手机网站
手机网站
免责声明:本文旨在传达更多市场信息,不构成任何投资建议这篇文章仅代表作者的观点,并不代表火星财经的官方立场。
总编:记得注意
会议的官方网站和购票地址:POW。ER 2019全球开发者大会-火星金融
文章来源:巴比特
作者:张玲,汉仪律师事务所合伙人
作者:为了落实《区块链信息服务管理条例》中提到的安全评估要求,互联网信息办公室近日发布了一份解释性公告乍看之下,这一声明很明确,但对于如何在实践中实施仍有一些疑问。
2,019年初,国家互联网信息办公室(以下简称“互联网信息办公室”)在其《区块链信息服务管理条例》(以下简称“管理条例”)中对区块链信息服务涉及的安全评估问题做出了原则性要求
根据《管理规定》,区块链信息服务提供者在开发和推出新产品、新应用和新功能时,必须向国家和省、自治区、直辖市互联网信息办公室申报安全评估。不按规定进行安全评估的,所在直辖市网络信息办公室有权要求其整改、处罚,甚至提请有关部门追究其刑事责任。
《管理规定》原则上只规定了需要进行安全评价的情况和违法后果,但没有明确安全评价所依据的具体规定和操作规程。2019年8月9日,互联网信息办公室发布了《安全评估相关条款说明公告》(以下简称《公告》),明确互联网信息办公室自身不组织安全评估,也不指定或授权任何单位或机构进行评估,而是由相关企业自行进行评估或委托有资质的第三方评估机构进行评估。
根据本公告的内容,笔者了解到,互联网信息办公室可能会参考2018年11月15日互联网信息办公室与公安部联合发布的《具有舆情属性或社会动员能力的互联网信息服务安全评估条例》(以下简称《评估条例》),该条例适用于具有舆情属性或社会动员能力的互联网信息服务提供商。所提供的信息服务是论坛、博客、微博、聊天室、通信群、公共账户、短视频、直播、信息共享、小应用程序等的相关要求。或者具有相应的功能等。),落实《管理规定》要求的安全评估工作,为区块链信息服务提供商开展安全评估提供操作指南。
但是,由于《公告》的简要说明,相关企业对如何理解和应用《公告》中提到的一些要求存在疑问。鉴于这些疑问,笔者试作如下简要分析,仅供参考
1和第三方评估机构需要什么资格?
根据本公告,区块链信息服务提供者可以委托具有相关资质的评估机构进行安全评估,也可以自行对区块链信息服务进行安全风险自我评估
在委托第三方进行安全评估的情况下,根据公告中的说明,笔者理解,可以委托进行安全评估的机构可能需要是经国家市场监督管理局中国认证认可监督管理局(CNCA)认可并经中国合格评定认可监督管理局(CNAS)认可的评估机构。 而这些机构可能需要具备信息安全管理体系认证和信息技术服务管理体系认证的资格,而不得是其他单位或机构
作者注意到,市场上已经有多家机构声称能够开展区块链技术安全评估,但它们不是CNCA认可和CNAS认可的具有信息安全管理和信息技术服务管理体系认证资格的评估机构。区块链信息服务提供者如需委托第三方机构进行安全评估,应注意评估机构的资质,委托有资质的评估机构进行安全评估。
2,安全评估的相关要求是什么?
安全评估的内容是什么?根据本公告,区块链信息服务提供者进行安全风险评估的,应当按照《评估规定》的相关要求进行。然而,“公告”并未明确说明哪些要求具体包含在“相关要求”中
根据《评估规定》,互联网信息服务提供者应当对信息服务的合法性、新技术的新应用、法律、行政法规、部门规章和标准规定的安全措施的实施效果以及安全风险防控的有效性进行综合评估,重点评估以下八项主要内容:
(1)确定安全管理负责人、信息审核人或者建立与所提供服务相适应的安全管理机构;
(2)用户真实身份验证及注册信息留存办法;
(3)用户账号、操作时间、操作类型、网络源地址和目的地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的保留措施;
(4)在用户账户和分发组名称、昵称、简介、评论、徽标、信息发布、转发、评论和分发组等服务功能中,预防和处置非法和有害信息及相关记录保存措施;
(5)防止非法和有害信息传播的个人信息保护和技术措施以及失控的社会动员职能的风险;
(6)建立投诉举报制度,公布投诉信息和举报方式,及时受理和处理投诉举报;
(7)建立工作机制,依法向互联网信息服务监督管理部门提供技术、数据支持和协助;
(8)建立工作机制,为公安机关和国家安全机关维护国家安全、查处违法犯罪活动提供技术和数据支持和协助
安全评估报告的内容是什么?根据《评估条例》,经安全评估后,依照法律、行政法规、部门规章和标准,应当形成安全评估报告,报告应当包括以下内容:
(1)互联网信息服务功能、服务范围、软硬件设施、部署位置等相关许可获取的基本信息;
(2)安全管理体系和技术措施的落实情况及风险防控效果;
(3)安全评估结论;
(4)其他应说明的相关信息
根据上述规定,笔者理解,根据区块链信息服务提供商提供信息服务的具体情况,区块链信息服务提供商要求的安全评估的主要内容和安全评估报告的主要内容可能还需要基本涵盖《评估规定》中所列的上述主要内容。
3,安全评估应该在之前还是之后进行?
