「 道可特法视界第 1613 篇原创文章 」
随着《网络安全法》《数据安全 法》《个人信息保护法》《通信网络安全防护管理办法》等法律法规的陆续颁布实施,网络数据安全立法体系逐渐建立完善,监管部门针对电信和互联网行业的“以查促建、以查促管、以查促防、以查促改”的配套措施亦同步跟进。 《关于开展2022年电信和互联网行业网络与数据安全检查的通知》(以下简称《通知》)的发 布,旨在通过检查规范和要求,强化行业的风险防范及主体责任落实,检验网络和数据安全防线,其重要程度与监管态度不言而喻。
为帮助电信和互联网行业应对上述检查,本文将重点厘清《通知》所面向的目标与重点监管企业、普遍与关键监管要求,从法律角度解读监管政策,立足实践为企业提出合规检查应对建议。以期帮助相关企业做好行业网络安全防护,避免在检查中出现落实不到位、制度未建立、系统不规范、标准未达到等问题,从而暴露企业网络安全隐患,影响电信网和公共互联网的持续安全稳定运行。
第一部分 检查对象
01. 目标企业
本次《通知》面向北京地区电信和互联网行业企业及网络运行单位发布,具体而言包括:提供公共互联网网络信息服务的基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。 从《通知》中整体的检查重点来看,本次将着重检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。 而从《通知》具体的检查内容来看,部分具体的重点企业需面临单独或关键的安全义务履行,相关企业应当界定好自身企业性质,因事制宜地推进网络安全合规工作。 按照《通知》依据的法规之一《通信网络安全防护管理办法》适用范围来看,通信网络运行单位即电信业务经营者和互联网域名服务提供者属于本次检查中较为重视的企业,该等企业管理和运行的公用通信网和互联网的网络安全防护工作也是检查重点。 根据《电信条例》规定,增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务,该《通知》内容中针对增值电信企业作出了部分专门要求,属于增值电信行业的企业应予以特别注意。 该检查中针对的移动互联网APP运营企业主体可参照《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》的整治对象范围,包括APP服务提供者,即互联网信息服务提供者提供的可以下载、安装、升级的应用软件,包括快应用和小程序等新应用形态;软件工具开发包(SDK)提供者,即集成在手机APP里的第三方工具集合;应用分发平台,包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台。 4. 联网工业企业、工业互联网平台企业、工业互联网标识解析系统企业 工业互联网企业分为三类: 应用工业互联网的工业企业即联网工业企业;工业互联网平台企业即平台企业;工业互联网基础设施运营企业即基础电信运营企业和标识解析系统建设运营机构。 其中联网工业企业主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业,从企业属性上来看,大多都属于制造、加工类型,其工业属性更强,工业网络安全建设相对薄弱,应按照《工业互联网企业网络安全分类分级指南(试行)》要求进行企业分级。而平台企业对外提供的是基于工业互联网平台的互联信息服务,其和工业互联网基础设施运营企业更适用《通信网络安全防护管理办法》的要求进行分级。 依据法规: 《网络安全法》《通信网络安全防护管理办法》
1. 建立符合法规要求的网络安全管理制度和保障体系
“检查企业落实《网络安全法》《通信网络安全防护管理办法》,建立和完善本企业的网络安全管理制度和保障体系。” 《通 知》要求企业建立完善网 络安全管理制度和保障体系,遵照《网络安全法》《通信网络安全防护管理办法》的要求,由于这两部法律法规涉及的网络安全管理制度体系要求众多,企业需在掌握法规重点要求的前提下,才能系统推进和完善落实网络安全制度体系。 一是《网络安全法》作为网络安全的专门性法律, 对建立网络安全等级保护制度、网络用户身份管理制度、网络用户信息保护制度、网络安全投诉处理制度等提出了系统要求;网络运营者安全保护义务如保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改等,也属于网络安全保障体系的组成部分,需企业按照要求遵守。 二是《通信网络安全防护管理办法》针对通信行业, 要求通信企业应强化网络产品安全漏洞管理,完善漏洞闭环管理机制和漏洞库体系。通信网络运行单位应当根据通信单元的等级,按照规定组织对通信网络单元进行定期安全风险评估,及时消除重大网络安全隐患。建 议:
