賈 翱

2019年1月10日，《區(qū)塊鏈信息服務(wù)管理規(guī)定》(以下稱《管理規(guī)定》)經(jīng)國家互聯(lián)網(wǎng)信息辦公室室務(wù)會議審議通過并公布，自2019年2月15日起施行?！豆芾硪?guī)定》是我國第一部針對區(qū)塊鏈信息服務(wù)進行監(jiān)管的重要規(guī)范性文件。《管理規(guī)定》明確了區(qū)塊鏈信息服務(wù)的概念以及區(qū)塊鏈信息服務(wù)提供者包括安全管理、安全評估、用戶管理、實名認證等諸多義務(wù)，并規(guī)定了相應(yīng)的法律責任?！豆芾硪?guī)定》的規(guī)制重點在于為區(qū)塊鏈信息服務(wù)提供者規(guī)定了諸多合規(guī)義務(wù)。上述合規(guī)義務(wù)對區(qū)塊鏈信息服務(wù)提供者合規(guī)運營具有重要的規(guī)范意義。

一、區(qū)塊鏈信息服務(wù)提供者的安全管理責任

《管理規(guī)定》在明確規(guī)定了立法目的、相關(guān)概念、主管機構(gòu)和自律組織等內(nèi)容之后，第五條便對區(qū)塊鏈信息服務(wù)提供者的內(nèi)容安全管理責任進行了規(guī)定。可見對于監(jiān)管者來說，區(qū)塊鏈信息服務(wù)的安全運行具有特殊重要意義。根據(jù)該規(guī)定，區(qū)塊鏈信息服務(wù)提供者應(yīng)當建立健全用戶注冊、信息審核、應(yīng)急處置、安全防護等安全管理制度并承擔相應(yīng)責任。

(一)區(qū)塊鏈技術(shù)的安全風險及防范

區(qū)塊鏈技術(shù)作為一種網(wǎng)絡(luò)前沿技術(shù)，具有去中心化、匿名性、可追溯等特點[1]。這些技術(shù)特點決定了其本身具有一定的安全優(yōu)勢，包括數(shù)據(jù)的完整性、不可篡改性、抵抗DDOS(分布式拒絕服務(wù))攻擊等方面。作為一種可靠的賬簿系統(tǒng)，區(qū)塊鏈不僅讓鏈上數(shù)據(jù)的每一次變化都能真實明確的記錄在案，還能做到隱私保護和數(shù)據(jù)共享[2]。區(qū)塊鏈技術(shù)的這種高安全性的技術(shù)特點甚至被期望應(yīng)用于監(jiān)管高風險的金融行業(yè)，實現(xiàn)技術(shù)驅(qū)動型監(jiān)管[3]。

但在區(qū)塊鏈技術(shù)和應(yīng)用受到廣泛關(guān)注并快速發(fā)展的同時，也暴露出一定的安全風險。一方面，區(qū)塊鏈技術(shù)本身具有安全隱患。以加密貨幣為例，被廣泛宣傳的匿名性和隱私性并非完全可靠。在匿名性方面，根據(jù)相關(guān)研究，即使采取了隱私保護措施，一些比特幣用戶身份仍能被識別出來，虛擬貨幣地址不具有真正的匿名性。在隱私性方面，虛擬貨幣的每一筆交易都被公開記錄在區(qū)塊鏈上，任何人都可查閱，其隱私性無法保證；與此同時，區(qū)塊鏈實現(xiàn)安全的技術(shù)機制也并非絕對可靠，而是面臨失效風險。例如，量子計算機算力增強可能威脅區(qū)塊鏈未來安全；另一方面，區(qū)塊鏈技術(shù)往往和其他技術(shù)結(jié)合，而其他技術(shù)的風險也有傳導可能。