《管理规定》提到,区块链信息服务提供者在网上开发新产品、新应用、新功能时,应当进行安全评估,但没有明确规定评估是在事件发生之前还是之后进行;公告也没有具体说明这一点。
《评估条例》对不同情况下安全评估报告的提交时间有不同的规定。在某些情况下,需要提前提交,在某些情况下,需要在事后提交。
根据《评估条例》,有下列情形之一的,互联网信息服务提供者应当在信息服务、新技术、新应用上线或新增功能前提交安全评估报告:
(1)具有舆情属性或社会动员能力的信息服务上线或新增相关功能;或
(2)功能属性、技术实现方法、基本资源配置等发生重大变化。由于使用新技术和新应用,导致公众舆论属性或社会动员能力发生重大变化
同时,《评估条例》还规定了事件发生后(相关情况发生之日起30个工作日内)需要提交安全评估报告的情况,包括:
(1)用户数量明显增加,导致信息服务的舆论属性或社会动员能力发生重大变化;
(2)非法有害信息的传播表明现有安全措施难以有效防范和控制网络安全风险;或
(3)地市级以上网络信息部门或公安机关书面通知的其他需要进行安全评估的情况。
鉴于《管理规定》中提到的区块链信息服务提供者需要进行安全评估的情况是“区块链信息服务提供者在线开发新产品、新应用和新功能”,与《评估规定》中需要提交评估报告(在线信息服务、新技术和新应用或附加功能)的情况相比,笔者认为区块链信息服务提供者在在线开发新产品、新应用和新功能之前应进行安全评估。
此外,《条例》和《公告》未提及事件后安全评估的必要性不清楚区块链信息服务提供商是否需要在类似于“评估规定”中所列的情况下进行事后安全评估,并要求事后评估报告(特别是当非法和有害信息扩散时,表明现有安全措施难以有效预防和控制网络安全风险)
4,提交的安全评估报告是否仅限于自我评估报告?
根据公告,如果区块链信息服务提供商自行进行安全评估,必须通过国家互联网安全管理服务平台(www.beian.gov.cn)提交安全自我评估报告但是,如果区块链信息服务提供商委托第三方进行安全评估,是否需要提交第三方出具的安全评估报告,通过什么渠道提交?“公告”似乎不清楚
根据《管理规定》的原则要求,参照《评估规定》关于提交安全评估报告的规定,笔者认为,公告中提到的通过上述服务平台提交的“安全自我评估报告”中的“自我评估”可以强调安全评估的发起者和组织者应该是区块链信息服务提供商本身,而不是互联网信息办公室(或其组织的专家或技术力量);所谓的“自我评估”包括区块链信息服务提供商的自我评估和第三方的评估。无论采用何种评估方法,评估报告都应通过“国家互联网安全管理服务平台”提交
5,安全评估的监管机构是否仅是互联网信息办公室?
根据《管理规定》,区块链信息服务提供者未进行安全评估的,有权监督实施行政处罚的机关是各直辖市互联网信息办公室。
和《评估规定》规定,互联网信息服务提供者应当通过国家互联网安全管理服务平台向互联网信息办公室和所在地市级以上公安机关提交安全评估报告。两个组织都有权以书面形式审查安全评估报告,甚至进行现场检查。对安全风险较大、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上互联网信息办公室和公安机关应当组织专家评审并配合现场检查。
虽然《管理规定》和《公告》在安全评估中没有明确提到公安机关的监管职责,但由于评估报告提交的系统“全国互联网安全管理服务平台”是公安部网络安全局下的一个平台,监控和维护网络安全也是公安部网络安全司的职责。因此,笔者认为,公安机关也可以参照《评估规定》对区块链信息服务提供者的安全评估履行类似的监管职责
:
关于互联网信息办公室对区块链信息服务提供者安全评估的监管,由于区块链信息服务提供者目前通过互联网向公众提供信息服务,直接参考和适用现行《评估规定》较为方便,无需另行立法。另一方面,由于《评估条例》适用于具有舆论属性或社会动员能力的互联网信息服务提供商,因此具体要求都是专门针对此类服务提供商制定的。相关要求是否能完全适用于区块链信息服务提供商(如事后安全评估)仍有疑问,需要互联网信息办在监管实践中进一步澄清。
声明:本文仅代表作者的个人意见,不代表其工作单位的意见。本文内容不构成法律意见或投资建议。如果你需要转载或引用本文中的任何内容,请注明作者姓名。
提示:投资是有风险的,所以进入市场时要小心。这些信息不作为投资和财务建议。
