國家網際網路信息辦公室和公安部11月15日發布《具有輿論屬性或社會動員能力的網際網路信息服務安全評估規定》(以下簡稱《評估規定》),旨在督促指導具有輿論屬性或社會動員能力的信息服務提供者履行法律規定的安全管理義務,維護網上信息安全、秩序穩定,防範謠言和虛假信息等違法信息傳播帶來危害,是促進網際網路企業依法落實信息網絡安全義務的重要措施。
為指導網際網路信息服務提供者更好地開展安全評估,管理部門根據法律規定製定了安全評估模板,供開展評估使用。評估模板的內容均是《網絡安全法》等法律法規明確規定的、信息服務提供者應當履行的安全義務。按照規定要求,新開辦輿論屬性或社會動員能力的網際網路信息服務,使用新技術新應用使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,要在上線前開展評估,用戶規模顯著增加或發生違法有害信息傳播擴散的,要在相關情形發生之日起30日內開展安全評估。相關網際網路服務提供者可以通過「全國網際網路安全管理服務平臺」(www.beian.gov.cn)下載並統一提交安全評估報告,該平臺於2018年11月30日前正式上線運行。
《評估規定》屬於政策性文件,不屬於行政許可事項,不設立行政處罰措施。對於未進行安全評估上線運行的網際網路信息服務,管理部門將通過「全國網際網路安全管理服務平臺」發布安全風險提示信息。
9月17日至23日,主題為「網絡安全為人民 網絡安全靠人民」的2018年國家網絡安全宣傳周在全國範圍統一舉行。其中開幕式、網絡安全博覽會、網絡安全技術高峰論壇等重要活動在四川省成都市舉行。圖/本刊記者 劉沁娟 攝
《評估規定》全文
第一條 為加強對具有輿論屬性或社會動員能力的網際網路信息服務和相關新技術新應用的安全管理,規範網際網路信息服務活動,維護國家安全、社會秩序和公共利益,根據《中華人民共和國網絡安全法》《網際網路信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》,制訂本規定。
第二條 本規定所稱具有輿論屬性或社會動員能力的網際網路信息服務,包括下列情形:
(一)開辦論壇、博客、微博客、聊天室、通訊群組、公眾帳號、短視頻、網絡直播、信息分享、小程序等信息服務或者附設相應功能;
(二)開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他網際網路信息服務。
第三條 網際網路信息服務提供者具有下列情形之一的,應當依照本規定自行開展安全評估,並對評估結果負責:
(一)具有輿論屬性或社會動員能力的信息服務上線,或者信息服務增設相關功能的;
(二)使用新技術新應用,使信息服務的功能屬性、技術實現方式、基礎資源配置等發生重大變更,導致輿論屬性或者社會動員能力發生重大變化的;
(三)用戶規模顯著增加,導致信息服務的輿論屬性或者社會動員能力發生重大變化的;
(四)發生違法有害信息傳播擴散,表明已有安全措施難以有效防控網絡安全風險的;
(五)地市級以上網信部門或者公安機關書面通知需要進行安全評估的其他情形。
第四條 網際網路信息服務提供者可以自行實施安全評估,也可以委託第三方安全評估機構實施。
第五條 網際網路信息服務提供者開展安全評估,應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,並重點評估下列內容:
(一)確定與所提供服務相適應的安全管理負責人、信息審核人員或者建立安全管理機構的情況;
(二)用戶真實身份核驗以及註冊信息留存措施;
(三)對用戶的帳號、操作時間、操作類型、網絡源地址和目標地址、網絡源埠、客戶端硬體特徵等日誌信息,以及用戶發布信息記錄的留存措施;
(四)對用戶帳號和通訊群組名稱、暱稱、簡介、備註、標識,信息發布、轉發、評論和通訊群組等服務功能中違法有害信息的防範處置和有關記錄保存措施;
(五)個人信息保護以及防範違法有害信息傳播擴散、社會動員功能失控風險的技術措施;
(六)建立投訴、舉報制度,公布投訴、舉報方式等信息,及時受理並處理有關投訴和舉報的情況;
(七)建立為網信部門依法履行網際網路信息服務監督管理職責提供技術、數據支持和協助的工作機制的情況;
(八)建立為公安機關、國家安全機關依法維護國家安全和查處違法犯罪提供技術、數據支持和協助的工作機制的情況。
第六條 網際網路信息服務提供者在安全評估中發現存在安全隱患的,應當及時整改,直至消除相關安全隱患。
經過安全評估,符合法律、行政法規、部門規章和標準的,應當形成安全評估報告。安全評估報告應當包括下列內容:
(一)網際網路信息服務的功能、服務範圍、軟硬體設施、部署位置等基本情況和相關證照獲取情況;
(二)安全管理制度和技術措施落實情況及風險防控效果;
(三)安全評估結論;
(四)其他應當說明的相關情況。
第七條 網際網路信息服務提供者應當將安全評估報告通過全國網際網路安全管理服務平臺提交所在地地市級以上網信部門和公安機關。
具有本規定第三條第一項、第二項情形的,網際網路信息服務提供者應當在信息服務、新技術新應用上線或者功能增設前提交安全評估報告;具有本規定第三條第三、四、五項情形的,應當自相關情形發生之日起30個工作日內提交安全評估報告。
第八條 地市級以上網信部門和公安機關應當依據各自職責對安全評估報告進行書面審查。
發現安全評估報告內容、項目缺失,或者安全評估方法明顯不當的,應當責令網際網路信息服務提供者限期重新評估。
