區塊鏈:網信辦發布了安全評估公告 區塊鏈信息服務提供者需要注意些什么？

2019年初，國家互聯網信息辦公室在其發布的《區塊鏈信息服務管理規定》中對區塊鏈信息服務中涉及的安全評估問題作出了原則性要求。

根據《管理規定》，區塊鏈信息服務提供者需要在其發生開發上線新產品、新應用、新功能等情形下，按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估；如未按規定進行安全評估的，其所在地直轄市網信辦有權要求其整改、給予處罰，甚至提交有權機構追究其刑事責任。

《管理規定》僅原則性規定了需要安全評估的情形及違法后果，但未明確安全評估所依據的具體規定及操作細則。2019年8月9日，網信辦發布了《<區塊鏈信息服務管理規定>涉安全評估條款說明的公告》，明確了網信辦本身不組織安全評估，也未指定或授權任何單位或機構開展評估，而是由相關企業自行評估或者委托有資質的第三方測評機構進行評估。

根據《公告》的內容，筆者理解，網信辦可能意在參照其與部于2018年11月15日聯合發布的《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》的相關要求，落實《管理規定》所要求的安全評估工作，為區塊鏈信息服務提供者開展安全評估提供操作指引。

網信辦：積極利用區塊鏈等數字技術創新創業:金色財經報道，據網信辦官方網站11月5日消息，中央網絡安全和信息化委員會近日印發《提升全民數字素養與技能行動綱要》，對提升全民數字素養與技能作出安排部署。《剛要》提出，引導支持新興職業群體，積極利用5G、人工智能、虛擬現實、大數據、區塊鏈等數字技術創新創業。[2021/11/6 6:35:28]

但是，由于《公告》的說明較為簡略，相關企業對如何理解和適用《公告》中提到的一些要求存有疑問，針對該等疑問，筆者試簡要分析如下，僅供一般性參考。

1.第三方評估機構需要具備什么資質？

根據《公告》，區塊鏈信息服務提供者可以委托具有相關資質的測評機構開展安全評估，也可以自行對區塊鏈信息服務開展安全風險自評估。

在委托第三方進行安全評估的情形下，根據《公告》的說明，筆者理解，可受托開展安全評估的機構可能需為已獲國家市場監管總局所屬的中國國家認證認可監督管理委員會批準、中國合格評定國家認可委員會認可的測評機構，且該等機構可能需具備信息安全管理體系認證和信息技術服務管理體系認證的資質，而不得是其他單位或機構。

網信辦發布《數字中國發展報告（2020年）》，區塊鏈發展成果卓著:國家互聯網信息辦公室編制完成《數字中國發展報告（2020年）》（以下簡稱《報告》）。《報告》充分肯定了我國在區塊鏈技術以及應用上所取得的成果，包括：1）2019年以來我國區塊鏈專利申請量持續保持全球第一；2）新業態新模式不斷涌現，2020年新增加了區塊鏈工程技術人員職業；3）政務數據共享步伐加快，住房城鄉建設部運用區塊鏈技術建立住房公積金數據互聯共享機制，為全國1.49億住房公積金繳存人提供統一的住房公積金數據查詢服務，為部門間數據共享提供支撐。4）數字領域國際規則標準影響力不斷增強，在區塊鏈方面，積極參與ISO《區塊鏈和分布式記賬技術 參考架構》和ITU分布式賬本系統需求、分布式賬本技術平臺的評測準則和分布式賬本技術的參考框架等標準制定。《報告》還對2020年各地區信息化發展成效評價，分出三個梯隊。從結果看，三個梯隊均重視對區塊鏈技術的運用。如第一梯隊的北京建設了區塊鏈可信數字基礎設施，江蘇搭建了區塊鏈創新交流合作平臺。第二梯隊的重慶加上線了全國首個區塊鏈政務服務平臺。第三梯隊的云南加強區塊鏈技術產業發展，啟動全國首個省級區塊鏈商品溯源“孔雀碼”。（網信中國）[2021/7/6 0:30:23]

筆者注意到，目前市場上已有若干宣稱可以開展區塊鏈技術安全評估的機構，但其并非CNCA批準、CNAS認可的、具有信息安全管理和信息技術服務管理體系認證資質的測評機構。區塊鏈信息服務提供者如擬委托第三方機構進行安全評估的，需注意測評機構的資質，委托有資質的評估機構進行安全評估。

