电信用户个人信息保护要求编制说明.docxVIP

电信用户个人信息保护技术要求

编制说明

目的意义

在大数据时代，日新月异的互联网技术和大数据技术为生活带来翻天覆地的变化，打破时间和空间的限制为用户提供更方便快捷的服务，但与此同时也让个人信息面临泄露、滥用等风险，给个人带来不必要的损失。国家高度重视用户个人信息保护，2018年4月，习近平总书记在全国网络安全和信息化工作会议上的讲话指示：国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。经济和社会发展十四五规划中明确指出，要保障国家数据安全，加强个人信息保护。2021年11月1日起施行的《个人信息保护法》为个人信息保护提供法律保障。为加强个人信息保护，在《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国民法典》等已有个人信息保护规定的基础之上，2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)，并于2021年11月1日起正式施行。《个人信息保护法》正式实施后，在网信部门的统筹管理下，各行业监管部门也通过开展一系列的行动推进本行业、本领域开展个人信息保护工作，国家及行业相关配套标准相继发布，但大多数个人信息处理者在个人信息保护合法要求落地实践中仍处于探索阶段。电信运营商因其业务的特殊性，收集、存储、处理大量的个人信息，保护措施不当会带来个人信息泄露、滥用等风险，易引发个人信息安全事件。因此亟需适合电信企业的个人信息保护标准，从个人信息的收集、存储、传输、使用加工、删除等行为进行统一规范，确保电信个人用户信息安全。

任务来源

随着经济增长及互联网技术的快速发展，信息传递展现出方式多样与快捷便利的特点，与此同时，用户个人信息安全问题也越发凸显，个人信息安全面临严峻挑战。黑客攻击、恶意程序、各类钓鱼和欺诈等各种网络攻击大幅增长，同时大量网民个人信息的泄露与财产损失也不断增加，用户隐私和权益遭到侵害，特别是一些重要数据甚至流向他国，不仅是个人和企业，信息安全威胁已经上升至国家安全层面。国家层面高度重视个人信息安全，先后施行《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，保护个人信息安全。

在此情况下，中国电信股份有限公司联合中国科学技术研究院信息工程研究所、西安电子科技大学等单位编写《电信用户个人信息保护要求》，本文件遵照《中华人民共和国个人信息保护法》《GB/T35273-2020信息安全技术个人信息安全规范》等法律法规、相关标准的要求，结合电信运营商的业务特点、企业实际情况，编写可落地、可执行的个人信息保护要求，进一步建设和提升电信企业用户个人信息保护能力。

编制过程

2023年3月2日，规范研制正式启动会。标准牵头单位对前期的研究工作进行了汇报。确定了标准的研究思路和分工。

2023年3月29日，提交项目立项申请书。

2023年4月26日，确定标准框架。

2022年5月25日，召开立项评审会，邀请专家对草案给出建议。

2023年6月25日，编制组召开一次编制讨论会，确定分工。

2023年7月25日，收集用户个人信息相关资料。

2023年8月30日至2023年12月1日，编写标准草案。

2023年12月10日，编制组召开第二次编制讨论会，讨论标准草案。

2023年12月30日，针对上次会议的意见进行修改，形成标准草案第二版，编制组开会讨论标准草案第二版。

2024年1月20日，项目组开会讨论，形成征求意见稿初稿。

2024年6月27日，邀请专家对征求意见稿后的修改版本进行评审。

2024年12月，形成征求意见稿。

主要内容

本标准描述电信个人信息保护要求，对电信运营商个人信息的收集、存储、传输、使用加工、删除等行为进行规范。本标准共有8章，分别为范围、规范性引用文件、术语和定义、缩略语、概述、电信用户个人信息保护通用要求、典型业务流程个人信息保护技术要求、个人信息安全管理要求。详情如下：

1、概述：简要描述电信运营商收集、处理用户个人信息涉及的系统和涉及用户个人信息的典型业务场景，具体包括：涉及电信用户个人信息的相关系统、电信用户个人信息分类分级、电信用户个人信息保护关键环节、涉及用户个人信息的典型业务场景和电信用户个人信息安全管理；

2、电信用户个人信息保护通用要求：主要包括个人信息收集、存储、使用加工、传输、提供、公开披露、删除、出境、委托处理9个章节，对个人信息提出具体的保护要求。

3、典型业务流程个人信息保护技术要求：主要包括新用户入网流程要求、服务开通流程要求、用户退网流程要求。

4、个人信息安全管理要求：包括个人信息保护影响评估、日志记录、安全审计、个人信息安全事件处置和个人信息安全事