公开征求对《互联网新业务安全评估管理办法(征求意见稿)》的意见
为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工业和信息化部研究形成了《互联网新业务安全评估管理办法(征求意见稿)》,现向社会公开征求意见,请于2017年7月9日前反馈意见。
联 系 人:工业和信息化部政策法规司
电 话:010-68205072(传真)
电子邮箱:law@miit.gov.cn
地 址:北京市西城区西长安街13号 工业和信息化部政策法规司(邮编:100804),请在信封上注明“规章征求意见”。
工业和信息化部
2017年6月8日
附 件
互联网新业务安全评估管理办法
(征求意见稿)
第一条【立法目的】 为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。
第二条【适用范围】 中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。
第三条【定义】 本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
第四条【工作原则】 电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。
第五条【管理职责】 工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。各省、自治区、直辖市通信管理局负责对本行政区域内的互联网新业务安全评估工作实施监督管理。工业和信息化部和各省、自治区、直辖市通信管理局统称“电信管理机构”。
第六条【鼓励创新】 国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。
第七条【行业自律】 国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。
第八条【评估标准】 工业和信息化部依法制定互联网新业务安全评估标准。
第九条【评估要求】 电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。
第十条【评估启动】 有下列情形之一的,电信业务经营者应当对所开展的互联网新业务进行安全评估,形成书面评估报告:
(一)拟将互联网新业务面向社会公众上线的(含合作推广、试点、商用试验);
(二)电信管理机构书面要求电信业务经营者进行安全评估的。
按照前款第一项规定进行安全评估的,应当在互联网新业务面向社会公众上线前完成评估。
第十一条【评估方式】 电信业务经营者进行互联网新业务安全评估,可以采取自行评估的方式,也可以委托专业机构实施评估。
第十二条【风险控制】 电信业务经营者进行互联网新业务安全评估,发现存在重大网络信息安全风险的,应当及时改正。
第十三条【评估报告】 电信业务经营者应当在互联网新业务面向社会公众上线后45日内,向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。
第十四条【报告材料】 电信业务经营者按照本办法第十三条的规定向电信管理机构告知评估情况的,应当提供以下材料:
(一)书面评估报告,包括业务情况、技术实现方式、安全评估内容和结论、安全管理措施等;
(二)公司名称、法定代表人、安全责任人、应急联系人及其联系方式;
(三)电信管理机构依法要求提交的其他材料。
第十五条【纠正措施】 电信业务经营者提供的互联网新业务安全评估材料不齐全的,电信管理机构应当指导电信业务经营者补正。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
第十六条【应急保障】 电信业务经营者开展互联网新业务的,应当按照电信管理机构的要求,建立互联网新业务重大网络信息安全事件应急处置机制,制定网络信息安全应急预案并定期组织演练。
第十七条【内部制度】 电信业务经营者开展互联网新业务的,应当建立并实施企业内部互联网新业务安全评估管理制度和保障制度。
第十八条【员工培训】 电信业务经营者开展互联网新业务的,应当对有关工作人员开展互联网新业务安全评估相关政策、法规、标准、技能的培训和考核。
第十九条【监督检查】 电信管理机构应当对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况实施监督检查。