在實踐中，區(qū)塊鏈應(yīng)用安全事件頻繁發(fā)生，常造成不良影響和重大損失。這些安全事件主要集中在以下方面。首先，智能合約安全。由于智能合約的執(zhí)行仍存在著許多漏洞，這些漏洞被黑客利用會造成虛擬貨幣等財產(chǎn)外泄。智能合約中的全同態(tài)加密技術(shù)，被認為可保證數(shù)據(jù)的隱私和數(shù)據(jù)在不可信環(huán)境下運算的正確性，但全同態(tài)加密技術(shù)距離實際應(yīng)用還存在一定的距離[4]；其次，交易所安全。黑客入侵交易所竊取加密貨幣事件頻發(fā)。日本兩大虛擬貨幣交易所 Mt. Gox 和 Coincheck 均曾被盜，數(shù)字貨幣價值損失近千億日元。意大利虛擬貨幣交易所BitGrail和 Binance等都曾被攻擊并遭受損失[5]；再次，Dapp安全。Dapp安全事件集中主要發(fā)生在EOS主網(wǎng)。攻擊手段包括隨機數(shù)攻擊、種子漏洞、假幣攻擊等。

區(qū)塊鏈作為一種互聯(lián)網(wǎng)新興技術(shù)，其本身所具有的安全風險，可能引發(fā)不良影響。首先，這種安全風險與信息傳播領(lǐng)域結(jié)合，可能被利用來發(fā)布違法有害信息，實施網(wǎng)絡(luò)違法犯罪活動，損害社會正常管理秩序；其次，安全風險和安全漏洞被攻擊之后，可能給社會主體的合法權(quán)益造成重大損失；再次，安全事件頻發(fā)也影響區(qū)塊鏈技術(shù)自身發(fā)展。因此，為提高區(qū)塊鏈信息服務(wù)提供者的安全責任意識，敦促其提高安全管理措施和技術(shù)保障能力，維護網(wǎng)絡(luò)信息信息安全，也為了維護國家安全和公共利益，《管理規(guī)定》對區(qū)塊鏈信息服務(wù)提供者明確了諸多安全管理義務(wù)。

(二)區(qū)塊鏈信息服務(wù)提供者網(wǎng)絡(luò)安全義務(wù)的內(nèi)容

根據(jù)《管理規(guī)定》第五條規(guī)定，區(qū)塊鏈信息服務(wù)提供者應(yīng)當建立一系列安全管理制度。包括建立健全用戶注冊、信息審核、應(yīng)急處置、安全防護等管理制度等。首先，用戶注冊。區(qū)塊鏈用戶注冊的目的是為了落實網(wǎng)絡(luò)實名制的監(jiān)管要求?！毒W(wǎng)絡(luò)安全法》明確要求用戶上網(wǎng)必須確認自己的身份信息。用戶提供真實身份信息的具體執(zhí)行方式需要由區(qū)塊鏈信息服務(wù)提供者根據(jù)提供服務(wù)的具體形式進行系統(tǒng)設(shè)計。其核心是建立一定密碼認證系統(tǒng)，同時要注意對通過注冊程序取得的用戶信息的保護，避免出現(xiàn)系統(tǒng)內(nèi)攻擊[6]。其次，信息審核。其目的是為了確保獲得真實的身份、交易等信息。區(qū)塊鏈信息服務(wù)提供者應(yīng)按照《網(wǎng)絡(luò)安全法》等規(guī)定，對區(qū)塊鏈信息服務(wù)使用者進行基于組織機構(gòu)代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證。用戶不進行真實身份信息認證的，區(qū)塊鏈信息服務(wù)提供者不得為其提供相關(guān)服務(wù)，這主要是為了避免匿名性帶來的網(wǎng)絡(luò)安全風險[7]。因此，信息服務(wù)提供者需要具備一定的技術(shù)水平以支撐認證系統(tǒng)。這要求其提高作為網(wǎng)絡(luò)運營者的技術(shù)水平，實現(xiàn)其“身份認證系統(tǒng)”與網(wǎng)站后臺數(shù)據(jù)庫的有效銜接。再次，應(yīng)急處置。區(qū)塊鏈信息服務(wù)提供者需建立網(wǎng)絡(luò)安全事件應(yīng)急制度和工作機制，提高應(yīng)對網(wǎng)絡(luò)安全事件能力，預防和減少網(wǎng)絡(luò)安全事件造成的損失和危害。在出現(xiàn)應(yīng)急事件情況下具有處置能力，包括履行制定應(yīng)急預案、采取補救措施和向主管部門報告等義務(wù)；同時建立情報共享機制和判斷處置機制。最后，安全防護。根據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)以及我國監(jiān)管部門對互聯(lián)網(wǎng)監(jiān)管的相關(guān)要求，區(qū)塊鏈信息服務(wù)提供者應(yīng)當履行一定的安全管理義務(wù)。安全管理義務(wù)包括采取身份認證、制定預案、制定規(guī)則制度、采取技術(shù)措施等，也包括安全評估、安全審查、檢測評估等義務(wù)，對用戶信息保密和保護制度和信息規(guī)范收集、使用的義務(wù)。

