2018.08.17 张岳 余达星
工业和信息化部(以下简称“工信部”)于2018年8月6日下发《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》(工信厅网安函[2018]261号,以下简称“《通知》”),启动了2018年电信和互联网行业网络安全检查工作。
一、 检查对象
根据《通知》的规定,本次检查工作涉及的重点检查对象除基础电信企业、域名注册管理和服务机构等传统的电信业务经营者建设和运营的网络及系统之外,还包括一般的互联网企业(基础电信企业、域名机构和互联网企业以下统称“网络运行单位”)的网络及系统。重点检查的网络及系统所覆盖的范围包括:
电信和互联网行业网络基础设施;
用户信息和网络数据收集、集中存储与处理的系统;
企业门户网站和计费系统;
域名系统;
电子邮件系统;
移动应用商店、移动应用程序及后台系统;
公共云服务平台;
公众无线局域网;
公众视频监控摄像头等重点物联网平台;
网约车信息服务平台;
车联网信息服务平台。
从上述检查对象的范围可以看出,对于移动应用商店(APP Store)、移动应用程序及后台系统(APP)、公共云服务平台(Public Cloud)、物联网平台(IoT Platform)、网约车平台(Ride-share Platform)和车联网平台(Telematic Service Platform)等新兴的行业应用领域,《通知》也特别将其纳入到本次检查工作的重点范围之中。
二、 具体工作安排
根据《通知》的规定,此次检查工作具体分为三个阶段:
(1)定级备案。《通知》要求网络运行单位按照工信部于2010年1月21日颁布的《通信网络安全防护管理办法》及相关适用的标准,对所有正式上线运行的网络和系统在工信部管理系统中进行定级备案或变更备案。
值得注意的是,虽然通信网络安全防护定级备案要求在形式上与《中华人民共和国网络安全法》(以下简称“《网络安全法》”)所规定的网络安全等级保护制度存在一定的类似之处,但两者并不等同,且分属不同主管机关监管。通信网络安全防护定级备案适用于电信业务经营者和域名机构,可视为工信部在电信领域网络安全保障的特殊行业要求,而网络安全等级保护工作适用于《网络安全法》规定的所有网络运营者,主要由公安机关负责实施。对于电信企业而言,有可能需要同时满足上述要求。
(2)自查整改。《通知》要求网络运行单位在2018年9月31日前完成网络安全的自查和自行整改等工作,并准备自查工作总结报告,按照其企业性质分别上报工信部或当地通信管理局。
(3)开展抽查。电信主管部门将采用“双随机”(即随机抽取检查对象、随机选派执法检查人员)的方式,选取部分网络和系统进行抽查。其中,各地通信管理局将至少抽查当地十家以上增值电信企业,并将检查工作总结报告于2018年10月31日前上报工信部。
三、 相关法律后果
根据《通知》的要求,如抽查过程中发现网络运行单位存在重大网络安全问题,该网络运行单位有可能面临如下法律后果:
(1) 限期整改。电信主管部门可通过《网络安全问题整改通知书》等形式,书面要求该网络运行单位限期整改;
(2) 问责处理。该网络运行单位需按照电信主管部门的要求,对相关责任部门和责任人进行问责处理;
(3) 报告。该网络运行单位需向电信主管部门报告问题整改和问责情况。
除上述《通知》规定的法律后果外,如抽查过程中发现的相关网络安全问题违反《网络安全法》等法律法规的其他规定,该网络运行单位还有可能面临罚款、责令停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等相应的法律责任。
四、 简评及建议
目前《网络安全法》正式实施已一年有余。但是,由于很多配套的具体法规尚未完全到位,根据我们对实践的观察,实际的执法工作在层级和力度上均相对有限。本次《通知》的发布,意味着将首先在电信和互联网领域从国家层面上开始加强对网络安全保护的合规监管,预期未来其他行业主管部门也有可能在其行业领域内开展类似的检查行动。《网络安全法》的网络安全保护要求将逐步在实际中得到落实。
另外,值得注意的是,《通知》要求在网络安全检查工作中与网信、公安等部门的沟通和协作,针对电信和互联网行业的网络安全检查,应当会同电信主管部门进行,进一步明确了工信部在电信和互联网行业网络安全保护工作中的职责。
基于《通知》的要求,我们建议增值电信业务经营主体应注意根据《网络安全法》、《通信网络安全防护管理办法》和《电信和互联网用户个人信息保护规定》等法律法规的规定加强网络安全保护的合规工作,以尽可能避免因电信主管部门的检查工作而产生不利影响。