中国移动客户信息安全保护管理规定

中国移动客户信息安全保护管理规定
目录
中国移动客户信息安全保护管理规定 (1)
第一章总则 (4)
第二章客户信息保护原则 (4)
第三章组织与职责 (6)
第四章客户信息的内容及等级划分 (8)
第一节客户信息的内容 (8)
第二节客户信息等级划分 (9)
第三节存储及处理客户信息的系统 (9)
第五章岗位角色与权限 (10)
第一节业务部门岗位角色与权限 (10)
第二节运维支撑部门岗位角色与权限 (14)
第六章帐号与授权管理 (16)
第七章客户信息全生命周期管理 (17)
第一节客户信息的收集 (17)
第二节客户信息的传输 (18)
第三节客户信息的存储 (19)
第四节客户信息的使用 (20)
第五节客户信息的共享 (25)
第六节客户信息的销毁 (25)
第八章金库模式管控 (26)
第一节管控系统范围 (27)
第二节场景管理 (27)
第三节实现方式 (28)
第四节策略管理 (29)
第九章第三方管理 (29)
第十章客户信息系统的技术管控 (32)
第一节系统安全防护 (32)
第二节集中4A管控要求 (33)
第三节远程接入管控 (34)
第四节客户信息泄密防护 (35)
第五节系统间接口管理 (36)
第六节数据脱敏 (37)
第十一章敏感操作日志管理 (37)
第一节操作日志记录 (38)
第二节操作日志集中化 (38)
第三节操作日志审核 (39)
第十二章客户信息安全审核 (40)
第一节合规性审核 (40)
第二节日常例行安全审核与风险评估 (41)
第十三章安全事件应急响应 (41)
第十四章事后问责 (42)
第十五章附则 (43)
附录1 (44)
客户信息分类表 (44)
附录2 (46)
客户信息分级及管控原则 (46)
附录3 (47)
业务部门和支撑部门岗位角色 (47)
附录4 (49)
客户信息模糊化参考规则 (49)
附录5 (52)
客户信息开放规则 (52)
第一章总则
第一条为加强中国移动客户信息安全管理，规范客户信息访问流程、用户访问权限以及承载客户信息的环境，防范客户信息被违法使用和传播的风险，根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求，特制定本规定。

第二条客户信息安全管理涵盖客户信息的收集、传输、存储、使用、共享、销毁等各个环节。

客户信息的载体包括电子和纸质两种形式。

第三条本规定是集团公司进行客户信息安全管理工作的基本依据。

第四条本规定适用于集团公司及所属各单位（以下简称：各单位）。

第二章客户信息保护原则
第五条客户信息安全保护管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。

第六条各单位应严格遵守“五条禁令”的相关要求，保护客户信息安全，严禁泄露、交易和滥用客户信息。

中国移动员工有权制止任何可能危害客户信息安全的行为，并向公司举报。

第七条各单位对客户信息的管理应遵循如下原则：
（一）主体责任明确原则——按照“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分工，
各单位应对其持有的客户信息承担安全责任，无论这些信息通过何种途径获得。

（二）用户知情同意原则——收集、使用个人信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

（三）分类分级管控原则——对信息进行分类分级，根据敏感程度不同，采取适当的、与信息安全风险相适应的管理措施和技术手段，保障信息安全。

（四）用户授权查询原则——禁止所有特权操作，查询客户敏感数据时，应确保所有查询操作行为必须经过客户授权，并留存授权记录，禁止在未经用户授权的情况下进行查询操作。

（五）最少够用原则——在向内部单位、平台、第三方共享开放信息时，在满足管理要求的前提下仅提供业务开展明确需要的信息属性、标签属性及规模。

（六）质量保证原则——在处理客户信息的过程中，应基于管理与技术手段确保客户信息的准确性、真实性、时效性、可用性，不得篡改、损毁。

（七）敏感数据不出网原则——除获得用户明确授权外，用户的个人敏感数据不得开放给他人或第三方企业，未经脱敏处理的敏感数据不可离开中国移动网络与计算环境。

（八）可追溯原则——对于客户信息操作的日志应完整准确记录，确保所有操作可追溯到具体的操作人和操作依据，杜绝擅自篡改、删除记录等违规行为。

第三章组织与职责
第八条客户信息安全管理采取归口管理的方式，各单位应明确客户信息安全归口管理部门。

第九条各单位应定期组织客户信息安全评估和审核，对发现的隐患及时整改。

第十条各单位应当建立用户投诉处理机制，公布有效的联系方式，接受与客户信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

