安全資訊

《互聯(lián)網(wǎng)交互式服務(wù)安全管理要求》由公安部起草，2020年1月16日正式發(fā)布，2020年3月1日起開(kāi)始實(shí)施，適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實(shí)互聯(lián)網(wǎng)安全管理制度和安全技術(shù)措施。該管理要求規定了互聯(lián)網(wǎng)交互式服務(wù)安全管理要求，囊括了“基本要求”和“具體服務(wù)類(lèi)型中的要求”，具體服務(wù)如：“微博客服務(wù)”、“音視頻聊天室服務(wù)”、“即時(shí)通訊服務(wù)”、“論壇服務(wù)”、“移動(dòng)應用軟件發(fā)布平臺”、“云服務(wù)”、“電子商務(wù)平臺”、“電子商務(wù)平臺”、“搜索服務(wù)”、“互聯(lián)網(wǎng)約車(chē)服務(wù)”和“互聯(lián)網(wǎng)短租房服務(wù)”，明確規定了互聯(lián)網(wǎng)交互式服務(wù)提供者的個(gè)人信息保護義務(wù)：制訂信息處理規則，明示收集與使用；限制收集和用戶(hù)明確授權原則；修改規則應告知用戶(hù)，并取得其同意；建立安全保護制度和技術(shù)措施；制定信息泄露事件的處理措施等。

安全管理制度

1.制度與規程

①互聯(lián)網(wǎng)交互式服務(wù)提供者應建立文件化的安全管理制度，安全管理制度文件應包括：

a） 安全責任制度；

b）安全崗位管理制度；

c） 安全培訓制度

d）人員管理制度

e） 安全運維管理制度

f） 安全評估報備制度

g） 用戶(hù)注冊制度；

h）信息發(fā)布審核制度；

i） 信息巡查制度；

j） 個(gè)人信息保護制度；

k） 用戶(hù)投訴舉報接收處理制度；

l） 安全事件監測、預警、通報及應急響應制度；

m）適用的現行法律、法規、規章、標準和行政審批文件。

②安全管理制度應經(jīng)過(guò)管理層批準并發(fā)布執行。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應建立與安全管理制度相配套的操作規程，包括但不限于：網(wǎng)絡(luò )與系統運行安全、數據安全和備份、日志與用戶(hù)數據記錄、信息發(fā)布審核、違法有害信息防范和處置、個(gè)人信息保護、破壞性程序防范、分包等。

2.文件控制

安全管理制度文件應予以保護和控制，包括但不限于：

a）按計劃的時(shí)間間隔或在發(fā)生重大的變化時(shí)評審安全管理制度文件，以確保文件是適當的；

b）確保在使用處獲得適用文件的最新授權版本；

c）確保文件的清晰、可識別；

d）確保對外來(lái)文件進(jìn)行識別，并進(jìn)行分發(fā)控制；

e）確保文件是現行有效的。

3.記錄控制

互聯(lián)網(wǎng)交互式服務(wù)提供者應保留安全管理制度的制定、變更、執行等過(guò)程中相關(guān)的記錄并加以保護與控制，防止未經(jīng)授權的訪(fǎng)問(wèn)或修改。

安全技術(shù)措施

1、網(wǎng)絡(luò )與系統運行安全

互聯(lián)網(wǎng)交互式服務(wù)提供者應綜合考慮系統的安全需求，制定整體的安全防護方案，落實(shí)安全防護措施，建立應急響應體系，包括但不限于：

a）重要系統和數據庫具備容災能力；

b）根據業(yè)務(wù)需求，及時(shí)進(jìn)行補丁更新；

c）實(shí)施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

d）實(shí)施不間斷地網(wǎng)絡(luò )攻擊和網(wǎng)絡(luò )入侵行為的預防、檢測與響應措施；

e）適用時(shí)，對重要文件的完整性進(jìn)行檢測，并具備文件完整性受到破壞后的恢復措施；

f）采取技術(shù)措施監測、記錄網(wǎng)絡(luò )運行狀態(tài)、信息安全事件和用戶(hù)活動(dòng)行為等；

g）對系統的脆弱性進(jìn)行評估，并采取適當的措施處理相關(guān)的風(fēng)險。

注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

2、數據安全與備份

互聯(lián)網(wǎng)交互式服務(wù)提供者應對數據采取備份和保護等措施，保證數據的安全，包括但不限于：

a） 對數據進(jìn)行分級分類(lèi)

b）對重要數據的傳輸和存儲采取加密等安全保護措施；

c） 根據數據分類(lèi)結果建立不同數據的備份策略，提供足夠的備份設施，確保必要的信息和軟件在災難或介質(zhì)故障時(shí)可以恢復；

d）建立數據安全備份和恢復流程，必要時(shí)對備份和恢復過(guò)程進(jìn)行演練，并對備份數據進(jìn)行定期校驗。

3、日志與用戶(hù)數據記錄

①互聯(lián)網(wǎng)交互式服務(wù)提供者應記錄用戶(hù)注冊的相關(guān)信息，包括用戶(hù)唯一標識、用戶(hù)名稱(chēng)及修改記錄、實(shí)名信息、注冊時(shí)間、IP地址及源端口、用戶(hù)備注信息等，其中實(shí)名信息可為姓名、證件類(lèi)型、證件號碼、電子郵箱地址、手機號碼等。

