買比特幣 買比特幣
Ctrl+D 買比特幣
ads

區塊鏈:網信辦發布了安全評估公告 區塊鏈信息服務提供者需要注意些什么?_NAS

Author:

Time:1900/1/1 0:00:00

2019年初,國家互聯網信息辦公室在其發布的《區塊鏈信息服務管理規定》中對區塊鏈信息服務中涉及的安全評估問題作出了原則性要求。

根據《管理規定》,區塊鏈信息服務提供者需要在其發生開發上線新產品、新應用、新功能等情形下,按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估;如未按規定進行安全評估的,其所在地直轄市網信辦有權要求其整改、給予處罰,甚至提交有權機構追究其刑事責任。

《管理規定》僅原則性規定了需要安全評估的情形及違法后果,但未明確安全評估所依據的具體規定及操作細則。2019年8月9日,網信辦發布了《<區塊鏈信息服務管理規定>涉安全評估條款說明的公告》,明確了網信辦本身不組織安全評估,也未指定或授權任何單位或機構開展評估,而是由相關企業自行評估或者委托有資質的第三方測評機構進行評估。

根據《公告》的內容,筆者理解,網信辦可能意在參照其與部于2018年11月15日聯合發布的《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》的相關要求,落實《管理規定》所要求的安全評估工作,為區塊鏈信息服務提供者開展安全評估提供操作指引。

網信辦發布第十批境內區塊鏈信息服務備案編號,數藏平臺占比約超72%:金色財經報道,據中國網信網官網,根據《區塊鏈信息服務管理規定》,國家互聯網信息辦公室關于發布第十批共532個境內區塊鏈信息服務名稱及備案編號,數據顯示其中數藏平臺占比約超72%。[2022/11/9 12:36:52]

但是,由于《公告》的說明較為簡略,相關企業對如何理解和適用《公告》中提到的一些要求存有疑問,針對該等疑問,筆者試簡要分析如下,僅供一般性參考。

1.第三方評估機構需要具備什么資質?

根據《公告》,區塊鏈信息服務提供者可以委托具有相關資質的測評機構開展安全評估,也可以自行對區塊鏈信息服務開展安全風險自評估。

在委托第三方進行安全評估的情形下,根據《公告》的說明,筆者理解,可受托開展安全評估的機構可能需為已獲國家市場監管總局所屬的中國國家認證認可監督管理委員會批準、中國合格評定國家認可委員會認可的測評機構,且該等機構可能需具備信息安全管理體系認證和信息技術服務管理體系認證的資質,而不得是其他單位或機構。

銀川市委網信辦:引入區塊鏈技術提升網絡治理水平:銀川市委網信辦將聯手中國通信服務寧夏公司,積極尋求科研院所、東部技術轉移等方式的全方位、深入合作,著力打造區塊鏈技術創新研究院,形成本土化的區塊鏈全產業鏈,以信息化手段助推治理現代化。據了解,銀川市委網信辦率先把區塊鏈保全技術應用在網絡系統安全、網絡生態治理工作,實現了技術成果與實際應用的深度融合和模式創新。(新華網)[2020/8/24]

筆者注意到,目前市場上已有若干宣稱可以開展區塊鏈技術安全評估的機構,但其并非CNCA批準、CNAS認可的、具有信息安全管理和信息技術服務管理體系認證資質的測評機構。區塊鏈信息服務提供者如擬委托第三方機構進行安全評估的,需注意測評機構的資質,委托有資質的評估機構進行安全評估。

2.安全評估需滿足的相關要求是哪些要求?

安全評估的內容是什么?

