作者按:在《网络安全审查办法》下,相关区块链企业可能构成关键信息基础设施运营者或网络产品和服务提供者,其不仅需要了解该法已经规定的内容,还需要知晓其中尚待明确的事项,并应关注未来的立法进展,以做好应对工作。
2020年4月27日,包括国家网信办、发改委、工信部、部、安全部、财政部、商务部、央行、市场监督管理局、广电部门、保密局、密码管理局在内的12个政府部门联合发布了《网络安全审查办法》。该办法将于6月1日起实施。
《办法》是2016年11月出台的《网络安全法》的配套规定,将取代网信办在2017年5月发布的《网络产品和服务安全审查办法》,旨在进一步确保关键信息基础设施供应链安全,维护国家安全。《办法》本身虽然内容不多,却意义重大,将严格规范相关关键信息基础设施运营者和网络产品和服务提供者的购销行为。
然而,《办法》虽然在试行办法的基础上,搭建了更为完善的审查框架,但是在一些核心概念的界定上仍有不甚明确的地方,可能导致法规适用上的不确定性。
对于从事区块链相关业务的企业而言,如果其落入《办法》下的关键信息基础设施运营者或网络产品和服务提供者的范围,并且相关购销行为将影响或可能影响国家安全的,则也需遵守《办法》的规定。为合规开展业务之目的,该等区块链企业也有必要了解自身是否属于《办法》所规范的关键信息基础设施服务运营者、或网络产品和服务提供者,以及作为该等主体需要履行的主要义务等。
立昂技术:公司对区块链等技术还在研究阶段:立昂技术(300603.SZ)今日在互动易回复投资者提问时表示,公司一直非常关注包括区块链在内的各类新技术在物联网、大数据等方面的应用,目前公司对相关技术还在研究阶段,但已与区块链龙头企业就该技术在监控视频领域的落地进行了商讨,后续或将联合安防龙头就此开展深度合作。[2020/4/26]
一、认定是否属于关键信息基础设施服务运营者
《办法》未对“关键信息基础设施运营者”进行定义,而是规定由关键信息基础设施保护工作部门认定。但是,认定的标准是什么?《办法》没有明确规定。
网信办有关负责人就《办法》相关问题答记者问时,提到了电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要网络和信息系统的运营者。但是,其回答仅是对相关行业领域的列举,而且还有“等”字做兜底,并没有直接回答上述问题。并且,其在答记者问中引用的规定《关于关键信息基础设施安全保护工作有关事项的通知》也未在公开渠道发布。
关于“关键信息基础设施”概念和认定标准,目前可以参考的是2016年6月中央网络安全和信息化领导小组办公室制定的《国家网络安全检查操作指南》、2016年11月全国人大常委会发布的《网安法》、网信办会同相关部门起草并在2017年7月公开征求意见的《关键信息基础设施安全保护条例》。总体而言,该等法律规范均采用了行业标准和后果标准这两项基本标准,但是行业范围有所不同。
声音 | 日本金融厅长官:计划于明年举办论坛讨论以区块链技术为基础的金融系统课题:9月5日,日本金融厅长官远藤俊英于日经新闻和日本金融厅联合主办的FINSUM大会上表示,计划于明年春天举办管理论坛,讨论以区块链技术为基础的金融系统课题和今后的应用可能性。远藤表示已看到了公链的支付速度问题,解决可扩展性问题的新技术趋势,以及提高加密资产交易安全性的最新动向。金融厅还将关注区块链新用例的创新动态。(Coinpost)[2019/9/5]
其中,《操作指南》所规定的“关键信息基础设施”的行业范围最广,网站类、平台类、生产业务类都可能成为关键信息基础设施。
而《网安法》作为基础法律,其规定最为原则,列举了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,并授权国务院制定关键信息基础设施的具体范围。
《条例草稿》则主要更新和细化了《网安法》下的行业标准,以“列举+兜底”方式新增了国防科工、大型装备等行业类别,且将“公共通信和信息服务”细化为“电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位”,而且还有“其他重点单位”的兜底条款,并规定国家网信办会同国务院电信主管部门、部门等部门制定关键信息基础设施识别指南。总体看来,《条例草稿》所规定的关键信息基础设施范围也比较宽泛,除了网信办负责人在答记者问中列举的几个行业领域外,还包括互联网、云计算、大数据及其他大型信息网络服务企业。