① 由于本项检查要求较宽泛,企业可合作专业法律数据团队,围绕企业自身情况,归纳排查《网络安全法》《通信网络安全防护管理办法》的要求和风险点,出具风险评估报告;其中特别注意,对于通信企业而言,三级及三级以上通信网络单元应当每年进行一次安全风险评估;二级通信网络单元应当每两年进行一次安全风险评估。 ② 通信网络运行单位应重点依据《通信网络安全防护管理办法》进行调整,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,留存有关网络安全防护的文档和工作记录,对通信网络进行技术性分析和测试。 2. 就网安法等法规进行专业学习培训
“开展《网络安全法》《通信网络安全防护管理办法》等法律法规规章的培训,强化日常自身网络安全管理和防护等情况。 ”
《通知》要求企业开展法律法规规章的培训,是指企业相关人员应通过对法律法规的学习掌握其中的网络安全要求、通信防护规范,在理解法律法规要求的基础上,有序开展网络安全管理和防护工作,从而强化企业网络安全能力。
建 议:
企业应当聘请专业法律数据安全人士,组织企业负责网络安全的部门和人员,就《网络安全法》《通信网络安全防护管理办法》进行有效学习,并留存学习、考核的记录或证明。 依据法规: 《通信网络安全防护管理办法》
1. 划分本单位各类信息系统网络单元和定级备案
“以增值电信企业为重点,检查企业的通信 网络单元安全防护工作开展情况。 各增值电信企业要按照 《通信网络安全防护管理办法》有关要求,对本单位各类信息系统进行网络单元划分和定级备案,并开展符合性评测和安全风险评估。 ”
《通知》以增值电信企业为重点进行企业通信网络单元安全防护工作检查,企业应当整体了解《通信网络安全防护管理办法》的要求,即通信网络依照遭到破坏后可能的危害程度,由低到高进行一到五级的单元划分; 单位在通信网络定级评审通过后也需遵循备案制度的基础上,完成本次《通知》特别提出的系统报送定级要求。
建 议:
① 企业应根据自身性质,确认是否属于增值电信企业。增值电信企业主要指提供电信增值业务即凭借公用电信网的资源和其他通信设备而开发的附加通信业务的企业,若企业属于增值电信企业,则需按照《通知》要求,进行系统报送等义务履行。 ② 增值电信企业应当根据《通知》要求,进行安全评测和风险评估,并于2022年6月底前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位网络单元的定级信息。 2. 开展符合性评测和安全风险评估
“为有效防范重大活动保障期间可能发生的各类网络安全事件,各企业要自行组织力量或者委托具有通信网络安全专业服务能力资质的机构对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作。 ”
目前,我国重大会议或活动仍然存在平台缺乏顶层设计和统筹规划、系统安全隐患等风险,其中网络信息安全问题尤为突出。 例如,2020年以来,我国有关电信运营商等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。 国家安全机关依法开展技术检查,通过进一步深入调查证实,相关攻击活动由某境外间谍情报机关密谋实施。 针对上述案情,国家安全机关指导相关单位,立即采取有效措施,清除特种木马程序,堵塞技术漏洞,调整安全策略,加固网络防护,及时制止了危害蔓延。 同时,对该境外间谍情报机关后续对我国实施的网络攻击行为,进行全天候跟踪监测和定向打击,及时发布预警信息,有效阻断通信链路,清除危害源头,成功粉碎其对我国“停服断网”图谋。 因此,为有效防范重大活动保障期间可能发生的各类网络安全事件,各企业有必要通过自评或他评对本单位重要的通信网络和信息系统进行一次全方位的网络安全符合性评测和安全风险评估工作。
建 议:
企业应根据自身情况选择网络安全评估模式,对于自身基本具备开展网络安全评价的条件,可开展自评;其他未具备此种条件的相关企业,可根据2021年12月中国通信企业协会发布的《通信网络安全服务能力评定获证单位名单》选用第三方网络安全服务企业合作进行安全评估工作。 依据法规: 《数据安全法》《电信和互联网企业数据安全合规性评估要点》(以下简称《评估要点》)
1. 落实《数据安全法》《评估要点》的具体要求
“包括: 持续完善本单位数据安全管理制度和技术保护措施的情况; 落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况; 及时发现和处置非授权访问、批量复制或转移、删改异常情况; 数据安全事件应急预案定制,重要数据备份和加密等工作情况。 ”