根據(jù)我國《網(wǎng)絡(luò)安全法》的規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。這同樣適用于區(qū)塊鏈信息服務(wù)提供者。2018年公安部發(fā)布《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》。按照從低到高排列，網(wǎng)絡(luò)分為五個安全保護等級。2019年，我國對《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》三項國家標準進行了修訂，以適應(yīng)新技術(shù)、新標準的構(gòu)建，符合《網(wǎng)絡(luò)安全法》的相關(guān)要求。區(qū)塊鏈信息服務(wù)提供者也應(yīng)根據(jù)上述規(guī)范要求，在規(guī)劃設(shè)計階段確定網(wǎng)絡(luò)的安全保護等級。未來區(qū)塊鏈技術(shù)的發(fā)展還需要建立系統(tǒng)安全體系, 從整體上提升區(qū)塊鏈的安全性, 推動區(qū)塊鏈安全標準化[8]。

二、區(qū)塊鏈信息服務(wù)提供者的技術(shù)合規(guī)要求

為了實現(xiàn)區(qū)塊鏈信息服務(wù)提供的安全運行，區(qū)塊鏈信息服務(wù)提供者應(yīng)具備相應(yīng)的技術(shù)能力?！豆芾硪?guī)定》第六條規(guī)定， 區(qū)塊鏈信息服務(wù)提供者對于法律、行政法規(guī)禁止的信息內(nèi)容，應(yīng)當具備對其發(fā)布、記錄、存儲、傳播的即時和應(yīng)急處置能力，技術(shù)方案應(yīng)當符合國家相關(guān)標準規(guī)范。

(一)區(qū)塊鏈信息服務(wù)提供者的技術(shù)合規(guī)要求

根據(jù)要求，區(qū)塊鏈信息服務(wù)提供者應(yīng)當具備與其服務(wù)相適應(yīng)的技術(shù)條件，其制定的技術(shù)方案應(yīng)當符合國家相關(guān)標準規(guī)范。

從法律角度分析，如何精確界定“區(qū)塊鏈技術(shù)”存在一定困難。區(qū)塊鏈技術(shù)涉及領(lǐng)域比較繁雜，是一種綜合性技術(shù)應(yīng)用，包括分布式系統(tǒng)、存儲、密碼學、心理學、經(jīng)濟學、博弈論、控制論、網(wǎng)絡(luò)協(xié)議等。較為通行的觀點認為，區(qū)塊鏈技術(shù)的核心在于區(qū)塊鏈是一個提供了拜占庭容錯、并保證了最終一致性的分布式數(shù)據(jù)庫；從數(shù)據(jù)結(jié)構(gòu)上看，它是基于時間序列的鏈式數(shù)據(jù)塊結(jié)構(gòu)；從節(jié)點拓撲上看，它所有的節(jié)點互為冗余備份；從操作上看，它提供了基于密碼學的公私鑰管理體系來管理賬戶。也有觀點認為，區(qū)塊鏈技術(shù)需由要四個核心模塊組成：P2P 網(wǎng)絡(luò)協(xié)議、分布式一致性算法(共識機制)、加密簽名算法、賬戶與存儲模型。區(qū)塊鏈信息服務(wù)提供者的安全合規(guī)義務(wù)首先是以其采用區(qū)塊鏈技術(shù)作為前提的。