②對于記錄的用戶(hù)活動(dòng)日志，其內容應包括但不限于：

a）用戶(hù)的登錄日志，包括：

1）用戶(hù)唯一標識；

2）登錄時(shí)間；

3）退出時(shí)間；

4）IP地址及端口號。

b）用戶(hù)的信息發(fā)布日志，包括：

1）用戶(hù)唯一標識；

2）信息標識；

3）信息發(fā)布時(shí)間；

4）IP地址及端口號；

5）信息標題或摘要，包括圖片摘要。

c） 用戶(hù)的行為日志，包括：

1）發(fā)布、修改、刪除所發(fā)信息的行為；

2）上傳、下載文件的行為；

3）用戶(hù)自身屬性變更的行為。

d）匿名用戶(hù)行為，包括：

1）訪(fǎng)問(wèn)時(shí)間；

2）來(lái)源IP地址。

適用時(shí)，應記錄使用客戶(hù)端終端設備的標識、位置。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應確保日志內容的可溯源性，即可追溯到用戶(hù)ID、網(wǎng)絡(luò )地址和協(xié)議。涉及消息服務(wù)的，應能防范偽造、隱匿發(fā)送者真實(shí)標記的消息的措施；涉及地址轉換技術(shù)的服務(wù)，如移動(dòng)上網(wǎng)、網(wǎng)絡(luò )代理、內容分發(fā)等，應記錄轉換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的，應記錄原始URL與短URL之間的映射關(guān)系。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應確保日志與用戶(hù)數據記錄的時(shí)間由系統范圍內唯一確定的時(shí)鐘產(chǎn)生。

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應保護日志，確保無(wú)法單獨中斷審計進(jìn)程，防止未授權的刪除、修改和覆蓋。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應根據公安機關(guān)要求留存用戶(hù)訪(fǎng)問(wèn)指定信息的日志。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應留存相關(guān)的日志和用戶(hù)數據，具體保存周期要求如下：

a） 永久保留用戶(hù)注冊信息及歷史變更記錄；

b）留存網(wǎng)絡(luò )運行日志和系統維護日志不少于6個(gè)月；

c） 留存網(wǎng)絡(luò )安全事件日志不少于6個(gè)月；

d）留存用戶(hù)活動(dòng)日志不少于6個(gè)月；

e） 留存用戶(hù)發(fā)布的信息內容不少于6個(gè)月。

業(yè)務(wù)安全

１、安全評估及報備

互聯(lián)網(wǎng)交互式服務(wù)者應在互聯(lián)網(wǎng)服務(wù)安全評估制度中明確互聯(lián)網(wǎng)新服務(wù)、新功能應在上線(xiàn)前進(jìn)行安全評估，應制定信息網(wǎng)絡(luò )安全技術(shù)方案，并將安全風(fēng)險評估結果向管轄地公安機關(guān)報備。

２、用戶(hù)管理

①互聯(lián)網(wǎng)交互式服務(wù)提供者應在用戶(hù)注冊時(shí)，與用戶(hù)簽訂業(yè)務(wù)協(xié)議.告知相關(guān)權利義務(wù)及需承擔 的法律責任。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應建立用戶(hù)管理機制.包括但不限于：

ａ)對用戶(hù)真實(shí)身份信息進(jìn)行有效核驗，有效核驗方法應能追溯到用戶(hù)登記的真實(shí)身份，如：

１）身份證與姓名的實(shí)名驗證服務(wù)；

２）有效的銀行卡；

３）合法、有效的數字證書(shū)；

４）已確認真實(shí)身份的網(wǎng)絡(luò )服務(wù)的注冊用戶(hù)；

５）經(jīng)電信運營(yíng)商接入實(shí)名認證的用戶(hù)；

６）生物特征。

b）禁止匿名用戶(hù)的信息發(fā)布權限，僅提供基本的瀏覽、查看功能。

c）對用戶(hù)的賬號、昵稱(chēng)、頭像和備注等信息進(jìn)行審核，禁止使用以下內容：

１）違反國家現行法律法規規定的；

２）違背社會(huì )公序良俗的；

３）容易引起公眾不良反應或誤解的。

ｄ）建立用戶(hù)黑名單制度，對互聯(lián)網(wǎng)交互式服務(wù)提供者自行發(fā)現以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶(hù)應納入黑名單管理。

注：如某網(wǎng)站采用已經(jīng)實(shí)名認證的第三方賬戶(hù)登錄，可認為該網(wǎng)站的用戶(hù)已進(jìn)行有效核驗。

③當用戶(hù)利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時(shí)，互聯(lián)網(wǎng)交互式服務(wù)提供者應查驗其合法資質(zhì)，查驗可以通過(guò)以下方法進(jìn)行：