数据安全保护是本次重点检查对象之一。 《数据安全法》作为我国关于数据安全的首部律法,聚焦数据安全领域的突出问题,确立了数据分类分级管理制度,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,为各行业数据安全提供监管依据; 工信部网络安全管理局发布的《电信和互联网企业网络数据安全合规性评估要点》,从基础性评估、数据生命周期评估、技术能力评估三个方面进行要点阐述,旨在通过数据安全合规性评估服务帮助企业进一步提升网络数据安全风险防范能力,提升企业整体数据安全保护水平,保障用户数据资产安全。
针对数据安全保护的落实情况,《通知》依据上述法律及规范性文件,明确对相关企业数据安全的具体检查要求,主要包含:本单位数据安全管理制度的制定、技术保护措施、网络数据安全合规性评估、数据分类分级管理、对外合作安全管理、访问权限管理和安全审计、备份和加密重要数据的有效实施;及时发现和处置数据异常情况的能力、数据安全事件应急预案的定制。 建 议:
① 相关企业应当自查自纠是否具备数据安全管理制度,如果企业尚未制定或制定不足,应当尽快聘请数据安全法律专业团队,结合本企业业务部门及当下企业所处行业情形进行制定或持续完善。 ② 为保护企业自身数据安全,并通过此次检查,应当落实要求中提到的企业网络数据安全技术保护措施、合规性评估、对外合作安全管理、访问权限管理和安全审计等要求。 ③ 针对数据的非授权访问、批量复制或转移、删改等异常情况,企业可以通过设置监测软件或设备,进行全天候监测或定期监测,提前发现和处置数据异常情况。 2. 相关企业需落实数据分类分级管理
“数据 分类分级管理”
数据分类分级保护制度是《数据安全法》的一项重要规定,其中数据分类是指,将具有相同属性或特征的数据按照一定的原则和方法进行归类,是数据安全治理的第一步; 数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。 任何时候,数据的定级都离不开数据的分类。 数据分级本质上就是数据敏感维度的数据分类。
① 企业要根据行业规范,结合用户业务,明确数据分类分级的数据范围,确定数据分类分级的方法、策略、原则,建立数据分类分级标准。 ② 根据数据的属性或特征,将其按照分类标准进行区分和归类,建立起整体制度规范数据的分类体系和排列顺序,在关注数据泄露后造成的危害等级的同时,配备应急措施,做好分级分类后续安全策略工作。 3. 厘清“重要数据”的范围
“重要数据备份和加密等工作情况”
《通知》明确要求相关企业应当对重要数据进行备份和加密。 那么,相关企业如何界定“重要数据”的含义,以及通过界定,对于“重要数据”进行备份和加密的形式需要企业重点关注。
建 议:
企业应首先对自身是否掌握以及掌握重要数据的范围进行梳理,参考《信息安全技术 重要数据识别指南(征求意见稿)》作出判断。对于企业自身重要数据的识别以及备份和加密的形式或要求,可咨询专业法律数据管理机构或就疑难数据联系主管部门进一步确认。 依据法规: 《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》
企业范围: 网络运行单位、移动互联网APP运营企业(重点) 1. 依照法律法规进行个人信息保护工作
“检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》要求,落实电信和互联网行业个人信息保护专项治理工作情况。 ”
针对个人信息保护工作,《通知》中主要提出了三项法律法规依据,要求电信和互联网行业的网络运行单位开展个人信息保护时应当符合规范,而由于三项法律法规依据适用范围、规定重点不同,企业应根据自身情况予以适用和调整工作。
一是《个人信息保护法》对个人信息保护的规定较为全面、整体, 企业除须遵守对个人信息处理者的具体要求外,其中的告知同意、公开透明原则等也是进行个人信息活动的必行准则;
二是《电信和互联网用户个人信息保护规定》是面向电信业务经营者和互联网信息服务提供者的专门规范, 其适用主体与本次检查的企业范围也正相对应,对信息收集使用、安全保障都有较详细的规定;
三是《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》, 该规范适用于APP服务提供者,对个人信息保护要求更为细化,本次检查也对此提出了特别评估规范,详见后文。
建 议:
① 企业应当建立健全个人信息保护制度和评估制度,依照《个人信息保护法》中个人信息的处理规则进行业务调整,具体义务履行可参照《网络数据安全管理条例(征求意见稿)》第六章中对于互联网平台运营者义务的规定。 ② 企业应在对自身适用的法律规定要求掌握的基础上,自查个人信息安全保护情况,在正式检查前查缺补漏。对于没有能力进行规定梳理、合规自纠的企业,建议合作专业法律数据团队,就个人信息安全培训、安全事件预案、分级分类管理、技术规范要求等事项进行检验与评估,发现问题及时调整。 2. APP企业应符合用户权益保护评估规范和最小必要评估规范
