区块链信息服务提供者需如何进行安全评估?

图片 1

据央视新闻消息,中共中央,国务院关于支持深圳建设中国特色社会主义先行示范区的意见:加快建构现代产业体系。党和国家作出兴办经济特区重大战略部署以来,深圳经济特区作为我国改革开放的重要窗口,各项事业取得显著成绩。当前,中国特色社会主义进入新时代,党和国家更是把深圳作为建设中国特色社会主义先行示范区,为了加快构建现代产业体系,大力发展战略性新兴产业,开展市场准入和监管体制机制改革试点,针对新近风行的数字货币采取开放的姿态,打造数字经济创新发展试验区,支持在深圳开展数字货币研究与移动支付等创新应用。促进与港澳金融市场互联互通和金融(基金)产品互认。在推进人民币国际化上先行先试,探索创新跨境金融监管。作者按:为落实《区块链信息服务管理规定》中提到的安全评估要求,网信办近日发布了一则说明性公告。公告乍看明确,但实践中如何具体执行仍存有一些疑问。2019年初,国家互联网信息办公室(“网信办”)在其发布的《区块链信息服务管理规定》(“《管理规定》”)中对区块链信息服务中涉及的安全评估问题作出了原则性要求。根据《管理规定》,区块链信息服务提供者需要在其发生开发上线新产品、新应用、新功能等情形下,按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估;如未按规定进行安全评估的,其所在地直辖市网信办有权要求其整改、给予处罚,甚至提交有权机构追究其刑事责任。《管理规定》仅原则性规定了需要安全评估的情形及违法后果,但未明确安全评估所依据的具体规定及操作细则。2019年8月9日,网信办发布了《<区块链信息服务管理规定>》涉安全评估条款说明的公告》(“《公告》”),明确了网信办本身不组织安全评估,也未指定或授权任何单位或机构开展评估,而是由相关企业自行评估或者委托有资质的第三方测评机构进行评估。根据《公告》的内容,笔者理解,网信办可能意在参照其与公安部于2018年11月15日联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(“《评估规定》”,该规定适用于具有舆论属性或社会动员能力的互联网信息服务提供者,提供的信息服务是论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等或者附设相应功能等)的相关要求,落实《管理规定》所要求的安全评估工作,为区块链信息服务提供者开展安全评估提供操作指引。但是,由于《公告》的说明较为简略,相关企业对如何理解和适用《公告》中提到的一些要求存有疑问,针对该等疑问,笔者试简要分析如下,仅供一般性参考。1、第三方评估机构需要具备什么资质?根据《公告》,区块链信息服务提供者可以委托具有相关资质的测评机构开展安全评估,也可以自行对区块链信息服务开展安全风险自评估。在委托第三方进行安全评估的情形下,根据《公告》的说明,笔者理解,可受托开展安全评估的机构可能需为已获国家市场监管总局所属的中国国家认证认可监督管理委员会(CNCA)批准、中国合格评定国家认可委员会(CNAS)认可的测评机构,且该等机构可能需具备信息安全管理体系认证和信息技术服务管理体系认证的资质,而不得是其他单位或机构。笔者注意到,目前市场上已有若干宣称可以开展区块链技术安全评估的机构,但其并非CNCA批准、CNAS认可的、具有信息安全管理和信息技术服务管理体系认证资质的测评机构。区块链信息服务提供者如拟委托第三方机构进行安全评估的,需注意测评机构的资质,委托有资质的评估机构进行安全评估。2、安全评估需满足的相关要求是哪些要求?Ø
安全评估的内容是什么?根据《公告》,区块链信息服务提供者开展安全风险评估的,需根据《评估规定》的相关要求进行。但是《公告》未明确“相关要求”具体包括哪些要求。根据《评估规定》,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列八项主要内容:(1)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;(2)用户真实身份核验以及注册信息留存措施;(3)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;(4)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;(5)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;(6)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;(7)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;(8)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。Ø
