【观天下事】孟洁 戴畅 子谦：公众表达与安全评估

B D A I L C 

 欢 迎 关 注 

Evghenia Shalalis

公共表达与安全评估

五问五答

文 / 孟洁 戴畅 子谦

【时事概述】

2018年11月15日上午十一时，国家互联网信息办公室发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》（以下简称“《规定》”），此《规定》将于半个月后（即2018年11月30日）正式施行。《规定》根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规制定，明确了国家将加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理，规范互联网信息服务活动，于此同时也会给企业的互联网信息服务的合规工作带来新的课题和挑战。

【时事评论】

 根据《规定》的逻辑架构，我们对《规定》的十七个条款进行了框架性的梳理。并且，通过问答的方式予以展现评析。

什么类型的互联网信息服务提供者需要按《规定》自行进行安全评估？

《规定》的第二条采取了概括加列举的方式进行了说明：

首先，总体上来说，需要展开自评估的互联网信息服务经营者提供的服务需要具有舆论属性或社会动员能力。为了更容易让人理解这个形而上的“具有舆论属性或社会动员能力”的定义，《规定》列举了两类具体可能触发社会具有舆论或社会动员能力的情形。包括：

其一，该互联网信息服务经营者有开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；

其二，开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。”

在什么情况下互联网信息服务提供者需要按《规定》自行进行安全评估？

《规定》第三条具体描述了四类由互联网信息服务提供者有义务自行开展安全评估的情形，包括：

第一类，当具有舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能的；第二类，使用新技术新应用，使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或者社会动员能力发生重大变化的；第三类，用户规模显著增加，导致信息服务的舆论属性或者社会动员能力发生重大变化的；第四类，发生违法有害信息传播扩散，表明已有安全措施难以有效防控网络安全风险的。另外，《规定》担心描述不够穷尽，将地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形作为兜底条款进行了规定。

 互联网信息服务提供者承担哪些具体义务？

《规定》对符合要求的互联网信息服务提供者规定了四项具体义务，包括：

1.  在针对信息服务和新技术新应用的全面评估的基础上应对特殊内容的重点评估（第五条）；

2.  互联网信息服务提供者应及时整改消除相关安全隐患（第六条）；

3.  互联网信息服务提供者应开展安全评估，并按《规定》要求制做评估报告（第六条）；

4.  互联网信息服务提供者需提交安全评估报告至相关监管机构（第七条）。

具体内容如下：

相关职能部门的监管职责是什么？

《规定》不仅对互联网信息服务提供者的各类具体义务进行了描述，同时还涵盖了对互联网信息服务提供者的监管机构--网信部门和公安机关--相关职责做出了详细规定。具体内容如下：

《规定》将一些特殊监管职能赋予不同级别的网信部门和公安机关，书面审查的职能赋予了地级市以上的网信部门和公安机关；赋予了省级以上网信部门和公安机关对特殊的有较大安全风险的互联网信息服务组织专家评审的职能：

为了辩明网信部门和公安机关在监管职能中的相互关系，《规定》强调了网信部门主要统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作，由公安机关对依其职权进行监管的情况向网信部门定期通告。

根据《规定》，相关企业应如何进行相应的准备？

第一，信息留存。需要留存的信息包括：

1） 用户在注册帐号时提供的信息，如身份核验信息、身份信息等；

2） 用户在使用互联网信息服务提供者所提供服务时所产生的信息，如，联系人信息、发布的内容、操作日志等与散播舆论或影响社会动员能力有关的信息。

《规定》对于上述信息的留存时间并没有做明确的规定，但可以参照《网络安全法》第21条的规定，网络日志的留存时间不少于6个月，对于存在违法有害信息的有关记录，企业可以根据各监管部门的要求进行无限期留存。

第二，安全保护。保护体系主要包括：

1） 完善的制度体系：企业可以确立安全管理部门，并制定专人或可由DPO负责，部门内人员任职要经过严格筛选、内部职责分工需有明确清晰，以防止职责交叉重叠或不能胜任而产生不利后果。同时，企业需要建立投诉、举报机制，对举报、投诉的信息应当单独留存以备查询，最好可由公司专门部门如法律、合规部或者相关高层负责，更有利于及时把控风险并做好风险预警。公司内可以定期组织对相关人员进行合规培训，培养员工的安全防护意识。

2） 全面的安全评估：规定中没有对安全评估的频率进行明确规定，只是规定了自行开展安全评估的情形。企业只有在满足特定情形时才触发进行安全评估，与个人信息影响评估（“PIA”）的要求不同，此类评估具有随时性而不仅仅以频率来要求。但是此类评估与PIA的进行并不冲突，也不具有可互相替代性，因此往往也可能同时进行本《规定》要求的安全评估和PIA。

3） 妥善的技术保护措施：企业应采取充足的技术保护手段以确保用户的信息安全，包括但不限于：存储、传输、风控等方面，对于已经发现的漏洞或缺陷或可能存在的安全隐患，要及时进行补正或消除，同时也要有对紧急突发性事件有风险调控、安全预警以及危机处理的能力。

【结语】

《规定》的重点在于国家及社会安全的层面，主要为了扼制不良信息的传播，追求正能量的社会舆论导向。在个人信息安全方面，也给予了进一步的保护，对于现阶段存在的“网络暴力”、“人肉搜索”“以讹传讹”等热点性问题将会有很大程度的改善。

《规定》不仅对适用的企业（尤其是大型的互联网企业）在审查、评估等各个方面规定了更详尽的义务，要求企业进一步提高合规水平；同时对监管机关的审查、通报、保密等诸多职责也做出了明确的说明。在确保网络安全以及社会稳定的基础上，平衡企业和监管机关的权利义务及职责关系，改善现阶段出现的诸多网络热点问题，追求真正的意义上的互联网文明、安全的发展以及可谐、有序、健康的互联网绿色生态。

图 / 田申