（三）电信大数据应用合规性标准化

电信运营商经过多年的业务运营，积累了包括B域、O域、M域、DPI、信令、位置等网络数据，增值业务、行业和公众客户等应用数据，终端、渠道、自营平台等海量数据，涵盖人、产品、账务、营销、时间、地域、资源和财务等各类要素。随着内部数据需求和外部单位数据合作需求的快速增加，数据采集、流通和应用安全风险不断增大，为保证数据服务的安全性和合规性，需要建立健全包括文档、制度、流程、技术、人员、审核等全面的标准化手段和保障机制，在保证数据安全的前提下发挥数据价值，提升数据服务能力。

1.合规依据

电信大数据合规应用应严格遵守国家、地方及行业法律法规，尊重商业道德及社会公德，践行相关标准及规范，不得损害国家利益、社会公共利益及公民合法权益。电信大数据应用应遵循《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》（工业和信息化部令【第24号】）、《侵害消费者权益行为处罚办法》及其他相关法律法规对个人信息保护的相关规定。电信大数据对外服务过程中，如金融、交通、旅游、教育等行业，应同时遵循该行业，如人民银行、交通运输部、国家旅游局、教育部等监管机构关于数据使用的相关法律法规，在产生冲突时，应当遵循相对较为严苛、级别更高的数据安全管理规定。

2.安全管理制度

电信运营商有义务制定尽可能完善的、切实可行的数据安全管理制度，其内容至少包含数据安全管理办法、安全组织机制和安全操作机制三方面内容。数据安全管理办法中至少应包括完整的数据安全管理文件、周期性的安全评审管理机制、明确的安全相关部门管理职责和修订数据安全管理办法的机制。数据安全管理机制至少应包括内外部数据接触人员的背景审查机制、访问各类型数据的人员访问权限控制和保密协议等机制。数据安全操作机制至少应包括敏感数据在存储和传输过程中的加密机制、数据系统活平台访问控制机制、数据机房的操作监控机制和数据泄露等安全事件的预警及处理机制。

3.数据来源及转移方式

为保证数据采集和使用不超出合理的范围，保障数据的使用安全和用户隐私。数据源机构在对外提供数据合作时，应按照合理的产品形态及提供方式完成。数据形态及提供方式主要依据国家标准GB/Z28828-2012、电信行业标准YD/T2782-2014、《电信和互联网用户个人信息保护规定》以及数据服务输出领域的相关法规。

数据按照转移方式分为三类，即禁止对外转移的数据、安全方式下可直接对外转移的数据和安全监管环境中可以使用的数据。禁止对外转移的数据包括：揭示个人种族、宗教信仰有关的信息；揭示个人疾病和病史等与个人健康状况有关的信息以及与个人性生活有关的信息；基因、指纹、血型等揭示个人生理标识的信息；交易类服务中的账号、密码、密码保护答案等交易类服务身份标识和鉴权信息；法律、行政法规规定禁止转移的其他信息。安全方式下可直接对外转移的数据指数据源机构可以用安全的软件接口，在取得用户授权的情况下，将经过严格去隐私化的数据，直接向数据服务机构、第三方支付机构等合格的数据接受者转移，直接转移的数据包含且只包含以下几种形式：以“是否”等二元方式返回的查询类数据；以“分级”等方式返回的查询类数据，且按照查询数据对分级数量进行相应的数量规定；以“分数”等方式返回的经过加工计算后的信息，且确保无法还原出原始信息。安全监管环境中可以使用的数据是指数据源机构所管理的用户数据，除禁止对外转移的数据外，在取得用户授权的情况下，若不属于安全方式下可直接转移的数据（分级、分类、分数），则必须在安全、可控、被监管的环境中才可以供合格的数据接受者使用，大量在电信业务中产生的原始数据以及粗加工后的数据属于这一范畴。