安全评估报告的内容有哪些?根据《评估规定》,经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告,报告应当包括下列内容:(1)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;(2)安全管理制度和技术措施落实情况及风险防控效果;(3)安全评估结论;(4)其他应当说明的相关情况。根据上述规定,笔者理解,区块链信息服务提供者所需做的安全评估主要内容及安全评估报告的主要内容可能也需要根据其提供的信息服务的具体情况,基本涵盖《评估规定》中列举的上述主要内容。3、安全评估需在事前还是事后进行?《管理规定》提到,区块链信息服务提供者开发上线新产品、新应用、新功能的,应当进行安全评估,但未明确规定是需在事前还是事后进行评估;《公告》也未对此进行说明。《评估规定》对不同情形下安全评估报告的提交时间做出了不同的规定,在某些情形下需要事前提交,在某些情形下需要事后提交。根据《评估规定》,在发生下述情形之一的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设之前提交安全评估报告:(1)舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;或(2)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的。同时,《评估规定》还对需事后(自相关情形发生之日起30个工作日内)提交安全评估报告的情形做了规定,包括:(1)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;(2)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;或(3)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。鉴于《管理规定》提及的区块链信息服务提供者需要进行安全评估的情形为“区块链信息服务提供者开发上线新产品、新应用、新功能”,比照《评估规定》对需事前提交评估报告的情形的列举(信息服务、新技术新应用上线或者功能增设),笔者理解,区块链信息服务提供者应需在其开发上线新产品、新应用、新功能之前,进行安全评估。此外,《管理规定》及《公告》并未提及需要进行事后安全评估的情形。如果发生类似《评估规定》中列举的、需事后提交评估报告的情况(尤其是发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的情形),区块链信息服务提供者是否需要进行事后安全评估并不明确。4、提交的安全评估报告是否仅限于自评估报告?根据《公告》,如区块链信息服务提供者是自行实施安全评估的,需通过“全国互联网安全管理服务平台”提交安全自评估报告。但是,如果区块链信息服务提供者是委托第三方进行安全评估的,第三方出具的安全评估报告是否需要提交、通过什么渠道提交?《公告》似未明确。根据《管理规定》的原则性要求,参考《评估规定》的对安全评估报告提交的规定,笔者理解,《公告》中提到的需通过上述服务平台提交的“安全自评估报告”中的“自评估”,可能强调的是安全评估的发起人和组织者需为区块链信息服务提供者自身,而非网信办(或其组织的专家或技术力量);所谓“自评估”既包括区块链信息服务提供者的自行评估,也包括委托第三方的评估,无论采用哪一种评估方式所形成的评估报告均需要通过“全国互联网安全管理服务平台”提交。5、安全评估的监管部门是否仅为网信办?根据《管理规定》,区块链信息服务提供者如未进行安全评估的,有权监管并实施行政处罚的机关为各地直辖市网信办。而在《评估规定》下,互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信办和公安机关,两个机构都有权对安全评估报告进行书面审查、甚至是现场检查;对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信办和公安机关应当组织专家评审和会同现场检查。尽管《管理规定》及《公告》中未明确提及公安机关在安全评估方面的监管职责,但是由于评估报告提交的系统“全国互联网安全管理服务平台”为公安部网络安全保卫局下设的平台,监督和维护网络安全本身也是公安部网络安全保卫部门的职责,因此,笔者理解,公安机关可能也会参照其在《评估规定》下的职能,对区块链信息服务提供者的安全评估履行类似的监管职责。小结:关于网信办对于区块链信息服务提供者的安全评估工作的监管,由于区块链信息服务提供者目前多通过互联网向社会公众提供信息服务,直接参照适用现有的《评估规定》比较便捷,而无需另行立法;另一方面,由于《评估规定》适用的对象是具有舆论属性或社会动员能力的互联网信息服务提供者,具体要求均是专门针对该等服务提供者设定,相关要求能否完全适用于区块链信息服务提供者(如事后安全评估),还存有一些疑问,有待网信办在监管实践中予以进一步澄清。作者:张凌,瀚一律师事务所合伙人

