据央视新闻消息，中共（gòng）中央，国务院关于支持深圳建设中国特色社会主义先行示范区的（de）意见：加快（kuài）建构现代产业体（tǐ）系。党和国家作出兴办（bàn）经济特区（qū）重（chóng）大战略部署以来（lái），深圳（zhèn）经济特区作为我国改革开放的重（chóng）要（yào）窗口（kǒu），各项事业取得（dé）显著成绩。当前，中（zhōng）国特色社会主义进入新时代（dài），党和（hé）国家更是把深圳作为建设中（zhōng）国特色社会主（zhǔ）义（yì）先行示（shì）范区，为了加快（kuài）构建现代产（chǎn）业（yè）体系，大力发展（zhǎn）战略性（xìng）新兴（xìng）产（chǎn）业，开展市场准入（rù）和（hé）监管体制机制改革试点（diǎn），针对新（xīn）近风行的数字货币采取开放的姿态，打造数字经（jīng）济创新发展试验区，支持在深圳（zhèn）开展数字货币研究与移动支付等创新应（yīng）用。促进与港澳金（jīn）融市场互联互通（tōng）和金融（基金（jīn））产品互认。在推进（jìn）人民币（bì）国际化上先行先试，探索创新跨境金融（róng）监管。

作者按（àn）：为落实《区块链信息服务（wù）管（guǎn）理规定》中提到的（de）安全评估要（yào）求，网信办（bàn）近日发布了一则说明性公（gōng）告。公告乍看明确（què），但（dàn）实（shí）践中如（rú）何具体执行仍存有一些疑问。

2019年初，国家互联网信息（xī）办公室（“网信办”）在其（qí）发布的（de）《区块链信息服务（wù）管理（lǐ）规定》（“《管（guǎn）理（lǐ）规定》”）中对区块链信息服务中涉（shè）及的安全评估问题作（zuò）出了原则性（xìng）要求（qiú）。

根（gēn）据《管理（lǐ）规定》，区块链信息服务（wù）提供者（zhě）需要在（zài）其发生开发（fā）上线新产（chǎn）品（pǐn）、新（xīn）应用（yòng）、新功能（néng）等情形下，按照有关规定报国家和省（shěng）、自治区、直辖市互联网信息办公室进行安全评估（gū）；如（rú）未按规（guī）定进行安全评估的，其所在地直（zhí）辖市网信办（bàn）有权要（yào）求其（qí）整（zhěng）改、给予处罚，甚（shèn）至提交有权机构（gòu）追究其（qí）刑（xíng）事（shì）责（zé）任。

《管理规（guī）定》仅原则性规定了（le）需要安全评估（gū）的情形及违法后果（guǒ），但（dàn）未明确安全评估所依（yī）据的（de）具体规定及操作细（xì）则（zé）。2019年8月（yuè）9日，网信（xìn）办（bàn）发布了（le）《<区（qū）块链信息（xī）服务管理规定>》涉安全（quán）评估条款说（shuō）明的公告》（“《公（gōng）告》”），明确了网信办本身不组（zǔ）织安全评估（gū），也未指定或授权任何单位或机构开展评估，而（ér）是由相关企业自（zì）行（háng）评（píng）估（gū）或者委托有资质的（de）第三方测（cè）评（píng）机构进行评估。

根据《公告（gào）》的内容，笔者（zhě）理解（jiě），网（wǎng）信办可能意在参照（zhào）其与公安部于2018年11月（yuè）15日（rì）联合发布的《具有舆论（lùn）属性或社会动员能力的（de）互联网信息服务（wù）安全评估（gū）规定》（“《评（píng）估规定》”，该规（guī）定适用于具有舆论属性（xìng）或社会动员能力的互联网信息服务提供者，提供的信息服务是论坛、博客、微博客、聊（liáo）天室（shì）、通讯群组、公众账号、短视频、网（wǎng）络直播、信息分享、小程序等或（huò）者附设相应功能等）的相关要求，落实《管（guǎn）理规定（dìng）》所要求的安全评估工作，为区块（kuài）链（liàn）信息服务提供（gòng）者（zhě）开（kāi）展安全评估提（tí）供（gòng）操作指引。