动态 | 菲律宾名校与医疗保健服务提供商合作建立区块链教育和研究实验室:据cryptovest报道,菲律宾四大名校之一的马尼拉雅典耀大学上周与医疗保健服务提供商MediXServe签署了一份协议备忘录(MoA),旨在合作建立Ateneo MediXserve区块链教育和研究实验室(AMBER),让更多人更好地了解区块链技术,解决贫困问题。据报道,该实验室希望为发展中国家引入区块链提供支持。与此同时,该实验室也被视为智囊团,孵化中心和区块链创业公司的研究中心。[2018/8/15]
由于《办法》未对关键信息基础设施的范围作出明确规定,《网安法》规定比较原则、《操作指南》位阶较低,而《条例草稿》尚未生效,其中规定的识别指南也未出台,相关区块链企业平台等)是否会构成“关键信息基础设施运营者”,存在不确定性。相关区块链企业需关注《条例草稿》、识别指南等规范的立法进展。
二、判断是否属于网络产品和服务提供者
根据《办法》,“网络产品和服务”主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
虽然《办法》以列举的方式规定了“网络产品和服务”的概念,但是,该概念一些界定的定性上仍然缺乏明确的标准,并且,“其他对关键信息基础设施安全有重要影响的网络产品和服务”的兜底性内容也使得产品和服务的范围过于宽泛,可能导致实践中因缺乏判定标准而难以确定适用范围,给采购商和供应商都带来认定上的不确定性。
现场 | 区块链市场不断扩大多国支持区块链发展:金色财经现场报道,8月2日,在火币嘉年华(HUOBI CARNIVAL)现场,火币韩国CTO金成植(音)表示,区块链市场在不断扩大,美国、英国、瑞士、爱沙尼亚、中国等国家纷纷引入区块链技术,支持区块链的发展。仅2018年第一季度对区块链的投资就已经达到了去年全年的40%。[2018/8/2]
对于业务涉及提供宽泛意义上的网络产品和服务的区块链企业而言,同样会面临认定上的不确定性。笔者推测,相关部门未来应该会制定相关标准或提供相关产品和服务名录供企业参考,建议相关区块链企业关注立法进展。
三、了解作为关键信息基础设施服务运营者或网络产品和服务提供者的主要义务
1.作为关键信息基础设施服务运营者
(1)预判风险和申报审查
关键信息基础设施服务运营者应当预判该产品和服务投入使用后可能带来的国家安全风险。
运营者预判风险后认为影响或者可能影响国家安全的,运营者应当向网络安全审查办公室申报网络安全审查。
(2)了解网络产品和服务提供者本身的合规情况
网络安全审查重点评估运营者采购网络产品和服务可能带来的国家安全风险,主要考虑的因素一方面是采购的网络产品和服务的安全性、可控性,另一方面是网络产品和服务提供者本身遵守中国法律、行政法规、部门规章的情况。
声音 | 吴幽:区块链投资一二级都得搞:据火讯财经报道,7月21日,火讯财经在传媒大学举办第三期火讯琅琊榜线下见面会,在圆桌论坛上镜湖资本创始合伙人吴幽表示:一级和二级的区分和边界越来越小,整个生态的环节到边界区别越来越小,比如说媒体,原来VC是VC媒体,PE是PE媒体,VC、天使、PE、二级市场割裂非常开,但是这个领域边界非常小,所以我们做区块链投资,我们秉承着总结一句话,这句话给大家汇报一下,叫做我们要以产业龙头为核心用户,依托产业合伙人,推动区块链产业全球生态化,已达到一级市场整个布局,到二级市场市值管理联动可控产业集群,最终达到市控领先模式的生产群,什么意思,一二级都得搞。[2018/7/21]
这对运营者遴选供应商提出了要求,如果预判采购行为可能需要网络安全审查,运营者需了解网络产品和服务提供者的本身的合法合规情况。如果产品和服务提供者存在合规性瑕疵,可能导致运营者通不过网络安全审查。
(3)通过协议要求网络产品和服务提供者配合审查
运营者应通过采购文件、协议等要求网络产品和服务提供者配合网络安全审查,包括要求网络产品和服务提供者承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
(4)督促产品和服务提供者遵守承诺
运营者应当敦促产品和服务提供者履行网络安全审查中作出的承诺。
2.作为网络产品和服务提供者
(1)确保本身业务合规
