巴比特专栏 | 网信办发布了安全评估公告,区块链信息服务提供者需要注意些什么?_比特币:莱特币创始人推特

作者按:为落实《区块链信息服务管理规定》中提到的安全评估要求,网信办近日发布了一则说明性公告。公告乍看明确,但实践中如何具体执行仍存有一些疑问。?

2019年初,国家互联网信息办公室在其发布的《区块链信息服务管理规定》中对区块链信息服务中涉及的安全评估问题作出了原则性要求。

根据《管理规定》,区块链信息服务提供者需要在其发生开发上线新产品、新应用、新功能等情形下,按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估;如未按规定进行安全评估的,其所在地直辖市网信办有权要求其整改、给予处罚,甚至提交有权机构追究其刑事责任。

《管理规定》仅原则性规定了需要安全评估的情形及违法后果,但未明确安全评估所依据的具体规定及操作细则。2019年8月9日,网信办发布了《<区块链信息服务管理规定>》涉安全评估条款说明的公告》,明确了网信办本身不组织安全评估,也未指定或授权任何单位或机构开展评估,而是由相关企业自行评估或者委托有资质的第三方测评机构进行评估。

根据《公告》的内容,笔者理解,网信办可能意在参照其与部于2018年11月15日联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的相关要求,落实《管理规定》所要求的安全评估工作,为区块链信息服务提供者开展安全评估提供操作指引。

国家发改委等五部门:支持有条件的城市培育壮大区块链、云计算等数字产业:11月30日,国家发展改革委等五部门发布《“十四五”支持老工业城市和资源型城市产业转型升级示范区高质量发展实施方案》(简称《方案》)提出,积极支持示范区城市符合条件的企业上市。

《方案》提出,深化信息技术与制造业融合发展,支持有条件的城市培育壮大人工智能、大数据、区块链、云计算、网络安全等数字产业,推动知识、信息、数据等新生产要素合理流动、有效集聚和利用。加快构筑数字社会,支持发展远程办公、远程教育、远程医疗、智慧楼宇、智慧社区和数字家庭。(证券日报)[2021/12/1 12:43:19]

但是,由于《公告》的说明较为简略,相关企业对如何理解和适用《公告》中提到的一些要求存有疑问,针对该等疑问,笔者试简要分析如下,仅供一般性参考。

1、第三方评估机构需要具备什么资质?

根据《公告》,区块链信息服务提供者可以委托具有相关资质的测评机构开展安全评估,也可以自行对区块链信息服务开展安全风险自评估。

在委托第三方进行安全评估的情形下,根据《公告》的说明,笔者理解,可受托开展安全评估的机构可能需为已获国家市场监管总局所属的中国国家认证认可监督管理委员会批准、中国合格评定国家认可委员会认可的测评机构,且该等机构可能需具备信息安全管理体系认证和信息技术服务管理体系认证的资质,而不得是其他单位或机构。

国家发改委:拟将“虚拟货币‘挖矿’活动”纳入淘汰产业:金色财经报道,国家发展改革委就修改《产业结构调整指导目录(2019年本)》公开征求意见。为尽快推动整治虚拟货币“挖矿”活动有关工作部署落地落实,建议将“虚拟货币‘挖矿’活动”条目以增补形式列入现行《目录(2019年本)》,以《国家发展改革委关于修改的决定》形式发布。

经征求发改委运行局意见,根据发改运行〔2021〕1283号文件要求,条目名称为“虚拟货币‘挖矿’活动”,列入《目录》淘汰类,文件施行之日起立即淘汰。

9月3日,经国务院同意,发改委会同中央宣传部等11个部门联合印发《关于整治虚拟货币“挖矿”活动的通知》(发改运行〔2021〕1283号),相关文件均提出将“虚拟货币‘挖矿’活动”增补列入《产业结构调整指导目录(2019年本)》“淘汰类”,为《目录》增补提供了政策依据。

《目录》增补的主要考虑为,虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程,能源消耗和碳排放量大,对国民经济贡献度低,对产业发展、科技进步等带动作用有限,加之虚拟货币生产、交易环节衍生的风险越发突出,其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。(北京青年报)[2021/10/21 20:44:54]

笔者注意到,目前市场上已有若干宣称可以开展区块链技术安全评估的机构,但其并非CNCA批准、CNAS认可的、具有信息安全管理和信息技术服务管理体系认证资质的测评机构。区块链信息服务提供者如拟委托第三方机构进行安全评估的,需注意测评机构的资质,委托有资质的评估机构进行安全评估。

国家发改委:严禁以数据中心名义开展虚拟货币“挖矿”活动:9月24日消息,国家发展改革委等部门发布关于整治虚拟货币“挖矿”活动的通知,通知指出强化新增虚拟货币“挖矿”项目能耗双控约束。将严禁新增虚拟货币“挖矿”项目纳入能耗双控考核体系,严格落实地方政府能耗管控责任,对发现并查实新增虚拟货币“挖矿”项目的地区,在能耗双控考核中,按新增项目能耗量加倍计算能源消费量。

区分虚拟货币“挖矿”增量和存量项目。严禁投资建设增量项目,禁止以任何名义发展虚拟货币“挖矿”项目;加快有序退出存量项目,在保证平稳过渡的前提下,结合各地实际情况科学确定退出时间表和实施路径。

停止对虚拟货币“挖矿”项目的一切财税支持。对地方政府已经给予税费、房租、水电费等优惠政策的存量项目,要限期予以停止和取消。对虚拟货币“挖矿”项目及其所在园区,不允许地方政府给予财政补贴和税收优惠政策。

将“虚拟货币‘挖矿’活动”增补列入《产业结构调整指导目录(2019年本)》“淘汰类”。在增补列入前,将虚拟货币“挖矿”项目视同淘汰类产业处理,按照《国务院关于发布实施<促进产业结构调整暂行规定>的决定》(国发﹝2005﹞40号)有关规定禁止投资。[2021/9/24 17:04:03]

2、安全评估需满足的相关要求是哪些要求?

