据央视新闻消（xiāo）息，中（zhōng）共中央，国务（wù）院（yuàn）关于支持深圳建设（shè）中国（guó）特色（sè）社会主义先行示范区（qū）的意见：加快建（jiàn）构（gòu）现（xiàn）代产业（yè）体系。党和国家（jiā）作出兴办经济特区（qū）重大战略（luè）部署以（yǐ）来，深圳经济特区作为我国改革（gé）开放的重要（yào）窗口（kǒu），各项（xiàng）事业取得显著成绩。当（dāng）前，中国特色社会主义（yì）进入新（xīn）时代（dài），党和（hé）国家更是把深圳作为建设（shè）中（zhōng）国（guó）特色社（shè）会主义先（xiān）行示范（fàn）区（qū），为了（le）加（jiā）快构建现代产业体系，大力发展战略性（xìng）新兴产业，开（kāi）展市场准入和监管体制（zhì）机制（zhì）改（gǎi）革试（shì）点，针对（duì）新近风行的数字货币采（cǎi）取开放的姿态，打造数字经济创新（xīn）发展试（shì）验区，支持在深圳开展（zhǎn）数字货币研究与移动支付等（děng）创新应用。促进与港澳金融市场互联互通和金融（基金）产（chǎn）品互认。在推进人民（mín）币国际化上（shàng）先行先试（shì），探索创新（xīn）跨境金融监管。

作者按：为落实《区块链信息服务（wù）管理规定》中提到的安全评（píng）估要求，网信办近日发布（bù）了（le）一则说明性公告。公告（gào）乍看明确，但实践中如何具体执行仍存有一些疑问。

2019年（nián）初，国（guó）家（jiā）互联网信（xìn）息办（bàn）公室（shì）（“网信办”）在（zài）其发布（bù）的（de）《区块链信息（xī）服（fú）务管理规（guī）定（dìng）》（“《管（guǎn）理规定》”）中（zhōng）对区块链信息服务（wù）中（zhōng）涉及的安全评（píng）估问题作出了原则性要求。

根据《管理规定》，区块链信息服务（wù）提供者需（xū）要在其（qí）发生开发上（shàng）线新（xīn）产品、新（xīn）应用（yòng）、新功能等情形下，按照（zhào）有关规定报国家和省、自治区、直辖市互（hù）联网信（xìn）息办公室（shì）进行（háng）安（ān）全评估；如（rú）未按规定进行安全评估（gū）的（de），其所在地直辖市网信办有权要求其整改、给予处罚，甚至提交有权机构追究其刑事责任（rèn）。

《管理规定》仅原则性规定了（le）需要安（ān）全评估的（de）情（qíng）形及（jí）违（wéi）法后果，但未明确安（ān）全评估所依据的具体规定及操作细则。2019年8月9日（rì），网信（xìn）办发（fā）布了《<区块链信息服务管（guǎn）理规定>》涉（shè）安全评估条款说明的公（gōng）告》（“《公（gōng）告》”），明确了网信（xìn）办本身不组织安全评（píng）估，也未（wèi）指（zhǐ）定或授权任何单位或机构开展（zhǎn）评估（gū），而是由相关企业自行评估或者（zhě）委托有资质的第（dì）三方测评机构进（jìn）行评估。

根（gēn）据《公告》的内（nèi）容，笔者（zhě）理解，网信（xìn）办可能意（yì）在参（cān）照（zhào）其与公（gōng）安部于2018年11月15日联合发布的（de）《具（jù）有舆论属性或社会（huì）动员能力的（de）互联网信息服（fú）务安全评估规定》（“《评估规定》”，该规定适用于具有舆论（lùn）属性或社会动员能（néng）力的（de）互联网（wǎng）信（xìn）息（xī）服务提供者，提供的信息服务是论坛、博客、微博客、聊（liáo）天室、通讯（xùn）群组、公众账号、短视（shì）频、网络直播、信息分享、小程序等（děng）或者（zhě）附设（shè）相应功（gōng）能等（děng））的相关要求，落实《管理规定》所要（yào）求的安全评估工作，为（wéi）区（qū）块链信息服务提供者开展安全评（píng）估提供（gòng）操作（zuò）指引（yǐn）。

