。电信大数据涉及国家安全、身份信息核查、个人信息保护等多个方面

作者：吴丹君周天一北京观韬中茂（上海）律师事务所

在10月18日十九大开幕式上,中共中央总书记习近平三个多小时的报告中,共享经济、大数据、人工智能、数字经济等一批新词首次出现。另据统计,中国将在2018年取代美国,成为世界上最大的数字经济体及最大的共享经济体。在此经济背景下,中国电信于今年3月启动“国家首批双创示范基地·杭州高新区物联网示范基地”建设,并于10月18日下午签署了《物联网大数据全面战略合作框架协议书》，标志该项目的正式运营。电信与大数据结合推动物联网及共享经济的发展正在如火如荼地进行，电信运营商在信息核查、监管、内控、个人信息保护等领域更应做到合法合规。

随着电信行业与大数据的结合愈加紧密，电信运营商对于数据安全风险尤其是运营过程中收集的个人信息可能产生的法律风险需要特别关注。电信大数据涉及国家安全、身份信息核查、个人信息保护等多个方面，国务院、网信办、工信部出台的法律、法规、规章中针对其有相应的特别规定，现将电信大数据相关法律、法规、规章整理如下：

法律、法规、规章	相关内容
《全国人民代表大会常务委员会关于加强网络信息保护的决定》	五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》	六、健全安全防护和管理，保障重点领域信息安全（一）确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。加大无线电安全管理和重要信息系统无线电频率保障力度。加强互联网网站、地址、域名和接入服务单位的管理，完善信息共享机制，规范互联网服务市场秩序。（四）强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理，保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任，严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作。
《网络安全法》	第二十四条　网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。第三十三条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。
《刑法》	侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪
《电信条例》	第五十六条　任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。第五十九条　电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制。第六十条　电信业务经营者在电信网络的设计、建设和运行中，应当做到与国家安全和电信网络安全的需求同步规划，同步建设，同步运行。第六十一条　在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。第六十五条　电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。
《互联网信息服务管理办法》	第六条　从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件：（二）有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度第十五条　互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。第十六条　互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。
《电信和互联网用户个人信息保护规定》	第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。第十五条　电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条　电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。
《电信业务经营许可管理办法》	第七条　申请办理基础电信业务经营许可证的，应当向工业和信息化部提交下列申请材料：（八）网络与信息安全保障措施第八条　申请办理增值电信业务经营许可证的，应当向电信管理机构提交下列申请材料：（七）网络与信息安全保障措施；第二十六条　电信业务经营者应当按照国家和电信管理机构的规定，明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员，建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度，并具备相应的技术保障措施。
《工业和信息化部关于规范电信服务协议有关事项的通知》	四、电信业务经营者与用户订立入网协议时，电信业务经营者应当要求用户出示有效身份证件、提供真实身份信息并进行查验，对身份不明或拒绝身份查验的，不得提供服务。五、用户委托他人代办电信业务手续的，电信业务经营者应当要求受托人出示用户和受托人的有效身份证件、提供真实身份信息进行查验。
《关键信息基础设施安全保护条例（征求意见稿）》	第十八条　下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位第二十一条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。第二十三条　运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；（二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；（三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密认证等措施。第二十四条　除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：（一）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；（四）制定网络安全事件应急预案并定期进行演练；（五）法律、行政法规规定的其他义务。
《即时通信工具公众信息服务发展管理暂行规定》	第六条　即时通信工具服务提供者应当按照“后台实名、前台自愿”的原则，要求即时通信工具服务使用者通过真实身份信息认证后注册账号。即时通信工具服务使用者注册账号时，应当与即时通信工具服务提供者签订协议，承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等“七条底线”。

在我国目前的法律体系下，电信大数据相关的法律法规有《网络安全法》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信条例》、《互联网信息服务管理办法》、《电信和互联网用户个人信息保护规定》、《电信业务经营许可管理办法》、《工业和信息化部关于规范电信服务协议有关事项的通知》、《关键信息基础设施安全保护条例（征求意见稿）》、《即时通信工具公众信息服务发展管理暂行规定》等。

在开展业务活动之初，首先，无论是申请办理基础电信业务经营许可证亦或增值电信业务经营许可证，电信业务运营者均应当提交与网络与信息安全保障措施相关的材料，此外，在获取经营许可之后，电信业务运营者还应当在每年第一季度通过管理平台向发证机关履行报告相关措施执行情况的义务。其次，明确“三同步”原则，即电信业务运营者应当保证安全技术措施的与电信网络的同步规划、同步建设与同步运行。

在实际运营过程中，首先，电信业务运营者应当贯彻“实名制”要求，在提供网络接入、信息发布、即时通讯，办理手机入网等服务时要求用户提供真实身份信息，用户不提供真实身份信息的，不得提供相关服务。其次，对于在提供服务过程中发现危害国家安全、破坏民族团结、破坏社会秩序、散布不良信息、侵犯他人合法权益的行为，电信业务运营者应当立即停止传输、保存记录并上报网安部门，应当注意的是，上述内容并不要求电信业务运营者主动履行违法信息的监测义务，对电信日常运营的影响十分有限。

在完善内控制度上，个人信息保护值得高度重视。首先，电信业务经营者收集个人信息时应当公布收集、使用规则，告知用户收集、使用的目的、方式、范围以及查询、更正信息的渠道并经其明示同意，不得将信息用户提供服务以外的目的，不得以欺骗、误导、强迫等方式收集个人信息，不得泄露、篡改、毁损收集的个人信息。其次，对于终止电信服务的用户，电信业务运营者应当及时提供注销服务，已经获取个人信息应当及时脱敏处理。再次，建立用户投诉处理机制，保证接到投诉十五日内答复投诉人。最后，定期进行工作人员个人信息保护知识技能培训，落实各部门、岗位及人员的解除权限和安全管理责任，每年至少进行一次对个人信息保护情况的审查。

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。