但是（shì），由于《公告》的说（shuō）明（míng）较（jiào）为简略（luè），相关企业（yè）对如（rú）何理解和适（shì）用《公告》中提到（dào）的（de）一些要求存有疑问，针（zhēn）对该等疑问，笔者试简要（yào）分（fèn）析如下（xià），仅供一般（bān）性参（cān）考。

根据《公告》，区块链信息服务提（tí）供者可以委托具（jù）有相关资质的测评机构开展安全评估，也可（kě）以自行对区块链信（xìn）息（xī）服（fú）务开展安全风险自评估。

在（zài）委托第三（sān）方进行安（ān）全评估的情形下，根据《公（gōng）告》的说明（míng），笔者理解，可受托（tuō）开展安全评估的机构可能需（xū）为已获国（guó）家市（shì）场监（jiān）管总（zǒng）局所（suǒ）属的中国国家认证认可监督管（guǎn）理委员会（CNCA）批（pī）准、中国合格评（píng）定国家认（rèn）可委员会（CNAS）认（rèn）可的（de）测评机构，且该等机构可能需具备（bèi）信息安全（quán）管理体（tǐ）系认证和（hé）信息技术服务管理体系认证（zhèng）的资质（zhì），而不得是其他单位或（huò）机构。

笔者注意到，目前（qián）市场上已有若干宣（xuān）称可以开展区块链技术安全（quán）评估的机（jī）构，但其并非（fēi）CNCA批准（zhǔn）、CNAS认可（kě）的、具有信息安全管理和信息技术服务管理体（tǐ）系认证资质的测（cè）评机构。区块链信息服务提供者如拟委托第三（sān）方机（jī）构进行安全评估的，需注意测（cè）评机（jī）构的资（zī）质（zhì），委托有资质的（de）评（píng）估机（jī）构进行安全评估。

Ø  安（ān）全评估的内容是（shì）什么？

根据《公告》，区块链信息服务提供者开展安全风险评估（gū）的（de），需根据《评估规定（dìng）》的相关要求进（jìn）行。但是《公告》未明确“相关要求”具体包（bāo）括（kuò）哪些要求。

根据《评估规定》，互联网信息服务提供者开展安全评（píng）估，应当对信息（xī）服务和新技术新应（yīng）用（yòng）的合法性，落实法律、行政法规（guī）、部门规章（zhāng）和（hé）标准规定的安全措施（shī）的有效性，防（fáng）控安全风险的（de）有效性等（děng）情况进行全面评估，并重点评估下列八项主要内（nèi）容：

（1）确定与所提供服务（wù）相适应（yīng）的安全（quán）管理负责人（rén）、信息（xī）审核人员或者建立（lì）安全管理机构的（de）情况；

（2）用户真实身份核验（yàn）以及注册信息留存（cún）措施；

（3）对用户的账（zhàng）号（hào）、操作时间（jiān）、操（cāo）作类型、网络源地址和目标地址、网（wǎng）络源端口、客户端硬件特征等日志信息，以及用户发布信息记录的（de）留存措施（shī）；

（4）对用户（hù）账号和通讯群组名（míng）称、昵称、简介、备注、标识（shí），信息（xī）发（fā）布、转发、评论（lùn）和（hé）通（tōng）讯群组（zǔ）等服务功能中违法有害（hài）信息的防范处（chù）置和（hé）有（yǒu）关记录保存措施；

（5）个（gè）人信息保护以及防（fáng）范（fàn）违（wéi）法有害信息传播扩散、社会动员功能失控风险的技术措（cuò）施（shī）；

（6）建（jiàn）立投诉、举报制度，公布投诉、举报方式等信息，及时受（shòu）理（lǐ）并处（chù）理有关投诉和（hé）举报的情况；

（7）建（jiàn）立（lì）为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况；

（8）建立为公安机关、国家安全机关依法维护（hù）国家安全和查处（chù）违法犯罪提供技术、数据支持（chí）和协助的（de）工作机制（zhì）的情况。

根据《评估规定》，经过安全评估（gū），符合法律、行政（zhèng）法（fǎ）规、部（bù）门规章和标（biāo）准的，应当形（xíng）成安全评估报告，报告应当包括下列内（nèi）容：