但（dàn）是，由于《公告》的说（shuō）明较为简略，相关（guān）企业对如何（hé）理解和（hé）适用《公（gōng）告》中（zhōng）提到的一些要（yào）求存有（yǒu）疑问，针对该等疑问，笔者（zhě）试（shì）简（jiǎn）要分析如下，仅供一般（bān）性参考。

根据《公告（gào）》，区块链信息服务提供者可以委托具（jù）有相关（guān）资质的测评机构开展安全评估（gū），也可以自行对区块链信息服务开展安全风（fēng）险自评估。

在委托第（dì）三方进（jìn）行安（ān）全评估的情形下（xià），根据《公告》的说明，笔者（zhě）理（lǐ）解，可（kě）受托开展安（ān）全评估（gū）的机（jī）构可能需为已获国家市场监管（guǎn）总局所（suǒ）属的中（zhōng）国国家认（rèn）证认（rèn）可监督管（guǎn）理委员（yuán）会（CNCA）批准（zhǔn）、中国合格评定国家认可委（wěi）员会（CNAS）认可的测评机构，且该等机（jī）构可能需具备信（xìn）息安（ān）全管（guǎn）理（lǐ）体系认证和（hé）信息技术服务（wù）管（guǎn）理体系认（rèn）证的资质，而不得是其他单位（wèi）或（huò）机（jī）构。

笔者（zhě）注意到，目（mù）前市（shì）场上（shàng）已有若干（gàn）宣称可以开展（zhǎn）区块链技术安全评（píng）估的机构，但其（qí）并非CNCA批（pī）准、CNAS认（rèn）可的、具有信息安全管理和信息技术服务（wù）管（guǎn）理体系认证资质的测评（píng）机构。区块链信息服务提供者如拟委托（tuō）第三方机构进行安全评估的，需（xū）注意测评机（jī）构的（de）资质（zhì），委托（tuō）有（yǒu）资质的评估机构进行安全评估。

Ø  安全评估的（de）内（nèi）容是什么？

根据《公告》，区块链信（xìn）息服务提供者开展（zhǎn）安全风险评估（gū）的（de），需根（gēn）据《评估规定》的相关要求进行。但是《公（gōng）告》未明确“相（xiàng）关要求”具体包括哪些（xiē）要求。

根据《评（píng）估（gū）规定》，互联网信息服（fú）务提供者开展安全评估，应当对信息服（fú）务（wù）和（hé）新技术（shù）新应用的合法性（xìng），落实（shí）法律、行政（zhèng）法（fǎ）规、部门规章和标准规定的（de）安全措施的有（yǒu）效性，防控安全风险的有（yǒu）效性等情况进行全面评估，并重点评估下列八项主要内容：

（1）确（què）定与所提供服务相适应的安全管理负责人、信息审核人员或者（zhě）建立安（ān）全管（guǎn）理机构的情况；

（2）用户真实身份（fèn）核验以（yǐ）及注册信息留存（cún）措施；

（3）对用户的账号、操作时间、操作类型、网络源地址（zhǐ）和目标（biāo）地址、网络源端口、客户（hù）端硬件特征等日志（zhì）信息，以及（jí）用户发布（bù）信息记录的留存措施；

（4）对用户账号和通讯（xùn）群组名称、昵称（chēng）、简介（jiè）、备注、标（biāo）识，信息（xī）发布、转发、评论和通（tōng）讯群组（zǔ）等服务功能中违法有害信（xìn）息的（de）防范处置和（hé）有关记录保存（cún）措施；

（5）个人（rén）信息保（bǎo）护以（yǐ）及防范违法有害信息传（chuán）播扩散、社会动员功能失控风险的技术措（cuò）施（shī）；

（6）建立（lì）投诉、举（jǔ）报制度，公布（bù）投诉、举报方式等信息，及时受理并处理有关投诉（sù）和（hé）举报的情况（kuàng）；

（7）建立为网信（xìn）部门依法履（lǚ）行互联网信息服务（wù）监督管理（lǐ）职（zhí）责提供技术、数据支持和协助的工（gōng）作机（jī）制的情况；

（8）建立（lì）为（wéi）公安机关、国家安全机（jī）关依法维护国家安全和查处违法犯罪提（tí）供技术、数据支持和协助的工作机制的情况。

根（gēn）据（jù）《评估规定》，经过安全评估（gū），符（fú）合法律（lǜ）、行政法规、部（bù）门规（guī）章（zhāng）和标准的，应（yīng）当形成安全评估（gū）报告，报告应当包括下列内容：

