(中国电信股份有限公司湖南分公司)
国务院出台的《“十三五”国家信息化规划》提出到2020年,“数字中国”建设取得显著成效,信息化能力跻身国际前列,其中区块链技术首次被列入了《规划》,并且强调了需加强区块链等新技术的创新、试验和应用,以实现抢占新一代信息技术主导权。区块链技术被认为是继大型机、个人电脑、互联网之后计算模式的颠覆式创新,很多企业认为是彻底改变业务乃至机构运作方式的重大突破性技术,应不断加强研究和广泛应用。为把握区块链产业发展机遇,各地政府出台了区块链技术应用好产业发展政策,让区块链技术应用产业迎来了新高潮。本文拟从国家网络安全法律规范的视角,聚焦分析区块链技术应用的网络安全法律风险,并提出防范措施和解决方案。
一、现行法律规定
根据中国工业与信息化部发布的《中国区块链技术和应用发展白皮书(2016)》所述,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新应用模式。中国电子技术标准化研究院联合数十家单位于2017年5月16日发布的《中国区块链技术和产业发展论坛标CBD-Forum-001-2017》中,将区块链(blockchain) 定义为“一种在对等网络环境下,通过透明和可信规则,构建不可伪造、不可篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。通过区块链的定义可以看出,区块链的技术应用应当遵守网络安全法的规范,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。区块链技术开发应用过程中,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
我国出台的网络安全法比较全面和系统地确立了各个主体包括国家有关主管部门、网络运营者、网络使用者在网络安全保护方面的义务和责任。另外,它确立了保障网络的设备设施安全,网络运行安全、网络数据安全,以及网络信息安全等各方面的基本制度。结合区块链技术特征重要的法律规范主要有两类:
第一类:网络运行安全法律规范
(1)防止网络数据泄露或者被窃取、篡改的网络运营者义务规范。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
(2)网络产品、服务安全规范。网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
(3)实名制安全规范。网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
(4)应急响应义务规范。网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
(5)关键信息基础设施保护规范。关键信息基础设施的运营者还应当履行设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查,定期对从业人员进行网络安全教育、技术培训和技能考核,对重要系统和数据库进行容灾备份等安全保护义务。
第二类:网络信息安全法律规范
(1)网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
(2)网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
(3)网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
(4)网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(5)个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
(6)网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
二、区块链技术应用的网络安全法律风险分析
(一)区块链系统安全产生的法律风险
《中华人民共和国网络安全法》有明确规定,企业应对网络运行安全负责,运营者应为网络产品提供持续安全服务。区块链系统存在技术安全风险,如果发生的原因是对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告,因此未遵循网络网络运行安全法规就会产生法律风险。
