该办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。
该办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
电信业务经营者的互联网新业务开展时间达到三年的,纳入网络与信息安全日常监督管理,可以不再按照该办法进行互联网新业务安全评估。
《办法(征求意见稿)》共三十一条,主要规定了如下内容:
(一)明确了适用范围。《办法》适用于我国境内的电信业务经营者开展互联网新业务安全评估活动(第二条)。结合《中华人民共和国电信条例》的规定,《办法》将“互联网新业务”界定为“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务”(第三条)。
(二)确定了启动安全评估的情形。电信业务经营者拟将互联网新业务面向社会公众上线的,应当对所开展的互联网新业务进行安全评估(第十条)。评估的内容包括用户个人信息保护、网络安全防护、网络信息安全、健全管理制度等方面(第九条)。评估的方式可以是电信业务经营者自行评估,也可以委托专业机构评估(第十一条)。互联网新业务的技术实现方式、业务功能或者用户规模等发生较大变化,可能存在重大网络信息安全风险的,参照《办法》进行安全评估(第二十九条第一款)。
(三)建立了安全评估报告制度。《办法》要求电信业务经营者在互联网新业务面向社会公众上线后45日内,向电信管理机构告知安全评估情况(第十三条),提供书面评估报告等材料(第十四条)。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料(第十五条)。
(四)完善了监督检查制度。《办法》要求电信管理机构对电信业务经营者的安全评估情况实施监督检查,对互联网新业务进行监测,及时发现重大网络信息安全风险(第十九条、第二十条)。对于未按照规定及时开展互联网新业务安全评估等情形,可以约谈电信业务经营者主要负责人(第二十一条)。《办法》建立了互联网新业务安全评估情况通报制度,要求电信管理机构定期公布互联网新业务安全评估情况(第二十二条)。同时,对电信管理机构的监督检查活动进行严格规范,明确监督检查中不得收取任何费用,不得妨碍正常的经营或者服务活动(第二十三条)。
(五)促进创新发展。《办法》明确鼓励电信业务经营者进行互联网技术业务创新,提升互联网行业发展水平(第六条)。考虑到互联网领域创新非常活跃,为了便利企业创新创业,《办法》规定互联网新业务开展时间达到三年的,将纳入网络与信息安全日常监督管理,可以不再进行新业务安全评估(第三十条)。
此外,《办法》对违反安全评估制度的行为,明确了相应的法律责任(第二十六条至第二十八条)。