区块链立法的起点:《区块链信息服务管理规定(征求意见稿)》

为规范区块链信息服务,国家网信办发布在2018年10月19日就《区块链信息服务管理规定》公开征求意见,这也是我国首次就国家级区块链法规公开征求意见。《区块链信息服务管理规定》公开征求意见意味着金融以外的区块链应用被监管者纳入视野,区块链立法开始进入“快车道”。

一、管辖范围

区块链信息服务,是指基于区块链技术或者系统通过互联网站、应用程序等形式,向社会公众提供信息服务。根据《互联网信息服务管理办法》,互联网信息服务包括:

  • 向上网用户有偿提供信息(经营性)
  • 网页制作等服务活动(经营性)
  • 向上网用户无偿提供具有公开性、共享性信息的服务活动(非经营性)

而通过区块链提供上述服务,即可能被纳入《区块链信息服务管理规定》认为是提供区块链信息服务。区块链的本质是分布式记账(记录信息)系统,在理论上所有的区块链系统都在提供信息服务,包括为最高人民法院所认可的区块链存证服务,都被《区块链信息服务管理规定》纳入管辖范围。

在主体方面区块链信息服务提供者,包括:

  • 向社会公众提供区块链信息服务的主体或者节点;
  • 为区块链信息服务的主体提供技术支持的机构或者组织。

《区块链信息服务管理规定》拟将节点提供者也认为是区块链信息服务提供者,而根据区块链去中心化的特点,所涉及的主体会远超想象。以比特币为例,只要在自己的电脑上下载了完整的钱包,即成为比特币系统的节点,也就属于区块链信息服务提供者。除此以外,技术支持机构也被定义为区块链信息服务提供者,极大拓展了《区块链信息服务管理规定》拟管辖的主体。

二、监管

区块链信息服务监管拟分为国家与地区(省级)两级。根据区块链分布式的特点,或许国家网信办需要承担更多的监管职责。如果基于区块链提供从事新闻、出版、教育、医疗保健、药品和医疗器械等服务,还需要获得相关领域主管部门的审核。

开展区块链信息服务,需要在国家网信办的系统中提交以下信息:

  • 服务提供者
  • 服务类别
  • 服务形式
  • 应用领域
  • 服务器地址
  • ……

《区块链信息服务管理规定》拟要求区块链信息服务提供者在开发上线新产品、新应用、新功能的,应当按有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。这可能会导致多重监管的问题,工信部传统上负责互联网新技术新业务安全评估,并在2017年曾就《互联网新业务安全评估管理办法》公开征求意见。如果网信办、工信部不进行有效协调,那么区块链开发者在推出新产品、新应用、新功能时,可能不得不需要向多个部门申请安全评估。

三、合规

在《区块链信息服务管理规定》中,拟要求区块链服务提供者主要从以下几方面进行合规:

  • 落实信息内容安全管理主体责任
  • 配备与服务规模相适应的专业人员和技术能力
  • 建立健全用户注册、信息审核、应急处置、安全防护等管理制度
  • 应当具备对违法内容发布、记录、存储、传播的即时和应急处置能力
  • 制定和公开管理规则和平台公约,与区块链信息服务使用者签订服务协议
  • 配合监督检查、设立举报入口
  • 发布内容与日志保留不少于六个月

更进一步,《区块链信息服务管理规定》拟要求区块链信息服务使用者落实网络实名制。在《网络安全法》中,实名制的要求仅限于:

  • 为用户办理网络接入、域名注册服务
  • 办理固定电话、移动电话等入网手续
  • 为用户提供信息发布、即时通讯等服务

区块链信息服务或许是被监管者认为属于为用户提供信息发布服务,而被要求网络实名制。

四、区块链信息服务提供者的法律责任

序号 行为 法律责任
1 填报虚假备案信息 暂停服务,限期整改注销备案
2 制作、复制、发布、传播法律法规和国家有关规定禁止的信息内容 警告、责令限期改正暂停服务处五千元以上三万元以下罚款

关闭服务

构成犯罪的,依法追究刑事责任

3 未在其网络平台上标明其备案编号 责令限期改正给予警告,并处五千元以上一万元以下罚款
4 未按本规定履行备案手续 责令限期改正给予警告,并处一万元以上三万元以下罚款
5 区块链信息服务存在信息安全隐患的 责令限期整改、暂停服务
6 未按规定办理变更、注销手续 警告、责令限期改正责令暂停服务,处五千元以上三万元以下罚款构成犯罪的,依法追究刑事责任
7 未落实合规义务
8 未进行新产品、新应用、新功能的评估
9 未落实网络实名制 责令改正处五万元以上五十万元以下罚款暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照

直接责任人员处一万元以上十万元以下罚款

10 未对违法信息进行有效处理 责令改正,给予警告,没收违法所得处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
11 内容日志留存未达到六个月 责令改正,给予警告处一万元以上十万元以下罚款对直接负责的主管人员处五千元以上五万元以下罚款

数据时代的数据规则:淘宝诉美景不正当竞争纠纷案

案件名称:淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案
案号:(2017)浙8601民初4034号
原告:淘宝(中国)软件有限公司(“淘宝公司”)
被告:安徽美景信息科技有限公司(“美景公司”)
审理法院:杭州铁路运输法院
裁判结果:美景停止不正当竞争行为,赔偿淘宝人民币200万元。 继续阅读数据时代的数据规则:淘宝诉美景不正当竞争纠纷案

重要数据,如何重要

“重要数据”是一个法律概念。

在《网络安全法》中,“重要数据”被不止一次提到:第二十一条要求网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份和加密等措施;第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

重要数据直接关系到等级保护与数据跨境传输两大制度,不可谓不重要,但在《网络安全法》却缺少相应的定义。

在信标委征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“评估指南”)中,将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。”并且将政府信息公开渠道合法公开的数据,排除出重要数据的范围。评估指南还以附录的形式,列了非常详细的重要数据识别指南。

近日,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》(“答复”)重要数据是指:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据。

较之于评估指南中事无巨细的27大类,答复只分了6大类,即使算细分也只有11类,无疑是缩小了重要数据的范围。但还是需要注意,答复并不是正式的法律文件,不具有法律效力。答复只是提供了未来重要数据划定范围的一个趋势。

《公安机关互联网安全监督检查规定》解读

2018年9月30日,公安部发布了《公安机关互联网安全监督检查规定》(”检查规定”),该检查规定曾在2018年4月公开征求意见,并将于2018年11月1日正式生效。

尽管新规颁布,并不是从“0”到“1”,公安部门对网络安全进行检查是早已有之。早在1994年公安部门就有《计算机信息系统安全保护条例》,而在网络安全领域也一直都是重要的监管部门。在2011年CSDN数据泄漏事件中,北京警方就以CSDN未履行等级保护义务而处以警告处罚。《网络安全法》生效后的大量执法案件里,公安部门也一直都是重要的执法力量。 继续阅读《公安机关互联网安全监督检查规定》解读

法律合规视角下的等级保护条例

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。 继续阅读法律合规视角下的等级保护条例