(1)区块链项目的一个特点是开源。2016年10月,国家互联网应急中心发布《开源软件源代码安全漏洞分析报告区块链专题》,针对区块链领域的知名开源软件,结合漏洞扫描工具和人工审计的方式,在代码层面发现高危安全漏洞746个,中危漏洞3497个,数量较多的高危漏洞有不安全的随机数、不安全的JNⅠ、空指针解引用等。系统存在高危漏洞,未采取必要安全措施,区块链应用在全球范围内高频爆发安全事件。2018年3月7日,全球交易量第二大的虚拟货币交易所币安遭受黑客攻击,黑客通过钓鱼获取了31个账户,并通过一系列操作卷走至少7个亿。2018年1月26日,日本加密货币交易所Coincheck被黑客入侵,时价580亿日元(约合33.7亿元人民币)的新经币失窃。2017年12月19日,韩国加密货币交易所Youbit称其遭遇今年第二次黑客入侵,17%比特币储备被盗,已经申请破产。2017年12月6日,加密货币采矿市场NiceHash因其网站存在安全漏洞,导致支付系统被黑,比特币钱包被盗,比特币失窃多达4,736.42个,时价高达6,200万美元。2017年11月8日,以太坊钱包Parity出现重大安全漏洞,损失超1.54亿美元。
(2)个人信息数据泄露的法律风险
透明性特点也即去信任化,参与整个系统中的每个节点之间进行数据交换是无需互相信任的,整个系统的运作规则是公开透明的,所有的数据内容也是公开的,区块链系统内各节点并非完全匿名,而是通过类似电子邮件地址的地址标识(例如比特币公钥地址)来实现数据传输。虽然地址标识并未直接与真实世界的人物身份相关联,但区块链数据是完全公开透明的,随着各类反匿名身份甄别技术的发展,实现部分重点目标的定位和识别仍是有可能的。
(3)实名制的法律风险
区块链技术具有匿名化特点,许多具体应用场景之中是非实名化,例如加密货币技术和通证,很大的吸引力就在于其进行匿名交易的能力。但根据网络安全法,实名制是政府监管的重要手段,我国《网络安全法》第二十四条明确规定落实实名制是网络运营者的法定义务。区块链技术及应用的所有者、管理者和服务提供者在一些特定的场景下属于网络运营者的范畴,需要遵守网络实名制的要求。
期刊文章分类查询,尽在期刊图书馆
(4)非法数据删除的法律风险
区块链具有数据信息不可篡改的特点, 一旦信息经过验证并添加至区块链,就会永久的存储起来,,区块链的数据记录方式使得修改某一数据需要变更所有的后续数据记录难度很大,相比于传统信息通信技术和应用,区块链技术是由集体维护且难以篡改的,这也给网络运营者是履行《网络安全法》“删除义务”带来很多障碍。按照《网络安全法》,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。例如如果有严重危害国家安全的非法信息被写入区块链在网络中传播,对网络运营者履行删除的法定义务带来法律风险。
(5)禁止发布或者传输的非法信息的法律风险。
网络安全法规定网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。但区块链技术网络有去中心化和自治性特征,由于使用分布式核算和存储,不存在中心化的硬件或管理机构,任意节点的权利和义务都是均等的,系统中的数据块由整个系统中具有维护功能的节点来共同维护。区块链采用基于协商一致的规范和协议(比如一套公开透明的算法)使得整个系统中的所有节点能够在去信任的环境自由安全的交换数据,使得对“人”的信任改成了对机器的信任,任何人为的干预不起作用。除非立即关闭区块链网络运营,网络经营者履行禁止发布或者传输的非法信息是很困难的。
(6)未落实网络安全等级保护制度的法律风险。
网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,网络安全等级保护制度基本包括管理层面的制度规程和责任人,技术层面的防病毒、入侵检测,日志管理和分析,数据分类,数据备份,数据加密等。
三、区块链技术应用网络安全法律风险的防范措施
为了有效防范区块链技术和应用的网络安全法律风险,推动我国区块链技术和应用发展,提出以下防范措施及解决方案建议:
(一)政府部门应建立完善保障区块链网络安全的法律法规体系,健全区块链技术标准。
网络安全法律法规是保障区块链健康有序发展的基本条件,政府网监部门应建立完善适应区块链发展的法律法规,明确技术和应用的网络安全要求,对区块链服务体系各主体责任作出相应的规定,营造有利于加快区块链发展的政策法律环境。
第一,建议以促进创新发展为目的,结合区块链技术应用特点柔性立法。针对区块链新技术应用中的法律冲突和法律空白问题,例如非中心化场景下对各节点的网络安全设施要求、匿名特征下对实名制的落实要求标准、如何对区块链进行监管、区块链网络攻击的认定及责任等,可以尝试“沙盒监管”的立法模式,一方面给新技术应用有探索试错的空间,一方面限制了系统性较大法律风险产生。