《管理規(guī)定》要求區(qū)塊鏈信息服務(wù)提供者應(yīng)當對特定內(nèi)容具備即時和應(yīng)急處置能力。這應(yīng)當說對區(qū)塊鏈信息服務(wù)提供者提出了一定的技術(shù)要求。區(qū)塊鏈技術(shù)的本質(zhì)特征是去中心化。參與者基于對技術(shù)與規(guī)則的信任達成共識，沒有任何一個人可以控制區(qū)塊鏈，會對鏈上的信息進行篡改[9]。有研究者認為，如果區(qū)塊鏈是中心化的，其基本特征和價值將不復存在。這種去中心化特征和法律要求的管控原則面臨沖突，甚至在一定程度上排斥監(jiān)管。區(qū)塊鏈信息服務(wù)提供者不能放棄對鏈上信息的控制，并應(yīng)對其信息內(nèi)容負有一定的責任。平衡區(qū)塊鏈技術(shù)去中心化特點和實現(xiàn)有效監(jiān)管是監(jiān)管者面臨的一個難題。這要求監(jiān)管者一方面要對傳統(tǒng)的法律觀念進行調(diào)整，采取代碼規(guī)制、“以鏈制鏈”的監(jiān)管手段；另一方面要加緊制定區(qū)塊鏈技術(shù)標準，以實現(xiàn)對區(qū)塊鏈技術(shù)的有效監(jiān)管。

(二)區(qū)塊鏈技術(shù)通用標準制定

區(qū)塊鏈國家標準一般認為包括基礎(chǔ)標準、業(yè)務(wù)和應(yīng)用標準、過程和方法標準、可信和互操作標準、信息安全標準等?！豆芾硪?guī)定》第六條規(guī)定區(qū)塊鏈技術(shù)方案應(yīng)當符合國家相關(guān)標準規(guī)范。但對照法律規(guī)范的要求，我國雖然已有相關(guān)標準制定的實踐活動，但目前并無統(tǒng)一的國家標準。研究者普遍認識到，區(qū)塊鏈技術(shù)作為一種顛覆性的創(chuàng)新應(yīng)用模式，現(xiàn)階段面臨各行業(yè)缺乏核心的理念和基本技術(shù)共識，行業(yè)發(fā)展碎片化問題。相關(guān)標準的制定對于全球區(qū)塊鏈技術(shù)發(fā)展具有重要意義[10]。

國際標準化組織ISO在2016年9月成立了區(qū)塊鏈和分布式賬本技術(shù)委員會ISO/TC307，并在2017年召開的ISO/TC307第一次工作會議上，成立了術(shù)語工作組，參考架構(gòu)、分類和本體研究工作組等七個工作組和研究組。2016年10月18日，中國區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇編寫的《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書(2016)》成為首個官方指導文件。2017年5月16日，工業(yè)和信息化部主導下的區(qū)塊鏈標準《區(qū)塊鏈參考架構(gòu)》作為區(qū)塊鏈領(lǐng)域的基礎(chǔ)性標準發(fā)布。該標準中的區(qū)塊鏈參考架構(gòu)(BRA)涉及用戶視圖、功能視圖，用戶視圖所包含的角色、子角色及其活動，以及角色之間的關(guān)系等?？梢哉f，我國已著手建立區(qū)塊鏈國家標準，以從頂層設(shè)計推動區(qū)塊鏈標準體系建設(shè)，相關(guān)部門也組建了全國區(qū)塊鏈和分布式記賬技術(shù)標準化委員會。