2019年初,国家互联网信息办公室(“网信办”)在其发布的《区块链信息服务管理规定》(“《管理规定》”)中对区块链信息服务中涉及的安全评估问题作出了原则性要求。根据《管理规定》,区块链信息服务提供者需要在其发生开发上线新产品、新应用、新功能等情形下,按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估;如未按规定进行安全评估的,其所在地直辖市网信办有权要求其整改、给予处罚,甚至提交有权机构追究其刑事责任。《管理规定》仅原则性规定了需要安全评估的情形及违法后果,但未明确安全评估所依据的具体规定及操作细则。2019年8月9日,网信办发布了《<区块链信息服务管理规定>涉安全评估条款说明的公告》(“《公告》”),明确了网信办本身不组织安全评估,也未指定或授权任何单位或机构开展评估,而是由相关企业自行评估或者委托有资质的第三方测评机构进行评估。根据《公告》的内容,笔者理解,网信办可能意在参照其与公安部于2018年11月15日联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(“《评估规定》”,该规定适用于具有舆论属性或社会动员能力的互联网信息服务提供者,提供的信息服务是论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等或者附设相应功能等)的相关要求,落实《管理规定》所要求的安全评估工作,为区块链信息服务提供者开展安全评估提供操作指引。但是,由于《公告》的说明较为简略,相关企业对如何理解和适用《公告》中提到的一些要求存有疑问,针对该等疑问,笔者试简要分析如下,仅供一般性参考。1.第三方评估机构需要具备什么资质?根据《公告》,区块链信息服务提供者可以委托具有相关资质的测评机构开展安全评估,也可以自行对区块链信息服务开展安全风险自评估。在委托第三方进行安全评估的情形下,根据《公告》的说明,笔者理解,可受托开展安全评估的机构可能需为已获国家市场监管总局所属的中国国家认证认可监督管理委员会(CNCA)批准、中国合格评定国家认可委员会(CNAS)认可的测评机构,且该等机构可能需具备信息安全管理体系认证和信息技术服务管理体系认证的资质,而不得是其他单位或机构。笔者注意到,目前市场上已有若干宣称可以开展区块链技术安全评估的机构,但其并非CNCA批准、CNAS认可的、具有信息安全管理和信息技术服务管理体系认证资质的测评机构。区块链信息服务提供者如拟委托第三方机构进行安全评估的,需注意测评机构的资质,委托有资质的评估机构进行安全评估。2.安全评估需满足的相关要求是哪些要求?安全评估的内容是什么?根据《公告》,区块链信息服务提供者开展安全风险评估的,需根据《评估规定》的相关要求进行。但是《公告》未明确“相关要求”具体包括哪些要求。根据《评估规定》,互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列八项主要内容:
(1)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;
(2)用户真实身份核验以及注册信息留存措施;
(3)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;
(4)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(5)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;
(6)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;
(7)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(8)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。安全评估报告的内容有哪些?根据《评估规定》,经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告,报告应当包括下列内容:
(1)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;
(2)安全管理制度和技术措施落实情况及风险防控效果; (3)安全评估结论;
(4)其他应当说明的相关情况。根据上述规定,笔者理解,区块链信息服务提供者所需做的安全评估主要内容及安全评估报告的主要内容可能也需要根据其提供的信息服务的具体情况,基本涵盖《评估规定》中列举的上述主要内容。3.安全评估需在事前还是事后进行?《管理规定》提到,区块链信息服务提供者开发上线新产品、新应用、新功能的,应当进行安全评估,但未明确规定是需在事前还是事后进行评估;《公告》也未对此进行说明。《评估规定》对不同情形下安全评估报告的提交时间做出了不同的规定,在某些情形下需要事前提交,在某些情形下需要事后提交。根据《评估规定》,在发生下述情形之一的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设之前提交安全评估报告:
(1)舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;或
(2)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的。同时,《评估规定》还对需事后(自相关情形发生之日起30个工作日内)提交安全评估报告的情形做了规定,包括:
(1)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;
(2)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;或
(3)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。鉴于《管理规定》提及的区块链信息服务提供者需要进行安全评估的情形为“区块链信息服务提供者开发上线新产品、新应用、新功能”,比照《评估规定》对需事前提交评估报告的情形的列举(信息服务、新技术新应用上线或者功能增设),笔者理解,区块链信息服务提供者应需在其开发上线新产品、新应用、新功能之前,进行安全评估。此外,《管理规定》及《公告》并未提及需要进行事后安全评估的情形。如果发生类似《评估规定》中列举的、需事后提交评估报告的情况(尤其是发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的情形),区块链信息服务提供者是否需要进行事后安全评估并不明确。4.提交的安全评估报告是否仅限于自评估报告?根据《公告》,如区块链信息服务提供者是自行实施安全评估的,需通过“全国互联网安全管理服务平台”(www.beian.gov.cn)提交安全自评估报告。但是,如果区块链信息服务提供者是委托第三方进行安全评估的,第三方出具的安全评估报告是否需要提交、通过什么渠道提交?《公告》似未明确。根据《管理规定》的原则性要求,参考《评估规定》的对安全评估报告提交的规定,笔者理解,《公告》中提到的需通过上述服务平台提交的“安全自评估报告”中的“自评估”,可能强调的是安全评估的发起人和组织者需为区块链信息服务提供者自身,而非网信办(或其组织的专家或技术力量);所谓“自评估”既包括区块链信息服务提供者的自行评估,也包括委托第三方的评估,无论采用哪一种评估方式所形成的评估报告均需要通过“全国互联网安全管理服务平台”提交。5.安全评估的监管部门是否仅为网信办?根据《管理规定》,区块链信息服务提供者如未进行安全评估的,有权监管并实施行政处罚的机关为各地直辖市网信办。而在《评估规定》下,互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信办和公安机关,两个机构都有权对安全评估报告进行书面审查、甚至是现场检查;对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信办和公安机关应当组织专家评审和会同现场检查。尽管《管理规定》及《公告》中未明确提及公安机关在安全评估方面的监管职责,但是由于评估报告提交的系统“全国互联网安全管理服务平台”为公安部网络安全保卫局下设的平台,监督和维护网络安全本身也是公安部网络安全保卫部门的职责,因此,笔者理解,公安机关可能也会参照其在《评估规定》下的职能,对区块链信息服务提供者的安全评估履行类似的监管职责。小结:
关于网信办对于区块链信息服务提供者的安全评估工作的监管,由于区块链信息服务提供者目前多通过互联网向社会公众提供信息服务,直接参照适用现有的《评估规定》比较便捷,而无需另行立法;另一方面,由于《评估规定》适用的对象是具有舆论属性或社会动员能力的互联网信息服务提供者,具体要求均是专门针对该等服务提供者设定,相关要求能否完全适用于区块链信息服务提供者(如事后安全评估),还存有一些疑问,有待网信办在监管实践中予以进一步澄清。(巴比特)

