国家互联网信息办公室和公安部11月15日发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(以下简称《评估规定》),旨在督促指导具有舆论属性或社会动员能力的信息服务提供者履行法律规定的安全管理义务,维护网上信息安全、秩序稳定,防范谣言和虚假信息等违法信息传播带来危害,是促进互联网企业依法落实信息网络安全义务的重要措施。

  为指导互联网信息服务提供者更好地开展安全评估,管理部门根据法律规定制定了安全评估模板,供开展评估使用。评估模板的内容均是《网络安全法》等法律法规明确规定的、信息服务提供者应当履行的安全义务。按照规定要求,新开办舆论属性或社会动员能力的互联网信息服务,使用新技术新应用使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,要在上线前开展评估,用户规模显著增加或发生违法有害信息传播扩散的,要在相关情形发生之日起30日内开展安全评估。相关互联网服务提供者可以通过“全国互联网安全管理服务平台”(www.beian.gov.cn)下载并统一提交安全评估报告,该平台于2018年11月30日前正式上线运行。

  《评估规定》属于政策性文件,不属于行政许可事项,不设立行政处罚措施。对于未进行安全评估上线运行的互联网信息服务,管理部门将通过“全国互联网安全管理服务平台”发布安全风险提示信息。

  9月17日至23日,主题为“网络安全为人民 网络安全靠人民”的2018年国家网络安全宣传周在全国范围统一举行。其中开幕式、网络安全博览会、网络安全技术高峰论坛等重要活动在四川省成都市举行。图/本刊记者 刘沁娟 摄

  《评估规定》全文

    第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。

    第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:     

    (一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;    

  (二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

    第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:   

    (一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;     

    (二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;     

    (三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;     

    (四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;      

  (五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。

    第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。

    第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:     

    (一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;    

    (二)用户真实身份核验以及注册信息留存措施;     

    (三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;    

    (四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;    

    (五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;     

    (六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;    

    (七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;     

  (八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

    第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。   

    经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:   

    (一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;   

    (二)安全管理制度和技术措施落实情况及风险防控效果;   

    (三)安全评估结论;   

  (四)其他应当说明的相关情况。

    第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。   

  具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。

    第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。      

    发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。      

    发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。    第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。      

    网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。   

    第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。   

    第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。   

    第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。   

    发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。   

    第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。   

    第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。   

    第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。   

    第十六条 对于互联网新闻信息服务新技术新应用的安全评估,依照《互联网新闻信息服务新技术新应用安全评估管理规定》执行。   

    第十七条 本规定自2018年11月30日起施行。

    专家解读

  《评估规定》出台的意义是什么?将对互联网信息服务的提供者产生何种影响?

  相关互联网信息服务单位需要根据《评估规定》做哪些机制建设?

  本刊邀请相关专家进行解读

  中国社会科学院研究员、新闻与传播研究所网络新媒体研究室主任、教授、博士生导师 孟威

    对既有法律法规的进一步落实和细化

  新媒体作为人们分享和交流信息的公共平台,突破了信息流通障碍,在为传播提供便利的同时,也引发了不实信息、违法违规信息等内容传播导致社会不良影响的问题。《评估规定》的出台,以问题关注为重点,以《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等法律法规为依据,是对既有法律法规的进一步落实、细化。新规旨在加强互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,构建风清气正的网络空间,明确了相关互联网信息服务单位和管理部门的职责义务范围,明确了安全评估内容、过程、规范和机制建设要求等,充分体现了依法治网的理念精神。《评估规定》是对互联网传播管理制度建设的深化和完善,对于清晰各方主体责任、强化服务提供者安全服务义务、增强广大用户使用互联网的规范意识和责任意识都具有重要意义。

  北京师范大学刑科院暨法学院副教授 吴沈括

    围绕核心环节推进相关机制建设

  《评估规定》第三条中提到互联网信息服务提供者应当对评估结果负责,这意味着通过评估工作,互联网信息服务提供者应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,以及防控安全风险的有效性等情况承担相应的主体责任。

  那么,《评估规定》发布后,相关互联网信息服务单位需要做哪些机制建设?从《评估规定》的制度要求来看,相关互联网信息服务单位需要围绕安全管理、内容审核等基本机制、用户信息日志管理、违法有害信息处置、投诉举报渠道以及面向国家权力机关的协助配合等核心环节推进相关机制建设。

  北京邮电大学人文学院副院长 谢永江

    进一步明确信息安全管理义务

  网络安全不仅包括网络运行层和数据层的安全,还包括网络社会层的安全。《评估规定》为落实《网络安全法》中有关网络运营者的信息安全管理义务,借助安全评估制度,进一步明确了具有舆论属性或社会动员能力的互联网信息服务提供者的信息安全管理义务,以自我评估来督促其落实主体责任,从而实现有效防控信息安全风险的目的。互联网信息服务提供者应根据《评估规定》中有关评估的内容和要求,开展对标分析,发现存在的安全隐患,及时整改,直至消除相关安全隐患。

  中国传媒大学政法学院副院长 王四新

    从战略高度落实《评估规定》要求

  《评估规定》从发布到正式生效不到一个月时间,在某种程度上彰显了落实《评估规定》各项要求的紧迫性和重要性,同时也要求互联网信息服务提供者从战略高度认识到全面、深入、彻底和不折不扣地落实《评估规定》各项要求的意义。

  习近平总书记反复强调,没有网络安全就没有国家安全。互联网信息安全是网络安全的重要组成部分,任何互联网信息服务的提供者,都应当从国家安全的角度、以全平台责任的视角,认真对标《网络安全法》和其他法律、法规及规范性文件的基本要求,对涉及信息安全的各个环节、各个流程进行全方位检查和评估。

  认真落实《评估规定》及其相关要求,切实从内部规章制度的完善、从人员和技术的不断投入等方面来解决信息服务中存在的安全问题。在国家面临众多重大全球和地区不确定性风险,在中国社会急剧转型所引发的各类社会矛盾有可能增多、加剧的情况下,通过全流程管理、全成员参与的互联网信息管理,全面提升网络治理法治化,将各类主体的信息传播活动纳入法治轨道,具有非常重要的现实意义。(记者 刘沁娟)