第十一条各单位应当对工作人员进行客户信息保护相关知识、技能及安全责任培训。

第十二条集团公司各部门应负责各自主管的业务系统的客户信息安全保护，明确各业务系统的客户信息安全责任人，按照本规定落实业务系统的安全管理要求。

第十三条客户信息安全归口管理部门的职责：
（一）负责客户信息安全的全面管理；
（二）组织制定统一的客户信息安全保护管理规定和实施细则；
（三）组织制定客户信息安全保护管理的制度、策略；
（四）组织研究客户信息安全保护的技术手段；
（五）负责收集、汇总客户信息泄密事件；
（六）定期组织客户信息安全管理专项审核；
（七）牵头组织进行客户信息泄密事件的查处；
（八）负责客户信息安全事件的对外解释口径。

第十四条涉及客户信息的业务管理部门职责：
（一）负责规范相关部门访问客户信息的业务人员岗位角色及其职责；
（二）负责主管的业务系统的客户信息安全保护，建立落实管理制度和实施细则；
（三）监督业务人员落实“五条禁令”；
（四）负责业务层面客户信息安全的日常管理和审核工作；
（五）负责受理客户信息泄密事件的投诉、上报；
（六）制订对业务合作伙伴的信息泄露的惩罚措施及具体实施；
（七）协助完成客户信息泄密现象的市场调查；
（八）协助进行客户信息泄密事件的查处。

第十五条运维支撑部门的职责:
（一）负责所运维的涉及客户信息的系统和平台技术层面的客户信息安全保障和稽查工作；
（二）负责所主管系统的客户信息安全保护, 建立落实管理制度和实施细则；
（三）负责规范后台运行维护人员、开发测试人员、生产运行支撑人员的角色和职责；
（四）监督本部门业务支撑人员落实“五条禁令”；
（五）做好对第三方的管理，包括组织签订保密协议，加强操作管理等；
（六）负责规范所属系统和平台客户信息安全技术标准和访问流程；
（七）协助主管部门查处客户信息泄密事件。

第十六条其他相关部门的职责
（一）人力资源部门：组织有关员工签订保密承诺书，及时发布人员岗位变动、离职的信息给帐号管理部门，参与对客户信息泄密人员的查处；
（二）计划、采购、工建部门应在系统规划、方案设计阶段，考虑客户信息安全保护的要求，并在合同中纳入客户信息保密的条款；工建部门应在系统交维前，对工程建设阶段的联调测试、系统运营等环节涉及的客户信息保护负责；工建部门应在系统验收阶段，检查客户信息保护工作的落实情况，不达到要求的不予验收；
（三）信息化部门负责办公终端安全管理，应建立办公网客户信息的监控与防泄密机制；
（四）纪检部门负责“五条禁令”的监察、违规行为的调查审核、违规人员的处罚判决；
（五）审计部门负责开展客户信息风险的审计；
（六）综合管理部门负责客户信息安全的相关对外宣传。

第四章客户信息的内容及等级划分
第一节客户信息的内容
第十七条客户信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定用户身份或者反映特定用户活动情况的各种信息。

包括用户身份和鉴权信息、用户数据及服务内容信息、用户服务相关信息等三大类。

客户信息的详细内容见附录一。

第十八条用户身份和鉴权信息包括但不限于：用户自然人身份及标识信息、用户虚拟身份、用户鉴权信息等。

第十九条用户数据及服务内容信息包括但不限于：用户的服务内容信息、联系人信息、用户私有数据资料、私密社交内容等。

第二十条用户服务相关信息包括但不限于：业务订购关系、服务记录和日志、消费信息和账单、位置数据、违规记录数据、终端设备信息等。

第二节客户信息等级划分
第二十一条客户信息等级分类按照客户信息的敏感程度划分为极敏感级、敏感级、较敏感级和低敏感级四类，具体划分方法请参见附录二。

第二十二条各单位应根据上述客户信息等级分类，按照分类分级管控原则，进一步确定本单位数据的涉敏场景及相应的涉敏人员范围。

第三节存储及处理客户信息的系统
第二十三条存储和处理客户信息的系统包括支撑系统、业务平台、通信系统等3大类。

第二十四条存储和处理客户信息的支撑系统包括但不限于：业务支撑系统（BOSS）、经营分析系统、CRM、网管系统（性能管理系统等）、不良信息治理系统、上网日志留存系统、统一DPI系统等。