国家发改委:要进一步加大区块链等新一代信息网络建设力度:国务院办公厅近日对外发布了《关于以新业态新模式引领新型消费加快发展的意见》,促进线上线下消费深度融合。国家发改委表示,要进一步加大5G、人工智能、物联网、区块链等新一代信息网络建设力度。(央视财经)[2020/11/14 20:46:41]

安全评估的内容是什么?

根据《公告》,区块链信息服务提供者开展安全风险评估的,需根据《评估规定》的相关要求进行。但是《公告》未明确“相关要求”具体包括哪些要求。

根据《评估规定》,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列八项主要内容:

确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;

用户真实身份核验以及注册信息留存措施;

对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;

国家发改委课题研究会:央行数字货币疫后会加速推出:据国家发改委数字经济新型基础设施课题研究第九次会议上10余位专家学者研判:疫情是数字经济的催化剂,快速、全面、精确的数据采集和分析是高效决策的前提。疫后时期,国家可能会加大投资与采购力度。央行数字货币可能会加快推出,成为流向全程可控的特殊“专项资金”。 央行数字货币,或成为“新版四万亿”定向刺激的选项,或将加速推出。 此外,公众对于数据隐私的关注或将反弹,良好的数字治理、切实的隐私保护决定公众对于数字经济的信心。[2020/3/3]

对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;

个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;

建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;

建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;

建立为机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

安全评估报告的内容有哪些?

根据《评估规定》,经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告,

报告应当包括下列内容:

互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;

安全管理制度和技术措施落实情况及风险防控效果;

安全评估结论;

其他应当说明的相关情况。

根据上述规定,笔者理解,区块链信息服务提供者所需做的安全评估主要内容及安全评估报告的主要内容可能也需要根据其提供的信息服务的具体情况,基本涵盖《评估规定》中列举的上述主要内容。

3、安全评估需在事前还是事后进行?

《管理规定》提到,区块链信息服务提供者开发上线新产品、新应用、新功能的,应当进行安全评估,但未明确规定是需在事前还是事后进行评估;《公告》也未对此进行说明。

《评估规定》对不同情形下安全评估报告的提交时间做出了不同的规定,在某些情形下需要事前提交,在某些情形下需要事后提交。

根据《评估规定》,在发生下述情形之一的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设之前提交安全评估报告:

舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;或

使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的。

同时,《评估规定》还对需事后提交安全评估报告的情形做了规定,包括:

用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;

发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;或

地市级以上网信部门或者机关书面通知需要进行安全评估的其他情形。

鉴于《管理规定》提及的区块链信息服务提供者需要进行安全评估的情形为“区块链信息服务提供者开发上线新产品、新应用、新功能”,比照《评估规定》对需事前提交评估报告的情形的列举,笔者理解,区块链信息服务提供者应需在其开发上线新产品、新应用、新功能之前,进行安全评估。

此外,《管理规定》及《公告》并未提及需要进行事后安全评估的情形。如果发生类似《评估规定》中列举的、需事后提交评估报告的情况,区块链信息服务提供者是否需要进行事后安全评估并不明确。

4、提交的安全评估报告是否仅限于自评估报告?

根据《公告》,如区块链信息服务提供者是自行实施安全评估的,需通过“全国互联网安全管理服务平台”提交安全自评估报告。但是,如果区块链信息服务提供者是委托第三方进行安全评估的,第三方出具的安全评估报告是否需要提交、通过什么渠道提交?《公告》似未明确。

根据《管理规定》的原则性要求,参考《评估规定》的对安全评估报告提交的规定,笔者理解,《公告》中提到的需通过上述服务平台提交的“安全自评估报告”中的“自评估”,可能强调的是安全评估的发起人和组织者需为区块链信息服务提供者自身,而非网信办;所谓“自评估”既包括区块链信息服务提供者的自行评估,也包括委托第三方的评估,无论采用哪一种评估方式所形成的评估报告均需要通过“全国互联网安全管理服务平台”提交。

5、安全评估的监管部门是否仅为网信办?

根据《管理规定》,区块链信息服务提供者如未进行安全评估的,有权监管并实施行政处罚的机关为各地直辖市网信办。

而在《评估规定》下,互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信办和机关,两个机构都有权对安全评估报告进行书面审查、甚至是现场检查;对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信办和机关应当组织专家评审和会同现场检查。

尽管《管理规定》及《公告》中未明确提及机关在安全评估方面的监管职责,但是由于评估报告提交的系统“全国互联网安全管理服务平台”为部网络安全保卫局下设的平台,监督和维护网络安全本身也是部网络安全保卫部门的职责,因此,笔者理解,机关可能也会参照其在《评估规定》下的职能,对区块链信息服务提供者的安全评估履行类似的监管职责。

小结:

关于网信办对于区块链信息服务提供者的安全评估工作的监管,由于区块链信息服务提供者目前多通过互联网向社会公众提供信息服务,直接参照适用现有的《评估规定》比较便捷,而无需另行立法;另一方面,由于《评估规定》适用的对象是具有舆论属性或社会动员能力的互联网信息服务提供者,具体要求均是专门针对该等服务提供者设定,相关要求能否完全适用于区块链信息服务提供者,还存有一些疑问,有待网信办在监管实践中予以进一步澄清。

作者:张凌,瀚一律师事务所合伙人

声明:本文仅代表作者个人观点,不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容,请列明作者姓名。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-3:113ms