網路安全檢查的帷幕

網路安全檢查的帷幕

來自專欄不知所云4 人贊了文章

2018年9月30日,公安部發布了《公安機關互聯網安全監督檢查規定》("檢查規定"),該檢查規定曾在2018年4月公開徵求意見,並將於2018年11月1日正式生效。

公安機關互聯網安全監督檢查規定(公安部令第151號)?

www.mps.gov.cn:8080

儘管新規頒布,並不是從「0」到「1」,公安部門對網路安全進行檢查是早已有之。早在1994年公安部門就有《計算機信息系統安全保護條例》,而在網路安全領域也一直都是重要的監管部門。在2011年CSDN數據泄漏事件中,北京警方就以CSDN未履行等級保護義務而處以警告處罰。《網路安全法》生效後的大量執法案件里,公安部門也一直都是重要的執法力量。

一、檢查單位

相對於此前的徵求意見稿,檢查規定進行了一定的更新,其中最值得留意的,是徵求意見稿中規定由地市級以上人民政府公安機關網路安全保衛部門實施網路安全檢查,在正式施行的版本中改為縣級以上人民政府公安機關網路安全保衛部門,降低了開展網路安全檢查的門檻。

公安部制定檢查規定,將網路安全檢查常態化。但公安部門並不是唯一會開展網路安全檢查的單位,工信部在2018年8月曾發布《關於開展2018年電信和互聯網行業網路安全檢查工作的通知》,中央網信辦在2016年曾開展「全國範圍關鍵信息基礎設施網路安全檢查」。配合來自不同部門的網路安全檢查,將逐漸成為企業的「必修課」。

二、檢查對象

公安部門的檢查對象,按照單位提供的服務類型分為以下四類:

  1. 提供互聯網接入、互聯網數據中心、內容分發、域名服務的;
  2. 提供互聯網信息服務的;
  3. 提供公共上網服務的;
  4. 提供其他互聯網服務的。

最後一項兜底性的「其他互聯網服務」基本上將所有互聯網企業納入檢查範圍。考慮到《網路安全法》中,幾乎所有的企業都可以被認為是「網路運營者」,檢查規定里檢查對象的範圍並不令人感到意外。

對於部分單位,還需要重點監督檢查:

  • 開展互聯網服務未滿一年的
  • 兩年內曾發生過網路安全事件、違法犯罪案件的
  • 因未履行法定網路安全義務被公安機關予以行政處罰的

簡單來說,對企業新互聯網業務、或有「案底」的企業,會被列為重點監督檢查的對象。

三、檢查項目

根據互聯網服務提供者和聯網使用單位履行法定網路安全義務的實際情況,依照國家有關規定和標準,對下列內容進行監督檢查:

  1. 是否辦理聯網單位備案手續,並報送接入單位和用戶基本信息及其變更情況;
  2. 是否制定並落實網路安全管理制度和操作規程,確定網路安全負責人;
  3. 是否依法採取記錄並留存用戶註冊信息和上網日誌信息的技術措施;
  4. 是否採取防範計算機病毒和網路攻擊、網路侵入等技術措施;
  5. 是否在公共信息服務中對法律、行政法規禁止發布或者傳輸的信息依法採取相關防範措施
  6. 是否按照法律規定的要求為公安機關依法維護國家安全、防範調查恐怖活動、偵查犯罪提供技術支持和協助
  7. 是否履行法律、行政法規規定的網路安全等級保護等義務。

聯網備案是中國歷史最為悠久的互聯網管理措施之一,這次也被列為檢查的內容。相對於ICP備案,聯網單位備案長期以來不被重視,而以後或許會成為檢查中首要考察的對象,因為這是最容易核查的項目,只需要登錄「全國公安機關互聯網安全管理服務平台」即可查驗。而網路安全管理制度和操作規程,在此前的徵求意見稿中只是要求「制定」,在正式版本中則將這一義務拓展至「落實」。其他的一些義務,多可在《網路安全法》中找到對應的條款。

對於不同類型的服務,也會有對應的細化的檢查項目:

在重大網路安全保衛任務期間,公安機關可以對網路安全有關單位開展專項檢查:

  1. 是否制定重大網路安全保衛任務所要求的工作方案、明確網路安全責任分工並確定網路安全管理人員
  2. 是否組織開展網路安全風險評估,並採取相應風險管控措施堵塞網路安全漏洞隱患
  3. 是否制定網路安全應急處置預案並組織開展應急演練,應急處置相關設施是否完備有效;
  4. 是否依法採取重大網路安全保衛任務所需要的其他網路安全防範措施;
  5. 是否按照要求向公安機關報告網路安全防範措施及落實情況。

值得留意的是,儘管檢查規定沒有直接對個人信息的檢查進行直接規定,但是在公安機關在互聯網安全監督檢查中,如果發現單位竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,即使仍然會進行行政處罰(第22條)。

四、檢查方式

在檢查方式上,公安機關會採取現場監督檢查或者遠程檢測的方式進行,現場監督檢查時,人民警察不得少於二人,並需要出示人民警察證和縣級以上地方人民政府公安機關出具的監督檢查通知書。現場監督檢查可以根據需要採取以下措施:

  1. 進入營業場所機房工作場所
  2. 要求監督檢查對象的負責人或者網路安全管理人員對監督檢查事項作出說明;
  3. 查閱複製與互聯網安全監督檢查事項相關的信息;
  4. 查看網路與信息安全保護技術措施運行情況

現場的監督檢查甚至可能會以「突襲」(Dawn Raid)的形式展開。比如在數據數據泄漏事件發生後,很有可能會有兩名警察在大清早拿著證件和《監督檢查通知書》來到單位要求檢查網路系統,並要求企業CEO出來對泄露事件作出說明。這無疑是對企業數據合規能力提出了更高的要求。

除了現場監督檢查,公安機關對單位的網路安全漏洞,還可以開展遠程檢測。與現場監督檢查不同,遠程監測需要事先告知監督檢查對象檢查時間、檢查範圍等事項或者公開相關檢查事項,不得干擾、破壞監督檢查對象網路的正常運行。

五、處罰

在處罰方面,以《網路安全法》基礎,涉及恐怖主義的的則會參考《反恐怖主義法》。從責令整改到一百萬元的罰款,再到行政拘留,從單位責任到個人責任都被納入其中。毋庸贅言了。而從實踐的角度來看,越來越多的非罰款性處罰,比如網站整改,應用下架,會比罰款給運營造成更大的影響,不能不為各個單位所重視。

六、何以解憂?唯有數據合規

作為《網路安全法》的重要配套法規,檢查規定的出台讓網路安全監管者的武器庫更加充盈。作為被監管者,則需要對可能到來的監管做好充分的準備。

無論是判斷自身企業屬性,還是做數據盤點(Data Inventory),或是落實隱私政策,對於單位來說都不是一件容易的工作,不僅涉及法律、商業、技術的多維度權衡,還涉及不同部門資源的整合。上至最高層(單位負責人),下至最基層的員工,都是數據合規的責任主體。

從數據合規的角度,單位只有做好事前的準備工作,積極落實《網路安全法》及配套法規中的各項網路安全義務,才是有效應對網路安全檢查的唯一途徑。


推薦閱讀:

TAG:網路安全 | 警察 | 法律 |