电信和互联网行业网络安全大检查来临,你准备好了吗?
数据隐私和网络安全
专栏
作者:冯坚坚 周星童
2018年8月13日,工信部办公厅下发了《关于开展2018年电信和互联网行业网络安全检查工作的通知》,拉开了今年电信和互联网行业网络安全监管的帷幕。本文将以通知内容为落脚点,结合政策背景、监管实际等,对通知内容作相应解读,并总结了企业的自查整改基础工作清单,以期为电信和互联网行业企业落实网安工作提供帮助。
通知出台的背景
近年来,我国电信和互联网行业的发展呈平稳态势。据工信部运行监测协调局7月发布的“2018年上半年通信业务经济运行情况”,2018年上半年,电信业务收入累计完成6720亿元,同比增长4.1%,电信业务总量完成25570亿元,同比增长132.7%。另外,据运行监测协调局对2018年上半年互联网和相关服务业运行情况的统计,互联网业务收入增速超过20%。上半年,我国规模以上互联网企业完成业务收入4171亿元,同比增长22.9%。
电信和互联网行业虽取得长足发展,网络安全的形势却不容乐观。根据国家互联网应急中心发布的最新一周的网络安全信息和动态周报,境内感染网络病毒的主机数量计20.1万,被篡改网站数量817个,被植入后门网站870个,其中政府网站数量(GOV类)呈环比上升。另外,新收录的网络安全漏洞213个,应急中心协调下处理了网络安全事件748起,其中跨境178起。
因此,有必要将网络安全提升到战略高度,习总书记曾在4月份的全国网络安全和信息化工作会议上指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”,可见,营造稳定、安全的网络环境是通信网络事业健康发展的应有之义。
在上述背景下,作为电信和互联网行业的主管部门,工信部办公厅于2018年8月13日下发《关于开展2018年电信和互联网行业网络安全检查工作的通知》(工信厅网安函[2018]261号)(“通知”),以落实关键信息基础设施防护责任,提高电信和互联网行业的网络安全防护水平。
通知的核心内容
通知内容分为四大部分:总体要求、检查重点、工作安排和工作要求。其中,“检查重点”和“工作安排”最为核心,分别明确了本次检查所涉及的主体、对象和内容,以及具体的工作:
(一) 检查重点
1. 重点检查对象
• 检查对象为“网络运行单位”建设与运营的网络和系统,网络运行单位包括依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构。
基础电信企业即电信、移动和联通三家;域名注册管理和服务机构的名单可通过工信部的域名行业管理信息公示系统进行查询,截至目前,域名注册管理机构共计28家,域名注册服务机构共计107家;互联网企业的范围则较广,从定义上看,囊括了利用互联网提供服务的全部企业。
其中,基础电信企业集团公司以及域名注册管理和服务机构的检查工作主要向工信部网络安全局进行报告,基础电信企业的省级公司和互联网公司的检查工作主要向当地通管局进行报告。因此,广大互联网企业除应按照通知的要求做好安全防护工作外,还需要关注当地通管局发布的各类信息。
北京通管局已开始贯彻落实通知的有关要求,并于8月15日组织滴滴、摩拜、抖音、天眼查等十家互联网企业及技术支撑单位中国信通院召开专题会议,对2018年北京地区互联网行业网络安全检查工作做了部署安排,也为即将到来的“中非论坛”通信保障工作打好基础。
• 重点检查对象为网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。
本次重点检查的对象主要是基础性、公共性较强的网站和系统,这些网站和系统与社会利益密切相关,受众广,流量大,大都涉及公民个人信息和数据的收集、存储等处理活动,也会涉及机构用户的资源和商业秘密,因此,有必要重点关注。
重点对象也包括了在实操中安全隐患高、社会影响大的平台系统,如公共云服务平台(云平台大规模数据泄露),公众视频监控摄像头平台(失控摄像头监控个人隐私)以及网约车信息服务平台(用户信息泄露)。
值得一提的是,从所列对象的性质和种类来看,不同于传统的网络基础设施,新兴的通信网络平台如物联网、车联网正不断涌现,这说明未来的网络安全形势会变得更加复杂,对既有的立法和监管而言都是一种挑战。
2. 重点检查内容
• 重点检查的内容是网络运行单位落实法律法规的情况,安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。
本次检查的内容除了法律法规的常规落实外,还明确提出了安全防护体系系列标准的符合情况。所谓安全防护工作,是指为防止网络阻塞、中断、瘫痪或被非法控制,以及网络中传输、存储、处理的数据信息丢失、泄露或被篡改等而开展的工作,网络安全事件具有爆发性强、破坏范围大、弥漫速度快等特征,因此,按照相应标准构建防护体系显得尤其重要。
另外,对网络安全风险隐患的检查也是明确列明的重点,网络系统所存在的各种漏洞、隐患易使系统成为网络攻击、网络病毒、黑客入侵、非法远程控制的目标,因此,排查隐患、堵塞漏洞是加强防护的重要措施。
(二) 工作安排
1. 定级备案
• 网络运行单位应在工信部“通信网络安全防护管理系统”( https://www.mii-aqfh.cn)对所有正式上线运行的网络和系统进行定级备案或变更备案。
此处的定级备案与公安部门组织的信息安全等级保护备案不同,该等定级备案主要由工信部负责管理。根据《通信网络安全防护管理办法》,其仅适用于境内的电信业务经营者和互联网域名服务提供者,相关主体在完成通信网络定级评审后三十日内,应向电信管理机构备案。
2. 自查整改
• 网络运行单位应对照法律法规和检查重点,对本单位的网安工作自查自纠,对自查问题做好记录,能改即改,无法立即整改的,要采取防范措施,制定整改计划。2018年9月31日前,基础电信企业集团公司、域名注册管理和服务机构应将自查工作总结报告报部,基础电信企业省级公司和互联网公司形成自查工作总结报告报当地通管局。
通知明确提出了自查工作总结报告的提交截止日,距离通知发出不足两个月,对于尚未开始重视网络安全整治工作的企业来说,时间相对较紧,尤其是业务线繁杂的企业。据工信部人员解答,电信企业集团公司及域名注册管理和服务机构可通过统一的端口上传报告,电信企业省级公司及广大的互联网企业则需要按照所在当地通管局的要求完成相应操作。
但无论通管局、网信部门或公安部门是否会进行排查,也无论主管部门会采取何等措施,在当前的网络安全环境下,互联网企业进行网安自查都是必要的。目前已有不少企业在律师或第三方咨询机构的指导下开展了网络安全及数据合规的整改工作,成立了专门的安全小组,搭建了安全防控体系等。
3. 开展抽查
电信主管部门选取部分网络和系统,委托专业技术机构进行检查。各地通管局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于10月31日前报工信部。
