对“北京通管局2022年网络和数据安全检查”的解读与合规应对
编者按
2022年5月19日,北京市通信管理局在其平台发布了《关于开展2022年电信和互联网行业网络与数据安全检查的通知》(以下简称“《通知》”),宣告了针对北京地区电信和互联网行业的网络与数据安全状况的2022年度检查行动正式启动。本文拟在梳理《通知》亮点的基础上,对于企业的检查应对作出分析与提示。
《通知》聚焦以下内容
1. 法律依据
三层次的法律依据,法律依据更新,法律规定更细(三部上位法+通信行业法规+细化的规定、标准及专项通知要求)。
2. 检查对象
涉及主体更广,细化重点检查设施、系统与平台。
3. 检查内容
(1)聚焦网络安全、数据安全与个人信息保护三大重点,既关注各重点下的软性的制度建设,又关注各重点下的硬性的技术保护措施。
(2)将增值电信企业和工业互联网企业两类企业作为网络安全防护重点检查企业,关注网络安全符合性测评、安全风险评估、网络安全分类定级等重点问题。
4. 工作安排
(1)明确两阶段与具体的时间节点:
A.自查自纠(通知印发之日起至6月15日)
B.重点抽查(6月16日起至9月30日)
(2)关注企业自查留痕
自查阶段对于安全问题要逐一记录,制定整改计划,并形成自查整改情况台账。
(3)明确整改问责要求
A.整改要求:配合,并将整改情况总结报告报送北京通管局;
B.问责情形:三类:拒不配合/逾期不改正/造成严重后果;
C.法律责任:面临行政处罚并纳入不良名单和失信名单。
01
法律依据的调整和细化
本次行动相较于此前开展的本类检查,最为重要的区别在于法律依据的更新与细化。除《数据安全法》和《个人信息保护法》于去年生效这两个重要的上位法的更新外,更多细化的与通信行业的网络安全、数据安全、个人信息保护领域相关的下位法也在密集出台,如近期信安标委发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》和工信部发布的《APP收集使用个人信息最小必要评估规范》也可能会作为本次检查的法律依据。
本次检查的法律依据呈现以下三层次,提醒相关企业重点关注:
1. 三部上位法
《网络安全法》
《数据安全法》
《个人信息保护法》
2. 通信行业法规
(1) 《通信网络安全防护管理办法》(工信部,2010)
(2)《电信和互联网企业数据安全合规性评估要点》(工信部,2020)
(3) 《电信和互联网用户个人信息保护规定》(工信部,2013)
(4) 《工业互联网企业网络安全分类分级管理指南(试行)》(工信部,2019)等
3. 细化的规定、标准及专项通知要求
(1) 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部,2020)
(2) 《App违法违规收集使用个人信息行为认定方法》(网信办等,2019)
(3) 《常见类型移动互联网应用程序必要个人信息范围规定》(网信办等,2021)
(4) 《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(信安标委,2022)
(5) 《APP收集使用个人信息最小必要评估规范(征求意见稿)》(工信部,2022)
(6) 《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(工信部、2022)等
02
检查对象和检查重点
1
认定是否落入“网络运行单位”
本次检查对于网络运行单位这一概念,除基础电信企业、域名注册服务企业较为明确的列举外,对于“互联网企业”和“相关单位”采取了不完全列举,即包括但不限于云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。因此,企业在认定是否落入本次检查对象时,应当首先对比是否构成上述已列举的企业,若未落入,建议进一步与北京通管局确认,明确是否落入未完全列举的“互联网企业”和“相关单位”这两个类别。
2
优先整改“检查重点”
在企业认定自身会落入本次检查对象后,企业也应当关注本次检查的重点。即《通知》所说明的检查,并非对本企业内的所有事项均会进行检查,而是对企业的“关键信息基础设施和重要网络单元及承载的信息系统”进行重点检查。因此,在应对检查时间有限的情况下,企业应当重点关注本类基础设施、平台及系统的优先整改。
03
合规义务解读
(一) 三大重点问题
1
网络安全重点合规义务
(1)检查内容解读
《通知》明确,重点检查网络安全管理制度和保障体系建设落实情况。该项重点聚焦《网络安全法》《通信网络安全防护管理办法》下的合规义务履行,并对通信网络安全防护工作落实情况和工业互联网网络安全防护情况作出特别要求。
(2)合规义务提示
