網(wǎng)警普法丨互聯(lián)網(wǎng)交互式服務(wù)安全管理要求
《互聯(lián)網(wǎng)交互式服務(wù)安全管理要求》由公安部起草,2020年1月16日正式發(fā)布,2020年3月1日起開始實施,適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實互聯(lián)網(wǎng)安全管理制度和安全技術(shù)措施。該管理要求規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)安全管理要求,囊括了“基本要求”和“具體服務(wù)類型中的要求”,具體服務(wù)如:“微博客服務(wù)”、“音視頻聊天室服務(wù)”、“即時通訊服務(wù)”、“論壇服務(wù)”、“移動應(yīng)用軟件發(fā)布平臺”、“云服務(wù)”、“電子商務(wù)平臺”、“電子商務(wù)平臺”、“搜索服務(wù)”、“互聯(lián)網(wǎng)約車服務(wù)”和“互聯(lián)網(wǎng)短租房服務(wù)”,明確規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)提供者的個人信息保護義務(wù):制訂信息處理規(guī)則,明示收集與使用;限制收集和用戶明確授權(quán)原則;修改規(guī)則應(yīng)告知用戶,并取得其同意;建立安全保護制度和技術(shù)措施;制定信息泄露事件的處理措施等。
安全管理制度
1.制度與規(guī)程
①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立文件化的安全管理制度,安全管理制度文件應(yīng)包括:
a) 安全責任制度;
b)安全崗位管理制度;
c) 安全培訓制度
d)人員管理制度
e) 安全運維管理制度
f) 安全評估報備制度
g) 用戶注冊制度;
h)信息發(fā)布審核制度;
i) 信息巡查制度;
j) 個人信息保護制度;
k) 用戶投訴舉報接收處理制度;
l) 安全事件監(jiān)測、預(yù)警、通報及應(yīng)急響應(yīng)制度;
m)適用的現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。
②安全管理制度應(yīng)經(jīng)過管理層批準并發(fā)布執(zhí)行。
③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立與安全管理制度相配套的操作規(guī)程,包括但不限于:網(wǎng)絡(luò)與系統(tǒng)運行安全、數(shù)據(jù)安全和備份、日志與用戶數(shù)據(jù)記錄、信息發(fā)布審核、違法有害信息防范和處置、個人信息保護、破壞性程序防范、分包等。
2.文件控制
安全管理制度文件應(yīng)予以保護和控制,包括但不限于:
a)按計劃的時間間隔或在發(fā)生重大的變化時評審安全管理制度文件,以確保文件是適當?shù)模?
b)確保在使用處獲得適用文件的最新授權(quán)版本;
c)確保文件的清晰、可識別;
d)確保對外來文件進行識別,并進行分發(fā)控制;
e)確保文件是現(xiàn)行有效的。
3.記錄控制
互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)保留安全管理制度的制定、變更、執(zhí)行等過程中相關(guān)的記錄并加以保護與控制,防止未經(jīng)授權(quán)的訪問或修改。
安全技術(shù)措施
1、網(wǎng)絡(luò)與系統(tǒng)運行安全
互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)綜合考慮系統(tǒng)的安全需求,制定整體的安全防護方案,落實安全防護措施,建立應(yīng)急響應(yīng)體系,包括但不限于:
a)重要系統(tǒng)和數(shù)據(jù)庫具備容災(zāi)能力;
b)根據(jù)業(yè)務(wù)需求,及時進行補丁更新;
c)實施計算機病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復(fù)措施;
d)實施不間斷地網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施;
e)適用時,對重要文件的完整性進行檢測,并具備文件完整性受到破壞后的恢復(fù)措施;
f)采取技術(shù)措施監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、信息安全事件和用戶活動行為等;
g)對系統(tǒng)的脆弱性進行評估,并采取適當?shù)拇胧┨幚硐嚓P(guān)的風險。
注:系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等多種方式。
2、數(shù)據(jù)安全與備份
互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)對數(shù)據(jù)采取備份和保護等措施,保證數(shù)據(jù)的安全,包括但不限于:
a) 對數(shù)據(jù)進行分級分類
b)對重要數(shù)據(jù)的傳輸和存儲采取加密等安全保護措施;
c) 根據(jù)數(shù)據(jù)分類結(jié)果建立不同數(shù)據(jù)的備份策略,提供足夠的備份設(shè)施,確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復(fù);
d)建立數(shù)據(jù)安全備份和恢復(fù)流程,必要時對備份和恢復(fù)過程進行演練,并對備份數(shù)據(jù)進行定期校驗。
