区块链:网信办发布了安全评估公告 区块链信息服务提供者需要注意些什么？_CNC价格

2019年初，国家互联网信息办公室在其发布的《区块链信息服务管理规定》中对区块链信息服务中涉及的安全评估问题作出了原则性要求。

根据《管理规定》，区块链信息服务提供者需要在其发生开发上线新产品、新应用、新功能等情形下，按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估；如未按规定进行安全评估的，其所在地直辖市网信办有权要求其整改、给予处罚，甚至提交有权机构追究其刑事责任。

《管理规定》仅原则性规定了需要安全评估的情形及违法后果，但未明确安全评估所依据的具体规定及操作细则。2019年8月9日，网信办发布了《<区块链信息服务管理规定>涉安全评估条款说明的公告》，明确了网信办本身不组织安全评估，也未指定或授权任何单位或机构开展评估，而是由相关企业自行评估或者委托有资质的第三方测评机构进行评估。

根据《公告》的内容，笔者理解，网信办可能意在参照其与部于2018年11月15日联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的相关要求，落实《管理规定》所要求的安全评估工作，为区块链信息服务提供者开展安全评估提供操作指引。

动态 | 省委网信办在深圳调研并召开座谈会:深圳市信息服务业区块链协会今日发布消息，12月19日至20日，省委网信办在深圳调研区块链行业发展情况。19日下午14点30分，调研组在市委网信办会议室召开了座谈会，市委网信办、市工信局、市局、市地方金融监管局以及深圳市信息服务业区块链协会参加了座谈。座谈会就区块链发展的基本情况、存在问题、发展方向和如何建立健全我省区块链技术长效监管机制进行了充分的交流讨论。[2019/12/20]

但是，由于《公告》的说明较为简略，相关企业对如何理解和适用《公告》中提到的一些要求存有疑问，针对该等疑问，笔者试简要分析如下，仅供一般性参考。

1.第三方评估机构需要具备什么资质？

根据《公告》，区块链信息服务提供者可以委托具有相关资质的测评机构开展安全评估，也可以自行对区块链信息服务开展安全风险自评估。

在委托第三方进行安全评估的情形下，根据《公告》的说明，笔者理解，可受托开展安全评估的机构可能需为已获国家市场监管总局所属的中国国家认证认可监督管理委员会批准、中国合格评定国家认可委员会认可的测评机构，且该等机构可能需具备信息安全管理体系认证和信息技术服务管理体系认证的资质，而不得是其他单位或机构。

动态 | 2019年Q2网信办会同有关部门依法关闭“比特币挖矿”、“财经热搜”等一批网站:据法制网消息，记者今天从国家网信办获悉，今年第二季度，各级网信部门结合开展“清朗”、“网剑”、“剑网”、“网上扫黄打非”等专项行动严格执法，会同有关部门依法查处网上违法信息和违法行为，严厉处置一批违法违规网站平台。依法关闭“财经热搜”、“比特币挖矿”、“苹果ID解锁”、“共鑫繁荣”等一批网站。[2019/7/30]

笔者注意到，目前市场上已有若干宣称可以开展区块链技术安全评估的机构，但其并非CNCA批准、CNAS认可的、具有信息安全管理和信息技术服务管理体系认证资质的测评机构。区块链信息服务提供者如拟委托第三方机构进行安全评估的，需注意测评机构的资质，委托有资质的评估机构进行安全评估。

2.安全评估需满足的相关要求是哪些要求？

安全评估的内容是什么？

根据《公告》，区块链信息服务提供者开展安全风险评估的，需根据《评估规定》的相关要求进行。但是《公告》未明确“相关要求”具体包括哪些要求。

动态 | 国家网信办发布的《数字中国建设发展报告（2018年）》:据人民网消息，5月6日-8日，第二届数字中国建设峰会在福州召开，国家网信办发布的《数字中国建设发展报告（2018年）》显示，2018年我国数字经济规模达到31.3万亿元，较去年增长20.9%，占GDP比重达34.8%。据埃森哲公司分析，数字化程度每提高10%，人均GDP将增长0.5%-0.62%。据预测，数字技能和技术的应用将使全球经济到2020年有望累计增加2万亿美元；到2025年，全球经济总值的一半来自于数字经济。

中国人民银行数字货币研究所原所长姚前指出，法定数字货币是数字经济发展的基石。他还透露，当前中国人民银行正在开展央行数字货币研发试验。

按照国际货币基金组织（IMF）总裁拉加德的说法，为数字经济提供货币或将成为一项国家任务。[2019/5/13]

根据《评估规定》，互联网信息服务提供者开展安全评估，应当对信息服务和新技术新应用的合法性，落实法律、行政法规、部门规章和标准规定的安全措施的有效性，防控安全风险的有效性等情况进行全面评估，并重点评估下列八项主要内容：确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况；用户真实身份核验以及注册信息留存措施；对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息，以及用户发布信息记录的留存措施；对用户账号和通讯群组名称、昵称、简介、备注、标识，信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施；个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施；建立投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关投诉和举报的情况；建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况；建立为机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