根據《公告》,區塊鏈信息服務提供者開展安全風險評估的,需根據《評估規定》的相關要求進行。但是《公告》未明確“相關要求”具體包括哪些要求。

聲音 | 天津市委網信辦主任:利用區塊鏈等技術為智慧社會賦能:近期,天津市第十七屆人大三次會議召開。天津市人大代表、市委網信辦主任王蕓表示,圍繞“城市運行一網統管”建設“城市大腦”,整合社會治理、城市運行、政府監管等領域分散式信息系統,運用“津治通”一網統管平臺提升社會治理能力,利用互聯網、數據、人工智能、區塊鏈等先進技術為智慧社會賦能,打造“物聯感知城市、數聯驅動服務、智聯服務決策”的新型城市治理模式,提升城市精細化、精準化管理水平。(中國網)[2020/1/17]

根據《評估規定》,互聯網信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并重點評估下列八項主要內容:確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;用戶真實身份核驗以及注冊信息留存措施;對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息,以及用戶發布信息記錄的留存措施;對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識,信息發布、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施;個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施;建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關投訴和舉報的情況;建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;建立為機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。

動態 | 四川日報:經營范圍包含“區塊鏈”的川企有268家 但在國家網信辦備案的僅5家:四川日報今日刊文《四川到底有多少區塊鏈企業》,文中提到,截至10月底,經營范圍包含“區塊鏈”的川企天眼查顯示有268家,比去年底增長了近50%,但是在國家網信辦備案的僅5家。268家川企并不是一個圈子的人,這些企業至少涉及3個圈子:幣圈、礦圈、鏈圈,雖然都基于區塊鏈技術,但業務邏輯大相徑庭。[2019/11/11]

安全評估報告的內容有哪些?

根據《評估規定》,經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告,報告應當包括下列內容:互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況;安全管理制度和技術措施落實情況及風險防控效果;安全評估結論;其他應當說明的相關情況。

根據上述規定,筆者理解,區塊鏈信息服務提供者所需做的安全評估主要內容及安全評估報告的主要內容可能也需要根據其提供的信息服務的具體情況,基本涵蓋《評估規定》中列舉的上述主要內容。

動態 | 網信辦197區塊鏈備案名單中包括多個海外法幣項目:據金科社消息,網信辦3月30日發布首批197個“境內區塊鏈信息服務備案清單”后,區塊鏈概念股尤其是涉及名單中的備案企業迎來了資本市場的集體狂歡,多股連續漲停。但據金科社不完全統計,197個備案項目中,至少有以下9家公司疑似具有雙重身份:即在國內成為了首批備案的區塊鏈公司,同時在海外通過基金會運作等形式發行了加密數字貨幣。國內區塊鏈企業備案成功,僅能證明國內主體機構可以合法合規從事區塊鏈技術開發,并非認可其海外ICO/發幣行為,也不能成為、同時責任主體也應該避免成為各類幣宣傳機會。[2019/4/10]

3.安全評估需在事前還是事后進行?

《管理規定》提到,區塊鏈信息服務提供者開發上線新產品、新應用、新功能的,應當進行安全評估,但未明確規定是需在事前還是事后進行評估;《公告》也未對此進行說明。

《評估規定》對不同情形下安全評估報告的提交時間做出了不同的規定,在某些情形下需要事前提交,在某些情形下需要事后提交。

根據《評估規定》,在發生下述情形之一的,互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設之前提交安全評估報告:輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;或使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的。

同時,《評估規定》還對需事后提交安全評估報告的情形做了規定,包括:用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;或地市級以上網信部門或者機關書面通知需要進行安全評估的其他情形。

鑒于《管理規定》提及的區塊鏈信息服務提供者需要進行安全評估的情形為“區塊鏈信息服務提供者開發上線新產品、新應用、新功能”,比照《評估規定》對需事前提交評估報告的情形的列舉,筆者理解,區塊鏈信息服務提供者應需在其開發上線新產品、新應用、新功能之前,進行安全評估。

此外,《管理規定》及《公告》并未提及需要進行事后安全評估的情形。如果發生類似《評估規定》中列舉的、需事后提交評估報告的情況,區塊鏈信息服務提供者是否需要進行事后安全評估并不明確。

4.提交的安全評估報告是否僅限于自評估報告?

根據《公告》,如區塊鏈信息服務提供者是自行實施安全評估的,需通過“全國互聯網安全管理服務平臺”提交安全自評估報告。但是,如果區塊鏈信息服務提供者是委托第三方進行安全評估的,第三方出具的安全評估報告是否需要提交、通過什么渠道提交?《公告》似未明確。

根據《管理規定》的原則性要求,參考《評估規定》的對安全評估報告提交的規定,筆者理解,《公告》中提到的需通過上述服務平臺提交的“安全自評估報告”中的“自評估”,可能強調的是安全評估的發起人和組織者需為區塊鏈信息服務提供者自身,而非網信辦;所謂“自評估”既包括區塊鏈信息服務提供者的自行評估,也包括委托第三方的評估,無論采用哪一種評估方式所形成的評估報告均需要通過“全國互聯網安全管理服務平臺”提交。

5.安全評估的監管部門是否僅為網信辦?

