6月8日,工信部官网刊发《互联网新业务安全评估管理办法(征求意见稿)》。
《办法》明确指出,为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工业和信息化部研究形成了该办法,并向社会公开征求意见。
《办法》主要传递了这几个重要信息:
1、“
互联网新业务”界定。
《办法》将“互联网新业务”界定为“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务”。
2、
安全评估方式。
《办法》明确了电信业务经营者拟将互联网新业务面向社会公众上线的,应当对所开展的互联网新业务进行安全评估。评估的内容包括用户个人信息保护、网络安全防护、网络信息安全、健全管理制度等方面。评估的方式可以是电信业务经营者自行评估,也可以委托专业机构评估。
3、不合格限期整改。
《办法》要求电信业务经营者在互联网新业务面向社会公众上线后45日内,向电信管理机构告知安全评估情况,提供书面评估报告等材料。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
4、或将
约谈电信业务经营者主要负责人。
《办法》指出,对于未按照规定及时开展互联网新业务安全评估等情形,可以约谈电信业务经营者主要负责人。
5、部分业务将不纳入。
考虑到互联网领域创新非常活跃,为了便利企业创新创业,《办法》规定互联网新业务开展时间达到三年的,将纳入网络与信息安全日常监督管理,可以不再进行新业务安全评估。
6、行业通报惩罚制度。
电信管理机构应当建立电信业务经营者互联网新业务安全评估情况通报制度,定期公布互联网新业务安全评估情况。
以下为《互联网新业务安全评估管理办法(征求意见稿)》原文:
互联网新业务安全评估管理办法(征求意见稿)
第一条
【立法目的】
为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。
第二条
【适用范围】
中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。
第三条
【定义】
本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。
本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
第四条
【工作原则】
电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。
第五条
【管理职责】
工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。
各省、自治区、直辖市通信管理局负责对本行政区域内的互联网新业务安全评估工作实施监督管理。
工业和信息化部和各省、自治区、直辖市通信管理局统称“电信管理机构”。
第六条
【鼓励创新】
国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。
第七条
【行业自律】
国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。
第八条
【评估标准】
工业和信息化部依法制定互联网新业务安全评估标准。
第九条
【评估要求】
电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。
第十条
【评估启动】
有下列情形之一的,电信业务经营者应当对所开展的互联网新业务进行安全评估,形成书面评估报告:
(一)拟将互联网新业务面向社会公众上线的(含合作推广、试点、商用试验);
(二)电信管理机构书面要求电信业务经营者进行安全评估的。
按照前款第一项规定进行安全评估的,应当在互联网新业务面向社会公众上线前完成评估。
第十一条
【评估方式】
电信业务经营者进行互联网新业务安全评估,可以采取自行评估的方式,也可以委托专业机构实施评估。
第十二条
【风险控制】
电信业务经营者进行互联网新业务安全评估,发现存在重大网络信息安全风险的,应当及时改正。
第十三条
【评估报告】
电信业务经营者应当在互联网新业务面向社会公众上线后45日内,向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。
第十四条
【报告材料】
电信业务经营者按照本办法第十三条的规定向电信管理机构告知评估情况的,应当提供以下材料:
(一)书面评估报告,包括业务情况、技术实现方式、安全评估内容和结论、安全管理措施等;
(二)公司名称、法定代表人、安全责任人、应急联系人及其联系方式;
(三)电信管理机构依法要求提交的其他材料。
第十五条
【纠正措施】
电信业务经营者提供的互联网新业务安全评估材料不齐全的,电信管理机构应当指导电信业务经营者补正。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
第十六条
【应急保障】
电信业务经营者开展互联网新业务的,应当按照电信管理机构的要求,建立互联网新业务重大网络信息安全事件应急处置机制,制定网络信息安全应急预案并定期组织演练。
第十七条
【内部制度】
电信业务经营者开展互联网新业务的,应当建立并实施企业内部互联网新业务安全评估管理制度和保障制度。
第十八条
【员工培训】
电信业务经营者开展互联网新业务的,应当对有关工作人员开展互联网新业务安全评估相关政策、法规、标准、技能的培训和考核。
第十九条
【监督检查】
电信管理机构应当对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况实施监督检查。
电信管理机构实施监督检查,可以要求电信业务经营者提供相关资料,对其相关工作人员进行询问,进入其经营场所检查、调查、取证。电信业务经营者应当予以配合、协助。
第二十条
【监测】
电信管理机构应当组织对互联网新业务进行监测。在监测中发现互联网新业务存在重大网络信息安全风险的,应当要求电信业务经营者限期改正。电信业务经营者应当进行改正。
第二十一条
【约谈改正】
电信业务经营者有下列情形之一的,电信管理机构可以约谈其主要负责人:
(一)未按照本办法的规定及时开展互联网新业务安全评估的;
(二)未按照本办法的规定向电信管理机构告知评估情况,情节严重的;
(三)企业内部安全评估管理制度和保障制度不健全或者未实施,情节严重的;
