区块链企业将如何适用《网络安全审查办法》？

作者按：在《网络安全审查办法》下，相关区块链企业可能构成关键信息基础设施运营者或网络产品和服务提供者，其不仅需要了解该法已经规定的内容，还需要知晓其中尚待明确的事项，并应关注未来的立法进展，以做好应对工作。

2020年4月27日，包括国家网信办、发改委、工信部、部、安全部、财政部、商务部、央行、市场监督管理局、广电部门、保密局、密码管理局在内的12个政府部门联合发布了《网络安全审查办法》。该办法将于6月1日起实施。

《办法》是2016年11月出台的《网络安全法》的配套规定，将取代网信办在2017年5月发布的《网络产品和服务安全审查办法》，旨在进一步确保关键信息基础设施供应链安全，维护国家安全。《办法》本身虽然内容不多，却意义重大，将严格规范相关关键信息基础设施运营者和网络产品和服务提供者的购销行为。

然而，《办法》虽然在试行办法的基础上，搭建了更为完善的审查框架，但是在一些核心概念的界定上仍有不甚明确的地方，可能导致法规适用上的不确定性。

对于从事区块链相关业务的企业而言，如果其落入《办法》下的关键信息基础设施运营者或网络产品和服务提供者的范围，并且相关购销行为将影响或可能影响国家安全的，则也需遵守《办法》的规定。为合规开展业务之目的，该等区块链企业也有必要了解自身是否属于《办法》所规范的关键信息基础设施服务运营者、或网络产品和服务提供者，以及作为该等主体需要履行的主要义务等。

AI区块链治理协议首期流动性挖矿目前质押量达百万MOON:据官方消息，北京时间12月4日13:59分（柏林时间：12月4日6:59分）欧洲AI区块链治理协议正式通过生态通证MOON部署DeFi通证，并开启首期DeFi流动性挖矿，上线仅一小时，参与账户突破2000，质押MOON数量达百万枚，用户平均质押量为5000多枚MOON，最高质押量为15万MOON，预计公测首日产出MI通证约为8000枚。AI协议将根据公测首日所有账户质押生态通证MOON的算力总量确定MI日挖矿产出数量。

AI区块链治理协议是欧洲AI区块链治理实验室开发的一个基于大数据区块链治理协议，它支持用 Solidity 进行智能合约的开发，支持基于环签名的隐私保护，同时支持去中心化的跨链交易。[2020/12/4 13:59:22]

一、认定是否属于关键信息基础设施服务运营者

《办法》未对“关键信息基础设施运营者”进行定义，而是规定由关键信息基础设施保护工作部门认定。但是，认定的标准是什么？《办法》没有明确规定。

网信办有关负责人就《办法》相关问题答记者问时，提到了电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要网络和信息系统的运营者。但是，其回答仅是对相关行业领域的列举，而且还有“等”字做兜底，并没有直接回答上述问题。并且，其在答记者问中引用的规定《关于关键信息基础设施安全保护工作有关事项的通知》也未在公开渠道发布。

4月大湾区区块链指数36.1:由深圳金融科技协会湾区国际金融科技实验室指导，中央财经大学共识经济学课题组和互链脉搏联合编制的大湾区区块链指数（Bay Blockchain Index, BBI）发布了4月份BBI指数值为36.1，相较上月的22.1继续下降。

4月份BBI指数终于结束了长达半年的下降趋势，大幅度回升。本月有7项分指标出现了增长，同时共识分歧指数也有显著的收缩，表明行业已经完成筑底，正在进入一轮上涨周期。但是值得关注的是，员工数目有所下滑，这表明行业存在较大的裁员风险。（互链脉搏）[2020/5/6]

关于“关键信息基础设施”概念和认定标准，目前可以参考的是2016年6月中央网络安全和信息化领导小组办公室制定的《国家网络安全检查操作指南》、2016年11月全国人大常委会发布的《网安法》、网信办会同相关部门起草并在2017年7月公开征求意见的《关键信息基础设施安全保护条例》。总体而言，该等法律规范均采用了行业标准和后果标准这两项基本标准，但是行业范围有所不同。