發現安全評估報告內容不清的,可以責令網際網路信息服務提供者補充說明。 第九條 網信部門和公安機關根據對安全評估報告的書面審查情況,認為有必要的,應當依據各自職責對網際網路信息服務提供者開展現場檢查。
網信部門和公安機關開展現場檢查原則上應當聯合實施,不得幹擾網際網路信息服務提供者正常的業務活動。
第十條 對存在較大安全風險、可能影響國家安全、社會秩序和公共利益的網際網路信息服務,省級以上網信部門和公安機關應當組織專家進行評審,必要時可以會同屬地相關部門開展現場檢查。
第十一條 網信部門和公安機關開展現場檢查,應當依照有關法律、行政法規、部門規章的規定進行。
第十二條 網信部門和公安機關應當建立監測管理制度,加強網絡安全風險管理,督促網際網路信息服務提供者依法履行網絡安全義務。
發現具有輿論屬性或社會動員能力的網際網路信息服務提供者未按本規定開展安全評估的,網信部門和公安機關應當通知其按本規定開展安全評估。
第十三條 網信部門和公安機關發現具有輿論屬性或社會動員能力的網際網路信息服務提供者拒不按照本規定開展安全評估的,應當通過全國網際網路安全管理服務平臺向公眾提示該網際網路信息服務存在安全風險,並依照各自職責對該網際網路信息服務實施監督檢查,發現存在違法行為的,應當依法處理。
第十四條 網信部門統籌協調具有輿論屬性或社會動員能力的網際網路信息服務安全評估工作,公安機關的安全評估工作情況定期通報網信部門。
第十五條 網信部門、公安機關及其工作人員對在履行職責中知悉的國家秘密、商業秘密和個人信息應當嚴格保密,不得洩露、出售或者非法向他人提供。
第十六條 對於網際網路新聞信息服務新技術新應用的安全評估,依照《網際網路新聞信息服務新技術新應用安全評估管理規定》執行。
第十七條 本規定自2018年11月30日起施行。
專家解讀
《評估規定》出臺的意義是什麼?將對網際網路信息服務的提供者產生何種影響?
相關網際網路信息服務單位需要根據《評估規定》做哪些機制建設?
本刊邀請相關專家進行解讀
中國社會科學院研究員、新聞與傳播研究所網絡新媒體研究室主任、教授、博士生導師 孟威
對既有法律法規的進一步落實和細化
新媒體作為人們分享和交流信息的公共平臺,突破了信息流通障礙,在為傳播提供便利的同時,也引發了不實信息、違法違規信息等內容傳播導致社會不良影響的問題。《評估規定》的出臺,以問題關注為重點,以《中華人民共和國網絡安全法》《網際網路信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》等法律法規為依據,是對既有法律法規的進一步落實、細化。新規旨在加強網際網路信息服務和相關新技術新應用的安全管理,規範網際網路信息服務活動,維護國家安全、社會秩序和公共利益,構建風清氣正的網絡空間,明確了相關網際網路信息服務單位和管理部門的職責義務範圍,明確了安全評估內容、過程、規範和機制建設要求等,充分體現了依法治網的理念精神。《評估規定》是對網際網路傳播管理制度建設的深化和完善,對於清晰各方主體責任、強化服務提供者安全服務義務、增強廣大用戶使用網際網路的規範意識和責任意識都具有重要意義。
北京師範大學刑科院暨法學院副教授 吳沈括
圍繞核心環節推進相關機制建設
《評估規定》第三條中提到網際網路信息服務提供者應當對評估結果負責,這意味著通過評估工作,網際網路信息服務提供者應當對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,以及防控安全風險的有效性等情況承擔相應的主體責任。
那麼,《評估規定》發布後,相關網際網路信息服務單位需要做哪些機制建設?從《評估規定》的制度要求來看,相關網際網路信息服務單位需要圍繞安全管理、內容審核等基本機制、用戶信息日誌管理、違法有害信息處置、投訴舉報渠道以及面向國家權力機關的協助配合等核心環節推進相關機制建設。
北京郵電大學人文學院副院長 謝永江
進一步明確信息安全管理義務
網絡安全不僅包括網絡運行層和數據層的安全,還包括網絡社會層的安全。《評估規定》為落實《網絡安全法》中有關網絡運營者的信息安全管理義務,藉助安全評估制度,進一步明確了具有輿論屬性或社會動員能力的網際網路信息服務提供者的信息安全管理義務,以自我評估來督促其落實主體責任,從而實現有效防控信息安全風險的目的。網際網路信息服務提供者應根據《評估規定》中有關評估的內容和要求,開展對標分析,發現存在的安全隱患,及時整改,直至消除相關安全隱患。
中國傳媒大學政法學院副院長 王四新
從戰略高度落實《評估規定》要求
《評估規定》從發布到正式生效不到一個月時間,在某種程度上彰顯了落實《評估規定》各項要求的緊迫性和重要性,同時也要求網際網路信息服務提供者從戰略高度認識到全面、深入、徹底和不折不扣地落實《評估規定》各項要求的意義。
習近平總書記反覆強調,沒有網絡安全就沒有國家安全。網際網路信息安全是網絡安全的重要組成部分,任何網際網路信息服務的提供者,都應當從國家安全的角度、以全平臺責任的視角,認真對標《網絡安全法》和其他法律、法規及規範性文件的基本要求,對涉及信息安全的各個環節、各個流程進行全方位檢查和評估。
認真落實《評估規定》及其相關要求,切實從內部規章制度的完善、從人員和技術的不斷投入等方面來解決信息服務中存在的安全問題。在國家面臨眾多重大全球和地區不確定性風險,在中國社會急劇轉型所引發的各類社會矛盾有可能增多、加劇的情況下,通過全流程管理、全成員參與的網際網路信息管理,全面提升網絡治理法治化,將各類主體的信息傳播活動納入法治軌道,具有非常重要的現實意義。(記者 劉沁娟)