作者:宁宣凤 杨楠 金杜律师事务所 商务合规部
2017年6月8日,工信部在其官网上发布《互联网新业务安全评估管理办法(征求意见稿)》(“《办法》”)[1],公开向社会征求意见,截至2017年7月9日。这是在《网络安全法》已于2017年6月1日正式实施的大背景下,电信及互联网领域出现的又一部重要监管性文件。本文第一时间对其主要内容做一梳理,以方便企业等相关市场主体对其做进一步评论和评估。
- 立法背景:以部门规章形式全面落地安全评估要求
《办法》所确立的“互联网新业务安全评估”制度并非首次提出。在《办法》出现前,工信部就曾于2012年以函件形式向基础电信企业和重点增值电信企业下达过《互联网新技术新业务信息安全评估管理办法(试行)》(工保函〔2012〕117号)(“117号文”)(但其全文从公开渠道无法获取)。此外,工信部还于2016年印发了《关于进一步建立完善属地化互联网新技术新业务安全评估督促整改工作机制的通知》(工保函〔2016〕322号)。在对《办法》的说明中,工信部也指出,近年来其组织开展了针对“基础电信企业和部分互联网企业”的互联网新技术新业务信息安全评估工作。可见该项评估工作在实践中已有所进行,但并非是普遍性地针对任何有意开展互联网新业务的企业。
2017年2月13日,工信部网络安全管理局印发了《关于做好2017年互联网新技术新业务安全评估重点工作的通知》[2],其中就明确提出要“加快推动新技术新业务安全评估有关办法以部门规章的形式出台,进一步夯实安全评估工作的法制基础”。因此,此次征求意见的《办法》正是以部门规章形式,将业已在一定范围内推行的安全评估工作全面法制化并推向所有落入其适用范围的企业。《办法》第三十一条更明确指出,《办法》若正式成文并实施,则将直接废止117号文。值得注意的是,从《办法》通篇所确立的监管主体(即“电信管理机构”)和监管对象(即“电信业务经营者”)可以看出,这项互联网新业务安全评估工作仍属于大的电信业务监管体系的一个组成部分和一项具体制度。
- 适用范围:两类“互联网新业务”
根据《办法》第三条第一款,其适用于任何开展以下两类“互联网新业务”的电信业务经营者:
由上表可见,一方面,《办法》延续了此前对基于技术的发展而出现的但尚未被《电信业务分类目录》所涵盖的、在内容和技术上属于“新”的业务的监管,可以很好地因应互联网技术快速多变的发展现状,为监管留足灵活性;另一方面,《办法》并未将其所适用的“互联网新业务”的范围仅限于此,而是同时囊括了从内容和技术来说并不新,但在业务开展渠道和服务提供手段上属于“新”的业务,即将既有的已获批的电信业务拓展至互联网上进行。这实际上是构建起了一张互联网新业务监管的“立体式”和“动态式”网络,即既着眼于业务在互联网线上和线下间的纵向流动,也关注业务在互联网技术这一维度上的横向发展。
此外,根据《办法》第二十九条,电信业务经营者在“已经”开展上述互联网新业务后,应当至少每6个月自查一次其业务是否存在“在技术实现方式、业务功能或者用户规模等方面发生较大变化,可能存在重大网络信息安全风险”的情形;如有,则应当“参照”《办法》(特别是下述的评估流程、评估标准等),在45日内重新完成安全评估。[4]
《办法》第三条第二款还将其所称的“安全评估”明确界定为“电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动”。因此,《办法》意在通过安全评估所实现的目的还是识别出互联网新业务的“信息安全”风险,从而确立电信业务经营者所应采取的适当的安全保护和管理措施。
- 评估流程:以“评估报告”要求为核心
我们以以下图表形式,总结呈现了《办法》所规定的互联网新业务安全评估的流程及相关要求,其中的核心是电信业务经营者被要求在互联网新业务面向社会公众上线后的45日内,向有关电信管理机构告知评估情况,否则将受到处罚[5]:
- 评估标准及要求:有待明确
根据《办法》第八条和第九条,工信部依法制定互联网新业务安全评估标准,而电信业务经营者应当按照该等标准及有关规定,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面开展互联网新业务安全评估。
就此,我们注意到,工信部网络安全管理局于2017年2月13日印发的《关于做好2017年互联网新技术新业务安全评估重点工作的通知》[6]明确提出要“制定出台《互联网新技术新业务安全评估实施要求》以及即时通信、搜索引擎等典型业务的安全评估标准,进一步细化安全评估要求”。因此,我们认为该等标准和要求作为进行《办法》所规定的安全评估的必备配套措施,尚有待出台及明确。[7]
- 日常业务监管:经营者义务履行+主管部门监督检查
根据《办法》第十六至十八条,电信业务经营者在完成上述安全评估流程的同时,在其开展互联网新业务的日常经营活动中,还要主动履行应急保障、内部制度、员工培训等一系列相关义务。
而与之相对应,《办法》第十九至二十二条赋予电信管理机构一系列对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况进行日常监管的权限。其中特别值得注意的是以下两项“监测”和“约谈改正”的权限:
[1] 请参见:http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062282/c5511151/content.html。
[2] 请参见:http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062282/c5511151/content.html。
[3] 根据《电信条例(2016修订)》第九条第三款,运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当首先向省级电信管理机构备案。
[4] 但《办法》第三十条也同时规定,互联网新业务开展时间满三年的,就可以不再进行互联网新业务安全评估。对此,工信部在对《办法》的说明中特别指出,这是“考虑到互联网领域创新非常活跃”并“为了便利企业创新创业”。
[5] 请参见《办法》第二十七条。
[6] 请参见:http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062282/c5511151/content.html。
[7] 我们注意到工信部于2016年7月11日印发了题为《互联网新技术新业务信息安全评估指南》的通信行业推荐性标准(YD/T 3169-2016,可参见http://www.doc88.com/p-0738673672176.html)。若《办法》正式成文并实施,则需进一步观察、确认该项标准后续会否被作为进行《办法》所规定的安全评估的标准之一。