（1）互联网信息服务的功能、服务范围、软（ruǎn）硬件设施、部署（shǔ）位置等基（jī）本情况和相（xiàng）关（guān）证（zhèng）照获取（qǔ）情况；

（2）安（ān）全管理制度（dù）和技术措施落实（shí）情况及风险防控效果（guǒ）；

（3）安（ān）全评（píng）估结论；

（4）其他应当说明（míng）的相（xiàng）关情况。

根据（jù）上（shàng）述（shù）规定，笔者理解，区（qū）块链（liàn）信息服务提供者所需做的安全评估主要内（nèi）容及安（ān）全（quán）评估报告的主（zhǔ）要内（nèi）容（róng）可能（néng）也需要根据（jù）其提供的信息服务的具体情况，基本涵盖《评估规定（dìng）》中列举的上（shàng）述主要内容。

 

《管理规定》提到（dào），区块链信息服务提供者（zhě）开发上线新产品、新应用、新功能的（de），应当进行安全评估，但未明确规定是（shì）需在事前（qián）还是事（shì）后进行（háng）评估（gū）；《公（gōng）告》也未对（duì）此进行说明。

《评（píng）估规（guī）定》对不同情形下安全评估报告（gào）的（de）提交时间做出了不同（tóng）的规定，在某些情形下需（xū）要事前（qián）提交，在某些（xiē）情形下需（xū）要事后提交。

根据（jù）《评估规定》，在发生下（xià）述（shù）情形之一的，互联网信息服务提供者应当在信息（xī）服务、新技术新应用上线或者功能（néng）增设（shè）之（zhī）前提（tí）交安全评估报告：

（1）舆（yú）论属性或社（shè）会（huì）动员能力的信息服务上线（xiàn），或者信息（xī）服务增设相关功能（néng）的；或

（2）使用新技术新应用，使信息（xī）服务的功能（néng）属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或者社会动员能力发（fā）生重大变化的（de）。

同时，《评估规定》还对（duì）需事后（自相关情形发生之日起（qǐ）30个工作日（rì）内）提交安全评估报告的情形做（zuò）了规定，包括（kuò）：

（1）用户规模显著增加，导（dǎo）致信息服务的舆论属性或者（zhě）社会动员能力（lì）发生重大变（biàn）化的；

（2）发生违法有害信息传播扩散，表（biǎo）明（míng）已有安全措（cuò）施难（nán）以有效防控网络（luò）安全风（fēng）险的；或（huò）

（3）地市级以上（shàng）网信部门（mén）或者公安机（jī）关书面通知需要进行安全评估的其他情形。

鉴于《管理规（guī）定》提及的区（qū）块（kuài）链信息服务提供者需要进行安全（quán）评估的情形（xíng）为“区（qū）块链信息（xī）服务提供者开发上（shàng）线（xiàn）新产品、新应用（yòng）、新功能”，比照《评估规定》对（duì）需事前（qián）提（tí）交评估（gū）报告的情形的列（liè）举（信（xìn）息服务、新技术（shù）新应（yīng）用上线或（huò）者功能增设），笔者理（lǐ）解，区块链信息服务（wù）提（tí）供者应需（xū）在其开发（fā）上（shàng）线新产品、新（xīn）应用、新功能之（zhī）前，进行安全评估。

此（cǐ）外（wài），《管（guǎn）理规定》及《公告》并未提及需要进行事后安全评估的情形。如果发生类似《评（píng）估规定》中（zhōng）列举的、需事后提（tí）交评估报告的情况（尤其是发（fā）生违法有害信息传播扩散，表明已（yǐ）有（yǒu）安全措（cuò）施难以有（yǒu）效防控网络安（ān）全风险的情形），区块（kuài）链信息服务提供者是（shì）否需要进行事后（hòu）安全（quán）评（píng）估并不明（míng）确。