图片 1

主要有四大义务:

公链是典型的区块链技术和系统,但是是否纳入监管也取决于公链有没有向公众提供信息服务。如果某条公链上的DApp向公众提供了信息服务,那么是要被纳入到监管范围的。除非这条公链上的DApp没有提供相关的信息服务,但此状况下,此条公链将失去价值,因此我们判断公链需要备案。

监管主体的义务是什么?

本文首发于微信公众号:链塔智库。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。

主体义务

第一类偏向于内容,主要指信息内容安全的责任,包括有害信息禁止与删除;对新产品、新功能上线前的安全评估。

区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。

制作、复制、发布、传播法律、行政法规禁止的信息内容

与通常信息技术法规或规范下的两大安全评估不同,网信办的安全评估将更关注区块链提供者对上述违法信息的应急处置能力。

适用情形一:

《规定》的出台是健全网信办监管体系的重要举措,将区块链信息服务纳入监管范围,明确相关责任人责任义务,有利于净化市场、规范行业发展,避免出现监管灰色地带。

观点二:

适用情形一:

为了避免这一风险,服务提供者有可能令用于业务场景的区块链不再直接记录任何信息内容,而将所有可能触发该等合规风险的信息全部缓存到相应的侧链上。《规定》正式生效前,这些棘手问题将是区块链提供者应重点关注的技术改造指南。

没有制定用户管理的公开管理规则和平台公约;

法律责任:由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

区块链信息服务使用者:

值得一提的是,《规定》的适用范围不仅包括了在以太坊、EOS等公有链上开发和运营DApps的个人/机构/组织以及提供BaaS或区块链底层技术定制方案的机构/组织,甚至还可能包括某些为使用区块链网络而接入该网络、从而成为节点的个人/机构/组织。如运行比特币原版钱包程序的个人,或在某些联盟链上作为见证节点的普通用户。

备案编号没有公开展示;

