据央视新闻消（xiāo）息，中共中央，国务院关于支持深圳建（jiàn）设中国（guó）特色社会主（zhǔ）义（yì）先行示范（fàn）区的意见：加快（kuài）建构现代产（chǎn）业体系。党和国家（jiā）作出兴办（bàn）经济特区（qū）重大（dà）战略部（bù）署（shǔ）以来（lái），深（shēn）圳经济（jì）特区作（zuò）为我国改革开放（fàng）的（de）重（chóng）要窗口，各项（xiàng）事业取得显著（zhe）成（chéng）绩。当前（qián），中（zhōng）国（guó）特（tè）色（sè）社会（huì）主义进入新（xīn）时代，党（dǎng）和国家（jiā）更是把（bǎ）深（shēn）圳作为建设中国（guó）特色社会主（zhǔ）义先行（háng）示范区，为了（le）加快构建现（xiàn）代产业体（tǐ）系，大力发展战略性新兴产业，开展市场准入和监（jiān）管（guǎn）体制机制改革（gé）试点，针对新近风（fēng）行的数（shù）字货币采取（qǔ）开放的姿态，打造数字经济创新发展试验区，支（zhī）持在（zài）深圳开（kāi）展数字货币研（yán）究与移动支付等（děng）创新应用（yòng）。促进与港澳金（jīn）融市场互联（lián）互通和金融（基金）产品互认。在推进人民币国际化上先行先试（shì），探索（suǒ）创新跨（kuà）境金融监管。

作者按：为（wéi）落实《区块链（liàn）信息服务（wù）管理规定》中提（tí）到的安（ān）全评估要求，网信办近日发布（bù）了（le）一则说明（míng）性公告。公（gōng）告（gào）乍看（kàn）明确，但实（shí）践中（zhōng）如何具体执行仍存有一些疑问。

2019年初，国家（jiā）互联网信息（xī）办公室（“网信办”）在其发布的《区块链信息服务管理规定（dìng）》（“《管理规（guī）定》”）中对区（qū）块（kuài）链信息服务中涉及的（de）安（ān）全（quán）评估（gū）问（wèn）题作出了（le）原则（zé）性（xìng）要求（qiú）。

根（gēn）据（jù）《管理（lǐ）规定（dìng）》，区块链（liàn）信息服务提供者需（xū）要在其发生开发上线新产品、新应（yīng）用、新（xīn）功能等情（qíng）形下（xià），按照有（yǒu）关规定（dìng）报国家和省、自治（zhì）区（qū）、直辖市互（hù）联网信息办公室进行安（ān）全评（píng）估；如未按规定（dìng）进行安全评估的（de），其（qí）所在地（dì）直辖市（shì）网信（xìn）办有（yǒu）权要（yào）求其整改、给予处（chù）罚，甚至提（tí）交有权机构（gòu）追究其刑事责任（rèn）。

《管理（lǐ）规定（dìng）》仅原则（zé）性（xìng）规定了（le）需（xū）要安全（quán）评（píng）估（gū）的情形及违法后（hòu）果，但未（wèi）明确安全评估所依据的（de）具体规定及（jí）操作细则。2019年8月9日，网信办发布了《<区块（kuài）链信息（xī）服务管理规定>》涉安全评估条款说（shuō）明的公（gōng）告》（“《公告》”），明确了网信办本（běn）身不组织安全评（píng）估，也未指（zhǐ）定或授权任何单位或（huò）机（jī）构开展评估，而是由相关企业自（zì）行评估或者委托有资（zī）质的第三方（fāng）测评（píng）机构进行评估。

根（gēn）据《公告》的内容，笔者理解，网（wǎng）信办可能（néng）意在参照其与公安部于（yú）2018年（nián）11月15日联合发（fā）布的《具有舆论属性或社会动员能力（lì）的互联网信息服（fú）务安全评估规定（dìng）》（“《评估规（guī）定（dìng）》”，该（gāi）规（guī）定适用（yòng）于（yú）具有舆论属性或社会动员能力的互联（lián）网（wǎng）信息服务（wù）提供者（zhě），提（tí）供的信息服务是论坛、博客、微（wēi）博客、聊（liáo）天室、通讯群组（zǔ）、公众账号、短（duǎn）视频、网络（luò）直播、信息分享、小（xiǎo）程序等（děng）或者附（fù）设相应功能等）的相关（guān）要求（qiú），落实《管理规（guī）定（dìng）》所要求的安全评估工作，为区（qū）块链信息服（fú）务提供者（zhě）开展（zhǎn）安全（quán）评估提供操作指（zhǐ）引（yǐn）。

