2022年3月以来,湖北[1]、青海[2]、广东[3]、福建[4]、北京[5]、浙江[6]、山东[7]、江苏[8]、上海[9]、安徽[10]等省市通信管理局陆续在其官方平台发布通知(以下统称“《通知》”),决定在本地区组织开展2022年电信和互联网行业网络与数据安全检查工作。
此次安全检查旨在贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规,并以查促建、以查促管、以查促防、以查促改,强化电信和互联网行业的风险防范意识及主体责任落实。简而言之,检查的目的是促使企业落实网络安全与数据合规措施。
本文仅针对数据安全检查涉及的目标企业(检查对象)、检查内容(合规要求)和检查安排(时间表)等进行分析,并从法律角度解读电信和互联网行业数据安全监管政策与合规要求[11],最后总结企业的应对之策。
一、检查对象与企业范围
根据各省市的《通知》,本次数据安全检查的对象如下:
总体而言,各省市本次安全检查涉及主体十分广泛,涉及基础电信企业、互联网企业及域名注册服务机构三类,其中互联网企业又细分为平台、ISP、ICP、IDC等不同类型的服务提供商。而通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等在内的关键信息基础设施和重要网络单元及承载的信息系统将是本次安全检查的重点。
值得注意的是,除“基础电信企业”和“域名注册服务机构”较为明确外,各省市《通知》中对“互联网企业”这一类检查对象的描述存在差异,且采用了不完全列举的方式(如图所示)。以“APP运营企业”为例,浙江省的《通知》中明确说明检查对象不仅限于APP运营者,还包括APP应用商店及具有分发功能的平台。上海市的《通知》中还包含了小程序运营企业。
对此,我们理解,企业可参照《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)所列的整治对象范围,判断自身是否属于“APP运营企业”,包括:(1)APP服务提供者,此处“App服务提供者”是指互联网信息服务提供者提供的可以下载、安装、升级的应用软件(包括快应用和小程序等新应用形态)的运营方;(2)软件工具开发包(SDK)提供者,“SDK”系指集成在手机APP里的第三方工具集合;(3)应用分发平台,包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台。
需要强调的是,根据浙江省公布的《2022年电信和互联网行业数据安全检查名单》[12],传统企业如果涉及有网站、APP等,也可能被抽查。
二、检查内容与合规要求
关于“数据安全”领域的检查内容,主要包括「数据安全保护落实情况」及「个人信息保护工作情况」两大模块。具体内容如下:
以上述数据安全检查的内容为基础,结合《通知》所依据的法律法规的数据监管逻辑,企业所应满足的合规要求兹归纳如下:
(一)数据安全保护合规
目前已发《通知》的十省市均将「数据安全保护落实情况」列为重点检查内容。而根据《通知》内容,本项检查所涉及项目基本对应了《电信和互联网企业数据安全合规性评估要点》(以下简称“《评估要点》”)所列十项基础性评估要点及两项专门性评估要点(如图所示)。
企业可首先参照上述要点及具体要求进行自我评估、检查,若有制度缺失、遗漏或者落实不力的情况,应当尽快予以相应整改,必要时应当聘请外部数据安全合规专业团队参与,以提升合规风险识别能力和合规建设水平,顺利过检。
(二)个人信息保护合规要求
针对个人信息保护工作,本次安全检查将聚焦企业在《个人信息保护法》《电信和互联网用户个人信息保护规定》及《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》三项法规下合规义务的履行。
我们理解,《个人信息保护法》系规制所有个人信息处理者的个人信息处理活动的基础性法律,属于原则性规定;《电信和互联网用户个人信息保护规定》系面向电信业务经营者和互联网信息服务提供者的专门性法规,针对性强,但是仍尚需细化;而《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》则以负面清单方式列举不合规的症状,成为监管的焦点,也是企业急需合规的重点,企业需要切实予以自我对照,及时补足短板。
此外,该《通知》要求,监管部门将重点对APP个人信息保护和用户权益保护情况开展检查,尤其是APP收集使用个人信息“最小、必要”的合规要求的落实情况。对此,我们理解,APP隐私政策合规制度与合规内控将是检查的切入点和抽查重点,企业应当充分重视并可以迎检为契机,以编制、更新、修订隐私政策文件以及内控机制为工作重点对本企业数据安全、个人信息保护相关工作进行自查。关于隐私政策文件的编制思路、方法及合规要点等,企业可参考我们此前发布的《隐私协议标准草案:要点解读与合规路径》系列文章。
落实收集、使用个人信息“最小、必要”的合规要求,企业亦应参照如下规范:
特别需要提示的是,上海市和浙江省《通知》中关于“个人信息保护工作情况”检查项目所依据的法规,还分别包括《关于开展信息通信服务感知提升行动的通知》及《关于开展2022年信息通信行业行风建设暨纠风工作的通知》,相关企业还应特别针对该两项法规的特别要求内容进行合规应对,如重点互联网企业的“双清单”建设情况。
三、检查安排(时间表)
根据各省市的《通知》,本次安全检查工作基本均包含自查自纠、重点抽查、整改问责三个阶段[13],为便于企业直观了解,我们将各重要时间节点梳理如下:
自查自纠阶段,企业需对照相关法律法规要求,对本企业数据安全、个人信息保护相关工作进行自查自纠,对自查发现的安全问题要逐一做好记录。对能立即整改的,要边查边改;对无法立即整改的,要采取防范措施,制定整改计划,确保整改落实;同时形成自查整改情况台账(注意留痕)。
