据央视新（xīn）闻消（xiāo）息，中共中央，国务院关于（yú）支持深圳建设中国（guó）特色社会（huì）主义先行示（shì）范区的（de）意见：加快（kuài）建（jiàn）构现代产（chǎn）业体（tǐ）系。党和国家作出（chū）兴办经济特（tè）区重（chóng）大战略部（bù）署以来（lái），深圳经济特区作（zuò）为（wéi）我国改革开放的重要（yào）窗口，各（gè）项（xiàng）事业（yè）取得显著成绩。当前，中国特（tè）色社会主义进入新时代，党和国家更是把深圳作为建设中国特色社会主义先（xiān）行示范区，为了加快构建现代产业体系，大（dà）力发展（zhǎn）战略性新兴产业，开展市场准入和监管体制机制改革试点，针对新近风行的（de）数字货币采取开放（fàng）的（de）姿态，打造数字经济创新（xīn）发展试验区（qū），支（zhī）持（chí）在深圳开展数（shù）字货币研究与移动支付等创新应用。促（cù）进（jìn）与港澳金融市场互联互通和金融（róng）（基金）产品互认。在推（tuī）进人民币国际化上先行先（xiān）试，探索创新跨境金（jīn）融监管。

作者按：为落实《区块链信（xìn）息服务管理规（guī）定》中提到的（de）安（ān）全评估要求，网信办近日（rì）发布了一（yī）则说明性公（gōng）告。公告乍看明确，但实践中如何（hé）具体执（zhí）行仍存有一些疑问。

2019年初，国家互联（lián）网信息办公室（“网信办（bàn）”）在其（qí）发布的《区块链信息服务管理规定》（“《管理规（guī）定》”）中对区（qū）块链信（xìn）息（xī）服务（wù）中涉及的安全评估问题作出了原则性要求。

根据《管理规定》，区块链信（xìn）息服务提供者需（xū）要在（zài）其发生开发上线新产品、新应（yīng）用（yòng）、新功能等情（qíng）形下，按照有关规定报（bào）国家（jiā）和省、自治（zhì）区、直辖市互（hù）联网（wǎng）信（xìn）息办公室进行安全（quán）评（píng）估；如未按规定进行安全评估的（de），其所在地直辖市网信（xìn）办有权要求其整改、给予处罚，甚至提交有权（quán）机构追究其刑事责（zé）任。

《管理规定》仅（jǐn）原则性（xìng）规定了需要（yào）安全（quán）评估（gū）的情（qíng）形及（jí）违法后果，但未（wèi）明（míng）确安全评估所依据的具体规定及（jí）操作细则。2019年（nián）8月9日，网信办发（fā）布了《<区（qū）块链信息服务管理规定>》涉安全评估条款说明的公（gōng）告》（“《公告》”），明确了网（wǎng）信办本身不组织安（ān）全评估，也（yě）未指定或授权任何（hé）单（dān）位或机构开展（zhǎn）评估，而是由相关企业（yè）自行（háng）评估或者委托有资质的第三方（fāng）测评机构（gòu）进行（háng）评估。

根（gēn）据《公告（gào）》的（de）内容，笔（bǐ）者理（lǐ）解，网信办可能意在参照其与公安（ān）部于（yú）2018年11月15日联合发布的《具有舆（yú）论属性或社会动（dòng）员能（néng）力的互联网信息服务安全（quán）评估规定（dìng）》（“《评（píng）估（gū）规定》”，该规定适（shì）用于具有舆论属性或社会动（dòng）员能力的互联网信息服务提供者，提供的信息服务是论（lùn）坛、博客、微博客（kè）、聊天室、通（tōng）讯群组、公众账号、短视频、网络直播、信（xìn）息分享（xiǎng）、小程序等或者附（fù）设相应功能（néng）等）的相关要求，落实《管理规定》所要求的安全评估工作，为区块链信息服务提供者开展安全评估提供操（cāo）作指（zhǐ）引。