企业应对
为贯彻落实习总书记关于网络安全系列重要讲话的精神,多地通管局已在通知发布前开展了相应工作。上海市通管局早在今年4月份就曾发过开展2018年电信和互联网行业网络安全检查工作的通知。另外,6月29日,上海市通管局组织召开月度工作会议,听取了部分企业自查自纠的落实情况,其中,上海数据港、上海华侨通信、上海劢杰通信等企业未健全完善网络安全监测预警和信息通报相关制度,未及时向主管部门报送网络安全信息情况;前程无忧网(51job)未落实重大事项报告制度,在发生重大事件时未及时报告,对此,上海市通管局对相关企业予以约谈通报并责令整改。
在监管力度趋严的大环境下,互联网企业不应再对网络安全采取观望或被动应对的态度,而应主动向法律规范等提出的要求靠拢,寻求业务的合规性。
通知后附了本次检查及企业自改需依据的法律法规和标准,除3项基本的法律法规外,还列明了44项电信和互联网安全防护体系系列标准。对于安全防护体系系列标准,企业管理部门可协同技术部门按照各项防护要求和防护检测要求对安全防护体系进行自查和自纠,包括接入网、传送网、信令网、同步网、域名系统等内容。对于基础的法律法规,本文总结了以下相关要求供企业自查或整改时参考:
序号 | 具体要求 |
1. | 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任 |
2. | 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 |
3. | 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月 |
4. | 采取数据分类、重要数据备份和加密等措施 |
5. | 不得设置恶意程序 |
6. | 具有收集用户信息功能的,提供者应做好用户授权程序 |
7. | 为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务的,应当要求用户提供真实身份信息 |
8. | 制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险 |
9. | 不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动 |
10. | 不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具 |
11. | 不得为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助 |
12. | 定期对从业人员进行网络安全教育、技术培训和技能考核 |
13. | 对重要系统和数据库进行容灾备份 |
14. | 通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行 |
15. | 通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并分别进行分级,提交评审 |
16. | 通信网络运行单位应当在通信网络定级评审通过后30日内,将定级情况向电信管理机构备案 |
17. | 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施 |
18. | 通信网络运行单位应对通信网络单元进行安全风险评估,及时消除重大网络安全隐患 |
19. | 通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份 |
20. | 通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性 |
21. | 通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测 |
22. | 对收集的用户信息严格保密,并建立健全用户信息保护制度 |
23. | 不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 |
24. | 建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息 |
25. | 制定用户个人信息收集、使用规则,并在经营或者服务场所、网站等予以公布 |
26. | 服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供 |
27. | 确定各部门、岗位和分支机构的用户个人信息安全管理责任 |
28. | 建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度 |
29. | 对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施 |
30. | 妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施 |
31. | 对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施 |
32. | 记录对用户个人信息进行操作的人员、时间、地点、事项等信息 |
33. | 对工作人员进行用户个人信息保护相关知识、技能和安全责任培训 |
34. | 对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患 |
注:根据企业性质的不同,上述要求应选择适用 |
无论立法层面,亦或是执法层面,国家对网络安全的重视都显而易见,网络安全、系统安全、数据安全已是大势所趋;同时,由于中国网络安全监管政出多门,网信、公安、工信以及市场监督管理部门都在网络安全监管领域扮演重要角色,如何在多头监管的环境下做好网络安全的合规工作,是企业面临的重要课题。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人,竞天公诚网络安全与数据隐私团队负责人。
隐私权专家国际协会(International Association of Privacy Professionals)会员,上海市律师协会互联网业务研究委员会委员,长期专注于网络安全、数据合规及个人信息保护领域。
律师
zhou.xingtong@jingtian.com
竞天公诚网络安全与数据隐私团队律师,执业领域为数据隐私与网络安全合规、劳动人事争议、商事诉讼仲裁、境内外投资并购等相关领域。
周律师毕业于华东政法大学,先后获得法学学士学位及法律硕士学位。
周律师的工作语言是中文、英文。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.