第二,分类分场景建立法律规范,做到精确监管。对公有链、私有链和联盟链以及不同的应用场景,针对不同的法律风险,制定尽量细致精确的法律制度规范,提供有效的法律制度保障。
第三,按网络安全法的要求,健全区块链网络安全技术标准。
为解决立法时间滞后的问题,可由政府主导,推动制定区块链技术标准体系。区块链标准化能打通应用通道,防范应用法律风险,提升应用效果,对于解决区块链发展问题、推进区块链应用起到重要作用。因此,为促进区块链应用的有序、健康和长效发展,很有必要大力推动开展区块链的标准化工作,特别是重视标准中的网络安全技术标准。
(二)区块链技术应用企业应当制定合规的、完善的内部网络安全制度,健全网络安全法律风险控制体系
1、建立区块链技术应用网络安全保护制度,具备防攻击、病毒等安全管理体系。
这是网络安全合规审查的基本要求,是企业开展网络业务的前提条件,也是网络公共安全事件发生后,企业是否应当承担责任以及承担多大责任的首要因素。
根据《网络安全法》的规定,网络安全的首要主体责任是企业,而企业落实网络安全主体责任的首要义务就是建立合规的、完善的网络安全制度体系,具体包括但不限于:网络安全及数据分级制度、网络安全定岗定责制度、网络系统及数据操作规程、个人信息保护制度、网络安全预案及应急制度、网络完全教育培训制度等。
2、落实网络安全岗位及责任人员
《网络安全法》明确规定,企业应当建立网络安全专门岗位及人员,这不仅是企业满足网络安全合规要求的体现,更是网络安全责任事件发生后如何确定相应的责任人员的重要依据,其中包括行业禁入的要求。
3、依法进行重要网络产品和服务采购应经安全审查,企业个人信息和重要数据跨境转移应经安全评估。
区块链技术应用于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施时,应依照《网络安全法》规定在采购网络产品和服务时,对可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
4、通过区块链网络安全风险分析评估、控制管理、监控,构建和完善法律风险防范体系。区块链网络安全风险防范体系有效运转是法律风险分析评估、法律风险控制管理、法律风险监督三环节共同协调运作的结果。要对法律风险进行有效的预防就要对其进行分析,制定相关的具体措施,然后监督执行。
(三)依法进行运用新技术的电信业务政府监管备案,或按要求申请电信增值业务许可
网络安全法要求网络经营活动应当遵循《电信条例》的行政法规要求的许可备案要求,目前执行的《电信业务分类目录》并未明确将区块链业务纳入任何已有的业务分类,依据《中华人民共和国电信条例》第九条规定:“运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省、自治区、直辖市电信管理机构备案。”因此,在不能确认区块链企业是否需要办理增值电信业务经营许可证情况下,区块链技术应用企业应当首先所在向省级电信管理机构申请办理新技术应用新型电信业务的备案手续,以确保其经营的合法性。
如果电信监管部门根据区块链技术应用场景,认为其业务符合第二类增值业务项下的“在线数据处理与交易处理业务”,即可能属于“利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。在线数据处理与交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。”,对此应按《中华人民共和国电信条例》以及《电信业务经营许可管理办法》办理“增值电信业务经营许可证”。
(四)加强个人信息保护,区块链企业应当建立网络平台信息内容审查机制
根据《网络安全法》规定,区块链企业有义务主动发现、停止传输、报告公共网络数据中的违法信息,应当建立网络信息内容审核与过滤制度,加强对其用户发布的信息的管理与审核工作。由于区块链网络点对点传播特点,区块链企业建立风控制度时,应当准确把握“明知和应知”违法信息的法律界限,发现违法信息在网络传播时立即报告。《网络安全法》明确规定了企业在个人信息收集、存储、使用等方面的合规要求,区块链企业应当结合自身业务场景,全面梳理经营过程中的业务数据、个人信息与隐私保护制度及业务流程,以满足《网络安全法》实施后的合规要求,关键是要避免由于自身系统技术漏洞导致私钥信息泄露。
论文作者:卢毅
论文发表刊物:《知识-力量》2019年2月中
论文发表时间:2018/12/11
标签:区块论文; 网络论文; 网络安全论文; 法律论文; 技术论文; 风险论文; 个人信息论文; 《知识-力量》2019年2月中论文;