新规解读:上线群组、短视频、直播等功能,企业需这样做安全评估

李玲 隐私护卫队

自今年11月30日起,互联网平台上线小程序、网络直播、短视频、公众账号等信息服务需进行安全评估。 


11月15日,国家互联网信息办公室发布《具有社会舆论属性或社会动员能力的互联网信息服务安全评估规定》(以下简称《规定》)。《规定》要求,互联网信息服务提供者当在信息服务、新技术新应用上线或者功能增设前,将安全评估报告提交所在地地级以上网信部门和公安机关。

具有社会舆论属性或社会动员能力的互联网信息服务安全评估规定。图自国家互联网信息办公室官网。


在接受南都记者采访时,有专家表示,《规定》从信息留存等技术保护措施、组织管理机制和在线内容处理等内容提出了安全管理要求,互联网企业应当更加重视对自身业务合规性的审核。 


未将个人主体排除在《规定》适用范围之外

南都记者注意到,这一规范性文件发布目的是为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益。 


北京市京师律师事务所、北京网络行业协会法律专业委员会副主任王琮玮告诉南都记者,对具有舆论属性或社会动员能力的互联网信息服务开展安全评估,是对《网络安全法》规定的网络服务提供者应当履行的责任和义务的具体要求。因为这类信息服务,涉及人民群众,社会组织和社会发展的核心利益,也是当前违法犯罪的多发频发领域。


北师大刑科院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括表示,在新技术新应用安全问题突出的背景下,《规定》的出台具有强烈的时代性和明显的现实性。


根据《规定》,所称具有舆论属性或社会动员能力的互联网信息服务,主要包括两类,一是开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;二是开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。 


当上述信息服务上线或增设相关功能时,互联网信息服务提供者应当自行开展安全评估,并对评估结果负责。有专家表示,需进行安全评估的对象主要针对提供公众账号、小程序、短视频等信息服务的互联网平台。 


吴沈括告诉南都记者,从其文本规定来看,并没有直接将个人主体排除在《规定》的适用范围之外。 


王琮玮认为,《规定》针对的是信息服务具有的功能,与提供服务的主体是个人还是企事业单位没有关系,只要提供的信息服务具有舆论属性或社会动员能力,就应当履行安全评估义务。


重点评估个人信息保护以及防范违法有害信息传播等

针对信息服务和新技术新应用的合规性,《规定》提出了具体的评估要求。《规定》第七条指出,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前,通过全国互联网安全管理服务平台,将安全评估报告提交所在地地市级以上网信部门和公安机关。 


而当出现用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化,或发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险,以及地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形时,安全评估报告则需自相关情形发生之日起30个工作日内提交。 


根据《规定》要求,互联网信息服务提供者开展安全评估,应重点评估信息留存、技术措施和建立管理机制等八大内容。具体而言,需要留存的信息包括用户真实身份核验和注册信息,用户的日志信息及发布信息记录,还有对用户账号和通讯群组违法有害信息的防范处置等有关记录。 


尽管《规定》未对上述信息的留存时间作出要求,国内DPO社群的专家指出,可以参照《网络安全法》第二十一条规定,网络日志的留存时间不少于6个月,对于存在违法有害信息的有关记录,企业可以根据各监管部门的要求进行无限期留存。 


在组织管理层面,《规定》要求,互联网信息服务提供者需确定安全管理负责人、信息审核人员或者建立安全管理机构的情况,同时建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况。 


此外,互联网信息服务者还需重点评估,建立为网信部门依法履行监管职责,公安机关、国家安全机关依法维护国家安全和查处违法犯罪,提供提供技术、数据支持和协助的工作机制的情况。 


而在技术层面,《规定》指出,互联网信息服务提供者还需重点评估个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施。 


吴沈括总结,《规定》的“安全”的概念是一个综合性概念,既包括技术要素层面的安全,如信息留存措施的应用,也涉及组织管理层面的安全,如安全管理制度、举报投诉制度等机制的建设,还包括在线内容层面的安全,例如违法有害信息的处置要求等。 


企业应当重视对业务合规性的审核

据南都记者了解,《规定》是依据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》而制定的。在上述法规的基础上,《规定》进一步落实了相关要求。 


以明确企业开展安全评估应包括个人信息保护的技术措施为例,根据《网络安全法》第四十二条第二款规定, 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。吴沈括告诉南都记者,《规定》更加强调通过引入技术措施,在事后惩处之外,突出了事先与事中预防的重要价值。 


同时,《规定》还专门对互联网企业上线信息服务功能和新技术新应用的合法性合规性提出详细的评估要求。 


“现实中,许多互联网企业业务模式的建立多以盈利为目的,对自身业务合规性重视程度不够,”王琮玮告诉南都记者,“《规定》出台以后,互联网企业应当重视对业务合规性的审核,因为无论技术多先进,业务模式有多大的盈利点或多高的利润率,一旦业务本身违法,或者‘带病作业’,轻的将影响企业的发展,严重的将会使企业业务关停。” 


    Read more

    发送中