广东省保密协会

前沿技术

为区块链信息服务装上安全阀
2019-04-23 02:22:47

2019年初，国家互联网信息办公室正式公布了《区块链信息服务管理规定》（以下简称《规定》），并从2月起生效。区块链信息服务，是指基于区块链技术或系统，通过互联网站、应用程序等形式，向社会公众提供的信息服务。《规定》对区块链信息服务的监管原则、主体、对象、方式、内容及提供服务过程中涉及相关主体的权利义务等作出了规范，以规避有关技术在信息服务领域应用时所产生的风险，达到保护技术创新与应用的终极目标。如何防范信息安全风险作为一项新兴技术，区块链具有不可篡改、匿名性、去中心化等特点,这也使得它在信息服务应用中带来甚至加剧了一定的安全隐患。例如，被不法分子利用以传播有害信息、实施网络犯罪活动，信息服务提供者安全意识不强、管理措施和技术保障能力不足，致使信息安全漏洞频发等。此次《规定》的颁布，就从信息服务的提供、使用、管理等方面明确了安全责任，以规范和促进区块链技术及有关服务健康发展。第一，《规定》防范了区块链技术不可篡改性带来的风险。从目前的技术条件来看，信息一旦在区块链上发布，就难以被他人干预、修改或删除，这一特点在一定程度上保证了信息服务的完整性、权威性和准确性，但也带来了负面效应，如果链上的信息涉嫌违规、违法等犯罪活动，无疑会给网络安全管理甚至国家安全治理带来巨大隐患。对此，《规定》从事前预防、技术标准和事后处置等方面，对责任主体、技术条件和内容规范等设置了底线。如第六条规定，“区块链信息服务提供者应当具备与其服务相适应的技术条件，对于法律、行政法规禁止的信息内容，应当具备对其发布、记录、存储、传播的即时和应急处置能力，技术方案应当符合国家相关标准规范”；第十六条进一步指出，“区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者，依法依约采取警示、限制功能、关闭账号等处置措施，对违法信息内容及时采取相应的处理措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。第二，《规定》防范了区块链技术使信息在全网直播的风险。区块链技术的特性使得信息一旦上链，就可被链上其他主体获知，具有实时公开、全网直播的效果。这一方面实现了信息服务高效公开、传播与覆盖，降低了成本，但另一方面也给监督管理工作带来了挑战。对此，《规定》从上链源头、信息内容和责任主体等分别作出了规范。如第七条规定，“区块链信息服务提供者应当制定并公开管理规则和平台公约，与区块链信息服务使用者签订服务协议，明确双方权利义务，要求其承诺遵守法律规定和平台公约”。同时，第十七条明确，“区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息，记录备份应当保存不少于六个月，并在相关执法部门依法查询时予以提供”。第三，《规定》防范了区块链技术匿名性带来的风险。由于信息背后的主体是匿名的,这一特性在某种程度上导致网络空间的治理被架空，如果放任其在信息服务中的应用，必然会引发服务的无序性，也最终会让此项技术在信息服务领域的应用夭折。对此，《规定》特别从以下四个方面对区块链信息服务提供者作出了规范，从而防范技术的匿名性带来的治理困境。一是确定了责任主体，《规定》第五条明确，“区块链信息服务提供者应当落实信息内容安全管理责任，建立健全用户注册、信息审核、应急处置、安全防护等管理制度”。二是以实名制封堵漏洞，第八条指出，“区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定，对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的，区块链信息服务提供者不得为其提供相关服务”。三是积极介入监督与管理的全过程，确保任一环节不缺位，如第九条指出，“区块链信息服务提供者开发上线新产品、新应用、新功能的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估”。四是从准入的角度加强事前管理与防治，如第十一条明确，“区块链信息服务提供者应当在提供服务之日起十个工作日内，通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息，履行备案手续”，对于变更服务项目、平台网址等事项或终止服务的，亦作出了相应规定。此外,《规定》也从禁止性行为的角度提出了监管举措，如第十条明确，“区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动，不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容”。适用性及进一步待厘清的问题《规定》的第二条明确了其适用地域是在我国境内，同时也分层次界定了监管主体与对象——国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作；省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。但与此同时，多层次的监管体制必然会引发权利、责任、义务的划分与协调，因此也引出了《规定》在具体施行中第一个需厘清的问题，即国家和省（区、市）各级互联网信息办公室的监管职能，以及在权、责、义上的划分，一方面要避免职责交叉和界定不明确等灰色地带，细化履行监管职能的程序规定、责任主体等；另一方面也要促进配合、加强联动，提高各级机构反应速度和效率，用好监管大数据，对区块链信息服务提供者和使用者的违规行为建立有效惩戒机制。第二个需厘清的问题，《规定》对区块链信息服务提供者开发上线新产品、新应用、新功能提出了安全评估要求，但并未对如何进行安全评估，是否比照《网络安全法》提出的安全评估方案，以及具体的流程和标准进行深入阐释。同时，《规定》指出区块链信息服务提供者应当具备与其服务相适应的技术条件，技术方案应符合国家相关标准规范，但对技术条件和标准规范中安全保密的考虑尚缺乏明确指向，在下一步施行过程中，有关信息服务提供者的资质，以及从业人员规范等都应进一步细化，防止因规则的缺位而影响法律效用。（来源：《保密工作》杂志，作者：李爱君，单位：中国政法大学互联网金融法律研究院）