如上所述,网络安全审查的重点除了网络产品和服务的安全性、可控性外,还包括产品和服务提供者本身遵守中国法律、行政法规、部门规章的情况。
据此,如果相关区块链企业拟成为关键信息基础设施运营者的供应商,出于可能需要进行国家安全审查的考虑,除了需确保其产品和服务安全、可控外,还应注意本身的合规性状况。如果区块链企业存在相关违规情况,将难以作为供应商,参与关键信息基础设施业务。
(2)在协议中作出相关承诺
如上所述,网络产品和服务提供者在与关键信息基础设施运营者所签署的相关采购文件、协议中,需要作出其不会利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
(3)在审查过程中提供配合
根据《办法》,网络安全审查办公室在进行网络安全审查的过程中,要求提供补充材料的,网络产品和服务提供者也应当予以配合。
鉴于在现行法律框架下,网络安全审查的监管力度在加强,而关键信息基础设施运营者、网络产品和服务提供者的范围认定存在模糊性,建议相关区块链企业结合自身的业务领域,一方面参考现有的规定进行初步判断,另一方面密切关注立法进展,与行业主管部门做好沟通。如果预判可能落入《办法》下的义务主体的,为不影响业务发展,错失商业机会,应提前加强网络安全方面的合规工作。
作者:张凌,瀚一律师事务所合伙人
声明:本文仅代表作者个人观点,不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容,请列明作者姓名。
本文注释:
网信办有关负责人就《办法》相关问题答记者问,http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm
《操作指南》第3.1条规定:“关键信息基础设施”是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
《网安法》第31条规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
《条例草稿》第18条规定:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
广播电台、电视台、通讯社等新闻单位;
其他重点单位。
《办法》第9条规定:网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
产品和服务供应中断对关键信息基础设施业务连续性的危害;
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为、外交、贸易等因素导致供应中断的风险;
产品和服务提供者遵守中国法律、行政法规、部门规章情况;
其他可能危害关键信息基础设施安全和国家安全的因素。
本文链接:https://www.8btc.com/article/589604
转载请注明文章出处
尊敬的FUBT用户:FUBT即将上线BZU项目简介:BZU为BZU.com的Token的简称。BZU是基于以太坊的去中心化数字资产,发行总量限定5亿,永不增发,依托平台生态与社区共识,赋予BZU.
1900/1/1 0:00:00CEO全球站于4月25日15:00新增PoS矿池VDS矿池节点第一期理财服务。最短10天起存,存币周期灵活,10天过后即可选择是取出VDS还是续存获取收益.
1900/1/1 0:00:00BTC今日凌晨延续昨夜涨势继续攀升后小幅回落,期间最高触及8954.93USDT,目前在8750USDT附近整理。主流币跟涨。BTC在OKEx现报8752.8USDT,24H涨幅13.06%.
1900/1/1 0:00:00CasperLabs今日宣布集成去中心化预言机Chainlink,实现以法币计价的交易费机制,从而让企业客户的预算计算变得简单而有效.
1900/1/1 0:00:00最近微博这是一瓜接一瓜,围观群众就仿佛瓜田里上蹿下跳的猹,一瓜未平,一瓜又起。昨天,当大家还沉浸在前两天的瓜里时,突然一条“李国庆抢当当公章”的热搜迅速窜上了第一.
1900/1/1 0:00:00保持有限仓位,不在当前位置过分自信,做到进退有据。合约总体低多,不要期望突然爆发的上涨行情,关注7900,不要放弃短空机会,万一能有意外收获呢.
1900/1/1 0:00:00