（1）互联网信息服务的功能、服务范围、软硬件设施、部署位置（zhì）等基本情况和（hé）相关证照获取情（qíng）况；

（2）安全管理制（zhì）度和技术措施（shī）落实情况及风险防控效果；

（3）安（ān）全评估结论；

（4）其他应当说明的相关情况。

根（gēn）据上述规（guī）定，笔者理解，区（qū）块链信（xìn）息服务提供者所需做的安全评（píng）估主要内容（róng）及安全评估（gū）报告的主要内容可能也（yě）需要根（gēn）据其提（tí）供的（de）信息服务的具体情况，基本涵盖《评估规（guī）定》中列举（jǔ）的上述主要（yào）内（nèi）容。

 

《管理规（guī）定》提到，区块链信息服务提供者开（kāi）发上线新（xīn）产品、新应用、新功能的，应当进行安全评估，但未明确（què）规（guī）定是需（xū）在事前还是事后进行评估（gū）；《公告（gào）》也（yě）未对此进行说明。

《评估规定》对不同情形下（xià）安全（quán）评估报告的提交时间做出（chū）了不同的（de）规（guī）定，在某些情形下需（xū）要事前提交，在某些情形下（xià）需要事后提交（jiāo）。

根据《评估规定》，在发生下述情形（xíng）之（zhī）一（yī）的，互联网信息（xī）服（fú）务（wù）提供者应当在信（xìn）息服（fú）务、新技术（shù）新应用上（shàng）线或（huò）者功能增（zēng）设之前提交安全评估报告：

（1）舆（yú）论属性或（huò）社会动员能力的信息服务上线，或者（zhě）信息服务增（zēng）设相关功能的；或

（2）使用新（xīn）技术新应用，使（shǐ）信（xìn）息（xī）服务的功能属性、技（jì）术实现方式（shì）、基础（chǔ）资源配置等发生（shēng）重大变更，导致舆论（lùn）属性或者（zhě）社会（huì）动员能力发（fā）生重大变（biàn）化的（de）。

同时，《评估规定》还（hái）对需（xū）事后（自（zì）相关情（qíng）形（xíng）发生之日起30个工作日内）提交安全评（píng）估报（bào）告的情形做了规定，包（bāo）括：

（1）用户规模显著增加，导致信息（xī）服务的（de）舆（yú）论属性或者（zhě）社会动员能力发（fā）生重大变化的（de）；

（2）发生（shēng）违法有害信息（xī）传播扩散，表（biǎo）明已有（yǒu）安全措施难（nán）以有效防（fáng）控网（wǎng）络安全风（fēng）险的；或

（3）地（dì）市级以上（shàng）网信部门（mén）或者公安机（jī）关（guān）书面通知需要进行安全评估的其他情（qíng）形。

鉴于《管理规定》提（tí）及的（de）区（qū）块链信息服务提供者需要进（jìn）行安（ān）全评估（gū）的情形为“区块（kuài）链信（xìn）息服（fú）务提供者开发（fā）上线新产品、新应用（yòng）、新功能”，比照（zhào）《评估规定》对需事（shì）前提交评估报（bào）告的情形的（de）列举（信息服务、新（xīn）技术新应用上线或者功（gōng）能增设），笔（bǐ）者理（lǐ）解（jiě），区块链信息服务提（tí）供（gòng）者应需在其开发上（shàng）线新产品、新应用、新功（gōng）能之（zhī）前，进行安全评估。

