关于开展2024年广东省电信和互联网行业网络数据安全和应用合规行政检查的通知
省内各基础电信企业、互联网企业、域名从业机构、移动智能终端生产企业、移动应用(含车载应用)分发平台、小程序运行平台、APP/小程序主办者、其他有关网络系统平台应用运行单位:
为深入贯彻落实党的二十大精神和习近平总书记关于网络安全的系列重要讲话精神,全面提升电信和互联网行业网络安全防护水平,健全网络综合治理体系,推动电信和互联网行业高质量发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,结合《工业和信息化部办公厅关于组织开展2024年互联网基础资源合规行动的通知》的要求,我局决定即日起对全省电信和互联网行业开展网络安全、数据安全、个人信息保护、移动互联网应用合规等方面的行政检查工作。现将有关要求通知如下:
一、总体要求
围绕加快推进网络强国建设战略目标,深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》,坚持以查促建、以查促管、以查促防、以查促改,以防病毒、防入侵、防篡改、防窃密、防黑灰产为重点,加强网络与数据安全风险、合规风险隐患排查,通报检查结果并加大整改力度,强化企业风险防范及主体责任落实,切实做好安全防护,保障公共互联网的持续安全稳定运行,规范互联网行业市场秩序,维护用户合法权益。
二、检查对象
相关企业建设运营的网络、系统、平台、应用、业务,重点是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:管理支撑系统、公共云服务平台、域名服务系统、工业互联网平台、物联网服务平台、车联网应用及数据服务平台、电子商务平台、网络支付平台、网络游戏运营平台、网约车信息服务平台、移动智能终端及移动应用分发平台(含车载与穿戴设备应用)、APP及小程序等。
三、检查主要内容
(一)安全合规管理制度机制
是否成立企业网络安全、数据安全、个人信息保护、应用合规工作领导机构和负责部门,是否制定企业内部的网络安全、数据安全、个人保护、应用合规相关管理制度和工作机制,制度中是否包含专项经费保障,是否制订网络与数据安全突发事件应急预案并开展演练,是否开展相关宣贯教育培训。
(二)网络安全防护检查
(获得电信业务经营许可、域名从业机构许可的)是否对正式上线运行的网络和系统进行单元划分、定级并在“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)进行备案,定级备案信息是否完整、准确,是否按要求开展符合性评测及安全风险评估工作。是否采取符合安全防护标准要求的安全监测、访问控制、边界防护等技术措施,及时发现和有效防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为,是否存在可导致网络与系统阻塞、中断、瘫痪或者被非法控制等严重危害的高危漏洞、弱口令等重大安全隐患和木马、病毒、僵尸程序等恶意程序。
(三)数据安全和个人信息保护检查
检查数据的分类分级管理、重要数据各环节安全防护、容灾备份、安全评估、日志审计,数据的采集与使用规范、数据合作方的监督管理、用户账号注销服务、隐私政策和个人信息收集使用合规情况等。
(四)市场秩序和用户权益保护工作检查
是否存在违反《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)、《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)、《工业和信息化部关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号)、《关于进一步规范移动智能终端应用软件预置行为的通告》(工信部联信管函〔2022〕269号)等规定的相关问题。
(五)互联网基础资源合规检查
部署在公共互联网的网站、Web系统、移动应用程序(APP、小程序、快应用)是否履行ICP备案手续,ICP备案信息是否真实有效,是否及时履行备案变更(备案情况发生变动时)和备案注销手续(网站应用停办、域名过期/易主时)的情况,网站底部(移动应用的设置菜单)是否正确标明备案号并链接;从事网络接入、应用分发、终端生产企业、小程序/快应用运行平台是否存在为未备案网站和未备案APP提供网络接入、应用分发、应用预置和应用运行等服务,包括该四类企业为移动应用提供相关服务的工作流程;是否使用未取得相关许可主体和非法来源提供的网络资源;是否未经许可擅自设置公共互联网域名递归解析服务;是否使用或提供互联网资源从事“秒拨”、“网络代理”、虚拟货币“挖矿”等活动。
(六)反诈义务落实情况检查
是否履行《反电信网络诈骗法》相关法定义务,是否按照电信主管部门相关要求落实措施到位,是否落实反电信网络诈骗内部控制机制,是否配合对涉案、涉诈电话卡关联注册互联网账号进行核验,是否对获悉销号手机号码关联注册的互联网账号采取必要核查处置措施,重点业务和新业务是否开展涉诈风险评估,相关网络日志留存是否到位,是否履行对相关电信网络诈骗信息/活动的监测识别和处置义务。
四、工作安排
(一)自查自纠
各网络运行单位要对照法律法规和本次检查重点,组织开展对本单位网络安全、数据安全、个人信息保护、应用合规管理工作进行自查评估,对自查中发现的安全问题进行及时整改。
(二)监督检查(即日起至12月不定期)
我局将结合监管重点和2024年相关“双随机”检查工作,并委托支撑单位和专业技术机构进行远程监测/检测、现场检查:
1.对相关重点网站、平台、系统、应用采取抽测方式进行远程检测;抽查发现重大网络安全风险和隐患的,将通过《责令整改通知书》《网络安全威胁监测处置通知》《违法违规APP处置通知》等形式书面向网络运行单位通报,督促限期整改,并根据整改情况做进一步处理。
2. 通过抽取,对相关重点企业和网络、系统、平台、应用运行(运营)单位采取现场访谈、资料查阅、检查检测等方式进行现场检查(另行通知)。
(三)整改问责
对检查过程中发现的问题,各单位要高度重视,认真及时整改并向我局报告整改情况。发现存在违反法律法规行为、问题逾期不改正或导致危害网络与数据安全等严重后果的,我局将依法依规给予行政处罚并纳入不良名单和失信名单。
各单位要强化主体责任和问题导向,根据检查重点加强自查评估,增强问题发现和整改能力,举一反三,健全问题闭环管理机制,切实提升自身网络数据安全防护能力和业务应用合规水平。
特此通知。
广东省通信管理局
2024年3月25日
(联系电话:应用合规020-87626832,网络数据安全020-87302705)