网信办发布了安全评估公告 区块链信息服务提供者需要注意些什么?

网信办发布了安全评估公告 区块链信息服务提供者需要注意些什么?

网信办发布了安全评估公告 区块链信息服务提供者需要注意些什么?

2019年年初,国家互联网信息办公室(“因特网信息办公室”)在其“区块链信息服务管理条例”(“管理条例”)中对区块链信息服务所涉及的安全评估提出了基本要求。

根据“管理条例”,区块链信息服务提供商需要向国家、省、自治区、直辖市互联网信息办公室报告,开发新产品、新应用、新功能等,按照有关规定进行安全评估;未按照有关规定进行安全评估的,直辖市网络信息办公室有权要求改正、处罚,甚至向刑事责任主管机关提出。

“管理规例”原则上只订明安全评估的情况及非法后果,但并没有指明安全评估所依据的具体条文及运作规则。2019年8月9日,网络信息办公室发布了“安全评估规定声明”(“通知”),明确表示网络信息办公室本身并不组织安全评估,也没有指定或授权任何单位或组织进行评估,而是由有关企业自己或委托合格的第三方评估机构进行评估。

根据公告内容,作者了解到,网络信息办公室可能是指公安部和公安部于2018年11月15日联合发布的“具有舆论属性或社会动员能力的互联网信息服务安全评估规定”(“评估规定”),适用于具有舆论属性或社会动员能力的互联网信息服务提供者,所提供的信息服务是论坛、博客、微博嘉宾、聊天室、通信团体、公共账户、短视频、现场网播、信息共享、小程序等相关要求,执行“管理条例”所要求的安全评估工作,并为区块链信息服务提供商进行安全评估提供业务指导。

但是,由于对公告的简要说明,有关企业对如何理解和应用公告中提到的一些要求有疑问。针对这些问题,笔者试图对以下问题进行简要分析,仅供参考。

1.第三方评估机构需要具备哪些资格?

根据公告,区块链信息服务提供商可以委托具有相关资质的评估机构进行安全评估,也可以对区块链信息服务进行安全风险自我评估。

在委托第三方进行安全评估的情况下,根据公告的声明,笔者认为,可以委托进行安全评估的机构,可能需要是国家市场监督管理局认证委员会(CNCA)批准并经中国国家合格评定委员会(CNAS)批准的评估机构,而且这些机构可能需要具备信息安全管理系统认证和信息技术服务管理体系认证的资格,而不是其他单位或机构。

作者指出,市场上有一些机构声称能够进行区块链技术安全评估,但这些机构未经CNCA批准、CNAS批准,并具备信息安全管理和信息技术服务管理系统认证的资格。如果区块链信息服务提供商打算委托第三方机构进行安全评估,就必须注意评估机构的资格,并委托合格的评估机构进行安全评估。

二.安全评估需要满足哪些相关要求?

安全评估的内容是什么?

根据公告,区块链信息服务提供商进行安全风险评估的,应当按照“评估规定”的有关要求进行安全风险评估。但是,公告没有指定哪些需求包含在\\“相关需求”中。

根据“评估规定”,互联网信息服务提供商应全面评估信息服务的合法性和新技术的新应用、实施法律、行政法规、部门规章和标准规定的安全措施的有效性以及预防和控制安全风险的效力,并着重于以下八项主要内容:(1)确定安全管理负责人、信息审计员或建立适合提供服务的安全管理机构;(2)检查用户的真实身份并保留登记信息;(3)用户帐号、操作时间、操作类型、网络源地址和目的地地址、网络源端口和客户端硬件特征等日志信息,以及用户发布的信息记录的保留措施;(4)防止和处理用户帐号和通信组名称、昵称、简介、备注、标识、信息发布、转发、评论和通讯组等服务功能中的非法和有害信息及相关记录保存措施;(5)个人信息保护和技术措施,以防止非法有害信息的传播和社会动员功能失控的风险;(六)建立投诉举报制度,公布投诉和举报方式等信息,及时受理有关投诉和报告;(七)建立工作机制,为网络信息部门依法履行网络信息服务监督管理职责提供技术、数据支持和协助;(八)建立工作机制,为公安机关和国家安全机关维护国家安全、依法查处犯罪提供技术和数据支持和协助。

安全评估报告的内容是什么?