声音 | 许可：网信办征求意见稿实名制要求范围没有想象中大:据核财经消息，10月24日，网信办《区块链信息服务管理规定（征求意见稿）》闭门研讨会在人大举行，对外经济贸易大学数字经济与法律创新研究中心执行主任许可在会上发言表示，管理规定中的实名制要求范围并没有想象中大，新规根据三条法规《中华人民共和国网络安全法》《互联网信息服务管理办法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》，而网安法中关于实名制要求的只有一条：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，应当要求用户提供真实身份信息。仅要求信息发布者实名，信息使用者不需要实名。[2018/10/24]

安全评估报告的内容有哪些？

根据《评估规定》，经过安全评估，符合法律、行政法规、部门规章和标准的，应当形成安全评估报告，报告应当包括下列内容：互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况；安全管理制度和技术措施落实情况及风险防控效果；安全评估结论；其他应当说明的相关情况。

政策|天津市委网信办：加快制定天津市大数据发展规划和促进数字经济发展:天津市委网信办日前提出，要加快制定天津市大数据发展规划和促进数字经济发展的指导意见，深入开展大数据、区块链等新技术领域的地方立法研究。[2018/6/25]

根据上述规定，笔者理解，区块链信息服务提供者所需做的安全评估主要内容及安全评估报告的主要内容可能也需要根据其提供的信息服务的具体情况，基本涵盖《评估规定》中列举的上述主要内容。

3.安全评估需在事前还是事后进行？

《管理规定》提到，区块链信息服务提供者开发上线新产品、新应用、新功能的，应当进行安全评估，但未明确规定是需在事前还是事后进行评估；《公告》也未对此进行说明。

《评估规定》对不同情形下安全评估报告的提交时间做出了不同的规定，在某些情形下需要事前提交，在某些情形下需要事后提交。

根据《评估规定》，在发生下述情形之一的，互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设之前提交安全评估报告：舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能的；或使用新技术新应用，使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或者社会动员能力发生重大变化的。

同时，《评估规定》还对需事后提交安全评估报告的情形做了规定，包括：用户规模显著增加，导致信息服务的舆论属性或者社会动员能力发生重大变化的；发生违法有害信息传播扩散，表明已有安全措施难以有效防控网络安全风险的；或地市级以上网信部门或者机关书面通知需要进行安全评估的其他情形。

鉴于《管理规定》提及的区块链信息服务提供者需要进行安全评估的情形为“区块链信息服务提供者开发上线新产品、新应用、新功能”，比照《评估规定》对需事前提交评估报告的情形的列举，笔者理解，区块链信息服务提供者应需在其开发上线新产品、新应用、新功能之前，进行安全评估。

此外，《管理规定》及《公告》并未提及需要进行事后安全评估的情形。如果发生类似《评估规定》中列举的、需事后提交评估报告的情况，区块链信息服务提供者是否需要进行事后安全评估并不明确。

4.提交的安全评估报告是否仅限于自评估报告？

根据《公告》，如区块链信息服务提供者是自行实施安全评估的，需通过“全国互联网安全管理服务平台”提交安全自评估报告。但是，如果区块链信息服务提供者是委托第三方进行安全评估的，第三方出具的安全评估报告是否需要提交、通过什么渠道提交？《公告》似未明确。

根据《管理规定》的原则性要求，参考《评估规定》的对安全评估报告提交的规定，笔者理解，《公告》中提到的需通过上述服务平台提交的“安全自评估报告”中的“自评估”，可能强调的是安全评估的发起人和组织者需为区块链信息服务提供者自身，而非网信办；所谓“自评估”既包括区块链信息服务提供者的自行评估，也包括委托第三方的评估，无论采用哪一种评估方式所形成的评估报告均需要通过“全国互联网安全管理服务平台”提交。

5.安全评估的监管部门是否仅为网信办？

根据《管理规定》，区块链信息服务提供者如未进行安全评估的，有权监管并实施行政处罚的机关为各地直辖市网信办。

而在《评估规定》下，互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信办和机关，两个机构都有权对安全评估报告进行书面审查、甚至是现场检查；对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务，省级以上网信办和机关应当组织专家评审和会同现场检查。

尽管《管理规定》及《公告》中未明确提及机关在安全评估方面的监管职责，但是由于评估报告提交的系统“全国互联网安全管理服务平台”为部网络安全保卫局下设的平台，监督和维护网络安全本身也是部网络安全保卫部门的职责，因此，笔者理解，机关可能也会参照其在《评估规定》下的职能，对区块链信息服务提供者的安全评估履行类似的监管职责。

小结：

关于网信办对于区块链信息服务提供者的安全评估工作的监管，由于区块链信息服务提供者目前多通过互联网向社会公众提供信息服务，直接参照适用现有的《评估规定》比较便捷，而无需另行立法；另一方面，由于《评估规定》适用的对象是具有舆论属性或社会动员能力的互联网信息服务提供者，具体要求均是专门针对该等服务提供者设定，相关要求能否完全适用于区块链信息服务提供者，还存有一些疑问，有待网信办在监管实践中予以进一步澄清。

作者：张凌，瀚一律师事务所合伙人

声明：本文仅代表作者个人观点，不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容，请列明作者姓名。

标签：区块链NASCNC区块链存证流程图nash币怎么挖CNC价格

比特币交易热门资讯