3、日志與用戶數(shù)據(jù)記錄
①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)記錄用戶注冊的相關(guān)信息,包括用戶唯一標識、用戶名稱及修改記錄、實名信息、注冊時間、IP地址及源端口、用戶備注信息等,其中實名信息可為姓名、證件類型、證件號碼、電子郵箱地址、手機號碼等。
②對于記錄的用戶活動日志,其內(nèi)容應(yīng)包括但不限于:
a)用戶的登錄日志,包括:
1)用戶唯一標識;
2)登錄時間;
3)退出時間;
4)IP地址及端口號。
b)用戶的信息發(fā)布日志,包括:
1)用戶唯一標識;
2)信息標識;
3)信息發(fā)布時間;
4)IP地址及端口號;
5)信息標題或摘要,包括圖片摘要。
c) 用戶的行為日志,包括:
1)發(fā)布、修改、刪除所發(fā)信息的行為;
2)上傳、下載文件的行為;
3)用戶自身屬性變更的行為。
d)匿名用戶行為,包括:
1)訪問時間;
2)來源IP地址。
適用時,應(yīng)記錄使用客戶端終端設(shè)備的標識、位置。
③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)確保日志內(nèi)容的可溯源性,即可追溯到用戶ID、網(wǎng)絡(luò)地址和協(xié)議。涉及消息服務(wù)的,應(yīng)能防范偽造、隱匿發(fā)送者真實標記的消息的措施;涉及地址轉(zhuǎn)換技術(shù)的服務(wù),如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等,應(yīng)記錄轉(zhuǎn)換前后的地址與端口信息;涉及短網(wǎng)址服務(wù)的,應(yīng)記錄原始URL與短URL之間的映射關(guān)系。
④互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)確保日志與用戶數(shù)據(jù)記錄的時間由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生。
⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)保護日志,確保無法單獨中斷審計進程,防止未授權(quán)的刪除、修改和覆蓋。
⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)根據(jù)公安機關(guān)要求留存用戶訪問指定信息的日志。
⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)留存相關(guān)的日志和用戶數(shù)據(jù),具體保存周期要求如下:
a) 永久保留用戶注冊信息及歷史變更記錄;
b)留存網(wǎng)絡(luò)運行日志和系統(tǒng)維護日志不少于6個月;
c) 留存網(wǎng)絡(luò)安全事件日志不少于6個月;
d)留存用戶活動日志不少于6個月;
e) 留存用戶發(fā)布的信息內(nèi)容不少于6個月。
業(yè)務(wù)安全
1、安全評估及報備
互聯(lián)網(wǎng)交互式服務(wù)者應(yīng)在互聯(lián)網(wǎng)服務(wù)安全評估制度中明確互聯(lián)網(wǎng)新服務(wù)、新功能應(yīng)在上線前進行安全評估,應(yīng)制定信息網(wǎng)絡(luò)安全技術(shù)方案,并將安全風險評估結(jié)果向管轄地公安機關(guān)報備。
2、用戶管理
①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)在用戶注冊時,與用戶簽訂業(yè)務(wù)協(xié)議.告知相關(guān)權(quán)利義務(wù)及需承擔 的法律責任。
②互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立用戶管理機制.包括但不限于:
a)對用戶真實身份信息進行有效核驗,有效核驗方法應(yīng)能追溯到用戶登記的真實身份,如:
1)身份證與姓名的實名驗證服務(wù);
2)有效的銀行卡;
3)合法、有效的數(shù)字證書;
4)已確認真實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶;
5)經(jīng)電信運營商接入實名認證的用戶;
6)生物特征。
b)禁止匿名用戶的信息發(fā)布權(quán)限,僅提供基本的瀏覽、查看功能。
c)對用戶的賬號、昵稱、頭像和備注等信息進行審核,禁止使用以下內(nèi)容:
1)違反國家現(xiàn)行法律法規(guī)規(guī)定的;
2)違背社會公序良俗的;
3)容易引起公眾不良反應(yīng)或誤解的。
d)建立用戶黑名單制度,對互聯(lián)網(wǎng)交互式服務(wù)提供者自行發(fā)現(xiàn)以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶應(yīng)納入黑名單管理。
注:如某網(wǎng)站采用已經(jīng)實名認證的第三方賬戶登錄,可認為該網(wǎng)站的用戶已進行有效核驗。
③當用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時,互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)查驗其合法資質(zhì),查驗可以通過以下方法進行:
a)通過核對行政許可文件查驗;
b)通過行政許可主管部門的公開信息查驗;
c)通過行政許可主管部門的驗證電話、驗證平臺查驗。
3、違法有害信息防范和處置