第二十五条存储和处理客户信息的业务平台包括但不限于：云平台、大数据平台、短信中心、彩信中心(MMSC)、短信网
关、彩信互通网关、企信通、LBS、彩铃平台、和包、MISC(DSMP)、ADC、ADC位置类系统、ADC业务平台、和飞信、和通讯录等。

第二十六条存储和处理客户信息的通信系统包括但不限于：MSC、HSS/HLR、WAP网关、端局、关口局等。

第二十七条各单位自建或合作运营的涉及客户信息的其他系统。

第五章岗位角色与权限
第二十八条帐号的权限分配应当遵循“权限明确、职责分离、最小特权”的原则。

原则上一个用户帐号对应一个用户，而一个用户帐号拥有的权限是由其被赋予的岗位角色所决定的，应按照角色或用户组进行授权，而不是将单个权限直接赋予一个用户帐号。

第二十九条各单位应对使用涉及客户信息的业务系统的岗位角色进行定期梳理，对权限相近的岗位角色进行合并，并对岗位角色的权限进行规范。

在涉及客户信息的系统中，岗位角色应当根据企业、部门的组织结构和职责分配而设定；同时，应当根据岗位角色的需要对相关人员进行授权，不能根据人员需求或变更而设定岗位角色。

不同的岗位角色拥有不同的权限。

第一节业务部门岗位角色与权限
第三十条业务部门是指各单位市场经营部、数据业务部门、政企业务部门等使用客户信息的部门。

第三十一条业务部门经过授权的员工是客户信息的使用者。

原则上，经授权的业务部门的员工可以访问相关系统的客户
信息，但不得拥有批量导出客户信息的权限。

第三十二条业务部门的岗位角色主要包括：涉及各单位市场部、数据业务部门、政企业务部门等部门的产品研发、市场政策与策划、业务运营、运营系统支撑、服务营销等5大类角色，具体岗位角色见附录三。

（一）角色1：产品研发
1.岗位举例：产品研发、产品经理、行业经理等细项岗位；
2.岗位说明：该类岗位角色主要指各省（区、市）业务部门具体负责产品研发、推广的岗位。

3.权限要求
（1）可以查看对应产品所涉及的客户信息；
（2）仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息的操作的权限。

（二）角色2：市场政策与策划
1.岗位举例：市场运营分析、服务营销策划、渠道管理、传播管理等细项岗位；
2.岗位说明：该类岗位角色主要指各省业务部门具体负责后台分析、营销及其他管理工作的岗位。

3.权限要求
该角色人员只可查询系统中的统计数据，不应授予查询、操作客户信息的权限，如因客户关怀、二次营销等工作确需接触客户信息，请按照“数据提取”的相应规定进行；
（三）角色3：业务管理
1.岗位举例：业务管理、服务质量管理、合作管理、业务运营管理、业务运营支撑等细项岗位；
2.岗位说明：该类岗位角色主要指各省业务部门负责业务运营、支撑、服务质量等细项业务处理的岗位；
3.权限要求
（1）根据具体岗位的不同，考虑具体工作的需要，可以查看相应权限所涉及的客户信息；
（2）仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息的操作权限。

（四）角色4：运营系统支撑
1.岗位举例：业务系统管理、系统运营支撑等细项岗位；
2.岗位说明：该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。

3.权限要求
（1）该角色人员负责部门系统帐号、口令的管理，配合业支部门进行相应系统的开发、运营和维护，可以查看相应权限所涉及的客户信息；
（2）仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息的操作权限。

（五）角色5：服务营销
1.岗位举例：客户服务营销、渠道服务营销、营业厅服务营销、电子渠道服务营销等细项岗位；
2.岗位说明：该类岗位角色主要是指各省业务部门的各项渠道中直接服务于客户的一线岗位。

3.权限要求
（1）根据具体岗位的不同，考虑具体工作的需要，经过授权后查看相应权限所涉及的客户信息；
（2）直接为客户办理业务的岗位，应按最小授权原则，可授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息操作的部分权限，但必须有严格的日志记录；
（3）不直接面对客户的岗位，仅具有查询权限，不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息的操作权限。