其中，《操作指南》所规定的“关键信息基础设施”的行业范围最广，网站类、平台类、生产业务类都可能成为关键信息基础设施。

而《网安法》作为基础法律，其规定最为原则，列举了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，并授权国务院制定关键信息基础设施的具体范围。

动态 | 阿里巴巴集团平台治理部将引入区块链技术升级知产保护体系:据天下网商报道，5月23日，阿里巴巴集团平台治理部宣布，将引入区块链技术升级知产保护体系，更好地为全球企业和品牌、特别是中小企业提供知产保护服务，保护创新，捍卫正品。阿里知产保护总监李溪涵表示，利用区块链的开放性、透明性、不可篡改性等特点，阿里正在对知识产权存证备案做升级。今年9月，区块链技术将率先在阿里原创保护计划中使用，并逐步拓展到图片、音视频等数字版权保护领域。此次升级，阿里平台治理部引入了蚂蚁金服集团金融级商用区块链技术。[2019/5/23]

《条例草稿》则主要更新和细化了《网安法》下的行业标准，以“列举+兜底”方式新增了国防科工、大型装备等行业类别，且将“公共通信和信息服务”细化为“电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位”，而且还有“其他重点单位”的兜底条款，并规定国家网信办会同国务院电信主管部门、部门等部门制定关键信息基础设施识别指南。总体看来，《条例草稿》所规定的关键信息基础设施范围也比较宽泛，除了网信办负责人在答记者问中列举的几个行业领域外，还包括互联网、云计算、大数据及其他大型信息网络服务企业。

由于《办法》未对关键信息基础设施的范围作出明确规定，《网安法》规定比较原则、《操作指南》位阶较低，而《条例草稿》尚未生效，其中规定的识别指南也未出台，相关区块链企业平台等）是否会构成“关键信息基础设施运营者”，存在不确定性。相关区块链企业需关注《条例草稿》、识别指南等规范的立法进展。

动态 | 蜜罐合约利用区块链浏览器显示特性游戏参与者:近日，安比实验发现一种利用区块链浏览器显示特性的新型蜜罐合约正在泛滥。这是来自 QSP 安全研究人员 Martin Derka 披露的蜜罐合约事件。这个名为 QUESTION 的以太坊合约游戏，利用了区块链浏览器 Etherscan 部分合约调用显示不全的缺点，精心隐藏特定交易调用记录，从而游戏参与者。[2018/8/8]

二、判断是否属于网络产品和服务提供者

根据《办法》，“网络产品和服务”主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

虽然《办法》以列举的方式规定了“网络产品和服务”的概念，但是，该概念一些界定的定性上仍然缺乏明确的标准，并且，“其他对关键信息基础设施安全有重要影响的网络产品和服务”的兜底性内容也使得产品和服务的范围过于宽泛，可能导致实践中因缺乏判定标准而难以确定适用范围，给采购商和供应商都带来认定上的不确定性。

对于业务涉及提供宽泛意义上的网络产品和服务的区块链企业而言，同样会面临认定上的不确定性。笔者推测，相关部门未来应该会制定相关标准或提供相关产品和服务名录供企业参考，建议相关区块链企业关注立法进展。

三、了解作为关键信息基础设施服务运营者或网络产品和服务提供者的主要义务

纳斯达克将与SEB用区块链技术改变瑞典共同基金产业:日前，纳斯达克在其网站MARKETINSITE板块发布了案例研究文章。文章指出：瑞典的共同基金市场规模很大，管理的总资产价值约为3.5万亿瑞典克朗(约合4310亿美元)。纳斯达克和SEB在2017年开始讨论如何用区块链改善目前该市场的弊端，这两家公司建立了一个技术验证概念，并开始为交易和支付的概念和流程、为资产注册商进行建模。在第2阶段，他们邀请了代表共同基金行业各部分的四到六家公司在这个项目上进行合作，分析联盟模型的商业设置，定义业务范围，理清如何与现有的监管和法律框架保持一致，还将定义各自的业务案例。这项工作将在2018年晚些时候作出“go”或“no-go”的决定。该平台很可能会改变北欧人的游戏规则，吸引整个行业加入这个联盟。[2018/5/30]