2019-04-23 02:22:47

2019年初，国家互联网信息办公室正式公布了《区块链信息服务管理规定》（以下简称《规定》），并从2月起生效。

区块链信息服务，是指基于区块链技术或系统，通过互联网站、应用程序等形式，向社会公众提供的信息服务。《规定》对区块链信息服务的监管原则、主体、对象、方式、内容及提供服务过程中涉及相关主体的权利义务等作出了规范，以规避有关技术在信息服务领域应用时所产生的风险，达到保护技术创新与应用的终极目标。

如何防范信息安全风险

作为一项新兴技术，区块链具有不可篡改、匿名性、去中心化等特点,这也使得它在信息服务应用中带来甚至加剧了一定的安全隐患。例如，被不法分子利用以传播有害信息、实施网络犯罪活动，信息服务提供者安全意识不强、管理措施和技术保障能力不足，致使信息安全漏洞频发等。此次《规定》的颁布，就从信息服务的提供、使用、管理等方面明确了安全责任，以规范和促进区块链技术及有关服务健康发展。

第一，《规定》防范了区块链技术不可篡改性带来的风险。从目前的技术条件来看，信息一旦在区块链上发布，就难以被他人干预、修改或删除，这一特点在一定程度上保证了信息服务的完整性、权威性和准确性，但也带来了负面效应，如果链上的信息涉嫌违规、违法等犯罪活动，无疑会给网络安全管理甚至国家安全治理带来巨大隐患。对此，《规定》从事前预防、技术标准和事后处置等方面，对责任主体、技术条件和内容规范等设置了底线。如第六条规定，“区块链信息服务提供者应当具备与其服务相适应的技术条件，对于法律、行政法规禁止的信息内容，应当具备对其发布、记录、存储、传播的即时和应急处置能力，技术方案应当符合国家相关标准规范”；第十六条进一步指出，“区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者，依法依约采取警示、限制功能、关闭账号等处置措施，对违法信息内容及时采取相应的处理措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。

第二，《规定》防范了区块链技术使信息在全网直播的风险。区块链技术的特性使得信息一旦上链，就可被链上其他主体获知，具有实时公开、全网直播的效果。这一方面实现了信息服务高效公开、传播与覆盖，降低了成本，但另一方面也给监督管理工作带来了挑战。对此，《规定》从上链源头、信息内容和责任主体等分别作出了规范。如第七条规定，“区块链信息服务提供者应当制定并公开管理规则和平台公约，与区块链信息服务使用者签订服务协议，明确双方权利义务，要求其承诺遵守法律规定和平台公约”。同时，第十七条明确，“区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息，记录备份应当保存不少于六个月，并在相关执法部门依法查询时予以提供”。

第三，《规定》防范了区块链技术匿名性带来的风险。由于信息背后的主体是匿名的,这一特性在某种程度上导致网络空间的治理被架空，如果放任其在信息服务中的应用，必然会引发服务的无序性，也最终会让此项技术在信息服务领域的应用夭折。对此，《规定》特别从以下四个方面对区块链信息服务提供者作出了规范，从而防范技术的匿名性带来的治理困境。

一是确定了责任主体，《规定》第五条明确，“区块链信息服务提供者应当落实信息内容安全管理责任，建立健全用户注册、信息审核、应急处置、安全防护等管理制度”。二是以实名制封堵漏洞，第八条指出，“区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定，对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的，区块链信息服务提供者不得为其提供相关服务”。三是积极介入监督与管理的全过程，确保任一环节不缺位，如第九条指出，“区块链信息服务提供者开发上线新产品、新应用、新功能的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估”。四是从准入的角度加强事前管理与防治，如第十一条明确，“区块链信息服务提供者应当在提供服务之日起十个工作日内，通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息，履行备案手续”，对于变更服务项目、平台网址等事项或终止服务的，亦作出了相应规定。

此外,《规定》也从禁止性行为的角度提出了监管举措，如第十条明确，“区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动，不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容”。

适用性及进一步待厘清的问题

《规定》的第二条明确了其适用地域是在我国境内，同时也分层次界定了监管主体与对象——国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作；省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。但与此同时，多层次的监管体制必然会引发权利、责任、义务的划分与协调，因此也引出了《规定》在具体施行中第一个需厘清的问题，即国家和省（区、市）各级互联网信息办公室的监管职能，以及在权、责、义上的划分，一方面要避免职责交叉和界定不明确等灰色地带，细化履行监管职能的程序规定、责任主体等；另一方面也要促进配合、加强联动，提高各级机构反应速度和效率，用好监管大数据，对区块链信息服务提供者和使用者的违规行为建立有效惩戒机制。

第二个需厘清的问题，《规定》对区块链信息服务提供者开发上线新产品、新应用、新功能提出了安全评估要求，但并未对如何进行安全评估，是否比照《网络安全法》提出的安全评估方案，以及具体的流程和标准进行深入阐释。同时，《规定》指出区块链信息服务提供者应当具备与其服务相适应的技术条件，技术方案应符合国家相关标准规范，但对技术条件和标准规范中安全保密的考虑尚缺乏明确指向，在下一步施行过程中，有关信息服务提供者的资质，以及从业人员规范等都应进一步细化，防止因规则的缺位而影响法律效用。

（来源：《保密工作》杂志，作者：李爱君，

单位：中国政法大学互联网金融法律研究院）