(电子商务研究中心讯) 为贯彻落实《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发[2015]5号),完善云服务市场环境,加强规范管理,促进互联网产业健康有序发展,推动“大众创业、万众创新”,打造经济发展新动能,依据《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》等法律法规,工业和信息化部起草了《关于规范云服务市场经营行为的通知》,现公开征求意见。本次征求意见的截止日期为2016年12月24日。如有意见和建议,请以书面或电子邮件方式反馈至工业和信息化部信息通信管理局。
联系地址:北京市西长安街13号
邮编:100804
电子邮件:zhaoyang@miit.gov.cn
关于规范云服务市场经营行为的通知
(公开征求意见稿)
各省、自治区、直辖市通信管理局,各相关电信业务经营者:
为贯彻落实《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发[2015]5号),完善云服务市场环境,加强规范管理,促进互联网产业健康有序发展,推动“大众创业、万众创新”,打造经济发展新动能,依据《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》等法律法规,现就有关事项通知如下:
一、依据《电信业务分类目录(2015年版)》,本通知所称云服务是指互联网数据中心业务(IDC)中的互联网资源协作服务业务。
二、在我国境内经营云服务业务,应严格遵守《电信业务经营许可管理办法》(工业和信息化部令第5号)以及《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》(工信部电管函[2012]552号)中有关资金、人员、场地、设施等要求,通过相关技术评测,并依法取得相应的增值电信业务经营许可证。
三、境外投资者在我国境内投资经营云服务,应严格按照《外商投资电信企业管理规定》(国务院令第534号)等有关规定以及《内地与香港/澳门关于建立更紧密经贸关系的安排》服务贸易协议(CEPA)等有关IDC业务对外开放政策,申请设立外商投资电信企业并取得相应的增值电信业务经营许可证。
四、云服务经营者与有关单位开展技术合作,应向电信管理机构书面报告云服务合作事项。合作过程中不得存在以下行为:
(一)以任何形式向合作者变相租借、转让电信业务经营许可证,以及为合作者非法运营提供资源、场地、设施等条件;
(二)由合作者直接与用户签订合同;
(三)仅使用合作者的商标和品牌向用户提供服务;
(四)违法向合作者提供用户个人信息和网络数据;
(五)违反法律法规规定的其他行为。
五、云服务经营者应建立健全服务质量保障体系,规范业务宣传和经营服务行为,严格履行服务协议和公开承诺,确保云服务质量。应建立用户投诉处理机制,妥善处理用户投诉,维护用户合法权益。
六、云服务经营者应使用具备相应许可资质的电信业务经营者所提供的网络基础设施和IP地址、带宽等接入资源。各相关电信业务经营者不得为无相应许可资质的单位或个人提供用于经营云服务的网络基础设施和IP地址、带宽等接入资源。
七、云服务经营者应在境内建设云服务平台,相关服务器与境外联网时,应通过工业和信息化部批准的互联网国际业务出入口进行连接,不得通过专线、虚拟专用网络(VPN)等其他方式自行建立或使用其他信道进行国际联网。
八、云服务经营者应对其接入用户(本通知所称接入用户是指接入网站和第三方应用开发者)切实履行以下管理责任:
(一)对所接入网站依法履行备案手续,对所接入第三方应用开发者进行实名登记和核验。
(二)应监督所接入用户按照双方协议约定的用途使用网络设施和资源开展业务,并按照相关规定及时更新资源使用变化情况。
(三)发现接入用户擅自改变使用用途,涉嫌违法违规的,应立即采取有效措施,并向电信管理机构报告。
(四)应加强对接入用户发布信息的管理,对于法律法规禁止发布或传输的,应立即停止传播该信息,保存有关记录,及时向相关部门报告。
(五)不得为不符合相关管理规定的接入用户提供服务。
(六)应按照相关部门要求,做好安全审查配合工作。
九、云服务经营者应严格遵守国家网络数据保护和用户个人信息保护有关规定,建立健全数据管理制度,确保网络数据和用户个人信息安全。
(一)应制定用户个人信息收集和使用规则,并向用户公布。
(二)落实网络数据安全和用户个人信息安全防护标准要求,完善网络数据和用户信息的防窃密、防篡改和数据备份等安全防护措施。
(三)在用户终止使用服务后,应停止对用户个人信息的收集和使用。
(四)面向境内用户提供服务,应将服务设施和网络数据存放于境内,跨境实施运维及数据流动应符合国家有关规定。
(五)出现用户数据泄漏事件,应当及时告知用户,并立即采取有效补救措施,向电信管理机构报告。
(六)若停止服务,应至少提前三个月向电信主管部门报告,向全体用户公告,并为用户保存数据提供必要的便利。
十、云服务经营者应按照安全生产相关规定和要求,建立健全运行安全管理制度,确保云服务相关设施和系统安全、可靠、平稳运行。
(一)建立运行维护岗位责任制,明确相关岗位职责,落实责任人。
(二)加强对所属重要设施、系统和业务平台设备的检测和巡查,协同基础电信企业加强网络传输线路的安全维护。
(三)对重要设备、业务系统和数据进行备份,保障云服务的可用性及业务连续性。
(四)遇突发业务服务中断事故,要按照相关规定和预案妥善处理,尽快恢复服务并及时向电信管理机构报告。
十一、云服务经营者应按照电信管理机构要求,配备与业务规模相适应的网络信息安全专职管理人员,建立完善网络信息安全管理、新技术新业务安全评估、重大事件应急处置等制度,配套建设网络信息安全保障技术手段并落实“同步规划、同步建设、同步运行”要求。
十二、云服务经营者应遵守《通信网络安全防护管理办法》等规定,按照《云计算服务安全能力要求》、《公有云服务安全防护要求》等标准,严格落实云服务平台数据安全、应用安全、虚拟化平台安全、主机安全等防护措施,不断完善防护技术手段,强化虚拟化、多租户场景的针对性保护,提升网络安全防护水平和应急处置能力。
十三、鼓励第三方组织开展云服务经营者服务能力、服务质量、可信度、网络与信息安全等评测认证活动,定期向社会公布相关结果,引导云服务经营者加强内部管理,提升服务质量和诚信水平。
各级电信管理机构要督促云服务经营者按照上述要求开展自查自纠,并对落实情况进行监督检查,督促存在问题的云服务经营者及时整改,依法处理各类违法违规行为,将处理结果纳入企业信誉管理档案,并向社会公示。
特此通知。
工业和信息化部