“按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP运营企业的APP个人信息保护情况开展检查。 ”
APP运营企业的个人信息保护问题一直是数据安全和个人信息保护的监管重点, 2021年5月,工信部等四部委联合制定《常见类型移动互联网应用程序必要个人信息范围规定》明确APP不得强制收集非必要个人信息; 2021年第三季度,工信部组织对国内主流手机应用商店的55万款应用软件进行技术检测,公开通报了601款APP存在违规收集使用个人信息及强制、频繁、过度索权等问题,下架163款拒不整改的APP,针对APP个人信息保护问题已形成立法和执法双管齐下的监管态势。
从《通知》要求来看,移动互联网APP运营企业在本次检查中应特别注意,APP用户权益保护和APP收集使用个人信息最小必要落实情况将成为本次检查的重点。对于本项检查依据的“相关规范”,企业可参考《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 个人信息安全规范(GB/T35273-2020)》《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》(2022年11月1日实施),上述法规与标准均具备对APP用户权益保护和APP收集使用个人信息最小必要的具体规定,属于检查中可能依据的相关规范。 建 议:
① 移动互联网APP运营企业可通过与法律数据团队合作,着重对APP用户权益保护情况进行自查确认,确认事项包括但不限于个人信息保护制度中是否明确处理范围和目的等用户权益保护条款、是否存在APP强制或频繁或过度索取权限、是否存在对用户交付个人信息的误导行为、是否具备有效的用户投诉机制等问题。 ② 移动互联网APP运营企业应当依照自身APP的类型界定好收集个人信息的必要范围,参考《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》中的附录A、B、C,严格遵守最小必要原则中对明确合理目的、权益影响最小、业务功能使用期间的要求,按照相关标准进行系统自查。 依据法规: 《工业互联网企业网络安全分类分级管理指南(试行)》(下称“《管理指南》”)
企业范围: 联网工业企业、工业互联网服务平台(重点)、工业互联网标识解析系统企业(重点) 1. 联网工业企业应遵循专门规定,严格落实分类分级管理
“ 检查相关企业落实工信部文件《工业互联网企业网络安全分类分级管理指南(试行)》的情况,是否按照要求进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。 ”
关于企业的网络安全防护工作检查,《通知》中要求企业落实的《管理指南》是主管部门针对工业互联网企业作出的网络安全专门规定,适用范围为工业互联网企业中的应用工业互联网的工业企业即联网工业企业。 根据其要求,本次检查的网络安全义务:
一是在分类定级方面, 企业应依照该指南规定,基于联网工业企业所属行业网络安全影响程度由低到高分别划分为一类、二类和三类,其中三类主要包括钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业; 三级分级流程则是由企业根据自身具体情况及相关分级/定级相关要求先进行自主初步定级,上报至地方管理部门进行核查确认。
二是在网络防护措施落实方面, 要求企业在建立网络安全技术防护措施和安全管理措施的基础上,同步建设工业互联网安全监测平台。 三是在网络安全风险评估方面,针对不同层级的企业作出不同要求,如三级企业每年需要进行一次网络安全风险评估与审计。
建 议:
① 联网工业企业应严格遵循《管理指南》要求,完成企业分类定级的流程,对于因企业发展或内部结构调整引起的企业内部网络安全风险发生变化的情况,企业应主动重新定级。 ② 相关企业所建立的安全检测平台,应当具有工业网络安全状态监测、安全事件分析、工控安全态势感知等能力,平台的定期通报工业互联网安全风险记录、第三方机构检测报告等,均可证明平台的安全检测能力。 ③ 各企业应当在已经分类定级的基础上,履行网络安全风险评估义务,对于一级企业,不被强制要求网络安全风险评估;二级企业应当每两年进行一次风险评估和审计;三级企业应每年进行一次网络安全风险评估。 2. 工业互联网服务平台和标识解析系统企业将面临重点检查
“重点检查工业互联网服务平台、工业互联网标识解析系统企业。 ”