①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立與交互式服務(wù)特點相符的信息巡查制度,及時發(fā)現(xiàn)并處置違法 有害信息。
②互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取管理與技術(shù)措施,及時發(fā)現(xiàn)并停止違法有害信息的發(fā)布。
③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采用人工或自動化方式,對發(fā)布的信息進行審核或過濾。
④互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措施過濾違法有害信息,包括但不限于:
a) 基于關(guān)鍵詞的違法有害文字信息(支持文字的變種、混淆等)的屏蔽過濾;
b)基于樣本數(shù)據(jù)特征值的違法有害音視頻、圖片的屏蔽過濾;
c) 基于違法有害外域鏈接的屏蔽過濾;
⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措施對違法有害信息的來源實施控制,防止繼續(xù)傳播。違法有害信息來源控制技術(shù)措施包括但不限于:封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復(fù)、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。
⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)查配合 機制,包括:
a)對發(fā)現(xiàn)的違法有害信息,立即停止發(fā)布傳輸,保留相關(guān)證據(jù)(包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄),并向?qū)俚毓矙C關(guān)報告;
b)對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端行為等重要情況或重大緊急事件立即向?qū)俚毓矙C關(guān)報告,同時配合公安機關(guān)做好調(diào)查取證工作;
c)在不破壞數(shù)據(jù)完整性、有效性的前提下將相關(guān)電子數(shù)據(jù)及時傳給屬地公安機關(guān),通知相應(yīng)的公 安機關(guān)進行現(xiàn)場處理。
⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)與公安機關(guān)建立全天候的違法有害信息快速處置工作機制,應(yīng)能及 時刪除有明確URL的單條違法有害信息,特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一 環(huán)節(jié),相關(guān)的屏蔽過濾措施應(yīng)能及時生效。
4、破壞性程序防范
①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)能發(fā)現(xiàn)破壞性程序并采取措施立即停止發(fā)布,同時保留發(fā)現(xiàn)的破壞 性程序的相關(guān)證據(jù)。
②對軟件下載服務(wù)提供者(包括應(yīng)用軟件商店),其應(yīng)檢查用戶發(fā)布的軟件是否含有計算機病毒等惡意代碼。
個人信息保護
1、處理規(guī)則
a)網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)在個人信息保護制度中明確個人信息收集、使用、處理規(guī)則,并在顯 著位置予以公示。在用戶注冊時,應(yīng)在與用戶簽訂服務(wù)協(xié)議中明示收集、使用、處理個人信息的目的、范圍與方式。
b)網(wǎng)絡(luò)交互式服務(wù)提供者僅收集為實現(xiàn)正當商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息;收集 個人信息時,應(yīng)取得用戶明確授權(quán)同意;將個人信息交給第三方處理時,處理方應(yīng)符合本部分要求,并取 得用戶明確授權(quán)同意;法律、行政法規(guī)另有規(guī)定的,從其規(guī)定。
c)修改個人信息處理規(guī)則時,網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)告知用戶,并取得其同意。
2、技術(shù)措施
網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)建立覆蓋個人信息處理的各個環(huán)節(jié)的安全保護制度和技術(shù)措施,防止個 人信息泄露、損毀、丟失,包括:
a)釆用加密方式保存用戶密碼等重要信息;
b)對內(nèi)部員工涉及個人信息的所有操作進行審計,并對審計結(jié)果進行分析,預(yù)防內(nèi)部員工故意 泄露;
c)對個人信息的采集、存儲或傳輸行為進行審計,作為信息是否泄露、毀損、丟失的查詢依據(jù);
d)建立程序來控制對涉及個人信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配,這些程序涵蓋用戶訪問生存 周期內(nèi)的各個階段。
3、個人信息安全事件應(yīng)急處置
對于個人信息安全事件安全事件,互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)具備以下能力:
a)發(fā)現(xiàn)并識別個人信息安全事件,同時保留原始記錄;
b)立即采取補救措施,防止信息安全事件繼續(xù)發(fā)生;
c)及時告知用戶,并立即報告屬地公安機關(guān)。