法律分析 | ​区块链信息服务平台责任分析

|合规联盟原创出品 |

1月22日,全国信息安全标准化技术委员会发布了《区块链信息服务安全规范》(下称《安全规范》)征求意见稿,旨在指导区块链信息服务提供者开展区块链信息服务安全建设及安全自评估,为第三方评估机构开展安全评估提供指引,为国家相关部门对区块链信息服务开展安全审查提供参考和依据。

近年来,区块链技术及信息服务发展迅速,在给社会带来便利的同时,也引发了一定的安全风险,为互联网信息安全提出新的挑战。2019年国家网信办发布《区块链信息服务管理规定》(下称《管理规定》),旨在落实信息安全管理主体责任,为区块链信息服务提供有效的法律依据。本次《安全规范》的发布则解决了区块链信息服务提供者开展安全建设和安全评估工作没有相关标准依据的问题,作为区块链信息服务监管框架的重要内容,协同推动区块链信息服务提供者健全安全保障措施。


一、什么是区块链信息服务


区块链信息服务是指基于区块链技术或者系统,通过互联网网站、应用程序等形式,向社会公众提供信息服务,即区块链技术作为底层技术支持信息服务。在服务形态方面有信息上链、信息溯源、智能合约、隐私保护、信息广播、加密存储、信息共识、信息验证等多种形式。

该定义排除了通过互联网技术提供区块链信息或其他服务的行为。仅向公众提供有关区块链、比特币的新闻报道等信息服务,如果其底层技术并非基于区块链技术或者系统,则并不属于区块链信息服务范畴,不受《管理规定》的规制。这类媒体、信息服务提供商仍属于传统的内容提供者,受网信办其他规定及新闻管理部门的监管。


二、什么是区块链信息服务提供者


区块链信息服务提供者是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织。

值得注意的是,该定义将“节点”作为非主体单位纳入区块链信息服务提供者的监管范畴。节点通常指负责维护网络运行的终端,例如在互联网领域,企业的数据运行集中在服务器中,则该服务器就是一个节点。

联盟顾问罗滔先生认为,将节点定性为区块链信息服务提供者,将加大对区块链信息服务提供者的监管范围,即使区块链信息服务提供者的主体在境外,只要支撑其提供区块链信息服务的相关节点在境内,也将受到规制。


三、区块链信息服务平台的安全管理责任


(一)法律依据

《民法典》

第一千一百九十四条  网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。法律另有规定的,依照其规定。

第一千一百九十八条  宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所的经营者、管理者或者群众性活动的组织者,未尽到安全保障义务,造成他人损害的,应当承担侵权责任。

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

(二)具体内容

在网络社会与现实社会并存的环境下,网络平台本身即是公共场所之一,网络服务提供者所承担的安全保障义务与物理空间的经营者并无二致,服务提供者可作为公共场所的管理人,成为《侵权责任编》下的安全保障义务的适格主体。网络平台的安全保障义务表现为在平台运营过程中承担安全管理责任,具体实施方式与形态应当与平台的特点相适应,信息服务平台的安全管理责任主要包括个人信息安全、相关资金账号安全、交往相对人身份的有效识别、交往过程全记录与可追溯等。

根据《管理规范》的规定,区块链信息服务提供者的安全管理责任主要体现为以下三类:

(1)信息内容安全责任

包括信息审核,有害信息禁止与删除,对新产品、新功能上线前的安全评估。

(2)运营安全责任

包括对区块链信息服务使用者进行真实身份信息认证,配合相关部门的定期查验并对存在的安全隐患进行整改,保存信息服务使用者的相关数据。

(3)应急处理责任。

包括建立应急处置、安全防护等制度,对违反法律法规的区块链信息服务使用者采取相应措施,防止信息扩散,要求区块链信息服务者具备解决自身网络安全问题的能力。

《安全规范》面向不同领域的区块链信息服务产品提供的信息上链、信息溯源、智能合约、隐私保护、信息广播、加密存储、信息共识、信息验证等信息服务,进一步提出了差异化要求:

(1)安全技术要求。

包括信息生成、信息处理、信息发布、信息传播、信息存储、信息销毁六个阶段的分类识别、安全审核和监测预警。

(2)安全保障要求。

包括管理制度、机构和人员、业务连续性、运行和维护四个维度,并提出了安全要求对应的测试评估方法。

(三)责任承担

对于违反安全管理责任的区块链信息服务平台,由主管部门(各级互联网信息办公室)对其施以警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

对于违反《网络安全法》相关规定未对用户进行实名认证,或怠于管理网络平台秩序,未及时处理违法信息发布的,则按照《网络安全法》相应规定予以处理。

区块链信息服务是信息传播领域和安全风险的结合,可能被利用发布违法有害信息,实施网络违法犯罪活动,损害社会正常管理秩序。因此,提高区块链信息服务提供者的安全责任意识,敦促其履行安全管理责任,维护网络信息安全,符合行业健康发展的迫切需求。与此同时,详细规范的评估标准的建立也对行业提出了更高的合规要求,值得每位有志于从事区块链信息服务的从业者关注。

全球区块链合规联盟

“设立区块链行业标准,加强行业自律,共同维护良好的市场秩序和行业环境,为行业健康发展提供理论指导,推动行业健康可持续发展”。

写评论,请先登录