但總體而言，我國區(qū)塊鏈標準制定方面仍然難以滿足監(jiān)管需要。首先，區(qū)塊鏈技術(shù)目前仍然處于發(fā)展中，區(qū)塊鏈技術(shù)及平臺風險尚未充分暴露，有觀點對目前階段制定區(qū)塊鏈技術(shù)標準提出質(zhì)疑。其次，區(qū)塊鏈技術(shù)標準的法律地位比較模糊，技術(shù)標準只有通過一定方式轉(zhuǎn)化為技術(shù)法規(guī)，才能將其法律效力嵌入我國現(xiàn)行的法律規(guī)范體系中[11]。因此，我國可以根據(jù)區(qū)塊鏈技術(shù)發(fā)展情況就已經(jīng)成熟部分制定相應(yīng)標準，同時應(yīng)采取一定方式明確技術(shù)標準的法律地位。

三、區(qū)塊鏈信息服務(wù)管理規(guī)則和平臺公約

區(qū)塊鏈監(jiān)管也需要自律監(jiān)管。根據(jù)《管理規(guī)定》第七條規(guī)定，區(qū)塊鏈信息服務(wù)提供者應(yīng)當制定并公開管理規(guī)則和平臺公約，與區(qū)塊鏈信息服務(wù)使用者簽訂服務(wù)協(xié)議，明確雙方權(quán)利義務(wù)，要求其承諾遵守法律規(guī)定和平臺公約。

(一)管理規(guī)則和平臺公約的性質(zhì)和內(nèi)容

《管理規(guī)定》并未明確“管理規(guī)則”和“平臺公約”的基本內(nèi)容要求。本文認為，在缺少具體法律操作細則的情況下，可以參考我國2019年開始實施的《電子商務(wù)法》等相關(guān)規(guī)定?！峨娮由虅?wù)法》對電子商務(wù)平臺的服務(wù)協(xié)議和交易規(guī)則進行了明確規(guī)范，可以作為區(qū)塊鏈企業(yè)制定管理規(guī)則和平臺公約的參考。

區(qū)塊鏈信息服務(wù)提供者實現(xiàn)其平臺型經(jīng)營活動和區(qū)塊鏈信息服務(wù)平臺使用者進行管理主要依據(jù)就是管理規(guī)則和平臺公約。這是區(qū)塊鏈信息服務(wù)活動得以展開的法律層面和合同層面上的依據(jù)[12]。這里涉及兩個不同類型的法律文件。其一是管理規(guī)則；其二是平臺公約。管理規(guī)則是區(qū)塊鏈信息服務(wù)提供者制定的對于區(qū)塊鏈信息服務(wù)平臺的使用者使用區(qū)塊鏈信息服務(wù)平臺的基本規(guī)則。平臺公約則是區(qū)塊鏈信息服務(wù)使用者共同遵守的自律規(guī)范和交易規(guī)則。這兩者的制定主體都是區(qū)塊鏈信息服務(wù)提供者。相對于法律、行政法規(guī)的強制性規(guī)范來說，管理規(guī)則和平臺公約都具有自律性和自治性。但兩者還是有一定的區(qū)別，相比較而言，管理規(guī)則有更強的技術(shù)性，而平臺公約更強調(diào)參與者的共同遵守。