但是（shì），由于《公（gōng）告》的说（shuō）明（míng）较为简略，相（xiàng）关企业对如何理解和（hé）适（shì）用《公告》中提到的（de）一些要求（qiú）存有（yǒu）疑问，针对该等疑问，笔者试简要分析如下，仅（jǐn）供一般性参考。

根据《公告》，区块链信息服务提供者可（kě）以委（wěi）托具（jù）有相关资质的测（cè）评机构开（kāi）展安全（quán）评估（gū），也可以自行对区块链信息服务开展安全风（fēng）险（xiǎn）自评估。

在委托第三（sān）方进行安全评估（gū）的情形下，根据（jù）《公告》的说（shuō）明，笔者理解，可受托开（kāi）展安全评估（gū）的机构可能需为已获国家（jiā）市场监管总局（jú）所属的中国国家认证认（rèn）可监督管理委（wěi）员会（CNCA）批准（zhǔn）、中国合格评定国家认可委（wěi）员会（huì）（CNAS）认（rèn）可的测评机（jī）构，且（qiě）该等机构可能需具备信息安全管理体系认（rèn）证和（hé）信（xìn）息技术（shù）服务管理体系认证的资质（zhì），而不得是其他单（dān）位或机构。

笔者注意到，目前市场上已有若干宣称可以开展区块链技术安（ān）全评估的机构，但其并（bìng）非CNCA批（pī）准、CNAS认可的、具有（yǒu）信息安全管（guǎn）理和（hé）信息技术服（fú）务管理体系认证资质的测（cè）评（píng）机构。区块链信息服务提供者如拟委（wěi）托第三（sān）方机构进行安全评估的（de），需注意测评机构（gòu）的（de）资质，委托有资质（zhì）的（de）评估机构进（jìn）行（háng）安全评估。

Ø  安（ān）全评（píng）估（gū）的（de）内容是什么？

根据《公（gōng）告》，区块链信（xìn）息服务提（tí）供者开展安（ān）全（quán）风险评估的，需根据（jù）《评估（gū）规定》的相关要（yào）求进（jìn）行。但是《公告》未（wèi）明确“相关要求（qiú）”具体包括哪些要求。

根据（jù）《评估规定》，互联网信息（xī）服务提供（gòng）者开展安全评估，应当对信息服务和新技术（shù）新应用（yòng）的合法性，落实法律、行政（zhèng）法规、部门（mén）规章和标准规定（dìng）的（de）安全措施的有效性，防控安（ān）全风险的有效性等情况（kuàng）进行全面评估（gū），并重点评估（gū）下列八项主（zhǔ）要内容：

（1）确定与所提供服务相适应的（de）安全管（guǎn）理负责人、信息审核人员或者建立安全管（guǎn）理机构的情（qíng）况；

（2）用户真实身份核（hé）验以及注册（cè）信息（xī）留存（cún）措施；

（3）对用户的账号、操作时间、操作类型、网络源地（dì）址和目标地（dì）址、网络源（yuán）端口、客（kè）户端硬（yìng）件特（tè）征等（děng）日（rì）志信息，以及（jí）用户发布（bù）信（xìn）息（xī）记（jì）录（lù）的留存措施；

（4）对用户账（zhàng）号和通讯（xùn）群组名称、昵称、简介（jiè）、备（bèi）注、标识，信息发布、转发（fā）、评论和通讯（xùn）群（qún）组等服务功能中违法有害信息的防范处置和有关记录保存措施；

（5）个人信息保护以及防范违法有害信息传播扩散、社会（huì）动员功（gōng）能失控（kòng）风（fēng）险的技术（shù）措施（shī）；

（6）建立（lì）投诉（sù）、举报制（zhì）度（dù），公布投诉（sù）、举报方式等信（xìn）息（xī），及时受理并（bìng）处（chù）理（lǐ）有（yǒu）关投诉和举报的情（qíng）况；