第三十三条业务人员的授权管理：
（一）按照中国移动帐号口令相关管理要求进行权限分配，提供给相关人员。

（二）角色5的岗位，可在得到用户授权同意的情况下，在系统中根据需要对授权范围内的客户信息进行相应操作，但需有严格日志记录；
（三）若要对客户信息进行增、删、改、批量导入、导出、为客户批量开通、取消业务等操作，需经过用户授权后方可实现；
（四）除角色5外的其他角色，可在得到用户授权同意的情况下查看所需要的、授权范围内的客户信息，但禁止其对客户信息进行相应其他操作，具体操作包括：增、删、改、批量导入、批量导出、拷屏等；
（五）所有敏感数据的读取及修改操作的责任都能落实到人，根据信息泄漏途径的归属确定每项敏感数据在该途径的“责任人”；
（六）对由于业务人员造成的敏感信息安全问题承担相应责任。

第二节运维支撑部门岗位角色与权限
第三十四条运维支撑部门是指业务支撑系统部（业务支撑中心）、网络部（网管中心）等运维管理涉及客户信息系统的部门。

第三十五条经过运维支撑部门授权的员工是涉及客户信息的系统的运维管理者，经授权的员工拥有查询、增加、删除、修改、批量导入导出、批量开通与取消、批量下载等操作客户信息的部分权限。

第三十六条运维支撑部门的岗位角色主要包括运行维护、开发测试、生产运营3大类角色。

（一）角色1：运行维护
1.岗位举例：主机管理员、网络管理员、数据库管理员、应用管理员、配置管理、服务监控、安全管理。

2.岗位说明：该类岗位主要包括各省公司负责涉及客户信息的系统的维护管理和服务监控的人员。

3.权限要求
（1）主机管理员、网络管理员、数据库管理员、配置管理员等超级管理员原则上不允许查询客户信息；
（2）应用管理员有查询权限，按照最小授权原则授权，可
授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户信息操作的部分权限，但必须有严格的日志记录；
（3）具有批量操作权限的人员应指定专人，人员范围应尽量小。

（二）角色2：开发测试
1.岗位举例：架构管理、系统设计、应用开发、应用测试、项目建设管理等；
2.岗位说明：该类岗位主要包括各省公司负责涉及客户信息的系统的设计、研发、测试以及项目建设管理人员。

3.权限要求
（1）开发测试人员原则上不能接触生产系统数据；
（2）开发测试人员仅具有测试系统的操作权限，开发测试系统需要涉及到客户敏感数据信息的内容，原则上使用过期数据或是模糊化处理之后的数据。

模糊化的方法见附录四。

（三）角色3：生产运营
1.岗位举例：投诉管理、运营分析、出帐管理、数据质量支撑、安全审核等；
2.岗位说明：该类岗位主要包括各省公司负责业务支撑系统的投诉管理、运营分析等生产运营相关人员。

3.权限要求
若涉及投诉处理、批量业务操作的需要，按照最小授权原则，可授予查询，修改，批量导入导出的权限，授权人员范围应尽量小。

第六章帐号与授权管理
第三十七条各单位应建立涉及客户敏感信息操作（简称“涉敏”）人员名单库，将所有涉敏人员进行集中化管理。

名单库应至少包含人员姓名、所属部门、岗位角色、涉敏权限、帐号列表等。

第三十八条各单位应严格控制涉敏人员的范围，禁止对厂家、合作单位等非本单位人员分配涉敏权限帐号。

第三十九条各单位应对涉敏人员库进行严格管控和动态维护，对发生离职、岗位变化等人员的权限进行及时调整，停止涉敏相关授权。

第四十条各单位应组织对全量系统、全量客户信息数据进行梳理，确定涉敏系统及涉敏信息，并进行动态维护。

第四十一条各单位应依据职责不相容原则，对于已分配前台操作帐号的人员，不得再分配具有日志管理权限的后台帐号。

第四十二条内部人员帐号管理:
（一）各系统的帐号（包括业务帐号和运维帐号，下同）应该由该系统的主管部门管理，主管部门需明确岗位角色和权限的匹配规则，提供岗位角色和权限对应的矩阵列表,确保帐号设置与岗位职责相容。