ａ）通過(guò)核對行政許可文件查驗；

ｂ）通過(guò)行政許可主管部門(mén)的公開(kāi)信息查驗；

ｃ）通過(guò)行政許可主管部門(mén)的驗證電話(huà)、驗證平臺查驗。

３、違法有害信息防范和處置

①互聯(lián)網(wǎng)交互式服務(wù)提供者應建立與交互式服務(wù)特點(diǎn)相符的信息巡查制度，及時(shí)發(fā)現并處置違法 有害信息。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應采取管理與技術(shù)措施，及時(shí)發(fā)現并停止違法有害信息的發(fā)布。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應采用人工或自動(dòng)化方式，對發(fā)布的信息進(jìn)行審核或過(guò)濾。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應采取技術(shù)措施過(guò)濾違法有害信息，包括但不限于：

a） 基于關(guān)鍵詞的違法有害文字信息（支持文字的變種、混淆等）的屏蔽過(guò)濾；

b）基于樣本數據特征值的違法有害音視頻、圖片的屏蔽過(guò)濾；

c） 基于違法有害外域鏈接的屏蔽過(guò)濾；

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應采取技術(shù)措施對違法有害信息的來(lái)源實(shí)施控制，防止繼續傳播。違法有害信息來(lái)源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發(fā)布來(lái)源、控制特定地區或指定IP帳號登陸、禁止客戶(hù)端推送、切斷與第三方應用的互聯(lián)互通等。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應建立涉嫌違法犯罪線(xiàn)索、異常情況報告、安全提示和案件調查配合 機制，包括：

a）對發(fā)現的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據（包括用戶(hù)注冊信息、用戶(hù)登錄信息、用戶(hù)發(fā)布信息等記錄），并向屬地公安機關(guān)報告；

b）對于煽動(dòng)非法聚集、策劃恐怖活動(dòng)、揚言實(shí)施個(gè)人極端行為等重要情況或重大緊急事件立即向屬地公安機關(guān)報告，同時(shí)配合公安機關(guān)做好調查取證工作；

c）在不破壞數據完整性、有效性的前提下將相關(guān)電子數據及時(shí)傳給屬地公安機關(guān)，通知相應的公 安機關(guān)進(jìn)行現場(chǎng)處理。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應與公安機關(guān)建立全天候的違法有害信息快速處置工作機制，應能及 時(shí)刪除有明確URL的單條違法有害信息，特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一 環(huán)節，相關(guān)的屏蔽過(guò)濾措施應能及時(shí)生效。

４、破壞性程序防范

①互聯(lián)網(wǎng)交互式服務(wù)提供者應能發(fā)現破壞性程序并采取措施立即停止發(fā)布，同時(shí)保留發(fā)現的破壞 性程序的相關(guān)證據。

②對軟件下載服務(wù)提供者（包括應用軟件商店），其應檢查用戶(hù)發(fā)布的軟件是否含有計算機病毒等惡意代碼。

個(gè)人信息保護

１、處理規則

a）網(wǎng)絡(luò )交互式服務(wù)提供者應在個(gè)人信息保護制度中明確個(gè)人信息收集、使用、處理規則，并在顯 著(zhù)位置予以公示。在用戶(hù)注冊時(shí)，應在與用戶(hù)簽訂服務(wù)協(xié)議中明示收集、使用、處理個(gè)人信息的目的、范圍與方式。

b）網(wǎng)絡(luò )交互式服務(wù)提供者僅收集為實(shí)現正當商業(yè)目的和提供網(wǎng)絡(luò )服務(wù)所必需的個(gè)人信息；收集 個(gè)人信息時(shí)，應取得用戶(hù)明確授權同意;將個(gè)人信息交給第三方處理時(shí)，處理方應符合本部分要求，并取 得用戶(hù)明確授權同意；法律、行政法規另有規定的，從其規定。

c）修改個(gè)人信息處理規則時(shí)，網(wǎng)絡(luò )交互式服務(wù)提供者應告知用戶(hù)，并取得其同意。

2、技術(shù)措施

網(wǎng)絡(luò )交互式服務(wù)提供者應建立覆蓋個(gè)人信息處理的各個(gè)環(huán)節的安全保護制度和技術(shù)措施，防止個(gè) 人信息泄露、損毀、丟失，包括：

a）釆用加密方式保存用戶(hù)密碼等重要信息；

b）對內部員工涉及個(gè)人信息的所有操作進(jìn)行審計，并對審計結果進(jìn)行分析，預防內部員工故意 泄露；

c）對個(gè)人信息的采集、存儲或傳輸行為進(jìn)行審計，作為信息是否泄露、毀損、丟失的查詢(xún)依據；

d）建立程序來(lái)控制對涉及個(gè)人信息的系統和服務(wù)的訪(fǎng)問(wèn)權的分配，這些程序涵蓋用戶(hù)訪(fǎng)問(wèn)生存 周期內的各個(gè)階段。

3、個(gè)人信息安全事件應急處置

對于個(gè)人信息安全事件安全事件，互聯(lián)網(wǎng)交互式服務(wù)提供者應具備以下能力：

a）發(fā)現并識別個(gè)人信息安全事件，同時(shí)保留原始記錄；

b）立即采取補救措施，防止信息安全事件繼續發(fā)生；

c）及時(shí)告知用戶(hù)，并立即報告屬地公安機關(guān)。