根據《管理規定》,區塊鏈信息服務提供者如未進行安全評估的,有權監管并實施行政處罰的機關為各地直轄市網信辦。

而在《評估規定》下,互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信辦和機關,兩個機構都有權對安全評估報告進行書面審查、甚至是現場檢查;對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務,省級以上網信辦和機關應當組織專家評審和會同現場檢查。

盡管《管理規定》及《公告》中未明確提及機關在安全評估方面的監管職責,但是由于評估報告提交的系統“全國互聯網安全管理服務平臺”為部網絡安全保衛局下設的平臺,監督和維護網絡安全本身也是部網絡安全保衛部門的職責,因此,筆者理解,機關可能也會參照其在《評估規定》下的職能,對區塊鏈信息服務提供者的安全評估履行類似的監管職責。

小結:

關于網信辦對于區塊鏈信息服務提供者的安全評估工作的監管,由于區塊鏈信息服務提供者目前多通過互聯網向社會公眾提供信息服務,直接參照適用現有的《評估規定》比較便捷,而無需另行立法;另一方面,由于《評估規定》適用的對象是具有輿論屬性或社會動員能力的互聯網信息服務提供者,具體要求均是專門針對該等服務提供者設定,相關要求能否完全適用于區塊鏈信息服務提供者,還存有一些疑問,有待網信辦在監管實踐中予以進一步澄清。

作者:張凌,瀚一律師事務所合伙人

聲明:本文僅代表作者個人觀點,不代表所在機構意見。文中內容不構成法律意見和投資建議。如需轉載或引用本文的任何內容,請列明作者姓名。

Tags:區塊鏈NASCNC數字貨幣藝術幣區塊鏈nas幣被下架CNCT價格數字貨幣交易所開發系統

以太坊價格
LUS:PlusToken 詐騙團伙被捕后又有 2.85 萬 BTC 異動,還留下了彩蛋_BTC合法嗎

自8月12日以來,PeckShield數字資產護航系統(AML)監測到PlusToken兩個主要BTC錢包地址出現異動,共計2.85萬個BTC發生轉移.

1900/1/1 0:00:00
ONE:BIONE啟動首期登月計劃優質項目(LOLToken)空投活動_Mission

尊敬的BIONE用戶: 為慶祝LOL上線,BIONE聯合LOL面向在BIONE注冊實名的用戶發放總數30000枚LOL空投活動,注冊即可領取30枚LOL,空投發完截止.

1900/1/1 0:00:00
加密貨幣:經濟下行、泡沫破滅、監管加緊 但牛市不會遲到_COIN

很多人都見過2017年底2萬美元的比特幣、1300美元的以太坊,那時CoinMarketCap上的數字貨幣總市值已經超過8000億美元,市場里的每個人都想成為百萬富翁.

1900/1/1 0:00:00
Gate.io:Gate.io“盒啟心意,中秋VIP贈禮活動”公告_gate幣今日價格行情

寶盒獻禮,濃情滿溢。值此佳節到來之際,gate.io為您精心準備了中秋禮物,衷心感謝您對gate.io一直以來的支持.

1900/1/1 0:00:00
ALL:FOne開放幣種充值的公告 【2019-08-16】_FORS幣

親愛的社區用戶: 應FOnecoinforce交易區要求,現已開放以下幣種的充值:BO(BASICOPERATINGSYSTEM).

1900/1/1 0:00:00
區塊鏈:蔡維德:新型貨幣競爭4大要素解析_LIB

早在2015年底到2016年間,英國央行就提出要發行數字法幣,這是世界上第一個提出數字法幣的。數字法幣的提出是世界的一大創舉,而且是320多年來世界貨幣的最重大改革.

1900/1/1 0:00:00
ads