作者：通力律师事务所   潘永建 | 李天航

按照工信部公布的机构设置与职能说明, 工信部网络安全管理局(以下简称“网安局”)的职能之一是“承担电信网、互联网网络与信息安全技术平台的建设和使用管理; 承担电信和互联网行业网络安全审查相关工作, 组织推动电信网、互联网安全自主可控工作”。从《通知》的文号和内容看, 此次检查属于网安局的职责事项。然而, 《通知》未以网安局的名义下发, 而以工信部办公厅名义下发, 体现了此次检查的不同寻常。

1.  办公厅负责工信部机关日常工作的组织协调和督查督办, 办公厅可以代表工信部的行文, 其文件效力仅次于以工信部名义发文。办公厅虽然不负责具体业务, 但以办公厅名义发文足见工信部对此次检查的重视。

2.  《通知》第四条“工作要求”第四项规定, 此次检查要“强化协同, 协调配合”, 不仅要求工信部内部各司局之间协作配合, 也要加强与网信部门和公安部门的协作配合。

3.  从《通知》第四条“工作要求”规定看, 不排除各地在开展此次检查过程中, 通信管理部门将会同网信、公安等部门共同开展, 或由网信部门牵头综合协调开展检查。

以下企业属于《通知》所指的电信和互联网企业:

1.  基础电信业务企业及增值电信业务企业

具体而言, 包括根据《中华人民共和国电信条例》, 依法取得《电信业务分类目录(2015年版)》(在工信部公布最新版本之前以该版本为准)所列基础电信业务许可的企业, 以及除以下项目的增值电信业务许可的企业:

(1) B22国内多方通信服务业务中除国内互联网会议电视及图像服务业务以外的业务;
(2) B23 存储转发类业务中除电子邮件存储转发业务以外的业务;
(3) B24呼叫中心业务; 

2.  根据《互联网域名管理办法》依法取得许可并从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动的企业;

3.  运行公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台的企业。

(一) 对象

检查对象为被检查企业建设与运营的网络和系统, 重点包含四个层面:

1.  硬件和基础设施: 电信和互联网行业网络基础设施;
2.  数据: 用户信息和网络数据收集、集中存储与处理的系统;
3.  业务支撑系统: 企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统;
4.  平台类系统: 公共云服务平台、公众无线局域网; 公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台。

(二) 重点

1.  落实企业在《网络安全法》下的责任
根据《网络安全法》的规定, 电信和互联网企业属于网络运营者, 应当履行以下义务: 

(1) 根据《网络安全法》第二十一条有关网络安全等级保护义务的规定, 落实相关安全保护义务;
(2) 选择符合国家标准的强制性要求的网络关键设备和网络安全专用产品以及网络产品、服务;
(3) 履行关键信息基础设施运营者义务。从通知内容看, 此次被检查单位绝大多数都将被认定为关键信息基础设施运营者, 因此, 须对照《网络安全法》关键信息基础设施的运行安全有关规定, 履行安全保护义务;
(4) 制定网络安全事件应急预案, 并按照预案开展网络安全风险处置工作。

2.  落实《通信网络安全防护管理办法》要求

根据《通信网络安全防护管理办法》的规定, 开展以下防护工作, 防止通信网络阻塞、中断、瘫痪或者被非法控制, 以及防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改:
(1) 按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作;
(2) 对本单位已正式投入运行的通信网络进行单元划分, 并由低到高分别划分为五级进行保护并向主管部门备案;
(3) 定期开展与通信网络单元级别相适应的安全防护措施相适应的符合性评测和安全风险评估;
(4) 对通信网络单元的重要线路、设备、系统和数据等进行备份。

3.  个人信息保护情况

根据《网络安全法》和《电信和互联网用户个人信息保护规定》的要求, 落实以下个人信息保护工作:
(1) 制定用户个人信息收集、使用规则, 并在其经营或者服务场所、网站等予以公布;
(2) 未经用户同意, 电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息
(3) 收集、使用用户个人信息的, 应当明确告知用户收集、使用信息的目的、方式和范围, 查询、更正信息的渠道以及拒绝提供信息的后果等事项;
(4) 不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的, 不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息;
(5) 在用户终止使用电信服务或者互联网信息服务后, 应当停止对用户个人信息的收集和使用, 并为用户提供注销号码或者账号的服务;
(6) 对在提供服务过程中收集、使用的用户个人信息应当严格保密, 不得泄露、篡改或者毁损, 不得出售或者非法向他人提供;
(7) 选择适格的代理或者委托第三方, 并对代理或者委托的第三方用户个人信息保护工作进行监督和管理;
(8) 建立投诉机制并按照投诉机制处理相关用户投诉。

4.  避免出现常见的网络安全风险隐患, 防范可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。

此次检查是《网络安全法》正式施行后, 工信部开展的最大范围和规模的全国性网络安全检查, 属于检查范围内的企业需要给予足够重视。根据《通知》的精神, 我们建议开以下工作:

1.  划分等级并备案

企业应当核实并确认是否已经按照《通信网络安全防护管理办法》的要求对本单位的通信网络单元确定等级并向电信管理机构备案。如尚未开展此项工作的, 应当立即开展; 已经向电信管理部门备案的, 应核实等级划分是否准确, 是否按照对应等级开展相应的保护工作。

2.  开展自查

自2016年以来, 各地网信部门陆续分批开展对关键信息基础设施实施安全检查。检查结果表明, 关键信息基础设施通常存在的技术问题包括SQL注漏洞、XSS跨站脚本漏洞、任意文件上传漏洞、软件低版本漏洞、明文传输漏洞以及默认账户和弱口令等; 管理及制度问题包括未开展等级保护测评工作、为建立完善的应急预案、未开展应急演练、未定期检查账号权限分配情况、未开展网络安全培训和考核、未落实口令复杂度要求等。

我们建议, 被检查企业对照此次检查的重点, 参考上述以往检查中暴露出的通常问题, 逐一自查落实网络安全责任和义务的情况。自查过程中, 企业应注意记录自查情况, 尤其是问题发现和整改落实情况。

3.  基础电信企业提供数据的义务

需要特别注意的是, 《通知》要求基础电信企业向非电信主管部门提供网络安全相关资料和数据的, 应征得当地通信管理局同意, 或由通信管理局统一协调提供。因此, 如此前基础电信企业已向非电信主管部门提供网络安全相关资料和数据的, 企业应及时与当地通信管理局沟通。

需要说明的是, 前述工作要求应当指非电信主管部门基于工作需要或者管理职责的需要提供资料和数据, 对于司法机关执法办案、执法机关根据《反恐怖主义法》开展反恐工作以及行政执法机关开展执法办案中, 依法调取证据或者要求协助配合应当不受前述工作要求的限制。当然, 如条件允许, 企业也可及时向当地通信管理局请示汇报。

联系人：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。