现在重点抽查阶段基本上已经启动,监管部门将组织专业技术机构通过现场检查、远程抽测等方式检查企业数据安全和个人信息保护技术防护措施的落实情况,企业需配合相关工作。
整改问责阶段,企业需对检查过程中发现的问题及时整改,并将相关整改情况形成总结报告报送监管部门。
《通知》提出,相关企业拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,监管部门将依法依规给予约谈、警告、罚款等行政处罚并纳入不良名单和失信名单。若企业在检查中遭遇上述问题,应立即启动相应应急预案并寻求专业人士帮助,以避免因处罚或失信影响企业正常经营。
四、迎检准备
目前,各省市的安全检查工作已经启动并逐步进入抽查问责阶段,企业需做好迎检准备。除了对照相关法律法规要求进行自查自纠及合规整改外,企业还可参考浙江省通信管理局发布的“迎检要求”[14],准备迎检材料。
五、总结
2022年电信和互联网行业网络与数据安全检查工作,为企业敲响了警钟,企业除处理网络安全外,不仅需要尽速建立数据安全合规制度,而且需要实行用以落实数据安全的合规内控机制,避免数据安全合规制度成为空中楼阁。本次各地数据安全检查的重点,即在于此。
注释:
[1] 湖北省通信管理局《关于开展2022年电信和互联网行业网络和数据安全检查的通知》,发布时间:2022年3月11日,访问地址:https://hubca.miit.gov.cn/zwgk/tzgg/art/2022/art_8890dada582945d39456dfef91b50be3.html。
[2] 青海省通信管理局《关于开展2022年电信和互联网行业网络数据安全检查的通知》,发布时间:2022年3月22日,访问地址:https://mp.weixin.qq.com/s/nhdovEAWw-liYMOaXrom7g。
[3] 广东省通信管理局《关于开展2022年电信和互联网行业网络与数据安全检查的通知》,发布时间:2022年3月25日,访问地址:https://gdca.miit.gov.cn/zwgk/tzgg/art/2022/art_944727d954134166b613674b12405671.html。
[4] 福建省通信管理局《关于开展2022年电信和互联网行业网络和数据安全检查的通知》,发布时间:2022年4月11日,访问地址:https://fjca.miit.gov.cn/xwdt/gzdt/art/2022/art_a3e138e8cc4d4a168da48adf066fb29b.html。
[5] 北京市通信管理局《关于开展2022年电信和互联网行业网络与数据安全检查的通知》(京信网安发〔2022〕46号),发布时间:2022年5月19日,访问地址:https://bjca.miit.gov.cn/zwgk/tzgg/art/2022/art_6dad7c7ba2e54942bde655044f46deee.html。
[6] 浙江省通信管理局《关于开展2022年电信和互联网行业数据安全检查的通知》,发布时间:2022年5月30日,访问地址:https://zjca.miit.gov.cn/zwgk/tzgg/art/2022/art_b806f642aa22434e96b9da11c04ab580.html。
[7] 山东省通信管理局《关于开展2022年信息通信行业网络与数据安全检查的通知》(鲁通管〔2022〕64号),发布时间:2022年6月2日,访问地址:https://sdca.miit.gov.cn/xwdt/tzgg/art/2022/art_3a1b316169154ca5bf4b9ec3cae71337.html。
[8] 江苏省通信管理局《关于开展2022年电信和互联网行业网络和数据安全检查工作的通知》,发布时间:2022年6月9日,访问地址:https://jsca.miit.gov.cn/gzcy/gggs/art/2022/art_30309a33e68a42ebbfa82d4822d585df.html。
[9] 上海市通信管理局《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》,发布时间:2022年7月7日,访问地址:https://shca.miit.gov.cn/ztzl/zxxd/wlxxaq/art/2022/art_87adb3f8b64648bfabd683e9821b4f22.html。
[10] 安徽省通信管理局《关于开展2022年电信和互联网行业网络和数据安全检查的通知》,发布时间:2022年7月18日,访问地址:https://ahca.miit.gov.cn/xxgk/tzgg/art/2022/art_a98b420dc3584c799e3ad3b02308c9e2.html。
[11] 除浙江省外,各省市对电信和互联网行业开展的检查同时包括网络安全和数据安全两方面,但受篇幅限制,本文将主要涉及“数据安全”层面的合规分析与提示。
[12] 参见浙江省通信管理局《关于公布2022年电信和互联网行业数据安全检查名单的通知》,发布时间:2022年7月18日,访问地址:https://zjca.miit.gov.cn/zwgk/tzgg/art/2022/art_5b9c622b1a4844d19157963b0891a8fc.html。
[13] 部分省市还设有远程检测、通报处置等特别阶段,企业需关注所属省市的《通知》并按要求配合工作。
[14] 同12。