电信管理机构实施监督检查,可以要求电信业务经营者提供相关资料,对其相关工作人员进行询问,进入其经营场所检查、调查、取证。电信业务经营者应当予以配合、协助。
第二十条【监测】 电信管理机构应当组织对互联网新业务进行监测。在监测中发现互联网新业务存在重大网络信息安全风险的,应当要求电信业务经营者限期改正。电信业务经营者应当进行改正。
第二十一条【约谈改正】 电信业务经营者有下列情形之一的,电信管理机构可以约谈其主要负责人:
(一)未按照本办法的规定及时开展互联网新业务安全评估的;
(二)未按照本办法的规定向电信管理机构告知评估情况,情节严重的;
(三)企业内部安全评估管理制度和保障制度不健全或者未实施,情节严重的;
(四)违反国家有关规定,电信管理机构认为可能影响网络信息安全的其他情形。
电信业务经营者应当按照本办法的规定和电信管理机构在约谈中提出的要求进行改正。
第二十二条【行业通报】 电信管理机构应当建立电信业务经营者互联网新业务安全评估情况通报制度,定期公布互联网新业务安全评估情况。
第二十三条【监督检查】 电信管理机构按照本办法的规定实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者正常的经营或者服务活动,不得收取任何费用。
第二十四条【保密要求】 电信管理机构、实施安全评估的专业机构及其工作人员,对其在履行职责、提供服务过程中知悉的国家秘密、商业秘密和个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第二十五条【社会监督】 任何组织或者个人发现电信业务经营者有违反本办法的行为的,有权向电信管理机构举报。电信管理机构应当及时处理并对举报人的相关信息予以保密。
第二十六条【罚则一】 电信业务经营者违反本办法第十七条、第十八条规定的,由电信管理机构责令限期改正,予以警告;拒不改正的,可以处以一万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十七条【罚则二】 电信业务经营者违反本办法第十条、第十二条、第十三条、第十六条、第十九条第二款、第二十条的,由电信管理机构责令限期改正,予以警告,可以处以一万元以上三万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十八条【罚则三】 电信管理机构工作人员在互联网新业务安全评估的监督管理工作中玩忽职守、滥用职权、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
第二十九条【参照执行】 电信业务经营者开展的互联网新业务,在技术实现方式、业务功能或者用户规模等方面发生较大变化,可能存在重大网络信息安全风险的,参照本办法进行安全评估。
电信业务经营者应当至少每六个月对其开展的互联网新业务是否存在前款规定的情形进行自查,保留自查记录;发现存在前款规定情形的,应当在45日内完成评估。
第三十条【新业务期限】 电信业务经营者的互联网新业务开展时间达到三年的,纳入网络与信息安全日常监督管理,可以不再按照本办法进行互联网新业务安全评估。
第三十一条【施行事宜】 本办法自 年 月 日起施行。2012年3月16日公布的《工业和信息化部关于印发<互联网新技术新业务信息安全评估管理办法(试行)>的通知》(工信部保〔2012〕117号)同时废止。
关于《互联网新业务安全评估管理办法(征求意见稿)》的说明
为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,我部组织起草了《互联网新业务安全评估管理办法》(以下简称《办法》)。现将有关情况说明如下:
一立法的必要性
(一)制定《办法》是保障网络安全的重要举措。当前,互联网新业务迅猛发展,对网络安全的影响逐步加深,防范安全风险的需求日益迫切。习近平总书记2016年4月在网络安全和信息化工作座谈会上的重要讲话中,要求感知网络安全态势,准确把握网络安全风险发生的规律、动向、趋势。中办、国办《关于促进移动互联网健康有序发展的意见》要求加强新技术新应用新业态安全评估。制定《办法》,完善互联网新业务安全评估制度,是落实习近平总书记系列重要讲话精神,保障互联网新业务安全发展的重要举措。
