数字经济观察网 - 软信官网

1月13日，工业和信息化部办公厅发布《关于加强互联网数据中心客户数据安全保护的通知》（工信厅网安〔2025〕5号），旨在全面提升互联网数据中心（IDC）客户数据安全保障能力，维护经济社会稳定与国家安全，这一举措在数字化时代具有深远且重大的意义。

互联网数据中心作为新一代信息基础设施的关键部分，承载着海量的客户数据，这些数据涉及千行百业，已然成为关系国民经济命脉的重要战略资源。在数字化浪潮席卷全球的当下，数据的价值愈发凸显，其安全性不仅关乎企业的正常运营和用户的个人权益，更与国家的信息安全和经济稳定紧密相连。因此，提升IDC客户数据安全保障能力刻不容缓。

通知在基本要求层面，严格依据《数据安全法》《网络安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律法规和政策要求，确立了“权责一致、分类施策、技管结合、确保安全”的总体原则，并提供了具体实施指引。这要求IDC业务经营者在与客户、第三方服务商等签署的合同协议中，清晰明确各方在数据安全保护方面的责任与义务。同时，需建立健全客户数据安全管理制度，指定专门的数据安全负责人和管理部门，以强化管理保障措施。

建立客户管理机制也是关键一环。IDC业务经营者应根据客户类别和数据保护需求的差异，提供多样化的安全保护措施供客户选择。在数据处理流程中，要明确数据访问、操作、销毁等重点环节的安全策略与流程机制，实施数据隔离等保护手段。在进行可能影响客户数据安全的高危操作或对外提供客户数据之前，必须事先告知客户并获得其明确授权。此外，通过冗余设计等方式，提高业务的连续性和稳定性，确保客户数据的持续可用。

做好事件应急处置同样不容忽视。IDC业务经营者需要建立客户数据安全事件应急预案，并定期开展应急演练。一旦因自身原因引发客户数据安全事件，应立即启动应急处置措施，及时将情况告知客户，并按照相关要求向电信主管部门报告。同时，根据业务实际情况，为客户提供数据安全技术能力以及网络安全防护产品或服务。

针对服务器托管业务场景，通知着重强调保障机房设施安全的重要性。这就要求规范机房安全管理，配备完善的物理安全保障措施，加强对机房权限、人员值守、消防系统等方面的安全保障力度，及时发现并消除各类安全隐患，避免客户数据出现损毁、丢失等情况。在设备供应链管理方面，对于涉及服务器、网络设备售卖、租赁服务的情况，要加强设备采购安全管理，建立详细的设备台账，在设备上架前进行严格的安全检查，并做好定期的维护更新工作，有效防范客户数据被篡改、窃取。

在数据存储与计算业务场景，保障数据存储和计算安全是核心任务。IDC业务经营者需要提供容灾备份、校验技术、密码技术等数据安全保护能力，同时配备存储和计算资源监控技术能力，以便及时发现并预警存储和计算资源的异常使用情况，合理做好资源的动态调整分配，确保相关资源的安全可用。在数据传输安全方面，要提供数据加密、接口鉴权、安全审计等保护措施，加强数据安全风险监测预警，具备发现、告警与处置数据流量异常、违规导出等安全风险的能力，协助客户保障数据传输链路和接口的安全。对于涉及人工智能训练数据集管理功能以及算力调度及算力服务的业务，要分别保障客户自有训练数据集的安全，避免数据集被泄露、污染，同时做好算力调度策略安全管理，配备算力异常使用情况的监测预警与应急处置能力，保障算力调度安全。

在数据安全供给支撑方面，工信部将积极推进数据安全标准研制工作。组织制定IDC业务客户数据安全保护、能力评价等相关标准，明确IDC业务客户数据通用及典型业务场景的安全保护细则、责任划分模型等内容，并建立客户数据安全保护能力分级评价体系，以此引导IDC业务经营者不断提升客户数据安全保护水平。同时，鼓励IDC业务经营者自行或委托第三方专业机构定期开展客户数据安全保护能力评价。行业组织、专业机构可依据能力评价结果，开展客户数据安全保护能力分级，帮助IDC业务客户根据自身业务场景、数据重要程度等因素，更加科学合理地选择IDC业务。

通知明确要求，IDC业务经营者要切实重视客户数据安全保护工作，强化责任担当意识，结合本单位的实际情况，积极加大资源投入，全面做好客户数据安全保护工作，进而切实提升IDC业务的服务水平。工业和信息化部以及各地通信管理局将加强对IDC业务客户数据安全保护工作的督促指导，确保相关企业主体责任得到有效落实。

此次发文全面涵盖了IDC业务各个环节的客户数据安全保护要求，为IDC行业的健康、安全发展指明了方向。有望进一步提升我国IDC行业的客户数据安全保护水平，为数字经济的稳定、可持续发展奠定坚实的安全基础，助力我国在数字化时代的国际竞争中占据更加有利的地位。