区块链的技术特征决定了信息一旦储存至区块链即无法更改,否则将导致其后写入的所有信息同时失效,这可能意味着区块链上记录的任何内容都会因同一条链上存在内容的违规而随时被删除。

观点一:

发布主体:国家互联网信息办公室

无论是去中心化的钱包还是中心化的钱包,无论是热钱包还是冷钱包,实际上他们都是为用户提供了一种数字资产保管业务。毫无疑问,这种数字资产保管业务是基于区块链技术的,所以区块链钱包应当备案。

区块链信息服务提供者:

公链——多数需备案

技术内容提供者:并未开设网站、App、DApp等,但为其提供了技术服务。

交易所——不需备案

服务内容提供者:利用区块链技术开了网站、App、DApp等向公众呈现了人可以读懂的信息。

链塔智库从实施背景、具体要求、主体义务和法律责任四个方面,为区块链信息服务提供者和区块链信息服务使用者提供详尽的《规定》解读。

哪些人受到《规定》监管?

2019年1月10日,国家互联网信息办公室正式公布了《区块链信息服务管理规定》,《规定》自2019年2月15日起生效。

法律依据:《区块链信息服务管理规定》

01

出现新情况,没有及时变更备案;

《规定》采用了服务备案与内容管理并行的监管方式。
服务备案方面,这是网信办首次履行与工信部的非经营性网站ICP备案类似的备案管理职责,两者区别为:
与ICP备案相比,区块链备案的要求显然更为宽松,允许区块链提供者在服务上线或变更后及时递交包括服务提供者名称、服务类别、服务形式、应用领域、服务器地址等备案信息即可。

本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。

区块链相关项目备案信息公开可查,能够促进项目方自我监督、自我规范,增强项目可信度,有助于区块链项目扩展市场。

区块链技术:区块链技术的定义在《规定》中并未明确。事实上,目前尚未有法律条文准确定义“区块链技术”。

制作、复制、发布、传播法律、行政法规禁止的信息内容

《规定》监管的方式是什么?

违反《规定》将承担何种责任?

法律责任:由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正;拒不改正或者情节严重的,给予警告,并处一万元以上三万元以下罚款。

用户管理义务:

区块链浏览器——需要备案。

04

法律责任

是否在备案之后才会被监管?

数字钱包——需备案

出台原因:深入推进网络信息安全管理的需要、促进区块链信息服务健康发展的需要、区块链信息服务安全风险防范的需要。

信息服务:国家互联网信息办公室于2018年12月26日公布的《金融信息服务管理规定》第六条规定:金融信息服务提供者应当在显著位置准确无误注明信息来源,并确保文字、图像、视频、音频等形式的金融信息来源可追溯。信息的形式是“文字、图像、视频、音频等”,因此可以把信息服务界定为“提供人可以读取的内容的服务项目”。

第二类偏向于运营,主要指运行安全的责任,如防御黑客攻击等。

05

配合监管义务:

区块链信息服务四要素:技术上-区块链,形式上-网站或APP,对象上-社会公众,内容上-信息服务。

具体要求

法律责任:由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

初始备案登记是指在刚开始提供服务的时候就应当进行登记;变更备案登记指服务的项目在变更时进行的登记;终止注销登记指终止服务之后还要进行注销登记。而且这些都需要在网站或应用的明显位置进行标注,如标注登记的编号等,同时还要配合定期进行检查。

备案登记义务、网络安全义务、用户管理义务、配合监管义务

用户管理义务要求区块链信息服务的提供者应当对用户进行管理,包括设置用户规则、用户实名制、违法用户处置与证据保存)等义务。也即要求区块链网络信息服务提供者具备管理自己用户的能力。

上线新产品、新应用、新功能没有进行安全评估;

内容管理方面,《规定》大量参考了先前的《微博规定》、《公众号规定》和《跟帖规定》,将区块链视为通常意义上的信息内容发布渠道,要求区块链提供者承担与微博/公众号信息服务提供者类似的信息安全管理责任。

不是。只要从事区块链信息服务,就要受监管。监管的第一个重要义务就是备案。不止如此,相关内容发生变更,也需要备案,如区块链浏览器地址变更也需要申请。

发布内容和日志没有保存或者没有保存6个月以上;

《区块链信息服务管理规定》于2019年1月10日由国家互联网信息办室颁布,将于2月15日起施行。

03

哪些人可以视作区块链信息服务提供者?