 

根据《公告》，如区块（kuài）链信（xìn）息服（fú）务提（tí）供（gòng）者（zhě）是自行实施（shī）安全评（píng）估的，需通过（guò）“全国（guó）互联网安全管理服务平台（tái）”提交安全自评估报告。但是，如果区块链信息服（fú）务提供者是委托第三方进行安（ān）全（quán）评估的，第三方出具的（de）安全评（píng）估报告（gào）是（shì）否需要提交、通（tōng）过什么（me）渠道（dào）提交？《公告》似（sì）未明确（què）。

根据（jù）《管理规定》的原则性要求，参考《评估规定》的对安全评估报告（gào）提交的规定，笔者理（lǐ）解，《公告》中提（tí）到的需通（tōng）过上述服务（wù）平台提交的“安全自评估报告（gào）”中的“自评（píng）估（gū）”，可能强调的是安全（quán）评估的发起人和组织者需为区块链信（xìn）息服（fú）务提供（gòng）者自身，而非网（wǎng）信办（或其组织的专家或技术力量（liàng））；所谓“自（zì）评估”既包括区（qū）块链（liàn）信息（xī）服务提供者的自行评估，也包括委托（tuō）第三方的评估（gū），无论采用哪一种评（píng）估方式所形成的评（píng）估报告均需要（yào）通过“全国互联（lián）网安全管理服务平（píng）台”提交。

 

根据《管（guǎn）理规定（dìng）》，区块链（liàn）信（xìn）息服务提供者如未进行安全评估的，有权监管并（bìng）实施行政处罚的（de）机关为各地直辖市网信（xìn）办。

而（ér）在《评估规定》下，互联网信息服务提（tí）供者应当将安全评估报告通（tōng）过全国互（hù）联网安全管理服务平台提交（jiāo）所在地（dì）地市级以（yǐ）上网信办和公安机关，两个机（jī）构都有权对（duì）安全评（píng）估报告进行书面（miàn）审查、甚至是现场检查；对存在较大安全风险、可（kě）能（néng）影响国家安全（quán）、社会（huì）秩序（xù）和公共利益的互联网信（xìn）息服（fú）务，省级以上网（wǎng）信办和公安机（jī）关应当组织（zhī）专家评审和会同现场检查。

尽管《管理规定（dìng）》及《公告》中未（wèi）明确提及公安机关在（zài）安全评估方面的（de）监管（guǎn）职责（zé），但（dàn）是由于评估报告提交的系（xì）统“全国互联网安全管（guǎn）理（lǐ）服务平台（tái）”为公安部（bù）网络（luò）安全保卫局下设（shè）的平（píng）台（tái），监督和维护网络安全本身也是公安部网络（luò）安全保（bǎo）卫部门的职责（zé），因此（cǐ），笔者理解，公安机关可能也会参照其在《评估规定》下的职能，对区块链信息服务提供者的安全（quán）评估（gū）履行（háng）类（lèi）似的（de）监管职责。

关于（yú）网（wǎng）信办对（duì）于区（qū）块链信息服务（wù）提（tí）供者的安全评（píng）估工作的监管，由于（yú）区（qū）块链信（xìn）息（xī）服（fú）务（wù）提（tí）供者目前多通过互（hù）联（lián）网向社会公（gōng）众（zhòng）提供信息服务，直接参照适用现有的《评估（gū）规定》比较便捷，而无需（xū）另行立法；另一方面，由（yóu）于《评（píng）估（gū）规定（dìng）》适用的（de）对象是具有（yǒu）舆论属性或（huò）社会动员能力的互联网信息服务提供者，具体要（yào）求（qiú）均是（shì）专门针（zhēn）对该等服务（wù）提供者设定（dìng），相关要求能（néng）否完全适用（yòng）于（yú）区块链信息（xī）服务提供者（如事后安全评估），还存（cún）有一些疑问，有待（dài）网信办在监管实践中予以进一步澄清。