根据“评估规定”,安全评估后,如果符合法律、行政法规、部门规章和标准,应当编制安全评估报告,其中应包括以下内容:(1)互联网信息服务的基本情况,如功能、服务范围、硬件和软件设施、部署地点和相关证书的获取;(2)实施安全管理制度和技术措施以及风险预防和控制的效果;(3)安全评估的结论;(4)应说明的其他相关信息。

根据上述规定,笔者了解到,区块链信息服务提供商需要做的安全评估的主要内容和安全评估报告的主要内容,也可能需要根据提供商提供信息服务的具体情况,基本涵盖“评估规定”中列出的上述主要内容。

3.安全评估是否需要在活动之前或之后进行?

“管理条例”规定,区块链信息服务提供商在网上开发新产品、新应用和新功能的,应当进行安全评估,但不得具体说明活动前后是否需要评估;公告也未对此作出解释。

“评估规定”为在不同情况下提交安全评估报告规定了不同的时限,要求在某些情况下事先提交,在某些情况下要求事后提交。

根据“评估规定”,有下列情形之一的,互联网信息服务提供者应当在信息服务、新技术应用或者新增功能之前提交安全评估报告:(一)舆论属性的信息服务或者社会动员能力的信息服务,或者提供相关功能的信息服务;(二)利用新技术、新应用,对信息服务的功能属性、技术实现方式和基本资源配置进行重大变化,导致舆论属性和社会动员能力发生重大变化。

同时,“评估规定”还规定,需要在事件发生后(自有关情况发生之日起30个工作日内)提交安全评估报告,包括:(1)用户数量大幅增加,导致信息服务的舆论属性或社会动员能力发生重大变化;(2)非法和有害信息的传播,表明现有的安全措施难以有效预防和控制网络安全风险;(三)网络信息部门或者县级以上公安机关应当书面通知需要进行安全评估的其他情况。

鉴于“管理条例”中提到的区块链信息服务提供商需要进行安全评估,即“区块链信息服务提供商开发新产品、新应用和新功能”,并参照“评价条例”,作者了解到需要预先提交评价报告的案例(信息服务、新技术的新应用或附加功能),区块链信息服务提供者在开发新产品、新应用和新功能之前应进行安全评估。

此外,“管理条例”和通知没有提到事后安全评估的必要性。如果出现类似于“评估条款”所列要求事后提交评估报告的情况(特别是非法和有害信息的传播,表明存在难以有效预防和控制网络安全风险的安全措施),则不清楚区块链信息服务提供商是否需要进行事后安全评估。

4.提交的安全评估报告是否仅限于自我评估报告?

据通知,如果区块链信息服务提供商进行自己的安全评估,必须通过国家互联网安全管理服务平台(www.beian.gov.cn)提交安全自我评估报告。但是,如果区块链信息服务提供商委托第三方进行安全评估,是否需要提交第三方发布的安全评估报告?通知似乎不清楚。

根据“管理条例”的原则要求,参照“评估条例”中关于提交安全评估报告的规定,笔者了解到公报中所提到的“安全自我评估报告”中的“自我评估”,需要通过上述服务平台提交,可以强调安全评估的发起者和组织者应是区块链信息服务提供者本身,而不是区块链信息服务提供者(或其组织的专家或技术力量)。所谓的“自我评估”包括区块链信息服务提供商的自我评估和第三方委托的评估。无论采用哪种评价方法,都需要通过“国家互联网安全管理服务平台”提交评估报告。

5.安全评估的监管机构是否仅适用于因特网信息办公室?

根据“管理条例”的规定,区块链信息服务提供商未进行安全评估的,有权对其进行监督和行政处罚的机关为直辖市网络信息办公室。

根据“评估规定”,互联网信息服务提供商应通过国家互联网安全管理服务平台向地方和市级网络信息办公室和公安机关提交安全评估报告,并有权对安全评估报告进行书面或现场审查。对于安全风险大、影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网络信息办公室和公安机关应当组织专家评审,并配合现场检查。

“管理条例”和“公告”虽然没有明确提到公安机关在安全评估方面的监督控制责任,但由于评估报告提交的“国家互联网安全管理服务平台”是公安部网络安全局建立的平台,公安部网络安全部门也有责任监督和维护网络安全本身。因此,笔者认为,公安机关也可以对区块链信息服务提供商的安全评估履行类似的监管职责,同时考虑到其在评估规定下的职能。

摘要:

关于网络信息办公室对区块链信息服务提供商的安全评估的监督,由于区块链信息服务提供商通过互联网向公众提供信息服务,因此可以方便地直接查阅现有的\\“评估条例”,而不必单独立法。另一方面,由于“评价规定”适用于具有舆论属性或社会动员能力的互联网信息服务提供者,因此对这些服务提供者提出了具体的要求。有关要求能否充分适用于区块链信息服务提供商(如事后安全评估),还存在一些问题,需要在网络信息办公室的监管实践中进一步加以澄清。

 

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。