配合监管的业务包括对于备案信息的核实及定期查验,如出现违法信息后配合进行相关的处置、接受社会监督、设置便捷的举报投诉入口、及时处置公众的投诉或举报等配合监管义务。

由于区块链与普通数据库的本质区别即在于其数据储存去中心化、数据写入由各节点共同见证等特征,其节点数量的多少将根本影响该区块链的公信力。

网络安全义务分为三大类。

实施背景

第三类偏向于应急处理,主要指在出现安全事故的时候,平台应该有应急处置的机制和能力。也即要求区块链信息服务者具备解决自身网络安全问题的能力。

适用情形三

一方面,国内目前已经没有相关的交易所;另一方面,2017年9月4日发布的《关于防范代币发行融资风险的公告》已经规范了数字资产交易所。所以数字资产交易所也不纳入《区块链信息服务管理规定》,只需遵守2017年9月4日发布的《关于防范代币发行融资风险的公告》的政策。

适用情形二:

链塔观点

鉴于此,今后网信办可能会通过要求在申报变更备案的同时递交安全评估报告的方式,督促区块链提供者加强内容管理的制度建设。

法律责任:由国家和省、自治区、直辖市互联网信息办公室依照有关法律、行政法规的规定予以处理。

提供区块链咨询及培训服务企业——不需要备案。

包括初始备案、变更备案、终止注销等。

区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。

第十一条
区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。

目前尚未有法律条文准确定义“区块链技术”,《规定》也未对区块链技术进行说明,因此可能会出现备案主体不明确、监管实操性不强的情况。

本文要点:

如果向公众提供了信息服务,那就应该被纳入监管范围,比如游戏、社交等DApp;如果该Dapp没有传播相关信息,那就不属于监管范围,但此类DApp数量极少。

安全技术条件和应急处置能力不达标;

售卖矿机——不需要备案。

对于已上线的区块链项目,相应的区块链提供者可在《规定》生效后的二十个工作日内补办备案。基于ICP备案的实践,可以预见,区块链服务备案可能也会采取“网信办统一备案平台+省级网信办属地管辖负责具体审批”的模式。

第二条
在中华人民共和国境内从事区块链信息服务,应当遵守本规定。法律、行政法规另有规定的,遵照其规定。

几类是否需要备案的示例:

本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。

若将节点简单等同于区块链提供者,要求所有节点承担与真正意义上区块链提供者相同的义务,可能会迫使区块链提供者尽可能减少普通用户直接参与区块链见证的机会,而只向其提供间接的查询端口。这会显著降低区块链相关业务的可信度,与区块链技术的初衷背道而驰。

DApp——是否提供信息服务

《规定》将相关主体划分为区块链信息服务提供者和区块链信息服务使用者,这一模式与现行的信息服务法规体系中,将监管对象分为“服务提供者”和“服务使用者”的模式一脉相承。而《规定》主要对区块链提供者做出了限制。

02

行业自媒体,如“某某财经”——不需备案“某某财经”或现在大量的区块链行业媒体,并非基于区块链技术提供服务的平台,不属于本次新规的监管的范围。它基于互联网技术,应该遵守原来已有的《互联网信息服务管理办法》、《移动互联网应用程序信息服务管理规定》、《网络安全法》等。

这些责任不仅包括如不得发布法律法规禁止内容等一般规定,还要求区块链提供者具有针对该等信息发布、记录、存储、传播的即时和应急处置能力——在传统的信息内容管理场景下,往往意味着阻止发布、删除内容、限制分享等措施——而这些在区块链信息内容管理的场景下却很难做到。

备案登记义务:

预计未来会出台更加规范的监管细则,并将监管落实到具体的应用场景,对整个行业发展起到更加强大的规范和推动作用。

被发现有信息安全隐患,没有整改;

未按照本规定履行备案手续或者填报虚假备案信息

没有配合监督检查或者设置群众举报制度;

变更服务项目时,区块链提供者不仅需要事后及时履行变更备案的义务,还应报国家和省级网信办进行安全评估。

没有落实信息内容安全管理责任;

网络安全义务: