区块链信息服务提供者合规义务研究
——基于《区块链信息服务管理规定》
2020-12-10贾翱
贾 翱
2019年1月10日,《区块链信息服务管理规定》(以下称《管理规定》)经国家互联网信息办公室室务会议审议通过并公布,自2019年2月15日起施行。《管理规定》是我国第一部针对区块链信息服务进行监管的重要规范性文件。《管理规定》明确了区块链信息服务的概念以及区块链信息服务提供者包括安全管理、安全评估、用户管理、实名认证等诸多义务,并规定了相应的法律责任。《管理规定》的规制重点在于为区块链信息服务提供者规定了诸多合规义务。上述合规义务对区块链信息服务提供者合规运营具有重要的规范意义。
一、区块链信息服务提供者的安全管理责任
《管理规定》在明确规定了立法目的、相关概念、主管机构和自律组织等内容之后,第五条便对区块链信息服务提供者的内容安全管理责任进行了规定。可见对于监管者来说,区块链信息服务的安全运行具有特殊重要意义。根据该规定,区块链信息服务提供者应当建立健全用户注册、信息审核、应急处置、安全防护等安全管理制度并承担相应责任。
(一)区块链技术的安全风险及防范
区块链技术作为一种网络前沿技术,具有去中心化、匿名性、可追溯等特点[1]。这些技术特点决定了其本身具有一定的安全优势,包括数据的完整性、不可篡改性、抵抗DDOS(分布式拒绝服务)攻击等方面。作为一种可靠的账簿系统,区块链不仅让链上数据的每一次变化都能真实明确的记录在案,还能做到隐私保护和数据共享[2]。区块链技术的这种高安全性的技术特点甚至被期望应用于监管高风险的金融行业,实现技术驱动型监管[3]。
但在区块链技术和应用受到广泛关注并快速发展的同时,也暴露出一定的安全风险。一方面,区块链技术本身具有安全隐患。以加密货币为例,被广泛宣传的匿名性和隐私性并非完全可靠。在匿名性方面,根据相关研究,即使采取了隐私保护措施,一些比特币用户身份仍能被识别出来,虚拟货币地址不具有真正的匿名性。在隐私性方面,虚拟货币的每一笔交易都被公开记录在区块链上,任何人都可查阅,其隐私性无法保证;与此同时,区块链实现安全的技术机制也并非绝对可靠,而是面临失效风险。例如,量子计算机算力增强可能威胁区块链未来安全;另一方面,区块链技术往往和其他技术结合,而其他技术的风险也有传导可能。
在实践中,区块链应用安全事件频繁发生,常造成不良影响和重大损失。这些安全事件主要集中在以下方面。首先,智能合约安全。由于智能合约的执行仍存在着许多漏洞,这些漏洞被黑客利用会造成虚拟货币等财产外泄。智能合约中的全同态加密技术,被认为可保证数据的隐私和数据在不可信环境下运算的正确性,但全同态加密技术距离实际应用还存在一定的距离[4];其次,交易所安全。黑客入侵交易所窃取加密货币事件频发。日本两大虚拟货币交易所 Mt. Gox 和 Coincheck 均曾被盗,数字货币价值损失近千亿日元。意大利虚拟货币交易所BitGrail和 Binance等都曾被攻击并遭受损失[5];再次,Dapp安全。Dapp安全事件集中主要发生在EOS主网。攻击手段包括随机数攻击、种子漏洞、假币攻击等。
区块链作为一种互联网新兴技术,其本身所具有的安全风险,可能引发不良影响。首先,这种安全风险与信息传播领域结合,可能被利用来发布违法有害信息,实施网络违法犯罪活动,损害社会正常管理秩序;其次,安全风险和安全漏洞被攻击之后,可能给社会主体的合法权益造成重大损失;再次,安全事件频发也影响区块链技术自身发展。因此,为提高区块链信息服务提供者的安全责任意识,敦促其提高安全管理措施和技术保障能力,维护网络信息信息安全,也为了维护国家安全和公共利益,《管理规定》对区块链信息服务提供者明确了诸多安全管理义务。
(二)区块链信息服务提供者网络安全义务的内容
根据《管理规定》第五条规定,区块链信息服务提供者应当建立一系列安全管理制度。包括建立健全用户注册、信息审核、应急处置、安全防护等管理制度等。首先,用户注册。区块链用户注册的目的是为了落实网络实名制的监管要求。《网络安全法》明确要求用户上网必须确认自己的身份信息。用户提供真实身份信息的具体执行方式需要由区块链信息服务提供者根据提供服务的具体形式进行系统设计。其核心是建立一定密码认证系统,同时要注意对通过注册程序取得的用户信息的保护,避免出现系统内攻击[6]。其次,信息审核。其目的是为了确保获得真实的身份、交易等信息。区块链信息服务提供者应按照《网络安全法》等规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务,这主要是为了避免匿名性带来的网络安全风险[7]。因此,信息服务提供者需要具备一定的技术水平以支撑认证系统。这要求其提高作为网络运营者的技术水平,实现其“身份认证系统”与网站后台数据库的有效衔接。再次,应急处置。区块链信息服务提供者需建立网络安全事件应急制度和工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害。在出现应急事件情况下具有处置能力,包括履行制定应急预案、采取补救措施和向主管部门报告等义务;同时建立情报共享机制和判断处置机制。最后,安全防护。根据《网络安全法》等法律法规以及我国监管部门对互联网监管的相关要求,区块链信息服务提供者应当履行一定的安全管理义务。安全管理义务包括采取身份认证、制定预案、制定规则制度、采取技术措施等,也包括安全评估、安全审查、检测评估等义务,对用户信息保密和保护制度和信息规范收集、使用的义务。
根据我国《网络安全法》的规定,国家实行网络安全等级保护制度。这同样适用于区块链信息服务提供者。2018年公安部发布《网络安全等级保护条例(征求意见稿)》。按照从低到高排列,网络分为五个安全保护等级。2019年,我国对《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准进行了修订,以适应新技术、新标准的构建,符合《网络安全法》的相关要求。区块链信息服务提供者也应根据上述规范要求,在规划设计阶段确定网络的安全保护等级。未来区块链技术的发展还需要建立系统安全体系, 从整体上提升区块链的安全性, 推动区块链安全标准化[8]。
二、区块链信息服务提供者的技术合规要求
为了实现区块链信息服务提供的安全运行,区块链信息服务提供者应具备相应的技术能力。《管理规定》第六条规定, 区块链信息服务提供者对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。
(一)区块链信息服务提供者的技术合规要求
根据要求,区块链信息服务提供者应当具备与其服务相适应的技术条件,其制定的技术方案应当符合国家相关标准规范。
从法律角度分析,如何精确界定“区块链技术”存在一定困难。区块链技术涉及领域比较繁杂,是一种综合性技术应用,包括分布式系统、存储、密码学、心理学、经济学、博弈论、控制论、网络协议等。较为通行的观点认为,区块链技术的核心在于区块链是一个提供了拜占庭容错、并保证了最终一致性的分布式数据库;从数据结构上看,它是基于时间序列的链式数据块结构;从节点拓扑上看,它所有的节点互为冗余备份;从操作上看,它提供了基于密码学的公私钥管理体系来管理账户。也有观点认为,区块链技术需由要四个核心模块组成:P2P 网络协议、分布式一致性算法(共识机制)、加密签名算法、账户与存储模型。区块链信息服务提供者的安全合规义务首先是以其采用区块链技术作为前提的。
《管理规定》要求区块链信息服务提供者应当对特定内容具备即时和应急处置能力。这应当说对区块链信息服务提供者提出了一定的技术要求。区块链技术的本质特征是去中心化。参与者基于对技术与规则的信任达成共识,没有任何一个人可以控制区块链,会对链上的信息进行篡改[9]。有研究者认为,如果区块链是中心化的,其基本特征和价值将不复存在。这种去中心化特征和法律要求的管控原则面临冲突,甚至在一定程度上排斥监管。区块链信息服务提供者不能放弃对链上信息的控制,并应对其信息内容负有一定的责任。平衡区块链技术去中心化特点和实现有效监管是监管者面临的一个难题。这要求监管者一方面要对传统的法律观念进行调整,采取代码规制、“以链制链”的监管手段;另一方面要加紧制定区块链技术标准,以实现对区块链技术的有效监管。
(二)区块链技术通用标准制定
区块链国家标准一般认为包括基础标准、业务和应用标准、过程和方法标准、可信和互操作标准、信息安全标准等。《管理规定》第六条规定区块链技术方案应当符合国家相关标准规范。但对照法律规范的要求,我国虽然已有相关标准制定的实践活动,但目前并无统一的国家标准。研究者普遍认识到,区块链技术作为一种颠覆性的创新应用模式,现阶段面临各行业缺乏核心的理念和基本技术共识,行业发展碎片化问题。相关标准的制定对于全球区块链技术发展具有重要意义[10]。
国际标准化组织ISO在2016年9月成立了区块链和分布式账本技术委员会ISO/TC307,并在2017年召开的ISO/TC307第一次工作会议上,成立了术语工作组,参考架构、分类和本体研究工作组等七个工作组和研究组。2016年10月18日,中国区块链技术和产业发展论坛编写的《中国区块链技术和应用发展白皮书(2016)》成为首个官方指导文件。2017年5月16日,工业和信息化部主导下的区块链标准《区块链参考架构》作为区块链领域的基础性标准发布。该标准中的区块链参考架构(BRA)涉及用户视图、功能视图,用户视图所包含的角色、子角色及其活动,以及角色之间的关系等。可以说,我国已着手建立区块链国家标准,以从顶层设计推动区块链标准体系建设,相关部门也组建了全国区块链和分布式记账技术标准化委员会。
但总体而言,我国区块链标准制定方面仍然难以满足监管需要。首先,区块链技术目前仍然处于发展中,区块链技术及平台风险尚未充分暴露,有观点对目前阶段制定区块链技术标准提出质疑。其次,区块链技术标准的法律地位比较模糊,技术标准只有通过一定方式转化为技术法规,才能将其法律效力嵌入我国现行的法律规范体系中[11]。因此,我国可以根据区块链技术发展情况就已经成熟部分制定相应标准,同时应采取一定方式明确技术标准的法律地位。
三、区块链信息服务管理规则和平台公约
区块链监管也需要自律监管。根据《管理规定》第七条规定,区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。
(一)管理规则和平台公约的性质和内容
《管理规定》并未明确“管理规则”和“平台公约”的基本内容要求。本文认为,在缺少具体法律操作细则的情况下,可以参考我国2019年开始实施的《电子商务法》等相关规定。《电子商务法》对电子商务平台的服务协议和交易规则进行了明确规范,可以作为区块链企业制定管理规则和平台公约的参考。
区块链信息服务提供者实现其平台型经营活动和区块链信息服务平台使用者进行管理主要依据就是管理规则和平台公约。这是区块链信息服务活动得以展开的法律层面和合同层面上的依据[12]。这里涉及两个不同类型的法律文件。其一是管理规则;其二是平台公约。管理规则是区块链信息服务提供者制定的对于区块链信息服务平台的使用者使用区块链信息服务平台的基本规则。平台公约则是区块链信息服务使用者共同遵守的自律规范和交易规则。这两者的制定主体都是区块链信息服务提供者。相对于法律、行政法规的强制性规范来说,管理规则和平台公约都具有自律性和自治性。但两者还是有一定的区别,相比较而言,管理规则有更强的技术性,而平台公约更强调参与者的共同遵守。
从性质上来说,区块链信息服务的管理规则和平台公约与电子商务平台的服务协议和交易规则十分类似,都属于电子商务活动中形成的习惯法[13];同时,由于管理规则和平台公约一般由区块链信息服务提供者制定,因此管理规则和平台公约也属于民法上格式条款的范畴,也应适用民法上的格式条款规制。在现实中,格式条款规制在网络平台用户协议中具有局限性,无法有效过滤不公平的格式条款,呈现裁判冲突、司法适用混乱等问题[14]。由于各种区块链信息服务平台的类型和商业模式区别很大,《管理规定》在具体内容上并未给出具体指示。随着区块链技术发展和区块链信息服务提供行业的逐渐成熟,监管部门可能建立更加细致和具有可操作性的格式条款控制规则。从内容上来说,应当遵循公开、公平、公正原则,明确进入和退出区块链平台、区块链条信息服务提供者服务内容和服务质量保障、区块链信息服务使用者权益保护、个人信息保护等方面的权利和义务。
(二)管理规则和平台公约的制定要求
根据区块链信息服务提供者的特点以及《电子商务法》的有关规定,区块链信息服务提供者在制定、修改和履行管理规则和平台公约过程中,应当遵守以下要求。第一,区块链信息服务管理规则和平台公约应当遵守我国互联网监管以及区块链相关管理规范且不违反法律、行政法规的强制性规定和公序良俗;第二,区块链信息服务提供者应在平台首页显著位置持续公示管理规则和平台公约或者上述信息的链接标识,并保证区块链信息服务使用者能够便利、完整地阅览和下载。对于管理规则和平台公约的公开性问题,在特殊情况下,也可以根据商业实践的需求来进行调整;第三,修改区块链信息服务平台管理规则和平台公约,应当在其区块链信息服务载体的首页显著位置公开征求意见,采取合理措施确保有关各方能够及时充分表达意见。修改内容应当至少在实施前七日予以公示。区块链信息服务使用者不接受修改内容,要求退出平台或其他载体的的,区块链信息服务平台提供者不得阻止,并按照修改前的管理规则和平台公约承担相关责任;第四,区块链信息服务提供者不得利用管理规则、平台公约以及服务协议、交易规则以及网络技术手段,对区块链信息服务使用者在区块链信息服务内容、交易价格以及与其他使用者的交易等环节进行不合理限制或者附加不合理条件,或者向区块链信息服务使用者收取不合理费用;第五,依据区块链信息服务管理规则和平台公约对平台内经营者违反法律、法规的行为实施警示、暂停或者终止服务等措施的,应当及时公示。
四、区块链新产品、新应用和新功能的安全评估义务
《管理规定》第九条规定,区块链信息服务提供者有按规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估的义务。这明确了区块链信息服务提供者对于所提供的新产品、新应用和新功能的安全评估义务。
(一)互联网新技术新业务评估的相关规范
互联网新技术、新业务在追求创新中不断快速发展,社会影响力逐渐增强,同时带来一系列行业信息安全管理和技术上的挑战。为了互联网业务能有序、健康和创新性成长,互联网新技术、新业务安全评估十分重要。安全评估成为网络信息安全态势感知、主动应对、防御和威慑,掌握风险发生规律、动向等的重要手段[15]。我国《电信业务经营许可管理办法》明确规定了电信业务经营者的新业务安全评估义务。区块链作为一种新兴网络技术,面临较大的网络安全风险,因此对其新产品、新应用和新功能进行安全评估具有重要意义。
新技术、新业务安全评估是为应对信息安全新形势、新需求的创新式探索,其本身也是一个全新事物[16]。我国已经出台了一系列关于互联网新技术、新业务安全评估的管理规范,包括《互联网新技术新业务信息安全评估管理办法》(试行)《关于指导做好2016年互联网新技术新业务安全评估重点工作的通知》《关于进一步完善健全属地化互联网新技术新业务安全评估督促整改工作机制的通知》《关于指导做好2017年互联网新技术新业务安全评估重点工作的通知》《电信业务分类目录》(2015版)及特别规定事项,《互联网新技术新业务安全评估指南》(YD/T3169-2016)等。2017年6月8日,工业和信息化部公开征求对《互联网新业务安全评估管理办法(征求意见稿)》。上述规范对互联网新技术、新业务安全评估的适用范围、重要定义、企业责任、评估启动实施要点、安全评估报告与整改要求、监督检查说明以及相关法律责任等进行了规范。
对于新技术新业务的界定,可以参照工信部发布的《电信业务分类目录(2015)》规定的信息服务业务范围。其将信息服务业务界定为通过信息采集、开发、处理和信息平台的建设,通过公用通信网或互联网向用户提供信息服务的业务。对于是否属于区块链信息服务提供者开发的新产品、新应用、新功能,《电信业务分类目录(2015)》是重要的参考判断标准。该目录范围以外的产品、业务、功能需要进行安全评估。值得注意的是,该目录在2019年进行了修订,在A类“基础电信业务”,“A12蜂窝移动通信业务”类别下,增设“A12—4 第五代数字蜂窝移动通信业务”业务子类,也就是5G通讯业务。5G作为新一代移动通信技术,具备高速率、低延时和海量接入等特性,对于区块链技术发展具有重要意义,有助于解决区块链交易速度慢等技术痛点,有利于区块链技术的场景落地和产业应用。
(二)区块链新产品、新应用和新功能的安全评估义务内容
根据相关规定,互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。安全评估是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
参照现有规范性文件,区块链信息服务提供者的评估义务主要包括以下几个方面内容。第一,评估内容。评估内容的具体范围应包括一般用户个人信息保护、网络安全防护、网络信息安全、健全管理制度等方面。2017年《互联网新技术新业务安全评估指南》等相关规范重点关注业务系统的“应用”和“平台”两个安全层面,将各类业务风险点细分为11个评估模块。使安全评估与安全管理紧密结合,围绕不良信息监测发现、定位处置,追踪溯源等重要监控管理环节开展安全评估;第二,评估方式。可分为自行评估和委托专业机构评估两种。区块链新业务的技术实现方式、业务功能或者用户规模等发生较大变化,可能存在重大网络信息安全风险的也要进行安全评估;第三,评估报告。区块链新业务面向社会公众上线后一定期限内,应向主管机构告知安全评估情况,提供书面评估报告等材料。主管机构有权要求限期改正或者重新评估,并提交评估材料;第四,评估检查。主管机构应行使监督检查职能,同时建立新业务安全评估情况通报制度,定期公布区块链新业务的安全评估情况。违反安全评估义务的行为应承担法律责任;第五,评估标准。区块链新产品、新应用和新功能的安全评估应当区分为“业务安全风险评估”和“企业安全保障能力评估”,并建立一定的评估标准化流程。在评估方法方面,可以采用人员访谈、文档审查、测评验证等。评估流程可分为评估准备阶段、评估实施阶段和评估总结阶段。
五、结语
除上述规定以外,与区块链信息服务使用者一样,区块链信息服务使用者也不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。作为一个区块链信息服务的使用者,只要不违反第十条的规定,并配合区块链信息服务提供者的要求进行身份认证即可。
总之,我国对区块链信息服务提供者的合规义务规定目前处于起步阶段,虽已建立了基本框架,但仍有待于进一步的解释和完善。