但是（shì），由（yóu）于《公（gōng）告》的说明较为简略，相（xiàng）关企业（yè）对如何理解（jiě）和适用《公告（gào）》中提到的一些要求存有疑问，针对该等疑问（wèn），笔（bǐ）者试简要分（fèn）析（xī）如下，仅供一般性（xìng）参考。

根据《公告》，区（qū）块（kuài）链信息服务提供（gòng）者（zhě）可以委托（tuō）具有相（xiàng）关（guān）资（zī）质的测评机构（gòu）开展安全评估，也可以自行对区块链信息服务开展（zhǎn）安全风险自评估。

在委托（tuō）第三方进行安全评估的情形下，根据《公告》的说明（míng），笔者理解，可受托开展安全评估的机构可能需为已获国（guó）家（jiā）市场监管总局所（suǒ）属的中国国（guó）家认证认可监督管理委员会（CNCA）批准（zhǔn）、中国合格评定国家认可委员会（CNAS）认可（kě）的（de）测评机构，且该（gāi）等机构可能需具备（bèi）信息安（ān）全管理（lǐ）体系认证（zhèng）和信息技术服务管理体系认证的（de）资质（zhì），而不得是其他单位或机构。

笔者注意到，目（mù）前市场上已有若干宣称可以开展区块链技术安全评估的机（jī）构，但其并非CNCA批（pī）准、CNAS认（rèn）可的（de）、具有（yǒu）信（xìn）息安（ān）全管理和信（xìn）息技术服务（wù）管理（lǐ）体系认证资质的测评机构。区块链信息服务提供（gòng）者如拟委托第三方机构进（jìn）行安（ān）全评估的（de），需注（zhù）意测评机构的资（zī）质（zhì），委托有资质的评估机构进（jìn）行安全（quán）评估（gū）。

Ø  安全（quán）评估的内容是什么？

根据《公（gōng）告》，区块链信息服务提供者（zhě）开展安全风险评估的，需根据《评估规（guī）定（dìng）》的相关要求进（jìn）行。但是《公（gōng）告》未（wèi）明确“相关（guān）要求”具体包（bāo）括哪些要（yào）求。

根（gēn）据《评估规定》，互（hù）联网信（xìn）息服务提供者（zhě）开（kāi）展安全评估，应当（dāng）对信息服务和新技术（shù）新应用的合法（fǎ）性，落实法律、行政法规、部门规章和标准规定的安（ān）全措施的有效性，防控安全风险的有效性等情况进行全面评估，并重点评估下列八（bā）项主要内容（róng）：

（1）确定与所提供服务相适应（yīng）的安全管理负责人、信息审（shěn）核人员或者建立安（ān）全管理机（jī）构的情况；

（2）用户真实身份核验以及注册信息留存措施；

（3）对（duì）用户的账号、操作时间、操作类型、网络源地址和目标（biāo）地址、网络源端口、客户端（duān）硬件特征等日志信息，以（yǐ）及用户发布信（xìn）息记录的留存（cún）措（cuò）施（shī）；

（4）对（duì）用户账（zhàng）号和通讯群组名称、昵称、简介、备注（zhù）、标（biāo）识（shí），信息发（fā）布（bù）、转发、评论和通讯群组等服务功（gōng）能中违法有害（hài）信息的防范处置和有关记录保存措施；

（5）个人信息保（bǎo）护以及（jí）防范违法有害信息传（chuán）播（bō）扩散、社会动（dòng）员功能失控风险的技术措（cuò）施（shī）；

（6）建（jiàn）立投（tóu）诉、举报制度，公布投诉、举报方（fāng）式（shì）等（děng）信息（xī），及时受理并处理有（yǒu）关投诉和举报的情况；

（7）建（jiàn）立（lì）为网（wǎng）信（xìn）部门依（yī）法履行互联网信息服务监督管理职责提供（gòng）技术（shù）、数据支持和协助的工作机制的情况；

