為了規範電信業務經營者的網際網路新業務安全評估活動,維護網路資訊保安,促進網際網路行業健康發展,工信部6月8日公開徵求對《網際網路新業務安全評估管理辦法(徵求意見稿)》的意見。
該辦法所稱網際網路新業務,是指電信業務經營者通過網際網路新開展其已取得經營許可的電信業務,或者通過網際網路運用新技術試辦未列入《電信業務分類目錄》的新型電信業務。
該辦法所稱安全評估,是指電信業務經營者對其網際網路新業務可能引發的網路資訊保安風險進行評估並採取必要的安全措施的.活動。
電信業務經營者的網際網路新業務開展時間達到三年的,納入網路與資訊保安日常監督管理,可以不再按照該辦法進行網際網路新業務安全評估。
《辦法(徵求意見稿)》共三十一條,主要規定了如下內容:
(一)明確了適用範圍。《辦法》適用於我國境內的電信業務經營者開展網際網路新業務安全評估活動(第二條)。結合《中華人民共和國電信條例》的規定,《辦法》將“網際網路新業務”界定為“電信業務經營者通過網際網路新開展其已取得經營許可的電信業務,或者通過網際網路運用新技術試辦未列入《電信業務分類目錄》的新型電信業務”(第三條)。
(二)確定了啟動安全評估的情形。電信業務經營者擬將網際網路新業務面向社會公眾上線的,應當對所開展的網際網路新業務進行安全評估(第十條)。評估的內容包括使用者個人資訊保護、網路安全防護、網路資訊保安、健全管理制度等方面(第九條)。評估的方式可以是電信業務經營者自行評估,也可以委託專業機構評估(第十一條)。網際網路新業務的技術實現方式、業務功能或者使用者規模等發生較大變化,可能存在重大網路資訊保安風險的,參照《辦法》進行安全評估(第二十九條第一款)。
(三)建立了安全評估報告制度。《辦法》要求電信業務經營者在網際網路新業務面向社會公眾上線後45日內,向電信管理機構告知安全評估情況(第十三條),提供書面評估報告等材料(第十四條)。電信管理機構發現評估報告不符合有關規定、標準的,應當要求電信業經營者限期改正或者重新評估,並在30日內提交評估材料(第十五條)。
(四)完善了監督檢查制度。《辦法》要求電信管理機構對電信業務經營者的安全評估情況實施監督檢查,對網際網路新業務進行監測,及時發現重大網路資訊保安風險(第十九條、第二十條)。對於未按照規定及時開展網際網路新業務安全評估等情形,可以約談電信業務經營者主要負責人(第二十一條)。《辦法》建立了網際網路新業務安全評估情況通報制度,要求電信管理機構定期公佈網際網路新業務安全評估情況(第二十二條)。同時,對電信管理機構的監督檢查活動進行嚴格規範,明確監督檢查中不得收取任何費用,不得妨礙正常的經營或者服務活動(第二十三條)。
(五)促進創新發展。《辦法》明確鼓勵電信業務經營者進行網際網路技術業務創新,提升網際網路行業發展水平(第六條)。考慮到網際網路領域創新非常活躍,為了便利企業創新創業,《辦法》規定網際網路新業務開展時間達到三年的,將納入網路與資訊保安日常監督管理,可以不再進行新業務安全評估(第三十條)。
此外,《辦法》對違反安全評估制度的行為,明確了相應的法律責任(第二十六條至第二十八條)。