金色晨訊 | 國家網信辦官網刊發“區塊鏈組稿” 正面肯定Token價值:1. XRP市值已超ETH近20億美元；

2.江卓爾：算力戰相當于大佬補貼礦工；

3.國家網信辦官網刊發“區塊鏈組稿” 正面肯定Token價值；

4.美國阿皮斯資本收購White Company區塊鏈情報分析部門；

5.第三季度ICO籌資下降了48%；

6. IBM利用Stellar網絡提供跨境支付服務；

7.愛沙尼亞已向加密貨幣企業發放900多份許可證；

8.FinCEN加強包括虛擬貨幣在內的現金房地產交易監管；

9.美國SEC：采用區塊鏈技術發行的證券也必須遵守聯邦證券發框架。[2018/11/18]

2.安全評估需滿足的相關要求是哪些要求？

安全評估的內容是什么？

根據《公告》，區塊鏈信息服務提供者開展安全風險評估的，需根據《評估規定》的相關要求進行。但是《公告》未明確“相關要求”具體包括哪些要求。

根據《評估規定》，互聯網信息服務提供者開展安全評估，應當對信息服務和新技術新應用的合法性，落實法律、行政法規、部門規章和標準規定的安全措施的有效性，防控安全風險的有效性等情況進行全面評估，并重點評估下列八項主要內容：確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況；用戶真實身份核驗以及注冊信息留存措施；對用戶的賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息，以及用戶發布信息記錄的留存措施；對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識，信息發布、轉發、評論和通訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施；個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施；建立投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關投訴和舉報的情況；建立為網信部門依法履行互聯網信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況；建立為機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。

聲音 | 國家網信辦：區塊鏈發展是一次長跑:國家網信辦旗下刊物《網絡傳播》雜志11月刊文《區塊鏈發展是一次長跑》，文章提到，區塊鏈有“去中介化”的功能，因此可以進行物物交換，這是金融秩序的重大突破。因為2018年是區塊鏈元年，區塊鏈恐怕要一兩年或兩三年之后才會真正地大爆發。中國發展區塊鏈的優勢在于中國有最多的人口、最大的電商、最大的第三方支付系統，而且中國可能是全世界最看重區塊鏈技術或數字代幣的國家，這些都是國外單位或國外基金無法相比的。如果花上時間和代價研究新技術，那么中國的區塊鏈地位有可能會逐步上升。[2018/11/17]

安全評估報告的內容有哪些？

根據《評估規定》，經過安全評估，符合法律、行政法規、部門規章和標準的，應當形成安全評估報告，報告應當包括下列內容：互聯網信息服務的功能、服務范圍、軟硬件設施、部署位置等基本情況和相關證照獲取情況；安全管理制度和技術措施落實情況及風險防控效果；安全評估結論；其他應當說明的相關情況。

根據上述規定，筆者理解，區塊鏈信息服務提供者所需做的安全評估主要內容及安全評估報告的主要內容可能也需要根據其提供的信息服務的具體情況，基本涵蓋《評估規定》中列舉的上述主要內容。

聲音 | 律師觀點：網信辦新規級別高于央行公告，是區塊鏈第一部規章級別法律文件:徐凱律師稱，國家網信辦，是經國務院授權負責全國互聯網信息內容管理工作，并負責監督管理執法的機構，可以在其權限范圍內制定規章。在該規定之前，與區塊鏈領域密切相關的，有兩份“其他規范性文件”：一是2013年12月央行等五部委發布的《關于防范比特幣風險的通知》；二是2017年9月，央行等七部委發布的《關于防范代幣發行融資風險的公告》。2013年通知和2017年公告都不是正式的法律淵源，屬于《行政訴訟法》規定的“其他規范性文件”，效力在規章之下，并且可以成為司法一并審查的對象，而規章及以上的法律淵源不能成為司法一并審查的對象。由上述背景知識可以得出的結論是：該規定的法律層級，高于2013年通知和2017年公告，是區塊鏈領域第一部規章級別的法律淵源。[2018/10/21]

