作者按:為落實(shí)《區(qū)塊鏈信息服務(wù)管理規(guī)定》中提到的安全評(píng)估要求,網(wǎng)信辦近日發(fā)布了一則說明性公告。公告乍看明確,但實(shí)踐中如何具體執(zhí)行仍
作者按:為落實(shí)《區(qū)塊鏈信息服務(wù)管理規(guī)定》中提到的安全評(píng)估要求,網(wǎng)信辦近日發(fā)布了一則說明性公告。公告乍看明確,但實(shí)踐中如何具體執(zhí)行仍存有一些疑問。
2019年初,國家互聯(lián)網(wǎng)信息辦公室(“網(wǎng)信辦”)在其發(fā)布的《區(qū)塊鏈信息服務(wù)管理規(guī)定》(“《管理規(guī)定》”)中對(duì)區(qū)塊鏈信息服務(wù)中涉及的安全評(píng)估問題作出了原則性要求。
根據(jù)《管理規(guī)定》,區(qū)塊鏈信息服務(wù)提供者需要在其發(fā)生開發(fā)上線新產(chǎn)品、新應(yīng)用、新功能等情形下,按照有關(guān)規(guī)定報(bào)國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室進(jìn)行安全評(píng)估;如未按規(guī)定進(jìn)行安全評(píng)估的,其所在地直轄市網(wǎng)信辦有權(quán)要求其整改、給予處罰,甚至提交有權(quán)機(jī)構(gòu)追究其刑事責(zé)任。
《管理規(guī)定》僅原則性規(guī)定了需要安全評(píng)估的情形及違法后果,但未明確安全評(píng)估所依據(jù)的具體規(guī)定及操作細(xì)則。2019年8月9日,網(wǎng)信辦發(fā)布了《<區(qū)塊鏈信息服務(wù)管理規(guī)定>涉安全評(píng)估條款說明的公告》(“《公告》”),明確了網(wǎng)信辦本身不組織安全評(píng)估,也未指定或授權(quán)任何單位或機(jī)構(gòu)開展評(píng)估,而是由相關(guān)企業(yè)自行評(píng)估或者委托有資質(zhì)的第三方測評(píng)機(jī)構(gòu)進(jìn)行評(píng)估。
根據(jù)《公告》的內(nèi)容,筆者理解,網(wǎng)信辦可能意在參照其與公安部于2018年11月15日聯(lián)合發(fā)布的《具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)安全評(píng)估規(guī)定》(“《評(píng)估規(guī)定》”,該規(guī)定適用于具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者,提供的信息服務(wù)是論壇、博客、微博客、聊天室、通訊群組、公眾賬號(hào)、短視頻、網(wǎng)絡(luò)直播、信息分享、小程序等或者附設(shè)相應(yīng)功能等)的相關(guān)要求,落實(shí)《管理規(guī)定》所要求的安全評(píng)估工作,為區(qū)塊鏈信息服務(wù)提供者開展安全評(píng)估提供操作指引。
但是,由于《公告》的說明較為簡略,相關(guān)企業(yè)對(duì)如何理解和適用《公告》中提到的一些要求存有疑問,針對(duì)該等疑問,筆者試簡要分析如下,僅供一般性參考。
1.第三方評(píng)估機(jī)構(gòu)需要具備什么資質(zhì)?
