爲了規範電信業務經營者的互聯網新業務安全評估活動,維護網絡資訊安全,促進互聯網行業健康發展,工信部6月8日公開徵求對《互聯網新業務安全評估管理辦法(徵求意見稿)》的意見。
該辦法所稱互聯網新業務,是指電信業務經營者透過互聯網新開展其已取得經營許可的電信業務,或者透過互聯網運用新技術試辦未列入《電信業務分類目錄》的新型電信業務。
該辦法所稱安全評估,是指電信業務經營者對其互聯網新業務可能引發的網絡資訊安全風險進行評估並採取必要的安全措施的.活動。
電信業務經營者的互聯網新業務開展時間達到三年的,納入網絡與資訊安全日常監督管理,可以不再按照該辦法進行互聯網新業務安全評估。
《辦法(徵求意見稿)》共三十一條,主要規定了如下內容:
(一)明確了適用範圍。《辦法》適用於我國境內的電信業務經營者開展互聯網新業務安全評估活動(第二條)。結合《中華人民共和國電信條例》的規定,《辦法》將“互聯網新業務”界定爲“電信業務經營者透過互聯網新開展其已取得經營許可的電信業務,或者透過互聯網運用新技術試辦未列入《電信業務分類目錄》的新型電信業務”(第三條)。
(二)確定了啓動安全評估的情形。電信業務經營者擬將互聯網新業務面向社會公衆上線的,應當對所開展的互聯網新業務進行安全評估(第十條)。評估的內容包括用戶個人資訊保護、網絡安全防護、網絡資訊安全、健全管理制度等方面(第九條)。評估的方式可以是電信業務經營者自行評估,也可以委託專業機構評估(第十一條)。互聯網新業務的技術實現方式、業務功能或者用戶規模等發生較大變化,可能存在重大網絡資訊安全風險的,參照《辦法》進行安全評估(第二十九條第一款)。
(三)建立了安全評估報告制度。《辦法》要求電信業務經營者在互聯網新業務面向社會公衆上線後45日內,向電信管理機構告知安全評估情況(第十三條),提供書面評估報告等材料(第十四條)。電信管理機構發現評估報告不符合有關規定、標準的,應當要求電信業經營者限期改正或者重新評估,並在30日內提交評估材料(第十五條)。
(四)完善了監督檢查制度。《辦法》要求電信管理機構對電信業務經營者的安全評估情況實施監督檢查,對互聯網新業務進行監測,及時發現重大網絡資訊安全風險(第十九條、第二十條)。對於未按照規定及時開展互聯網新業務安全評估等情形,可以約談電信業務經營者主要負責人(第二十一條)。《辦法》建立了互聯網新業務安全評估情況通報制度,要求電信管理機構定期公佈互聯網新業務安全評估情況(第二十二條)。同時,對電信管理機構的監督檢查活動進行嚴格規範,明確監督檢查中不得收取任何費用,不得妨礙正常的經營或者服務活動(第二十三條)。
(五)促進創新發展。《辦法》明確鼓勵電信業務經營者進行互聯網技術業務創新,提升互聯網行業發展水平(第六條)。考慮到互聯網領域創新非常活躍,爲了便利企業創新創業,《辦法》規定互聯網新業務開展時間達到三年的,將納入網絡與資訊安全日常監督管理,可以不再進行新業務安全評估(第三十條)。
此外,《辦法》對違反安全評估制度的行爲,明確了相應的法律責任(第二十六條至第二十八條)。