应按照权限最小化原则合理设置岗位角色，对拥有涉敏权限的岗位角色应严格管控。

（二）主管部门需指定专人作为管理员负责所管辖系统的帐号权限分配，明确所管辖系统的帐号权限申请审批流程，按照权限最小化原则、依据人员岗位角色进行帐号授权。

（三）管理员应将所管辖系统的岗位角色权限矩阵变更申请及帐号权限变更申请提交主管领导审批，严格限制系统涉敏权限和超级帐号的授权。

（四）管理员需要定期组织系统帐号使用情况的审核，确认系统中用户身份的有效性、帐号创建的合法性、权限的合理性，对离职人员帐号及时停止授权，对存在的问题提出整改要求。

第四十三条第三方帐号管理
（一）禁止第三方人员掌握系统管理员权限，禁止为第三方人员分配具备创建系统帐号或者其他超出工作范围权限的高权限帐号。

（二）特殊情况下，第三方人员若需要获得系统管理员权限，应临时授权并严格监控,留存授权审批记录，工作完成后及时收回权限。

（三）应参照内部人员帐号管理要求，定期对全量第三方帐号进行严格审核。

（四）各单位应对第三方帐号申请、回收、授权、有效期等环节进行严格管理，并制定管理办法，确保第三方人员发生离职或岗位变动时能及时清理其帐号。

第七章客户信息全生命周期管理
第一节客户信息的收集
第四十四条各单位收集客户信息时，应具备合法、正当的目的，并清晰、准确地予以描述。

第四十五条各单位应根据已确定的目的，确定收集最少的
客户信息，以及存放地域、存储期限、收集频率等处理规则。

第四十六条各单位应当在经营或者服务场所、网站等公布客户信息收集、使用规则，明确告知用户收集、使用信息的目的、方式和范围，留存信息的期限，查询、更正、删除信息及注销账户的渠道以及拒绝提供信息的后果等事项。

第四十七条在用户通过营业厅或线上渠道登记使用服务时,应在取得用户同意后方可收集客户信息，法律法规另有规定的除外。

第四十八条针对违反双方约定收集、使用其个人信息的，或收集、存储其个人信息有错误的，用户可提出删除或更正要求，各单位应采取措施予以满足。

第四十九条各单位委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用客户信息的，应当对代理人的客户信息保护工作进行监督和管理，不得委托不能满足客户信息保护要求的代理人代办相关服务。

第二节客户信息的传输
第五十条各单位应根据业务流程、职责界面等情况，合理划分安全域，并在安全边界上配置相应的访问控制策略及部署安全措施。

针对面向互联网域、外部接入域传输等存在潜在安全风险的环境，应对敏感信息的传输进行加密保护，并根据数据敏感级别采用相应的加密手段。

第五十一条各单位应强化传输接口安全管控，实施系统间接口的设备鉴权、并通过MAC地址、IP地址或端口号绑定等方式限制违规设备接入，实施数据流程控制、关键操作日志管理机
制。

第五十二条敏感信息传输至其它系统前，应依据“谁使用谁负责”的原则明确双方安全责任，同时，应保障在传输过程中的安全保密。

第五十三条采用密钥加密时，各单位应对密钥的生成、分发、验证、更新、存储、备份、有效期、销毁进行管理，严格实施密钥存储介质管理，确保密钥的安全。

同时，应采用公认安全的、标准化公开的加密算法和安全协议。

第三节客户信息的存储
第五十四条各单位应制定管理规定对存放客户信息的电子文件或纸介质进行有效管理，规定其保存、传输、销毁等流程，明确存有客户信息的物理介质（磁阵、硬盘和磁带等）的维护、更换、升级和报废等操作要求，防止客户信息泄漏。

第五十五条各单位应加强对存储客户信息的物理区域（如机房、维护处室／中心）的管理，采用相应的访问权限分配策略及门禁卡等控制手段，同时对进出的人员、目的、操作进行详细记录，外来人员进入该区域应由本公司对口的维护人员全程陪同。

第五十六条对于要离开系统的物理介质，必须采用有效的手段由专人彻底删除客户信息后，才可离开其所在的安全区域。

如果要将存有客户信息的介质交给第三方，必须得到主管领导的审批。

第五十七条各单位应采取有效的技术、管理手段加强对涉及客户信息的系统使用移动存储介质的管控。

应记录移动介质输。