A. CIIO识别
对于《网络安全法》下的合规义务的履行,由于一般的网络运营者和关键信息基础设施运营者(CIIO)的合规义务有所区分,建议企业首先对自身是否可能构成CIIO进行识别,若企业可能构成CIIO,除下述一般合规义务外,企业也应当结合《网络安全法》第三十四条及《关键信息基础设施安全保护条例》等法规的具体要求履行特殊的合规义务。
B. 制度建设
建议企业重点建设以下制度,并做好制度的落地和留痕要求:
制定内部网络安全管理制度和操作规程
明确网络安全负责人,落实网络安全保护责任
制定网络安全事件应急响应与报告制度
制定网络安全教育培训制度
C.技术保护措施
企业应当在履行等级保护定级与备案义务的基础上,重点采取包括但不限于以下技术保护措施:
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
采取数据分类、重要数据备份和加密等措施
定期组织符合性评测和网络安全风险评估工作
建设和运行通信网络安全监测系统
2
数据安全重点合规义务
(1)检查内容解读
《通知》明确,将重点检查数据安全保护落实情况。该项重点聚焦《数据安全法》《电信和互联网企业数据安全合规性评估要点》(以下简称《评估要点》)下的合规义务履行,并列举了具体的评估要点。
(2)合规义务提示
A. 重要数据处理者识别
《数据安全法》与《评估要点》均对重要数据的处理者提出了特殊的合规要求,建议企业首先对是否涉及处理重要数据进行识别。目前法规层面虽然未对重要数据的识别给出清晰的界定,企业可结合信安标委发布的《重要数据识别指南》进行初步识别,并在必要时和主管部门进行进一步确认。若构成重要数据处理者,除以下一般合规义务的履行外,还应当关注《数据安全法》和《评估要点》中的特殊合规义务的履行。
B. 制度建设
建议企业重点建设以下制度,并做好制度的落地和留痕要求:
建立健全全流程的数据安全管理制度,对数据全生命周期的安全管理制定具体的合规要求
明确企业数据安全管理部门与人员,落实数据安全保护责任
制定数据分类分级制度,明确数据资产的梳理,数据的分类定级标准以及差异化的安全保障措施的部署等内容
制定数据安全应急响应与报告制度
制定数据安全教育培训制度
制定数据合规评估制度,明确评估对象、评估方式和评估报告等内容
制定数据合规审计制度,明确企业的数据合规审计的日志留存、审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求
制定对外合作数据安全管理制度,明确企业向第三方收集数据或向第三方提供数据的不同的安全管控要求
制定访问权限管理制度,明确权限设置的安全保障要求、原则和角色分类设置等内容
C.技术保护措施
数据识别:配备技术能力,对数据中的敏感个人信息、重要数据进行识别与脱敏,并定期对脱敏进行验证。
操作审计:实现自动化操作审计,具有数据操作权限配置、异常操作告警与处置等核心技术功能。
防泄漏能力:实时监控数据安全,并可及时预警拦截异常数据操作行为。
接口安全管理:关注接口认证鉴权与安全监控能力的建设,并开展接口日志审计。
个人信息保护:对敏感个人信息进行特殊的去标识化保护、加密传输与权限管理。
3
个人信息保护重点合规义务
(1)检查内容解读
《通知》明确,将重点检查个人信息保护的工作情况。该项重点聚焦《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》下的合规义务履行。与网络安全和数据安全重点有所区分的是,针对个人信息保护领域的检查工作,将重点对“移动互联网APP运营企业的APP个人信息保护情况”开展检查。故我们理解,企业在应对检查工作时,除制度建设和技术保护措施外,应当优先整改所运营的APP,确保APP的合规运营。
(2)合规义务提示
A. APP合规治理
关于APP合规治理,北京通管局在今年4月份即发布过《关于开展2022年北京地区App综合治理专项行动的通知》(以下简称《APP治理通知》),本项下的APP合规治理将结合《通知》与《APP治理通知》的内容作出综合的提示:
明确待整改的APP范围:此处的APP包括既包括在移动智能终端预置、下载安装的应用程序,也包含小程序,企业应当全面梳理。
结合最新标准开展评估:企业在《个人信息保护法》施行后,多已针对性地调整了相关的APP设置、《隐私政策》等内容,但随着近期关于APP相关评估规范的密集出台,企业还应当重视根据最新的、细化的评估标准开展二次评估。由于最新的评估标准如《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》(信安标委,2022)做出了更为细化的评估要求,大多企业此前仅依据《个人信息保护法》或更为早的《个人信息安全规范》进行的评估可能与最新的评估标准存在较为明显的差距。建议企业关注最新的评估标准,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》下的评估要点我们此前也进行了介绍,供企业参考。
