《公安机关互联网安全监督检查规定》解读

2018年9月30日,公安部发布了《公安机关互联网安全监督检查规定》(”检查规定”),该检查规定曾在2018年4月公开征求意见,并将于2018年11月1日正式生效。

尽管新规颁布,并不是从“0”到“1”,公安部门对网络安全进行检查是早已有之。早在1994年公安部门就有《计算机信息系统安全保护条例》,而在网络安全领域也一直都是重要的监管部门。在2011年CSDN数据泄漏事件中,北京警方就以CSDN未履行等级保护义务而处以警告处罚。《网络安全法》生效后的大量执法案件里,公安部门也一直都是重要的执法力量。

一、检查单位
相对于此前的征求意见稿,检查规定进行了一定的更新,其中最值得留意的,是征求意见稿中规定由地市级以上人民政府公安机关网络安全保卫部门实施网络安全检查,在正式施行的版本中改为县级以上人民政府公安机关网络安全保卫部门,降低了开展网络安全检查的门槛。

公安部制定检查规定,将网络安全检查常态化。但公安部门并不是唯一会开展网络安全检查的单位,工信部在2018年8月曾发布《关于开展2018年电信和互联网行业网络安全检查工作的通知》,中央网信办在2016年曾开展“全国范围关键信息基础设施网络安全检查”。配合来自不同部门的网络安全检查,将逐渐成为企业的“必修课”。

二、检查对象

公安部门的检查对象,按照单位提供的服务类型分为以下四类:

  1. 提供互联网接入、互联网数据中心、内容分发、域名服务的;
  2. 提供互联网信息服务的;
  3. 提供公共上网服务的;
  4. 提供其他互联网服务的。

最后一项兜底性的“其他互联网服务”基本上将所有互联网企业纳入检查范围。考虑到《网络安全法》中,几乎所有的企业都可以被认为是“网络运营者”,检查规定里检查对象的范围并不令人感到意外。

对于部分单位,还需要重点监督检查:

  • 开展互联网服务未满一年的
  • 两年内曾发生过网络安全事件、违法犯罪案件的
  • 因未履行法定网络安全义务被公安机关予以行政处罚的

简单来说,对企业新互联网业务、或有“案底”的企业,会被列为重点监督检查的对象。

三、检查项目
根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

  1. 是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;
  2. 是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;
  3. 是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;
  4. 是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
  5. 是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施
  6. 是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助
  7. 是否履行法律、行政法规规定的网络安全等级保护等义务。

联网备案是中国历史最为悠久的互联网管理措施之一,这次也被列为检查的内容。相对于ICP备案,联网单位备案长期以来不被重视,而以后或许会成为检查中首要考察的对象,因为这是最容易核查的项目,只需要登录“全国公安机关互联网安全管理服务平台”即可查验。而网络安全管理制度和操作规程,在此前的征求意见稿中只是要求“制定”,在正式版本中则将这一义务拓展至“落实”。其他的一些义务,多可在《网络安全法》中找到对应的条款。

对于不同类型的服务,也会有对应的细化的检查项目:

在重大网络安全保卫任务期间,公安机关可以对网络安全有关单位开展专项检查:

  1. 是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员
  2. 是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患
  3. 是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
  4. 是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
  5. 是否按照要求向公安机关报告网络安全防范措施及落实情况。

值得留意的是,尽管检查规定没有直接对个人信息的检查进行直接规定,但是在公安机关在互联网安全监督检查中,如果发现单位窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,即使仍然会进行行政处罚(第22条)。

四、检查方式

在检查方式上,公安机关会采取现场监督检查或者远程检测的方式进行,现场监督检查时,人民警察不得少于二人,并需要出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。现场监督检查可以根据需要采取以下措施:

  1. 进入营业场所机房工作场所
  2. 要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;
  3. 查阅复制与互联网安全监督检查事项相关的信息;
  4. 查看网络与信息安全保护技术措施运行情况

现场的监督检查甚至可能会以“突袭”(Dawn Raid)的形式展开。比如在数据数据泄漏事件发生后,很有可能会有两名警察在大清早拿着证件和《监督检查通知书》来到单位要求检查网络系统,并要求企业CEO出来对泄露事件作出说明。这无疑是对企业数据合规能力提出了更高的要求。

除了现场监督检查,公安机关对单位的网络安全漏洞,还可以开展远程检测。与现场监督检查不同,远程监测需要事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。

五、处罚

在处罚方面,以《网络安全法》基础,涉及恐怖主义的的则会参考《反恐怖主义法》。从责令整改到一百万元的罚款,再到行政拘留,从单位责任到个人责任都被纳入其中。毋庸赘言了。而从实践的角度来看,越来越多的非罚款性处罚,比如网站整改,应用下架,会比罚款给运营造成更大的影响,不能不为各个单位所重视。

六、何以解忧?唯有数据合规

作为《网络安全法》的重要配套法规,检查规定的出台让网络安全监管者的武器库更加充盈。作为被监管者,则需要对可能到来的监管做好充分的准备。

无论是判断自身企业属性,还是做数据盘点(Data Inventory),或是落实隐私政策,对于单位来说都不是一件容易的工作,不仅涉及法律、商业、技术的多维度权衡,还涉及不同部门资源的整合。上至最高层(单位负责人),下至最基层的员工,都是数据合规的责任主体。

从数据合规的角度,单位只有做好事前的准备工作,积极落实《网络安全法》及配套法规中的各项网络安全义务,才是有效应对网络安全检查的唯一途径。

发表评论

电子邮件地址不会被公开。 必填项已用*标注