【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》
【时事概述】
2018年11月15日上午十一时,国家互联网信息办公室发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(以下简称“《规定》”),此《规定》将于半个月后(即2018年11月30日)正式施行。《规定》根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规制定,明确了国家将加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,于此同时也会给企业的互联网信息服务的合规工作带来新的课题和挑战。
【时事评论】
根据《规定》的逻辑架构,我们对《规定》的十七个条款进行了框架性的梳理。并且,通过问答的方式予以展现评析。
#一问:什么类型的互联网信息服务提供者需要按《规定》自行进行安全评估?
《规定》的第二条采取了概括加列举的方式进行了说明:
首先,总体上来说,需要展开自评估的互联网信息服务经营者提供的服务需要具有舆论属性或社会动员能力。为了更容易让人理解这个形而上的“具有舆论属性或社会动员能力”的定义,《规定》列举了两类具体可能触发社会具有舆论或社会动员能力的情形。包括:
其一,该互联网信息服务经营者有开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
其二,开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。”
#二问:在什么情况下互联网信息服务提供者需要按《规定》自行进行安全评估?
《规定》第三条具体描述了四类由互联网信息服务提供者有义务自行开展安全评估的情形,包括:
第一类,当具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;
第二类,使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;
第三类,用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
第四类,发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的。
另外,《规定》担心描述不够穷尽,将地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形作为兜底条款进行了规定。
#三问:互联网信息服务提供者承担哪些具体义务?
《规定》对符合要求的互联网信息服务提供者规定了四项具体义务,包括:
在针对信息服务和新技术新应用的全面评估的基础上应对特殊内容的重点评估(第五条);
互联网信息服务提供者应及时整改消除相关安全隐患(第六条);
互联网信息服务提供者应开展安全评估,并按《规定》要求制做评估报告(第六条);
互联网信息服务提供者需提交安全评估报告至相关监管机构(第七条)。
具体内容如下:
义务类型 | 具体内容 |
进行自行评估义务 | 首先,互联网信息服务者应全面评估以下内容: 1. 信息服务和新技术新应用的合法性; 2. 落实法律、行政法规、部门规章和标准规定的安全措施的有效性, 3. 防控安全风险的有效性等情况。
其次,互联网信息服务提供者应同时重点评估下列内容: 1. 确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况; 2. 用户真实身份核验情况,以及注册信息留存措施; 3. 日志信息,包括用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等,以及用户发布信息记录的留存措施; 4. 服务功能中违法有害信息的防范处置情况,包括对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组中违法有害信息进行处理和有关记录保存措施; 5. 个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施; 6. 建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况; 7. 建立相关工作机制的情况,包括为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助,和为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
|
消除安全隐患义务 | 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。 |
形成安全评估报告义务 | 经过安全评估,符合法律、行政法规、部门规章和标准的,互联网信息提供者应当形成安全评估报告。
《规定》列举了安全评估报告应当包括下列内容: 1. 互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况; 2. 安全管理制度和技术措施落实情况及风险防控效果; 3. 安全评估结论; 4. 其他应当说明的相关情况。
|
提交安全评估报告义务 | 形成安全评估报告后,互联网信息服务提供者有义务将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。
特殊情况下,互联网信息提供者提交安全报告的时间有所区别: 1. 如果属于《规定》第三条所列举的第一和第二种情况的,即有新技术上线或信息服务上线的互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告; 2. 如果属于《规定》第三条所列举的第三、四、五种情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。 |
#四问:相关职能部门的监管职责是什么?