（7）建立为网信部门（mén）依法履行互联网信息（xī）服务监（jiān）督管理职责提供技术、数据支持和协（xié）助的工作机制的情况；

（8）建立为公安机关、国家安全机关依（yī）法维护国家安（ān）全和查处违（wéi）法犯罪提供技术、数据（jù）支持和（hé）协助的工（gōng）作机制的情况。

根据《评估规定（dìng）》，经过安全评估，符合法律、行政法规（guī）、部门规章和标准的，应（yīng）当形成安（ān）全评估报告，报告应当（dāng）包（bāo）括下列内容：

（1）互（hù）联网信息服务（wù）的功能、服务范（fàn）围、软硬件设施、部署位置等基（jī）本情况和（hé）相关证照获取情况；

（2）安（ān）全管理制度和技术措施落实情况及风险防控效果（guǒ）；

（3）安全评估结（jié）论；

（4）其他应当说明的相关（guān）情况。

根据上（shàng）述规定，笔者理解，区块链信息服务提（tí）供者所（suǒ）需做的安全评（píng）估主要内（nèi）容及安全评估（gū）报告的主要内（nèi）容（róng）可（kě）能也需要根（gēn）据其提供（gòng）的信息服务（wù）的具（jù）体情况，基（jī）本（běn）涵盖《评（píng）估规（guī）定》中列举的上述主要内容。

 

《管理规定》提到，区块链信息服务提供（gòng）者开发上线（xiàn）新产品、新应用、新（xīn）功能的，应当进行安全评估，但未明确规（guī）定是需在事前还（hái）是事后进行评估（gū）；《公告（gào）》也（yě）未对（duì）此进（jìn）行（háng）说明。

《评估规定》对不同情形下安全（quán）评估报告的提交时间（jiān）做出了不同的规定，在某些情形下需要事（shì）前提交，在某些情形下需要事后提交（jiāo）。

根（gēn）据《评估规定（dìng）》，在发生下（xià）述情形（xíng）之一（yī）的，互（hù）联网信息服务（wù）提供者（zhě）应当在信息服务、新技术新应用（yòng）上线或者功能（néng）增设之（zhī）前（qián）提交安全评估报告：

（1）舆论属性（xìng）或社会动员能力的信息服务上（shàng）线，或者信息服务增设相关功能（néng）的（de）；或

（2）使用新（xīn）技（jì）术新应用，使信息服（fú）务的功能（néng）属（shǔ）性（xìng）、技术实现（xiàn）方式、基础资源配（pèi）置（zhì）等发生重大变更，导致舆论（lùn）属性或者社会（huì）动员能力发生（shēng）重大变（biàn）化的。

同（tóng）时（shí），《评估规（guī）定》还对（duì）需事后（自相关情形发（fā）生之日（rì）起30个（gè）工作日内（nèi））提交安全（quán）评估（gū）报告的情（qíng）形做了规定，包（bāo）括：

（1）用户规模显著增加，导致信（xìn）息服务的舆论属性或者社（shè）会动员能（néng）力发生（shēng）重大变化（huà）的（de）；

（2）发生违（wéi）法有害信息（xī）传播扩散（sàn），表明已有安全措施难以有效（xiào）防控网络安全风险的；或

（3）地市（shì）级以上网（wǎng）信部门或（huò）者公安机关书面通知需要进行安全评估的其他情形。

鉴于《管理（lǐ）规定》提（tí）及的区（qū）块链信息服务提供者（zhě）需要进行安全评估的情形（xíng）为（wéi）“区块（kuài）链信息服（fú）务提供者开（kāi）发上线（xiàn）新产（chǎn）品、新（xīn）应用、新功能”，比照《评估规（guī）定》对需事前（qián）提交评估报告的情形的列举（信息服务、新技（jì）术新应用上线或者功能增设），笔（bǐ）者（zhě）理解，区块链信息服务提供者应需在（zài）其（qí）开发上线新（xīn）产品、新（xīn）应（yīng）用、新（xīn）功（gōng）能之前（qián），进行（háng）安全（quán）评估。