（8）建（jiàn）立为公（gōng）安机关、国家安（ān）全机（jī）关依（yī）法维护国家安全和查处违法犯罪（zuì）提供技术、数（shù）据（jù）支持（chí）和协助（zhù）的工作机（jī）制（zhì）的情况。

根据《评（píng）估规定》，经（jīng）过安全（quán）评估（gū），符（fú）合法（fǎ）律、行政（zhèng）法规、部（bù）门规章和标准的，应当（dāng）形成安全评估报告，报告应当包括（kuò）下列内容：

（1）互联网信（xìn）息服务的功能、服务范围、软硬件设施、部（bù）署位置等基本情（qíng）况和相关证照获（huò）取情况；

（2）安全管理（lǐ）制度和技术措施落实（shí）情（qíng）况及风险防控效果；

（3）安全（quán）评估结论（lùn）；

（4）其他应当说（shuō）明（míng）的相关情况。

根据（jù）上述（shù）规定（dìng），笔者理解，区块链信息服务提供者所需做的（de）安（ān）全（quán）评估（gū）主要内容及安全评估报告（gào）的主要内容可能也需（xū）要根据其提供的信息服务的（de）具体情况（kuàng），基本涵盖《评估规定（dìng）》中列举的（de）上（shàng）述（shù）主要内容。

 

《管理规定》提到，区块（kuài）链信息服务提供者（zhě）开发上线新产品、新（xīn）应用、新功能（néng）的，应当进行安全评估，但（dàn）未（wèi）明确规（guī）定是需（xū）在事前还是事后进行评估；《公告》也未对此进（jìn）行说明（míng）。

《评估规（guī）定》对不同情形下（xià）安全评估（gū）报告的提（tí）交时（shí）间做出了不同的规定，在某些情形下需要事前提交，在（zài）某些情（qíng）形下需要事后提交（jiāo）。

根据（jù）《评估规定》，在发生下（xià）述情形之一的，互联网信息（xī）服（fú）务（wù）提供者应当（dāng）在信息服务、新（xīn）技术新（xīn）应用上线（xiàn）或者功能增（zēng）设之前提（tí）交安全评（píng）估报告：

（1）舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能的；或

（2）使用新技术新应用，使（shǐ）信息（xī）服（fú）务的功能属性、技术实现（xiàn）方（fāng）式、基础资（zī）源配置等（děng）发生重大变更（gèng），导（dǎo）致舆论属性或者社会动员能力发（fā）生重大变化的。

同时（shí），《评估规定》还对需事后（自相关情形发生之（zhī）日起30个工作（zuò）日内）提交安全评估（gū）报告的情形做了规定（dìng），包括：

（1）用户规模显著（zhe）增（zēng）加，导（dǎo）致（zhì）信息服务的舆论属（shǔ）性或（huò）者（zhě）社会动员能力发生重大变化的（de）；

（2）发（fā）生（shēng）违法（fǎ）有害（hài）信息传播扩散，表明已（yǐ）有安全措施难（nán）以（yǐ）有效（xiào）防控网络安全风险的；或

（3）地（dì）市级以上（shàng）网信（xìn）部门或者公安机（jī）关书面通知需要进行（háng）安全评（píng）估的其他情形（xíng）。

鉴于《管（guǎn）理规定》提及的区块链信息服（fú）务提供者（zhě）需要进行安全评估（gū）的情形（xíng）为“区块链信息服务提供者开发上线新（xīn）产（chǎn）品、新应用、新功能（néng）”，比照《评估规定》对需事前提交评估报告的情形的列举（信息服务、新技术新应用上线或者功能增（zēng）设），笔者（zhě）理解，区块链信息服务提（tí）供者应需在其开发上线新产品、新应用、新功能之前，进行安全评（píng）估。

