在2019年初，国家互联网信息办公室（“网络信函办公室”）在其《区块链信息服务管理规定》（“《管理规定》”）中对区块链信息服务中涉及的安全评估问题提出了原则性要求。根据《管理规定》，区块链信息服务提供商需要按照新产品，新应用，新功能等的管辖范围直接向国家，省，自治区，直辖市的互联网信息办公室报告。相关规定;如果按照规定进行安全评估，当地直辖市的网络信息办公室有权要求整改，处罚，甚至提交主管机关追究其刑事责任。《管理规定》安全评估需求的情况和后果仅在原则上规定，但未规定安全评估所依据的具体规定和操作规则。 2019年8月9日，互联网办公室发布了《<区块链信息服务管理规定>涉安全评估条款说明的公告》（“《公告》”），澄清了互联网办公室本身没有组织安全评估，也没有指定或授权任何单位或组织进行评估，而是公司评估自己或委托合格的第三方评估机构进行评估。根据《公告》的内容，作者理解互联网办公室可能打算参考2018年11月15日公安部联合发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》（“《评估规定》”，适用于舆论属性）动员互联网信息服务提供商提供信息服务，如论坛，博客，微博，聊天室，通讯组，公共账户，短视频，网络广播，信息共享，小程序等，或具有相应的功能。相关要求，实施《管理规定》所要求的安全评估工作，并为区块链信息服务提供商提供安全评估的操作指南。但是，由于《公告》的描述相对简单，相关公司对如何理解和应用一些有疑问《公告》中提到的要求。对于这些问题，作者试图简要分析以下内容，仅供一般参考。 1.第三方评估机构需要什么资格？根据《公告》，区块链信息服务提供者可以委托具有相关资质的计量机构进行安全评估，或者可以对区块链信息服务进行安全风险自我评估。在委托第三方进行安全评估的情况下，根据《公告》的描述，作者理解可以委托进行安全评估的机构可能需要得到中国国家认证认可的批准。管理局（CNCA），由国家市场监督局管理。经中国合格评定国家认可委员会（CNAS）认可的认可机构，可能要求具备信息安全管理体系认证和信息技术服务管理体系认证资格，而不是其他单位或机构。作者注意到市场上有许多机构声称可以进行区块链技术安全评估，但它不是CNCA批准的CNAS批准的信息安全管理和信息技术服务评估机构。管理体系认证。区块链信息服务提供者有意委托第三方机构进行安全评估的，应当注意评估机构的资质，并委托有资质的评估机构进行安全评估。 2.安全评估的要求是什么？安全评估的内容是什么？根据《公告》，区块链信息服务提供商根据《评估规定》的相关要求进行安全风险评估。但是，《公告》未指定“相关要求”中明确包含哪些要求。 根据《评估规定》，互联网信息服务提供商进行安全评估，应对信息服务和新技术的新应用合法，实施法律，行政法规，部门规章和标准规定的安全措施的有效性，并防止和控制安全风险。全面评估有效性和其他方面，并着重于以下八个主要要素：（1）确定安全管理负责人，信息审查人员或建立适当提供服务的安全管理组织; （2）用户的真实身份验证和注册信息保留措施; （3）记录用户帐号，操作时间，操作类型，网络源地址和目的地址，网络源端口，客户端硬件特征，以及用户发布信息记录的保留措施; （四）防范和处理用户账号，通讯组名称，昵称，档案，备注，标识，信息发布，转发，评论，通讯组等服务功能中的违法有害信息的措施; （5）个人信息保护和防止非法和有害信息传播，社会动员（6）建立投诉和报告制度，发布投诉，报告方法等，并及时接受和处理投诉和举报; （7）建立网络信息部门依法进行互联网信息服务监督管理职责为工作机制提供技术，数据支持和协助; （8）建立公安机关和国家安全机构工作机制，为维护国家安全，查处违法犯罪提供技术，数据支持和帮助。安全评估报告的内容是什么？根据《评估规定》，在安全评估和遵守法律，行政法规，部门规章和标准后，应形成安全评估报告。报告应包括以下内容：（1）功能，服务范围，软硬件设施，互联网信息服务部署基本信息，如位置和相关许可证获取; （2）实施安全管理制度和技术措施以及风险防控效果; （3）安全评估结论; （4）应解释的其他相关情况。 