從性質(zhì)上來說，區(qū)塊鏈信息服務(wù)的管理規(guī)則和平臺公約與電子商務(wù)平臺的服務(wù)協(xié)議和交易規(guī)則十分類似，都屬于電子商務(wù)活動中形成的習慣法[13]；同時，由于管理規(guī)則和平臺公約一般由區(qū)塊鏈信息服務(wù)提供者制定，因此管理規(guī)則和平臺公約也屬于民法上格式條款的范疇，也應(yīng)適用民法上的格式條款規(guī)制。在現(xiàn)實中，格式條款規(guī)制在網(wǎng)絡(luò)平臺用戶協(xié)議中具有局限性，無法有效過濾不公平的格式條款，呈現(xiàn)裁判沖突、司法適用混亂等問題[14]。由于各種區(qū)塊鏈信息服務(wù)平臺的類型和商業(yè)模式區(qū)別很大，《管理規(guī)定》在具體內(nèi)容上并未給出具體指示。隨著區(qū)塊鏈技術(shù)發(fā)展和區(qū)塊鏈信息服務(wù)提供行業(yè)的逐漸成熟，監(jiān)管部門可能建立更加細致和具有可操作性的格式條款控制規(guī)則。從內(nèi)容上來說，應(yīng)當遵循公開、公平、公正原則，明確進入和退出區(qū)塊鏈平臺、區(qū)塊鏈條信息服務(wù)提供者服務(wù)內(nèi)容和服務(wù)質(zhì)量保障、區(qū)塊鏈信息服務(wù)使用者權(quán)益保護、個人信息保護等方面的權(quán)利和義務(wù)。

(二)管理規(guī)則和平臺公約的制定要求

根據(jù)區(qū)塊鏈信息服務(wù)提供者的特點以及《電子商務(wù)法》的有關(guān)規(guī)定，區(qū)塊鏈信息服務(wù)提供者在制定、修改和履行管理規(guī)則和平臺公約過程中，應(yīng)當遵守以下要求。第一，區(qū)塊鏈信息服務(wù)管理規(guī)則和平臺公約應(yīng)當遵守我國互聯(lián)網(wǎng)監(jiān)管以及區(qū)塊鏈相關(guān)管理規(guī)范且不違反法律、行政法規(guī)的強制性規(guī)定和公序良俗；第二，區(qū)塊鏈信息服務(wù)提供者應(yīng)在平臺首頁顯著位置持續(xù)公示管理規(guī)則和平臺公約或者上述信息的鏈接標識，并保證區(qū)塊鏈信息服務(wù)使用者能夠便利、完整地閱覽和下載。對于管理規(guī)則和平臺公約的公開性問題，在特殊情況下，也可以根據(jù)商業(yè)實踐的需求來進行調(diào)整；第三，修改區(qū)塊鏈信息服務(wù)平臺管理規(guī)則和平臺公約，應(yīng)當在其區(qū)塊鏈信息服務(wù)載體的首頁顯著位置公開征求意見，采取合理措施確保有關(guān)各方能夠及時充分表達意見。修改內(nèi)容應(yīng)當至少在實施前七日予以公示。區(qū)塊鏈信息服務(wù)使用者不接受修改內(nèi)容，要求退出平臺或其他載體的的，區(qū)塊鏈信息服務(wù)平臺提供者不得阻止，并按照修改前的管理規(guī)則和平臺公約承擔相關(guān)責任；第四，區(qū)塊鏈信息服務(wù)提供者不得利用管理規(guī)則、平臺公約以及服務(wù)協(xié)議、交易規(guī)則以及網(wǎng)絡(luò)技術(shù)手段，對區(qū)塊鏈信息服務(wù)使用者在區(qū)塊鏈信息服務(wù)內(nèi)容、交易價格以及與其他使用者的交易等環(huán)節(jié)進行不合理限制或者附加不合理條件，或者向區(qū)塊鏈信息服務(wù)使用者收取不合理費用；第五，依據(jù)區(qū)塊鏈信息服務(wù)管理規(guī)則和平臺公約對平臺內(nèi)經(jīng)營者違反法律、法規(guī)的行為實施警示、暫?；蛘呓K止服務(wù)等措施的，應(yīng)當及時公示。

四、區(qū)塊鏈新產(chǎn)品、新應(yīng)用和新功能的安全評估義務(wù)

《管理規(guī)定》第九條規(guī)定，區(qū)塊鏈信息服務(wù)提供者有按規(guī)定報國家和省、自治區(qū)、直轄市互聯(lián)網(wǎng)信息辦公室進行安全評估的義務(wù)。這明確了區(qū)塊鏈信息服務(wù)提供者對于所提供的新產(chǎn)品、新應(yīng)用和新功能的安全評估義務(wù)。