《通知》中指出,工业互联网服务平台和标识解析系统企业将是本项检查的重点企业。 值得特别注意的是,尽管《通知》在网络安全合规中仅提及了《管理指南》一项参考文件,但由于适用范围主体的差异,工业互联网服务平台和标识解析系统企业应当遵循的是《通信网络安全防护管理办法》,而非联网工业企业应遵循的《管理指南》。
工业互联网平台企业指对外提供工业互联网平台等互联网信息服务的企业;工业互联网标识解析系统企业属于工业互联网基础设施运营企业之一,另一类基础运营企业为基础电信运营企业。《管理指南》明确提出,其针对联网工业企业而实行,平台企业、标识解析系统建设运营机构更适用《通信网络安全防护管理办法》的要求进行分级。 建 议:
相关企业应当依照《通信网络安全防护管理办法》进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。 ① 相关企业应当根据自身企业性质,履行备案手续,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。 ② 相关企业应根据通信单元的等级进行专业的安全风险评估,例如三级及三级以上通信网络单元应当每年进行一次安全风险评估,企业还应及时将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。 01. 自查自纠阶段(2022年5月20日至2022年6月15日) 《通知》明确,2022年5月20日至2022年6月15日属于各企业按照通知要求,对照相关法律法规要求,对本企业网络安全和数据安全工作进行自查自纠的阶段。 建 议:
① 在该阶段内,企业应合理利用自查自纠机会,先就重点企业、重点单位、重点设施和平台进行自查; ② 企业应就自查阶段的检查、问题处理、措施做好记录,按照问题情况进行立即整改或制定整改计划,形成书面记录和材料; ③ 在此阶段实施的安全评估、测评工作,企业亦需有序记录,作为及时响应政策号召的合法依据; ④ 此外,由于目前《通知》涉及的检查范围较广,企业也应时刻关注主管部门动向,一旦出台检查细则,立即进行工作调整。 02. 重点抽查阶段(2022年6月16日起至2022年9月30日) 该阶段下,《通知》明确了部分抽查方式以确保企业的网络安全和数据安全技术防护措施的落实情况,也提出了相应的检查问题,属于本次检查的重点环节,企业应当给予充分重视。 建 议:
① 企业应提前准备数据安全有关部门和人员访谈、资料查阅、现场技术抽测,就网络安全相关软硬件和业务系统进行漏洞自纠; ② 可重点排查系统是否存在安全漏洞、是否已被植入恶意代码、是否可能被非法远程控制或发生数据泄露事件等; ③ 目前主管部门尚未下达抽查的具体流程,相关企业应树立主动意识,在接到抽查通知后妥善应对,在抽查过程中做到积极配合。 《通知》提出,对本次检查过程中发现问题的企业,应高度重视进行问题整改,否则将依法依规给予行政处罚并纳入不良名单和失信名单。因此,本次检查对于企业来说,除起到有效督促企业进行网络安全能力建设完善的作用外,也具有一定行政处罚风险,若相关企业发现问题,或发现问题不能及时按照要求整改,则可能面临纳入不良名单等风险,影响企业名誉和生产经营。 建 议:
① 若企业在检查中出现问题,则在该阶段中,立即启动应急预案或采纳专业法律意见,实行有效整改措施,按照检查机关要求,将相关整改情况形成总结报告及时报送; ② 企业应在充分配合检查后,把握问题整改时间,避免因整改逾期或整改不到位造成其他危害后果,以至扩大问题严重性。 白小莉 北京市道可特律师事务所高级合伙人 道可特知识产权全国专业委员会主任
道可特北京办公室管委会委员 业务领域
精通民商、知识产权等各类争议解决。 个人荣誉
Legal 500亚太数据保护领先律师 2021年度LEGALBAND客户首选:知识产权多面手15强 2020、2021年连续两年荣获ALB中国知识产权律所榜单 北京互联网法院诉调委主任、朝阳律协会员委副主任 中制协专家委员、中国传媒大学、北京理工大学合作导师 提供深度服务的客户有国有企业、大型民营企业、知名互联网公司、文化传媒公司、影视公司、服装公司、餐饮企业等。 专 著
《人民法庭民事审判实务》《裁判文书释法说理方案》
联系方式
邮箱:baixiaoli@dtlawyers.com.cn
曾 云 北京市道可特律师事务所合伙人 教育背景:
硕士毕业于中国政法大学法学专业 执业经历:
业务领域: 专业成果: 《专利价值分析指标体系操作手册》编者之一。 荣誉奖项:
工信部中国信息通信研究院知识产权中心顾问专家; “知识产权投融资理论和实务培训班”及“山东省科技厅科技小微企业金融培训班”培训讲师。 联系方式:
邮箱:zengyun@dtlawyers.com.cn