根据上述规定，作者理解区块链信息服务提供者所要求的安全评估的主要内容和安全评估报告的主要内容也可能需要基于信息服务提供的具体信息，基本涵盖了《评估规定》以上主要内容。 3.安全评估是否需要在活动之前或之后完成？《管理规定》有人提到，如果区块链信息服务提供商开发新产品，新应用程序和新功能，它应该进行安全评估，但是没有明确说明是否需要在事件发生之前或之后进行评估;《公告》解释一下。《评估规定》在不同情况下提交安全评估报告有不同的规则。在某些情况下，需要提前提交，在某些情况下，需要事先提交。根据《评估规定》，在下列情况之一中，互联网信息服务提供商应在信息服务，新技术新应用启动或增加功能之前提交安全评估报告：（1）舆论信息服务属性或社会动员能力上网，或在信息服务中增加相关功能; （2）利用新技术和新应用对信息服务的功能属性，技术实施和基本资源配置进行重大变革，导致舆论属性或社会动员能力发生重大变化。同时，《评估规定》还规定了在事件发生后（自相关情况发生之日起30个工作日内）提交安全评估报告的情况，包括：（1）规模大幅增加用户，导致信息服务的矛盾属性或（2）非法和有害信息传播的发生，表明难以有效预防和控制网络安全风险; （三）市级要求在线信函部门或者公安机关书面通知其他安全评估情况。 鉴于《管理规定》中提到的区块链信息服务提供商需要进行安全评估，“区块链信息服务提供商在线开发新产品，新应用和新功能”，参见《评估规定》报告情况的列举（信息服务，新技术新应用在线或功能增加），作者理解区块链信息服务提供商在开发新产品，新应用和新功能之前应进行安全评估。此外，《管理规定》和《公告》未提及需要事后安全评估的情况。如果存在与《评估规定》中列出的情况相似的情况，则需要在之后提交评估报告（特别是当非法和有害信息传播，表明难以有效防范和控制网络安全风险时），区块链信息服务提供者目前尚不清楚是否需要进行事后安全评估。 4.提交的安全评估报告是否仅限于自我评估报告？根据《公告》，如果区块链信息服务提供商自己实施安全评估，则必须通过“国家互联网安全管理服务平台”（www.beian.gov.cn）提交安全自我评估报告。但是，如果区块链信息服务提供商委托第三方进行安全评估，第三方发布的安全评估报告是否需要通过什么渠道提交和提交？《公告》似乎不清楚。 根据《管理规定》的原则要求，参考《评估规定》关于安全评估报告的规定，作者理解，《公告》中提到的“安全自我评估报告”中的自我评估必须是通过上述服务平台提交。 “可以强调的是，安全评估的发起者和组织者需要是区块链信息服务提供者本身，而不是网络信息办公室（或其组织的专家或技术力量）;所谓的”自我评估“包括区块链信息服务提供商的自我评估还包括对第三方的评估，任何评估方法形成的评估报告都需要通过“国家互联网安全管理服务平台”提交.5。是监管部门仅针对互联网进行安全评估？根据《管理规定》，如果区块链信息服务提供者不进行安全评估，则有权监督和实施行政处罚的主管部门是各中央直辖市的网络办公室在《评估规定》下，互联网信息服务提供商应提交安全评估报告通过国家互联网安全管理服务平台，向地方政府和公安机关提供服务。两个组织都有权对安全评估报告进行书面审查。甚至现场检查;对于安全风险较大，可能影响国家安全，社会秩序和公共利益的互联网信息服务，省级和公安机关应当组织专家审查和现场检查。虽然《管理规定》和《公告》未明确提及公安机关在安全评估中的监督职责，但评估报告提交的“国家互联网安全管理服务平台”系统是公安部网络设立的平台。保安局。监督和维护网络安全本身也是公安部网络安全部门的责任。因此，作者理解公安机关也可以通过参考《评估规定》下的功能，对区块链信息服务提供者的安全评估执行类似的功能。监管责任。 摘要：关于网络信息办公室对区块链信息服务提供商安全评估的监督，由于区块链信息服务提供商目前通过互联网向公众提供信息服务，直接参考适用的现有《评估规定》比较。方便，无需额外立法;另一方面，由于《评估规定》适用于具有矛盾属性或社会动员能力的互联网信息服务提供商，具体要求是专门为这些服务提供商设定的，相关要求可以是是否完全适用于区块链信息服务提供者（如事后安全评估），仍存在一些疑问，并将在监管实践中进一步明确网络办公室。 （巴比特）