(一)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)評估的相關(guān)規(guī)范

互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)在追求創(chuàng)新中不斷快速發(fā)展，社會影響力逐漸增強，同時帶來一系列行業(yè)信息安全管理和技術(shù)上的挑戰(zhàn)。為了互聯(lián)網(wǎng)業(yè)務(wù)能有序、健康和創(chuàng)新性成長，互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)安全評估十分重要。安全評估成為網(wǎng)絡(luò)信息安全態(tài)勢感知、主動應(yīng)對、防御和威懾，掌握風險發(fā)生規(guī)律、動向等的重要手段[15]。我國《電信業(yè)務(wù)經(jīng)營許可管理辦法》明確規(guī)定了電信業(yè)務(wù)經(jīng)營者的新業(yè)務(wù)安全評估義務(wù)。區(qū)塊鏈作為一種新興網(wǎng)絡(luò)技術(shù)，面臨較大的網(wǎng)絡(luò)安全風險，因此對其新產(chǎn)品、新應(yīng)用和新功能進行安全評估具有重要意義。

新技術(shù)、新業(yè)務(wù)安全評估是為應(yīng)對信息安全新形勢、新需求的創(chuàng)新式探索，其本身也是一個全新事物[16]。我國已經(jīng)出臺了一系列關(guān)于互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)安全評估的管理規(guī)范，包括《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估管理辦法》(試行)《關(guān)于指導做好2016年互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估重點工作的通知》《關(guān)于進一步完善健全屬地化互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估督促整改工作機制的通知》《關(guān)于指導做好2017年互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估重點工作的通知》《電信業(yè)務(wù)分類目錄》(2015版)及特別規(guī)定事項，《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估指南》(YD/T3169-2016)等。2017年6月8日，工業(yè)和信息化部公開征求對《互聯(lián)網(wǎng)新業(yè)務(wù)安全評估管理辦法(征求意見稿)》。上述規(guī)范對互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)安全評估的適用范圍、重要定義、企業(yè)責任、評估啟動實施要點、安全評估報告與整改要求、監(jiān)督檢查說明以及相關(guān)法律責任等進行了規(guī)范。

對于新技術(shù)新業(yè)務(wù)的界定，可以參照工信部發(fā)布的《電信業(yè)務(wù)分類目錄(2015)》規(guī)定的信息服務(wù)業(yè)務(wù)范圍。其將信息服務(wù)業(yè)務(wù)界定為通過信息采集、開發(fā)、處理和信息平臺的建設(shè)，通過公用通信網(wǎng)或互聯(lián)網(wǎng)向用戶提供信息服務(wù)的業(yè)務(wù)。對于是否屬于區(qū)塊鏈信息服務(wù)提供者開發(fā)的新產(chǎn)品、新應(yīng)用、新功能，《電信業(yè)務(wù)分類目錄(2015)》是重要的參考判斷標準。該目錄范圍以外的產(chǎn)品、業(yè)務(wù)、功能需要進行安全評估。值得注意的是，該目錄在2019年進行了修訂，在A類“基礎(chǔ)電信業(yè)務(wù)”，“A12蜂窩移動通信業(yè)務(wù)”類別下，增設(shè)“A12—4 第五代數(shù)字蜂窩移動通信業(yè)務(wù)”業(yè)務(wù)子類，也就是5G通訊業(yè)務(wù)。5G作為新一代移動通信技術(shù)，具備高速率、低延時和海量接入等特性，對于區(qū)塊鏈技術(shù)發(fā)展具有重要意義，有助于解決區(qū)塊鏈交易速度慢等技術(shù)痛點，有利于區(qū)塊鏈技術(shù)的場景落地和產(chǎn)業(yè)應(yīng)用。