此外，《管理规定》及《公告》并（bìng）未提及需要进行（háng）事后安全评估的情形。如果发生类似《评估规定》中列举的（de）、需事后提交评估报（bào）告（gào）的情况（尤其是（shì）发生违法有害（hài）信息传播（bō）扩散，表明已有安全措施难以有（yǒu）效防控网（wǎng）络安全（quán）风险的情（qíng）形），区块链信息服务提供者是否需要进（jìn）行（háng）事（shì）后安全评估并不明确。

 

根（gēn）据《公告》，如区（qū）块链（liàn）信息服务提供者（zhě）是（shì）自行实施安全评（píng）估的，需通过“全（quán）国互联网安全管（guǎn）理（lǐ）服务平（píng）台”提交安全自评估报告。但是，如果区块链（liàn）信息服务提供者是委托第三方进行安全评（píng）估的，第三方（fāng）出具的安全评估报告是否需要提交、通过（guò）什么渠道提（tí）交？《公告》似未明确。

根据《管理规定》的原则性要（yào）求，参考《评估规定（dìng）》的（de）对安全评估报告提交的规定，笔者理解，《公告》中提到的（de）需通过上述服务（wù）平（píng）台提交的“安全自评（píng）估报告”中的“自评（píng）估”，可能强调的是安全评估的发起人和组织者需为（wéi）区块链信息（xī）服务提（tí）供者（zhě）自（zì）身（shēn），而非网信（xìn）办（或其组织的专家或技术力量）；所谓（wèi）“自评估”既包括区块链（liàn）信息服务提（tí）供者的自行评估，也包括委托第三方的评估，无论采用哪一种评估方（fāng）式所形成的评估（gū）报告均需要通过“全国互联网安全管理服务平台”提（tí）交（jiāo）。

 

根据《管理规定》，区（qū）块链（liàn）信息服务提供者如（rú）未进行安全评估的，有权监管并实施（shī）行政（zhèng）处罚的机关为各地直辖市网信办。

而（ér）在《评（píng）估规定》下，互联网信息服务（wù）提（tí）供者应当将安全评估报告通过全国（guó）互联网安全管理服务平台提交所在地地市级（jí）以上（shàng）网信办和公安机（jī）关，两个机（jī）构都有权对安全评估（gū）报告（gào）进行书面审查、甚至是（shì）现（xiàn）场检查；对存在较大（dà）安全风险、可能影（yǐng）响国家安全（quán）、社会秩序和公共利益的互联网（wǎng）信息服务，省（shěng）级以上网信办和公安机（jī）关（guān）应当组织专家（jiā）评审和（hé）会同现场检查。

尽（jìn）管《管（guǎn）理（lǐ）规（guī）定》及《公告》中未明（míng）确提（tí）及公安机关在安全评估方面的监管职（zhí）责，但是由于评估报告提交的系统“全国互联网安全管（guǎn）理服（fú）务平台”为公安部网络（luò）安全保卫局下（xià）设的平台，监督和维护网络安全本身也是公安（ān）部网（wǎng）络（luò）安（ān）全保卫（wèi）部（bù）门的职（zhí）责（zé），因此，笔者理解，公安（ān）机关可能（néng）也会参照其在《评（píng）估规定》下的职能，对（duì）区块链信息服务提供者的安全评估履行类似的监管（guǎn）职责。

关于网（wǎng）信办对（duì）于区块链信息服务（wù）提供（gòng）者的安全评估（gū）工作的（de）监管，由于区块链信息服（fú）务提供者目前多通过互联网（wǎng）向（xiàng）社会（huì）公众提供（gòng）信息服务，直接参照适（shì）用现（xiàn）有的《评估（gū）规定》比较便捷，而无（wú）需另（lìng）行立法；另一方（fāng）面，由于（yú）《评估规定》适用的对象是具有舆论属性或（huò）社（shè）会动员（yuán）能（néng）力的互（hù）联网信息（xī）服务提供者，具体要求均是（shì）专（zhuān）门针对（duì）该等服（fú）务（wù）提供者设定（dìng），相关要求能否完全（quán）适用于区块（kuài）链信息服（fú）务提供者（zhě）（如事后安全（quán）评估），还存有一些疑问（wèn），有待网信办（bàn）在监（jiān）管实（shí）践中予以进一步澄清（qīng）。