根據(jù)《公告》,區(qū)塊鏈信息服務(wù)提供者可以委托具有相關(guān)資質(zhì)的測評(píng)機(jī)構(gòu)開展安全評(píng)估,也可以自行對(duì)區(qū)塊鏈信息服務(wù)開展安全風(fēng)險(xiǎn)自評(píng)估。
在委托第三方進(jìn)行安全評(píng)估的情形下,根據(jù)《公告》的說明,筆者理解,可受托開展安全評(píng)估的機(jī)構(gòu)可能需為已獲國家市場監(jiān)管總局所屬的中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(CNCA)批準(zhǔn)、中國合格評(píng)定國家認(rèn)可委員會(huì)(CNAS)認(rèn)可的測評(píng)機(jī)構(gòu),且該等機(jī)構(gòu)可能需具備信息安全管理體系認(rèn)證和信息技術(shù)服務(wù)管理體系認(rèn)證的資質(zhì),而不得是其他單位或機(jī)構(gòu)。
筆者注意到,目前市場上已有若干宣稱可以開展區(qū)塊鏈技術(shù)安全評(píng)估的機(jī)構(gòu),但其并非CNCA批準(zhǔn)、CNAS認(rèn)可的、具有信息安全管理和信息技術(shù)服務(wù)管理體系認(rèn)證資質(zhì)的測評(píng)機(jī)構(gòu)。區(qū)塊鏈信息服務(wù)提供者如擬委托第三方機(jī)構(gòu)進(jìn)行安全評(píng)估的,需注意測評(píng)機(jī)構(gòu)的資質(zhì),委托有資質(zhì)的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估。
2.安全評(píng)估需滿足的相關(guān)要求是哪些要求?
安全評(píng)估的內(nèi)容是什么?
根據(jù)《公告》,區(qū)塊鏈信息服務(wù)提供者開展安全風(fēng)險(xiǎn)評(píng)估的,需根據(jù)《評(píng)估規(guī)定》的相關(guān)要求進(jìn)行。但是《公告》未明確“相關(guān)要求”具體包括哪些要求。
全面評(píng)估
根據(jù)《評(píng)估規(guī)定》,互聯(lián)網(wǎng)信息服務(wù)提供者開展安全評(píng)估,應(yīng)當(dāng)對(duì)信息服務(wù)和新技術(shù)新應(yīng)用的合法性,落實(shí)法律、行政法規(guī)、部門規(guī)章和標(biāo)準(zhǔn)規(guī)定的安全措施的有效性,防控安全風(fēng)險(xiǎn)的有效性等情況進(jìn)行:
(1)確定與所提供服務(wù)相適應(yīng)的安全管理負(fù)責(zé)人、信息審核人員或者建立安全管理機(jī)構(gòu)的情況;
(2)用戶真實(shí)身份核驗(yàn)以及注冊信息留存措施;
(3)對(duì)用戶的賬號(hào)、操作時(shí)間、操作類型、網(wǎng)絡(luò)源地址和目標(biāo)地址、網(wǎng)絡(luò)源端口、客戶端硬件特征等日志信息,以及用戶發(fā)布信息記錄的留存措施;
(4)對(duì)用戶賬號(hào)和通訊群組名稱、昵稱、簡介、備注、標(biāo)識(shí),信息發(fā)布、轉(zhuǎn)發(fā)、評(píng)論和通訊群組等服務(wù)功能中違法有害信息的防范處置和有關(guān)記錄保存措施;
(5)個(gè)人信息保護(hù)以及防范違法有害信息傳播擴(kuò)散、社會(huì)動(dòng)員功能失控風(fēng)險(xiǎn)的技術(shù)措施;
(6)建立投訴、舉報(bào)制度,公布投訴、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)投訴和舉報(bào)的情況;
(7)建立為網(wǎng)信部門依法履行互聯(lián)網(wǎng)信息服務(wù)監(jiān)督管理職責(zé)提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況;
(8)建立為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和查處違法犯罪提供技術(shù)、數(shù)據(jù)支持和協(xié)助的工作機(jī)制的情況。
安全評(píng)估報(bào)告的內(nèi)容有哪些?
報(bào)告應(yīng)當(dāng)包括下列內(nèi)容
根據(jù)《評(píng)估規(guī)定》,經(jīng)過安全評(píng)估,符合法律、行政法規(guī)、部門規(guī)章和標(biāo)準(zhǔn)的,應(yīng)當(dāng)形成安全評(píng)估報(bào)告,: (1)互聯(lián)網(wǎng)信息服務(wù)的功能、服務(wù)范圍、軟硬件設(shè)施、部署位置等基本情況和相關(guān)證照獲取情況; (2)安全管理制度和技術(shù)措施落實(shí)情況及風(fēng)險(xiǎn)防控效果; (3)安全評(píng)估結(jié)論; (4)其他應(yīng)當(dāng)說明的相關(guān)情況。
根據(jù)上述規(guī)定,筆者理解,區(qū)塊鏈信息服務(wù)提供者所需做的安全評(píng)估主要內(nèi)容及安全評(píng)估報(bào)告的主要內(nèi)容可能也需要根據(jù)其提供的信息服務(wù)的具體情況,基本涵蓋《評(píng)估規(guī)定》中列舉的上述主要內(nèi)容。
3.安全評(píng)估需在事前還是事后進(jìn)行?