(二)區(qū)塊鏈新產(chǎn)品、新應(yīng)用和新功能的安全評估義務(wù)內(nèi)容

根據(jù)相關(guān)規(guī)定，互聯(lián)網(wǎng)新業(yè)務(wù)，是指電信業(yè)務(wù)經(jīng)營者通過互聯(lián)網(wǎng)新開展其已取得經(jīng)營許可的電信業(yè)務(wù)，或者通過互聯(lián)網(wǎng)運用新技術(shù)試辦未列入《電信業(yè)務(wù)分類目錄》的新型電信業(yè)務(wù)。安全評估是指電信業(yè)務(wù)經(jīng)營者對其互聯(lián)網(wǎng)新業(yè)務(wù)可能引發(fā)的網(wǎng)絡(luò)信息安全風險進行評估并采取必要的安全措施的活動。

參照現(xiàn)有規(guī)范性文件，區(qū)塊鏈信息服務(wù)提供者的評估義務(wù)主要包括以下幾個方面內(nèi)容。第一，評估內(nèi)容。評估內(nèi)容的具體范圍應(yīng)包括一般用戶個人信息保護、網(wǎng)絡(luò)安全防護、網(wǎng)絡(luò)信息安全、健全管理制度等方面。2017年《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估指南》等相關(guān)規(guī)范重點關(guān)注業(yè)務(wù)系統(tǒng)的“應(yīng)用”和“平臺”兩個安全層面，將各類業(yè)務(wù)風險點細分為11個評估模塊。使安全評估與安全管理緊密結(jié)合，圍繞不良信息監(jiān)測發(fā)現(xiàn)、定位處置，追蹤溯源等重要監(jiān)控管理環(huán)節(jié)開展安全評估；第二，評估方式?？煞譃樽孕性u估和委托專業(yè)機構(gòu)評估兩種。區(qū)塊鏈新業(yè)務(wù)的技術(shù)實現(xiàn)方式、業(yè)務(wù)功能或者用戶規(guī)模等發(fā)生較大變化，可能存在重大網(wǎng)絡(luò)信息安全風險的也要進行安全評估；第三，評估報告。區(qū)塊鏈新業(yè)務(wù)面向社會公眾上線后一定期限內(nèi)，應(yīng)向主管機構(gòu)告知安全評估情況，提供書面評估報告等材料。主管機構(gòu)有權(quán)要求限期改正或者重新評估，并提交評估材料；第四，評估檢查。主管機構(gòu)應(yīng)行使監(jiān)督檢查職能，同時建立新業(yè)務(wù)安全評估情況通報制度，定期公布區(qū)塊鏈新業(yè)務(wù)的安全評估情況。違反安全評估義務(wù)的行為應(yīng)承擔法律責任；第五，評估標準。區(qū)塊鏈新產(chǎn)品、新應(yīng)用和新功能的安全評估應(yīng)當區(qū)分為“業(yè)務(wù)安全風險評估”和“企業(yè)安全保障能力評估”，并建立一定的評估標準化流程。在評估方法方面，可以采用人員訪談、文檔審查、測評驗證等。評估流程可分為評估準備階段、評估實施階段和評估總結(jié)階段。

五、結(jié)語

除上述規(guī)定以外，與區(qū)塊鏈信息服務(wù)使用者一樣，區(qū)塊鏈信息服務(wù)使用者也不得利用區(qū)塊鏈信息服務(wù)從事危害國家安全、擾亂社會秩序、侵犯他人合法權(quán)益等法律、行政法規(guī)禁止的活動，不得利用區(qū)塊鏈信息服務(wù)制作、復制、發(fā)布、傳播法律、行政法規(guī)禁止的信息內(nèi)容。作為一個區(qū)塊鏈信息服務(wù)的使用者，只要不違反第十條的規(guī)定，并配合區(qū)塊鏈信息服務(wù)提供者的要求進行身份認證即可。

總之，我國對區(qū)塊鏈信息服務(wù)提供者的合規(guī)義務(wù)規(guī)定目前處于起步階段，雖已建立了基本框架，但仍有待于進一步的解釋和完善。