2022年7月7日,上海市通信管理局发布《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》(以下简称《通知》)。《通知》的发布,旨在检验网络和数据安全防线,强化行业的风险防范及主体责任落实,其重要性不言而喻。本文将重点梳理《通知》所面向的检查对象、检查内容、以及重要时间节点,以协助相关企业把握监管要求并识别自身合规差距。
一、检查对象
一、检查对象
《通知》主要面向三类主体,即提供公共互联网网络信息服务的基础电信企业、互联网企业、域名注册服务机构。其中互联网企业包含云平台服务提供商、APP和小程序运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。
同时,《通知》还明确了重点检查对象,即相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。
要点提示:
企业在开展自查工作前应当结合自身性质,判断是否属于检查对象,尤其是重点检查对象,依据相应的监管要求实施整改。
二、检查内容
《通知》的检查内容具体细分为三个板块:网络安全、数据安全以及个人信息和用户权益保护。
(一)网络安全
网络安全板块的主要检查内容为网络安全管理制度和保障体系建设落实情况和网络安全防护工作落实情况。
“网络安全管理制度和保障体系建设落实情况”的检查事项
2.“网络安全防护工作落实情况”的检查事项
要点提示:
1.网络安全板块是此次检查的重点,监管要求会因行业而存在差异。各电信与互联网企业须遵循《通信网络安全防护管理办法》,各车联网和工业互联网企业还须符合行业专项检查活动的要求。因此企业应当事先认定公司性质,把握本行业的监管活动及要求,积极开展合规工作。
2.企业应当依据《通信网络安全防护管理办法》识别本单位重要的通信网络和信息系统,结合自身情况选择评估方式。对于自身具备网络安全评估条件的,可开展自评。其他未具备此条件的相关企业,可根据2021年12月中国通信企业协会发布的《通信网络安全服务能力评定获证单位名单》选用第三方网络安全服务企业合作进行安全评估工作。
(二)数据安全
数据安全板块主要是检查企业落实《数据安全法》《电信和互联网企业数据安全合规性评估要点》的要求,包括:
持续完善本单位数据安全管理制度和技术保护措施的情况;落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况;及时发现和处置非授权访问、批量复制或转移、删改异常情况;数据安全事件应急预案制定,重要数据备份和加密等工作情况。
要点提示:
1.数据安全的检查事项相较原则,电信和互联网企业可以自行评估,亦可委托专业团队依据《数据安全法》《电信和互联网企业数据合规性评估要点》开展评估。
2.电信和互联网企业应当自查自纠是否具备数据安全管理制度,倘若尚未制定或者不完善,应当尽快结合业务情况和行业监管要求制定、持续完善。
3.为保护企业自身数据安全,并通过此次检查,应当落实开展网络数据安全合规性评估,数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况。
4.针对数据的非授权访问、批量复制或转移、删改等异常情况,企业可以通过设置监测软件或设备,进行全天候监测或定期监测,提前发现和处置数据异常情况。
5.企业应当贯穿考虑风险评估与危害处置,完善数据安全管理制度和技术保障措施,有效识别风险、及时处置数据安全事件。
(三)个人信息和用户权益保护
个人信息和用户权益保护板块主要是检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于开展信息通信服务感知提升行动的通知》要求,落实电信和互联网行业个人信息保护和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范,重点对移动互联网APP、小程序运营企业的个人信息保护和用户权益保护情况开展检查。
要点提示:
1.针对个人信息和用户权益保护工作,《通知》共涉及三项依据。三项依据适用范围、规范重点不同,企业应当根据自身情况适用并据此整改。
(1)《个人信息保护法》作为个人信息保护法的专门性立法,较为全面、原则。
(2)《电信和互联网用户个人信息保护规定》是面向电信和互联网信息服务提供者的专门性规定。其适用主体与《通知》的检查对象相一致。
(3)《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于开展信息通信服务感知提升行动的通知》适用于APP服务提供者,对个人信息保护要求更为细化,本次检查也对此提出了特别评估规范。
2.APP应当符合用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范。
用户权益保护和收集使用信息最小必要落实情况是本次检查的重点。对于本项检查的“相关规范”,可参考《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术个人信息安全规范(GB/T35273-2020)》《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T41391-2022)》(2022年11月1日实施)。
三、时间节点
依据《通知》,检查工作有自查自纠、重点抽查、整改问责三个阶段。其中,8月5日,8月31日、9月30日三个重要时间节点需要注意。
第一阶段:自查自纠(2022年8月31日)
《通知》明确,各行业单位要按照有关自查评估工作规则,针对当前面临的突出问题、薄弱环节、潜在风险,制定网络安全自查评估工作方案,开展全面的网络安全自查评估,查找漏洞、补齐短板。
8月5日:本单位上报文件和《网络安全检查总结报告》上报市通信管理局。
8月31日:要逐项完成整改,确保问题彻底解决,不留后患。
要点提示:
1.企业制定自查评估方案时应区分优先次序,先就重点检查对象和高风险事项开展自查,尽可能在有限时间中识别潜在风险与薄弱环节。
2.企业应当将自查时的突出问题、改进措施等方面进行及时记录,按照问题情况立即整改或者制定整改方案,形成书面材料。
3.企业应充分利用自查机会,在8月5日之前完成自查,并将相关材料上报上海市通信管理局。在自查评估的基础上及时开展整改活动,于8月31日前,逐项完成整改。
第二阶段:重点抽查(2022年9月30日)
9月30日前,市通信管理局将组织开展2022年“磐石行动”网络安全攻防演练,并选取重点单位及其信息系统,委托专业技术机构进行网络安全远程和现场检测,通过实战检测检验各单位的网络和数据安全防护能力。对检查时发现的薄弱环节、安全漏洞和安全风险,专业技术机构要及时形成检查结果记录报告,并上报市通信管理局。
要点提示:
依据《网络安全法》第三十四条、第三十九条以及第五十三条,目前网络安全攻防演练成为常态化工作。本次《通知》中重点抽查的形式是网络安全攻防演练,亦是对《网络安全法》的落实。
如何做好网络攻防演练是一项较为细致的工作,充分的事前准备尤为关键。
在网络安全攻防演练前,企业可以从人员配置、资产盘点、威胁梳理、监测响应等方面进行准备。此外,各企业还可以自行委托专业技术机构进行检测检验,尽早发现薄弱环节、安全漏洞和安全风险,并及时整改。
第三阶段:整改问责
《通知》提出,对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚并纳入不良名单和失信名单。
附件:
1.《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》原文
2.《电信和互联网行业网络和数据安全检查的主要法律法规汇编》































































































































































































《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》合规应对要点提示
作者:金震华 张冰 郑书康来源:汉盛律师

2022年7月7日,上海市通信管理局发布《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》(以下简称《通知》)。