监管动态 | 上海开展2023年度网络和数据安全检查
点击关注“数据与电商研究室”
编者按
近日,上海市通信管理局发布了《关于开展2023年上海市电信和互联网行业网络和数据安全检查的通知》(以下简称“《通知》”),上海市成为2023年度继广东省之后第二个在全域范围内开展电信和互联网行业的网络数据安全检查的地区。
一、前言
APP治理、个人信息以及用户权益保护是工信部门2023年重点监管任务之一,此前工信部印发了《关于进一步提升移动互联网应用服务能力的通知》(可具体参见我们此前的解读文章:《监管动态|工信部发布新规提升APP服务能力》),在企业提升用户服务感知和提升行业管理能力方面,提出了细致、全面的合规要求,以督促企业全面履行合规义务。《通知》进一步推进了2023年度工信领域网络和数据安全检查的进程。
相较于2022年度的检查要求,本年度上海的检查内容更细致、要求更严格。对比广东上海两地的要求,广东省增加了“互联网基础资源合规检查”,且二者在具体检查方式上存在一定差异。(关于广东省的网数安全检查要求请参见我们此前的文章:《执法解读丨广东省开展2023年网络数据安全和应用合规检查》)。提醒相关企业注意的是,《通知》规定相关企业自查自纠窗口期仅有一个月,企业应及时做好自查和合规整改工作,切实落实网络和数据安全合规义务。
本文梳理了《通知》中的重点内容,旨在提醒相关企业提前做好监管检查应对工作。
二、法律依据
检查将重点以法律法规、部门规章以及专项通知为依据开展,新增《工业和信息化领域数据安全管理办法(试行)》作为法律依据。具体包括:
(点击可查看大图)
三、检查对象
本年度检查对象涵盖基础电信企业、互联网企业以及域名注册服务机构,其中重点检查对象为相关网络运行单位的重要网络单元及承载重要数据的信息系统,包括但不限于:
1)关键信息基础设施
2)通信网络基础设施
3)公共云服务平台
4)域名服务系统
5)工业互联网平台
6)标识解析系统
7)车联网应用服务平台
8)网约车信息服务平台
四、检查内容
本年度检查主要内容具体包括六个方面,检查内容的颗粒度较2022年度的检查内容更加细致,具体如下:
(点击可查看大图)
五、工作安排
(一) 企业层面
根据《通知》要求,企业应完成信息报送以及自查自纠工作,具体包括:
1. 信息报送
9月30日前,企业应完成如下消息报送:
1)通过工信部“通信网络安全防护管理系统”(www.mii-aqfh.cn),报送2023年度通信网络单元的定级信息及其网络安全符合性评测和安全风险评估结果;
2)完成本年度工业互联网安全分类定级、落实相应级别的网络安全防护措施以及开展网络安全风险评估,并将相关定级报告和评估报告报送市通信管理局。
2. 自查自纠
《通知》为相关企业设置了自查自纠窗口期,相关企业应于7月31日前报送《网络安全检查总结报告》。《通知》提供了报告模板,提醒相关企业注意的是,报告模板较2022年在“个人信息和重要数据安全保护自查情况”中作了更细致的规定,数据出境情况成为自查重点,具体包括:
1)数据采集渠道、采流程和采集方式;
2)是否采取加密保护措施,保证数据安全传输;
3)是否明确数据资产的使用人和安全责任人;
4)是否制定数据分类分级管理制度;
5)是否配置了访问控制管理和安全审计;
6)是否明确各类数据销毁场景及销毁方式;
7)是否向境外提供重要数据或个人信息,若为是,是否申报数据出境安全评估、个人信息出境标准合同备案等。
(二)监管层面
1. 重点抽查
9月30日前,选取重点单位及其信息系统,委托专业技术机构进行网络安全远程和现场检查。
对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的,将依法依规给予行政处罚,并将其纳入不良名单和失信名单。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
精彩回顾
本期作者:高维钊 齐雅颂
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”