(二)制定《办法》是依法履行网络安全管理职责的需要。2015年4月,中央编办调整了我部有关职责和机构(中央编办发〔2015〕17号),明确我部负责“建立电信网、互联网新技术新业务安全评估制度并组织实施”。近年来,我部制定了互联网新业务安全评估的相关措施和标准,组织基础电信企业和部分互联网企业开展了安全评估工作。适应互联网行业发展和安全管理的新形势,亟需依法规范互联网新业务安全评估活动,细化安全评估要求,夯实网络安全管理的法治基础。
二起草过程
互联网领域创新活跃,新业务层出不穷,与此同时网络安全风险也日益突出。《办法》起草过程中坚持安全与发展并重,在完善安全评估制度的同时积极鼓励互联网技术业务创新发展;坚持政府、企业和社会共同参与,发挥企业在安全评估中的主体作用、行业主管部门的监督指导作用、行业组织的自律作用和社会监督作用;坚持深化“放管服”改革,在守住安全底线的同时,以企业自评估为主、行业主管部门实行事中事后监管,不新设行政审批,对开展三年的新业务不再实行评估,促进利企便民。
2015年以来,我部组织开展了《办法》研究起草工作,主要做了以下工作:一是委托研究机构进行了专题研究,组织有关企业进行了座谈,开展了《办法》起草工作。二是对《办法》的管理思路、主要制度等进行了研究,就重点问题进行了反复沟通,形成了《办法(草案稿)》。三是征求了有关部门、地方通信管理局和电信企业、互联网企业对《办法(草案稿)》的意见。四是开展立法调研,赴腾讯等公司就《办法》主要制度进行了专题调研座谈。在充分吸收各方面意见的基础上,我们研究形成《办法(征求意见稿)》。
三主要内容
《办法(征求意见稿)》共三十一条,主要规定了如下内容:
(一)明确了适用范围。《办法》适用于我国境内的电信业务经营者开展互联网新业务安全评估活动(第二条)。结合《中华人民共和国电信条例》的规定,《办法》将“互联网新业务”界定为“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务”(第三条)。
(二)确定了启动安全评估的情形。电信业务经营者拟将互联网新业务面向社会公众上线的,应当对所开展的互联网新业务进行安全评估(第十条)。评估的内容包括用户个人信息保护、网络安全防护、网络信息安全、健全管理制度等方面(第九条)。评估的方式可以是电信业务经营者自行评估,也可以委托专业机构评估(第十一条)。互联网新业务的技术实现方式、业务功能或者用户规模等发生较大变化,可能存在重大网络信息安全风险的,参照《办法》进行安全评估(第二十九条第一款)。
(三)建立了安全评估报告制度。《办法》要求电信业务经营者在互联网新业务面向社会公众上线后45日内,向电信管理机构告知安全评估情况(第十三条),提供书面评估报告等材料(第十四条)。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料(第十五条)。
(四)完善了监督检查制度。《办法》要求电信管理机构对电信业务经营者的安全评估情况实施监督检查,对互联网新业务进行监测,及时发现重大网络信息安全风险(第十九条、第二十条)。对于未按照规定及时开展互联网新业务安全评估等情形,可以约谈电信业务经营者主要负责人(第二十一条)。《办法》建立了互联网新业务安全评估情况通报制度,要求电信管理机构定期公布互联网新业务安全评估情况(第二十二条)。同时,对电信管理机构的监督检查活动进行严格规范,明确监督检查中不得收取任何费用,不得妨碍正常的经营或者服务活动(第二十三条)。
(五)促进创新发展。《办法》明确鼓励电信业务经营者进行互联网技术业务创新,提升互联网行业发展水平(第六条)。考虑到互联网领域创新非常活跃,为了便利企业创新创业,《办法》规定互联网新业务开展时间达到三年的,将纳入网络与信息安全日常监督管理,可以不再进行新业务安全评估(第三十条)。
此外,《办法》对违反安全评估制度的行为,明确了相应的法律责任(第二十六条至第二十八条)。
(转自https://mp.weixin.qq.com/s?__biz=MjM5OTUwMTc2OA==&mid=2650793014&idx=4&sn=3aea543cdbfefb75a7b3aa0dd5953136&chksm=bf31ce9188464787ba417770f4029ba1b3c988f5e6b29a0ab053fe96c29df592f9a1dc7de9f5&mpshare=1&scene=1&srcid=06124IetijHJdS2gEsz8JEXZ&pass_ticket=%2Fga8cY14IXdvvN1OyiPGvlANSmcm%2B7YcRhvaKVIp8HeZhDywR5zUZ%2FrbGUaNknxT#rd)
党建工作