此外，《管理规定》及《公告》并未提及需要进行事（shì）后安全评估的情形。如果发生类似《评（píng）估规定》中列举的、需事后提交评估报告的情况（kuàng）（尤其（qí）是发生违法有害信息传播扩散，表明已有安全措施难以有（yǒu）效（xiào）防控网（wǎng）络安全风险的情形），区（qū）块链信息服务提供者是否需（xū）要进行（háng）事后安全（quán）评估并不明确（què）。

 

根据《公告》，如区块链信息服务提供者是自行实施安（ān）全评估的，需通过“全国（guó）互联（lián）网（wǎng）安全管理服务平台”提交安全（quán）自评估报告。但是（shì），如果区块链信息服（fú）务提供者是委托第三方（fāng）进行安全评估的，第三方出（chū）具的（de）安全评估报告是否需要提交（jiāo）、通过什（shí）么渠道（dào）提交？《公告》似未明确。

根据（jù）《管理（lǐ）规定》的原则（zé）性要求，参考《评估规定》的对安全评估报（bào）告（gào）提交的规定（dìng），笔者理解，《公告（gào）》中提到的需通过上述服务平台提（tí）交的“安（ān）全自评估报告”中（zhōng）的“自评（píng）估”，可能强调的是安（ān）全评估的（de）发起人和组织者需为区块（kuài）链信（xìn）息服务提供者自身（shēn），而（ér）非网信办（或（huò）其组织的专（zhuān）家或技术力量）；所谓“自评估”既包括区（qū）块（kuài）链信息服务提供者（zhě）的自行评估（gū），也（yě）包括委托第三方的评估，无论（lùn）采用哪一种评估（gū）方式所形成的评（píng）估（gū）报（bào）告均需要通过“全国互联（lián）网安全管理（lǐ）服（fú）务（wù）平台”提交。

 

根据《管（guǎn）理规定》，区（qū）块链信（xìn）息服务提供者如未进行（háng）安全评估的，有权监管（guǎn）并实施行政处罚的机关为各地直辖市网信办（bàn）。

而在《评估规定》下，互联网（wǎng）信息服务提供（gòng）者应（yīng）当将安全评估（gū）报告通（tōng）过全（quán）国互联网安全管理服务平台提交所在地地市级以（yǐ）上网（wǎng）信办和公（gōng）安机关，两个机构都有权对安全评估报告进行书面审查（chá）、甚至是现场检查；对存在较大安全风险、可能影响国家安全（quán）、社会秩序和公共（gòng）利益的互联网（wǎng）信息服（fú）务，省级以上网信办和公安机关应当组（zǔ）织专家评审和会（huì）同现（xiàn）场检查。

尽管《管理规定》及《公告（gào）》中未明（míng）确提及公安（ān）机关在安全评估方面的监管（guǎn）职（zhí）责，但是由于评估报告提交的系统“全（quán）国互联（lián）网安全管理服务平台”为公安部网络安全保（bǎo）卫局下设的平台（tái），监督和维护网络安全（quán）本身也是公安部网络安全保卫部门的职责，因此，笔者理解，公（gōng）安机关可能也会参照其（qí）在《评（píng）估（gū）规（guī）定》下的（de）职能，对区（qū）块链信息服务提供者的（de）安全评估履行类似的监管职责。

关于网（wǎng）信办对于区块链信息服务提供者的（de）安全评估工作的监管，由（yóu）于区块链信息服务提（tí）供者目前多通过互联网向社会公（gōng）众提（tí）供信息服（fú）务，直接参照适用现（xiàn）有的《评估规定》比较便捷，而无需另行立法；另（lìng）一方面，由（yóu）于《评估规定》适（shì）用的对象是具有舆论属性（xìng）或社会动员能力的互联网（wǎng）信息服务提（tí）供者（zhě），具体要求均是专门针对（duì）该等服务（wù）提供者（zhě）设定，相（xiàng）关要求能否（fǒu）完全适用于区块（kuài）链信息服务提供者（如事后安全评估），还存有一些疑问，有（yǒu）待网（wǎng）信办在（zài）监管实践中予以进一（yī）步澄清（qīng）。