1.作为关键信息基础设施服务运营者

(1)预判风险和申报审查

关键信息基础设施服务运营者应当预判该产品和服务投入使用后可能带来的国家安全风险。

运营者预判风险后认为影响或者可能影响国家安全的，运营者应当向网络安全审查办公室申报网络安全审查。

(2)了解网络产品和服务提供者本身的合规情况

网络安全审查重点评估运营者采购网络产品和服务可能带来的国家安全风险，主要考虑的因素一方面是采购的网络产品和服务的安全性、可控性，另一方面是网络产品和服务提供者本身遵守中国法律、行政法规、部门规章的情况。

这对运营者遴选供应商提出了要求，如果预判采购行为可能需要网络安全审查，运营者需了解网络产品和服务提供者的本身的合法合规情况。如果产品和服务提供者存在合规性瑕疵，可能导致运营者通不过网络安全审查。

(3)通过协议要求网络产品和服务提供者配合审查

运营者应通过采购文件、协议等要求网络产品和服务提供者配合网络安全审查，包括要求网络产品和服务提供者承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

(4)督促产品和服务提供者遵守承诺

运营者应当敦促产品和服务提供者履行网络安全审查中作出的承诺。

2.作为网络产品和服务提供者

(1)确保本身业务合规

如上所述，网络安全审查的重点除了网络产品和服务的安全性、可控性外，还包括产品和服务提供者本身遵守中国法律、行政法规、部门规章的情况。

据此，如果相关区块链企业拟成为关键信息基础设施运营者的供应商，出于可能需要进行国家安全审查的考虑，除了需确保其产品和服务安全、可控外，还应注意本身的合规性状况。如果区块链企业存在相关违规情况，将难以作为供应商，参与关键信息基础设施业务。

(2)在协议中作出相关承诺

如上所述，网络产品和服务提供者在与关键信息基础设施运营者所签署的相关采购文件、协议中，需要作出其不会利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

(3)在审查过程中提供配合

根据《办法》，网络安全审查办公室在进行网络安全审查的过程中，要求提供补充材料的，网络产品和服务提供者也应当予以配合。

鉴于在现行法律框架下，网络安全审查的监管力度在加强，而关键信息基础设施运营者、网络产品和服务提供者的范围认定存在模糊性，建议相关区块链企业结合自身的业务领域，一方面参考现有的规定进行初步判断，另一方面密切关注立法进展，与行业主管部门做好沟通。如果预判可能落入《办法》下的义务主体的，为不影响业务发展，错失商业机会，应提前加强网络安全方面的合规工作。

作者：张凌，瀚一律师事务所合伙人

声明：本文仅代表作者个人观点，不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容，请列明作者姓名。

本文注释：

网信办有关负责人就《办法》相关问题答记者问，http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm

《操作指南》第3.1条规定：“关键信息基础设施”是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

《网安法》第31条规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

《条例草稿》第18条规定：下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

广播电台、电视台、通讯社等新闻单位；

其他重点单位。

《办法》第9条规定：网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

产品和服务供应中断对关键信息基础设施业务连续性的危害；

产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为、外交、贸易等因素导致供应中断的风险；

产品和服务提供者遵守中国法律、行政法规、部门规章情况；

其他可能危害关键信息基础设施安全和国家安全的因素。

本文链接：https://www.8btc.com/article/589604

转载请注明文章出处

标签：区块链MOOMOONEFI区块链的未来发展前景 数字号MOONPAWhtmoon币鬼庄ChargeDeFi

DAI热门资讯