近日,为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工信部现公开征求对《互联网新业务安全评估管理办法(征求意见稿)》的意见。
根据征求意见稿的规定,互联网公司上线新业务前须开展安全评估,否则监管机构将约谈公司主要负责人,并将采取警告、罚款及记入电信业务经营不良名单和失信名单。评估的内容包括用户个人信息保护、网络安全防护、网络信息安全、健全管理制度等方面。评估的方式可以是电信业务经营者自行评估,也可以委托专业机构评估。
征求意见稿要求电信业务经营者在互联网新业务面向社会公众上线后45日内,向电信管理机构告知安全评估情况,提供书面评估报告等材料。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
征求意见稿要求电信管理机构对电信业务经营者的安全评估情况实施监督检查,对互联网新业务进行监测,及时发现重大网络信息安全风险。对于未按照规定及时开展互联网新业务安全评估等情形,可以约谈电信业务经营者主要负责人。
上述《办法》建立了互联网新业务安全评估情况通报制度,要求电信管理机构定期公布互联网新业务安全评估情况。同时,对电信管理机构的监督检查活动进行严格规范,明确监督检查中不得收取任何费用,不得妨碍正常的经营或者服务活动。
《办法》规定互联网新业务开展时间达到三年的,将纳入网络与信息安全日常监督管理,可以不再进行新业务安全评估。
新思界
行业分析人士认为:新设的互联网公司上线产品,或者已有的互联网公司上线新业务均需要办理安全评估,这个将极大的增加互联网企业的合规成本。评估办法确立的新业务安全评估制度,在新业务的定义上也有些模糊,另外以“评估”代“许可”无疑是给互联网公司增加了一些合规风险。对于此办法后续的实际实施以及能够取得的结果还有待考证。