3.安全評估需在事前還是事后進行？

《管理規定》提到，區塊鏈信息服務提供者開發上線新產品、新應用、新功能的，應當進行安全評估，但未明確規定是需在事前還是事后進行評估；《公告》也未對此進行說明。

《評估規定》對不同情形下安全評估報告的提交時間做出了不同的規定，在某些情形下需要事前提交，在某些情形下需要事后提交。

根據《評估規定》，在發生下述情形之一的，互聯網信息服務提供者應當在信息服務、新技術新應用上線或者功能增設之前提交安全評估報告：輿論屬性或社會動員能力的信息服務上線，或者信息服務增設相關功能的；或使用新技術新應用，使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更，導致輿論屬性或者社會動員能力發生重大變化的。

同時，《評估規定》還對需事后提交安全評估報告的情形做了規定，包括：用戶規模顯著增加，導致信息服務的輿論屬性或者社會動員能力發生重大變化的；發生違法有害信息傳播擴散，表明已有安全措施難以有效防控網絡安全風險的；或地市級以上網信部門或者機關書面通知需要進行安全評估的其他情形。

鑒于《管理規定》提及的區塊鏈信息服務提供者需要進行安全評估的情形為“區塊鏈信息服務提供者開發上線新產品、新應用、新功能”，比照《評估規定》對需事前提交評估報告的情形的列舉，筆者理解，區塊鏈信息服務提供者應需在其開發上線新產品、新應用、新功能之前，進行安全評估。

此外，《管理規定》及《公告》并未提及需要進行事后安全評估的情形。如果發生類似《評估規定》中列舉的、需事后提交評估報告的情況，區塊鏈信息服務提供者是否需要進行事后安全評估并不明確。

4.提交的安全評估報告是否僅限于自評估報告？

根據《公告》，如區塊鏈信息服務提供者是自行實施安全評估的，需通過“全國互聯網安全管理服務平臺”提交安全自評估報告。但是，如果區塊鏈信息服務提供者是委托第三方進行安全評估的，第三方出具的安全評估報告是否需要提交、通過什么渠道提交？《公告》似未明確。

根據《管理規定》的原則性要求，參考《評估規定》的對安全評估報告提交的規定，筆者理解，《公告》中提到的需通過上述服務平臺提交的“安全自評估報告”中的“自評估”，可能強調的是安全評估的發起人和組織者需為區塊鏈信息服務提供者自身，而非網信辦；所謂“自評估”既包括區塊鏈信息服務提供者的自行評估，也包括委托第三方的評估，無論采用哪一種評估方式所形成的評估報告均需要通過“全國互聯網安全管理服務平臺”提交。

5.安全評估的監管部門是否僅為網信辦？

根據《管理規定》，區塊鏈信息服務提供者如未進行安全評估的，有權監管并實施行政處罰的機關為各地直轄市網信辦。

而在《評估規定》下，互聯網信息服務提供者應當將安全評估報告通過全國互聯網安全管理服務平臺提交所在地地市級以上網信辦和機關，兩個機構都有權對安全評估報告進行書面審查、甚至是現場檢查；對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的互聯網信息服務，省級以上網信辦和機關應當組織專家評審和會同現場檢查。

盡管《管理規定》及《公告》中未明確提及機關在安全評估方面的監管職責，但是由于評估報告提交的系統“全國互聯網安全管理服務平臺”為部網絡安全保衛局下設的平臺，監督和維護網絡安全本身也是部網絡安全保衛部門的職責，因此，筆者理解，機關可能也會參照其在《評估規定》下的職能，對區塊鏈信息服務提供者的安全評估履行類似的監管職責。

小結：

關于網信辦對于區塊鏈信息服務提供者的安全評估工作的監管，由于區塊鏈信息服務提供者目前多通過互聯網向社會公眾提供信息服務，直接參照適用現有的《評估規定》比較便捷，而無需另行立法；另一方面，由于《評估規定》適用的對象是具有輿論屬性或社會動員能力的互聯網信息服務提供者，具體要求均是專門針對該等服務提供者設定，相關要求能否完全適用于區塊鏈信息服務提供者，還存有一些疑問，有待網信辦在監管實踐中予以進一步澄清。

作者：張凌，瀚一律師事務所合伙人

聲明：本文僅代表作者個人觀點，不代表所在機構意見。文中內容不構成法律意見和投資建議。如需轉載或引用本文的任何內容，請列明作者姓名。

Tags：區塊鏈TOKKENTOKEN區塊鏈技術適合女生嗎Undo Token假imtoken錢包詐騙Duke Token

火必APP