《规定》不仅对互联网信息服务提供者的各类具体义务进行了描述,同时还涵盖了对互联网信息服务提供者的监管机构——网信部门和公安机关的相关职责做出了详细规定。
具体内容如下:
监管部门 | 一般职能 | 具体内容 |
网信部门& 公安机关
| 现场检查 | 1. 对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。 2. 对于现场检查,为不干扰互联网信息服务提供者正常业务活动,开展现场检查原则上应当由两机关联合实施。 3. 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。 |
监察职能 | 两机关均有监察职能,分为制度设立、监测和通知进行安全评估: 1. 应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。 2. 发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。 | |
向公众提示风险 监督检查 | 发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照《规定》开展安全评估的,应当同时作出以下两种行为: 1. 通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险; 2. 依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。 | |
网信部门、公安机关及其工作人员 | 保密义务 | 两机关及其工作人员对在履行职责中知悉的: 1. 国家秘密 2. 商业秘密 3. 个人信息 应当严格保密,不得泄露、出售或者非法向他人提供。 |
《规定》将一些特殊监管职能赋予不同级别的网信部门和公安机关,书面审查的职能赋予了地级市以上的网信部门和公安机关;赋予了省级以上网信部门和公安机关对特殊的有较大安全风险的互联网信息服务组织专家评审的职能:
监管部门 | 特殊职能 | 具体内容 |
地市级以上网信部门和公安机关 | 书面审查 | 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。
对于书面审查的结果,相关政府部门应当形成两种修改建议: 1. 发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。 2. 发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。 |
省级以上网信部门和公安机关 | 组织专家评审和会同现场检查 | 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当: 1. 组织专家进行评审, 2. 必要时可以会同属地相关部门开展现场检查。 |
为了辩明网信部门和公安机关在监管职能中的相互关系,《规定》强调了网信部门主要统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,由公安机关对依其职权进行监管的情况向网信部门定期通告。
监管部门 | 职能 | 具体内容 |
网信部门 | 统筹协调 | 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作。 |
公安部门 | 监管+定期通告 | 公安机关的安全评估工作情况定期通报网信部门。 |
#五问:根据《规定》,相关企业应如何进行相应的准备?
第一,信息留存。需要留存的信息包括:
1)用户在注册帐号时提供的信息,如身份核验信息、身份信息等;
2)用户在使用互联网信息服务提供者所提供服务时所产生的信息,如,联系人信息、发布的内容、操作日志等与散播舆论或影响社会动员能力有关的信息。
《规定》对于上述信息的留存时间并没有做明确的规定,但可以参照《网络安全法》第21条的规定,网络日志的留存时间不少于6个月,对于存在违法有害信息的有关记录,企业可以根据各监管部门的要求进行无限期留存。
第二,安全保护。保护体系主要包括:
1)完善的制度体系:企业可以确立安全管理部门,并制定专人或可由DPO负责,部门内人员任职要经过严格筛选、内部职责分工需有明确清晰,以防止职责交叉重叠或不能胜任而产生不利后果。同时,企业需要建立投诉、举报机制,对举报、投诉的信息应当单独留存以备查询,最好可由公司专门部门如法律、合规部或者相关高层负责,更有利于及时把控风险并做好风险预警。公司内可以定期组织对相关人员进行合规培训,培养员工的安全防护意识。
2)全面的安全评估:规定中没有对安全评估的频率进行明确规定,只是规定了自行开展安全评估的情形。企业只有在满足特定情形时才触发进行安全评估,与个人信息影响评估(“PIA”)的要求不同,此类评估具有随时性而不仅仅以频率来要求。但是此类评估与PIA的进行并不冲突,也不具有可互相替代性,因此往往也可能同时进行本《规定》要求的安全评估和PIA。
3)妥善的技术保护措施:企业应采取充足的技术保护手段以确保用户的信息安全,包括但不限于:存储、传输、风控等方面,对于已经发现的漏洞或缺陷或可能存在的安全隐患,要及时进行补正或消除,同时也要有对紧急突发性事件有风险调控、安全预警以及危机处理的能力。
结 语
《规定》的重点在于国家及社会安全的层面,主要为了扼制不良信息的传播,追求正能量的社会舆论导向。在个人信息安全方面,也给予了进一步的保护,对于现阶段存在的“网络暴力”、“人肉搜索”“以讹传讹”等热点性问题将会有很大程度的改善。
《规定》不仅对适用的企业(尤其是大型的互联网企业)在审查、评估等各个方面规定了更详尽的义务,要求企业进一步提高合规水平;同时对监管机关的审查、通报、保密等诸多职责也做出了明确的说明。在确保网络安全以及社会稳定的基础上,平衡企业和监管机关的权利义务及职责关系,改善现阶段出现的诸多网络热点问题,追求真正的意义上的互联网文明、安全、持续的发展以及可谐、有序、健康的互联网绿色生态。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点