《管理規(guī)定》提到,區(qū)塊鏈信息服務(wù)提供者開發(fā)上線新產(chǎn)品、新應(yīng)用、新功能的,應(yīng)當(dāng)進(jìn)行安全評(píng)估,但未明確規(guī)定是需在事前還是事后進(jìn)行評(píng)估;《公告》也未對(duì)此進(jìn)行說明。
《評(píng)估規(guī)定》對(duì)不同情形下安全評(píng)估報(bào)告的提交時(shí)間做出了不同的規(guī)定,在某些情形下需要事前提交,在某些情形下需要事后提交。
信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)之前
根據(jù)《評(píng)估規(guī)定》,在發(fā)生下述情形之一的,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)在提交安全評(píng)估報(bào)告: (1)輿論屬性或社會(huì)動(dòng)員能力的信息服務(wù)上線,或者信息服務(wù)增設(shè)相關(guān)功能的;或 (2)使用新技術(shù)新應(yīng)用,使信息服務(wù)的功能屬性、技術(shù)實(shí)現(xiàn)方式、基礎(chǔ)資源配置等發(fā)生重大變更,導(dǎo)致輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的。
同時(shí),《評(píng)估規(guī)定》還對(duì)需事后(自相關(guān)情形發(fā)生之日起30個(gè)工作日內(nèi))提交安全評(píng)估報(bào)告的情形做了規(guī)定,包括: (1)用戶規(guī)模顯著增加,導(dǎo)致信息服務(wù)的輿論屬性或者社會(huì)動(dòng)員能力發(fā)生重大變化的; (2)發(fā)生違法有害信息傳播擴(kuò)散,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的;或 (3)地市級(jí)以上網(wǎng)信部門或者公安機(jī)關(guān)書面通知需要進(jìn)行安全評(píng)估的其他情形。
開發(fā)上線新產(chǎn)品、新應(yīng)用、新功能之前
鑒于《管理規(guī)定》提及的區(qū)塊鏈信息服務(wù)提供者需要進(jìn)行安全評(píng)估的情形為“區(qū)塊鏈信息服務(wù)提供者開發(fā)上線新產(chǎn)品、新應(yīng)用、新功能”,比照《評(píng)估規(guī)定》對(duì)需事前提交評(píng)估報(bào)告的情形的列舉(信息服務(wù)、新技術(shù)新應(yīng)用上線或者功能增設(shè)),筆者理解,區(qū)塊鏈信息服務(wù)提供者應(yīng)需在其,進(jìn)行安全評(píng)估。
此外,《管理規(guī)定》及《公告》并未提及需要進(jìn)行事后安全評(píng)估的情形。如果發(fā)生類似《評(píng)估規(guī)定》中列舉的、需事后提交評(píng)估報(bào)告的情況(尤其是發(fā)生違法有害信息傳播擴(kuò)散,表明已有安全措施難以有效防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的情形),區(qū)塊鏈信息服務(wù)提供者是否需要進(jìn)行事后安全評(píng)估并不明確。
4.提交的安全評(píng)估報(bào)告是否僅限于自評(píng)估報(bào)告?