应用商店的特殊评估要求:在各类APP中,应用商店作为APP分发平台,在《APP治理通知》中,与其他的APP运营者进行了区分。作为应用商店的运营者应当关注对于不良APP的监测义务,信息审核义务,高危风险、违法违规APP的处置等义务的履行。
B. 制度建设
类型一:重点关注的特殊制度
个人信息保护影响评估制度(PIA):结合《个人信息保护法》第五十五条和第五十六的规定,制定PIA制度与评估工作,并做好评估记录的留痕工作。
提供重要互联网服务、用户数量巨大、业务类型复杂的个人信息处理者的特殊合规义务:若“网络运行单位”为该类型的个人信息处理者,应当重点关注《个人信息保护法》第五十八条的要求,并可参考《网络数据安全管理条例(征求意见稿)》第六章“互联网平台运营者义务”的规定,及时履行特殊的制度建设要求,如算法公示规则的制定等。
类型二:可在数据安全相关制度中作出规定,可不另行制定独立的制度
个人信息管理制度和操作规程
个人信息分类分级管理制度
个人信息安全事件应急响应与上报制度
个人信息安全教育培训制度
个人信息合规审计制度
个人信息权限管理制度
C. 技术保护措施
企业的个人信息保护措施可参考数据安全部分的技术保护措施,并重点关注敏感个人信息的安全保护。
电信业务经营者、互联网信息服务提供者也应当根据《电信和互联网用户个人信息保护规定》第三十一条的规定,采取八个方面的“必要措施”防止用户个人信息泄露、毁损、篡改或者丢失。
(二) 两类主体特殊合规义务提示
增值电信企业和工业互联网企业为本次检查工作的重点对象,除需履行三大重点问题下的具体合规义务外,在检查内容部分,《通知》对于这两类主体做出了更为细化的要求。相关企业若构成这两类主体,亦应当重点关注以下特殊检查内容。
(1)增值电信企业
A. 网络单元划分和定级备案义务
该义务为强制性义务,各增值电信企业均应当在2022年6月底前履行该义务,并向通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本单位的定级信息。由于报送截止时间明确,相关企业应当抓紧开展该项工作。
B. 网络安全符合性评测和安全风险评估义务
评测与评估对象:本单位重要的通信网络和信息系统
评估工作开展:本单位自定组织力量或者委托具有通信网络安全专业服务能力资质的机构
评估广度:全方位
我们建议企业在开展该项工作时,应当对评测和评估报告进行留痕。
C. 重点法律依据
《通信网络安全防护管理办法》
(2) 工业互联网企业
A. 重点检查对象
工业互联网服务平台
工业互联网标识解析系统企业
B. 分类分级义务履行情况检查
是否依据《工业互联网企业网络安全分类分级管理指南(试行)》的要求,按要求进行分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估。此前工信部开展了多次试点行动,以推进工业互联网企业网络安全的分类分级工作落地,此次检查亦聚焦于该项工作的落地情况。
C. 重点法律依据
《工业互联网企业网络安全分类分级管理指南(试行)》
04
工作安排
1
关注时间节点
(1)整改阶段
《通知》明确企业自查自纠阶段的期间为通知印发之日起至6月15日,相关企业应当加快整改进度,在6月15日前完成整改。
(2)抽查阶段
在6月16日起至9月30日期间,监管部门将对重点企业进行抽查。若在自查自纠阶段企业未完成整改工作,建议企业继续在抽查阶段进行整改,虽然有所超期,但仍可一定程度上减轻企业的合规风险。
2
关注留痕义务
企业不仅要对相关的制度等文件进行留痕,还应对自查自纠阶段的整改计划、整改情况进行留痕,该项留痕为本次检查工作的明确要求。企业应当在整改阶段形成《整改计划》和《整改情况台账》两类留痕文件。
3
及时整改,避免被问责
(1)整改要求
企业在收到书面的《整改通知书》等文件后,应当及时进行整改,并将整改情况形成总结报告及时报送北京通管局。
(2)问责情形与法律责任
若存在三类情形,则企业可能面临问责:A.拒不配合检查;B.在检查中发现存在违规问题逾期不改正;C.在检查中发现存在违规问题导致危害网络安全等后果的。并可能面临承担行政责任及纳入不良名单和失信名单的法律后果。因此,建议企业在面临整改时,积极配合检查,及时进行整改,并防止危害后果的发生,以有效防止被问责的法律风险。
以上内容不构成任何法律意见和建议,如需咨询,请及时联系我们caipeng@zhonglun.com。
欢迎关注
数据与电商研究室