此外（wài），《管理规（guī）定（dìng）》及（jí）《公告》并未提及需要（yào）进行（háng）事后安全评（píng）估的情形。如果发生类似《评估规定》中列（liè）举的、需事后提交评估报告的情况（尤其是发生违法有害信息传播扩散，表明（míng）已有安全措施难以有效防控网（wǎng）络安全风险的情（qíng）形（xíng）），区块（kuài）链信（xìn）息服务提供者是否需要进行事后安全（quán）评估并不明确。

 

根据《公告》，如区块（kuài）链信息服务提（tí）供者是自行实施安全评估（gū）的，需通过“全国互联网安全（quán）管理服（fú）务平台”提交安全（quán）自评估报告。但是（shì），如果区块链信息（xī）服务提（tí）供者是委托第（dì）三方进行安全评估的，第三方出具的（de）安全评估报告是否需要提交、通（tōng）过（guò）什么渠道提（tí）交？《公告》似（sì）未明（míng）确（què）。

根据《管理规定》的原（yuán）则性（xìng）要求，参考《评估（gū）规定》的对（duì）安（ān）全评估报告提交的规定，笔者理解，《公告》中提到的需通过上述服务平台提（tí）交的（de）“安全（quán）自评估报告”中的“自评估”，可能强调的是安全评估（gū）的发起人和组织者需（xū）为区块链信息服务提供者自身，而非网信办（或其组织的专（zhuān）家（jiā）或技术力量）；所（suǒ）谓“自评估”既包括区块（kuài）链（liàn）信息服（fú）务提供者的自行评估，也包（bāo）括委托第三方的评估，无（wú）论采用哪一种评估方式所（suǒ）形成的评（píng）估报告（gào）均需要通过“全国互联网安全管（guǎn）理服（fú）务平台”提交（jiāo）。

 

根据《管理规定》，区（qū）块链信息服务提供者如未进（jìn）行安全评估的，有（yǒu）权监（jiān）管并实施行政处罚的（de）机关（guān）为各地直辖（xiá）市（shì）网信办。

而在《评估规（guī）定》下，互（hù）联（lián）网信（xìn）息服务提供者（zhě）应当（dāng）将安全评估报告（gào）通过全（quán）国互联网安全管（guǎn）理服（fú）务平（píng）台提交所在地（dì）地（dì）市级以（yǐ）上网信办和（hé）公安（ān）机关（guān），两个机构都有权对（duì）安全评（píng）估报告（gào）进行书面（miàn）审（shěn）查（chá）、甚至是现场检查；对存在较（jiào）大安全（quán）风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务（wù），省级以上网信办和公安机关应当组织（zhī）专家评审和会同（tóng）现场检查。

尽管《管理（lǐ）规定（dìng）》及《公告》中未明确提及公安机（jī）关在安（ān）全评估方面的（de）监管职责，但是由于评估报告（gào）提交（jiāo）的系统“全国互联网安（ān）全管理服（fú）务平台”为公安部网络安全（quán）保卫局下设的平台，监督和维护（hù）网（wǎng）络（luò）安全本身也是公安部网络（luò）安全保卫部（bù）门的职责，因此，笔者理解，公安机关（guān）可能也会参照其在《评（píng）估规定》下的职能（néng），对区块链（liàn）信息服务（wù）提供者的安全评估履行（háng）类似的监（jiān）管职（zhí）责。

关于网信（xìn）办对于（yú）区块链信息服务提供者的安全评估工作的监管，由于区块链（liàn）信息（xī）服务提供者（zhě）目前多（duō）通（tōng）过互联网向社会公众提供信息服务，直接参照适用现有（yǒu）的（de）《评估规（guī）定》比较便捷，而无需（xū）另行立法；另一（yī）方面，由（yóu）于《评估（gū）规定》适用的（de）对象是具有（yǒu）舆（yú）论属性或（huò）社会动员能力的互联（lián）网信息服务（wù）提供者，具体要（yào）求（qiú）均是专门针对该等服（fú）务提供者设定，相关要求能（néng）否完全适（shì）用（yòng）于（yú）区块（kuài）链信（xìn）息服（fú）务提供者（如事后安全评（píng）估），还存有一些疑问（wèn），有待（dài）网信办在监管实践中予（yǔ）以（yǐ）进一步澄清（qīng）。