根據(jù)《公告》,如區(qū)塊鏈信息服務(wù)提供者是自行實(shí)施安全評(píng)估的,需通過“全國互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)”(www.beian.gov.cn)提交安全自評(píng)估報(bào)告。但是,如果區(qū)塊鏈信息服務(wù)提供者是委托第三方進(jìn)行安全評(píng)估的,第三方出具的安全評(píng)估報(bào)告是否需要提交、通過什么渠道提交?《公告》似未明確。
無論采用哪一種評(píng)估方式所形成的評(píng)估報(bào)告均需要通過“全國互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)”提交
根據(jù)《管理規(guī)定》的原則性要求,參考《評(píng)估規(guī)定》的對(duì)安全評(píng)估報(bào)告提交的規(guī)定,筆者理解,《公告》中提到的需通過上述服務(wù)平臺(tái)提交的“安全自評(píng)估報(bào)告”中的“自評(píng)估”,可能強(qiáng)調(diào)的是安全評(píng)估的發(fā)起人和組織者需為區(qū)塊鏈信息服務(wù)提供者自身,而非網(wǎng)信辦(或其組織的專家或技術(shù)力量);所謂“自評(píng)估”既包括區(qū)塊鏈信息服務(wù)提供者的自行評(píng)估,也包括委托第三方的評(píng)估。
5.安全評(píng)估的監(jiān)管部門是否僅為網(wǎng)信辦?
根據(jù)《管理規(guī)定》,區(qū)塊鏈信息服務(wù)提供者如未進(jìn)行安全評(píng)估的,有權(quán)監(jiān)管并實(shí)施行政處罰的機(jī)關(guān)為各地直轄市網(wǎng)信辦。
而在《評(píng)估規(guī)定》下,互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)將安全評(píng)估報(bào)告通過全國互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)提交所在地地市級(jí)以上網(wǎng)信辦和公安機(jī)關(guān),兩個(gè)機(jī)構(gòu)都有權(quán)對(duì)安全評(píng)估報(bào)告進(jìn)行書面審查、甚至是現(xiàn)場檢查;對(duì)存在較大安全風(fēng)險(xiǎn)、可能影響國家安全、社會(huì)秩序和公共利益的互聯(lián)網(wǎng)信息服務(wù),省級(jí)以上網(wǎng)信辦和公安機(jī)關(guān)應(yīng)當(dāng)組織專家評(píng)審和會(huì)同現(xiàn)場檢查。
盡管《管理規(guī)定》及《公告》中未明確提及公安機(jī)關(guān)在安全評(píng)估方面的監(jiān)管職責(zé),但是由于評(píng)估報(bào)告提交的系統(tǒng)“全國互聯(lián)網(wǎng)安全管理服務(wù)平臺(tái)”為公安部網(wǎng)絡(luò)安全保衛(wèi)局下設(shè)的平臺(tái),監(jiān)督和維護(hù)網(wǎng)絡(luò)安全本身也是公安部網(wǎng)絡(luò)安全保衛(wèi)部門的職責(zé),因此,筆者理解,公安機(jī)關(guān)可能也會(huì)參照其在《評(píng)估規(guī)定》下的職能,對(duì)區(qū)塊鏈信息服務(wù)提供者的安全評(píng)估履行類似的監(jiān)管職責(zé)。
小結(jié):
關(guān)于網(wǎng)信辦對(duì)于區(qū)塊鏈信息服務(wù)提供者的安全評(píng)估工作的監(jiān)管,由于區(qū)塊鏈信息服務(wù)提供者目前多通過互聯(lián)網(wǎng)向社會(huì)公眾提供信息服務(wù),直接參照適用現(xiàn)有的《評(píng)估規(guī)定》比較便捷,而無需另行立法;另一方面,由于《評(píng)估規(guī)定》適用的對(duì)象是具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)提供者,具體要求均是專門針對(duì)該等服務(wù)提供者設(shè)定,相關(guān)要求能否完全適用于區(qū)塊鏈信息服務(wù)提供者(如事后安全評(píng)估),還存有一些疑問,有待網(wǎng)信辦在監(jiān)管實(shí)踐中予以進(jìn)一步澄清。(作者:張凌,瀚一律師事務(wù)所合伙人)
關(guān)鍵詞: 網(wǎng)信辦 區(qū)塊鏈 風(fēng)險(xiǎn)自評(píng)