网警普法丨互联网交互式服务安全管理要求
《互联网交互式服务安全管理要求》由公安部起草,2020年1月16日正式发布,2020年3月1日起开始实施,适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术措施。该管理要求规定了互联网交互式服务安全管理要求,囊括了“基本要求”和“具体服务类型中的要求”,具体服务如:“微博客服务”、“音视频聊天室服务”、“即时通讯服务”、“论坛服务”、“移动应用软件发布平台”、“云服务”、“电子商务平台”、“电子商务平台”、“搜索服务”、“互联网约车服务”和“互联网短租房服务”,明确规定了互联网交互式服务提供者的个人信息保护义务:制订信息处理规则,明示收集与使用;限制收集和用户明确授权原则;修改规则应告知用户,并取得其同意;建立安全保护制度和技术措施;制定信息泄露事件的处理措施等。
安全管理制度
1.制度与规程
①互联网交互式服务提供者应建立文件化的安全管理制度,安全管理制度文件应包括:
a) 安全责任制度;
b)安全岗位管理制度;
c) 安全培训制度
d)人员管理制度
e) 安全运维管理制度
f) 安全评估报备制度
g) 用户注册制度;
h)信息发布审核制度;
i) 信息巡查制度;
j) 个人信息保护制度;
k) 用户投诉举报接收处理制度;
l) 安全事件监测、预警、通报及应急响应制度;
m)适用的现行法律、法规、规章、标准和行政审批文件。
②安全管理制度应经过管理层批准并发布执行。
③互联网交互式服务提供者应建立与安全管理制度相配套的操作规程,包括但不限于:网络与系统运行安全、数据安全和备份、日志与用户数据记录、信息发布审核、违法有害信息防范和处置、个人信息保护、破坏性程序防范、分包等。
2.文件控制
安全管理制度文件应予以保护和控制,包括但不限于:
a)按计划的时间间隔或在发生重大的变化时评审安全管理制度文件,以确保文件是适当的;
b)确保在使用处获得适用文件的最新授权版本;
c)确保文件的清晰、可识别;
d)确保对外来文件进行识别,并进行分发控制;
e)确保文件是现行有效的。
3.记录控制
互联网交互式服务提供者应保留安全管理制度的制定、变更、执行等过程中相关的记录并加以保护与控制,防止未经授权的访问或修改。
安全技术措施
1、网络与系统运行安全
互联网交互式服务提供者应综合考虑系统的安全需求,制定整体的安全防护方案,落实安全防护措施,建立应急响应体系,包括但不限于:
a)重要系统和数据库具备容灾能力;
b)根据业务需求,及时进行补丁更新;
c)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;
d)实施不间断地网络攻击和网络入侵行为的预防、检测与响应措施;
e)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;
f)采取技术措施监测、记录网络运行状态、信息安全事件和用户活动行为等;
g)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。
注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。
2、数据安全与备份
互联网交互式服务提供者应对数据采取备份和保护等措施,保证数据的安全,包括但不限于:
a) 对数据进行分级分类
b)对重要数据的传输和存储采取加密等安全保护措施;
c) 根据数据分类结果建立不同数据的备份策略,提供足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复;
d)建立数据安全备份和恢复流程,必要时对备份和恢复过程进行演练,并对备份数据进行定期校验。
3、日志与用户数据记录
①互联网交互式服务提供者应记录用户注册的相关信息,包括用户唯一标识、用户名称及修改记录、实名信息、注册时间、IP地址及源端口、用户备注信息等,其中实名信息可为姓名、证件类型、证件号码、电子邮箱地址、手机号码等。
②对于记录的用户活动日志,其内容应包括但不限于:
a)用户的登录日志,包括:
1)用户唯一标识;
2)登录时间;
3)退出时间;
4)IP地址及端口号。
b)用户的信息发布日志,包括:
1)用户唯一标识;
2)信息标识;
3)信息发布时间;
4)IP地址及端口号;
5)信息标题或摘要,包括图片摘要。
c) 用户的行为日志,包括:
1)发布、修改、删除所发信息的行为;
2)上传、下载文件的行为;
3)用户自身属性变更的行为。
d)匿名用户行为,包括:
1)访问时间;
2)来源IP地址。
适用时,应记录使用客户端终端设备的标识、位置。
③互联网交互式服务提供者应确保日志内容的可溯源性,即可追溯到用户ID、网络地址和协议。涉及消息服务的,应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等,应记录转换前后的地址与端口信息;涉及短网址服务的,应记录原始URL与短URL之间的映射关系。
④互联网交互式服务提供者应确保日志与用户数据记录的时间由系统范围内唯一确定的时钟产生。
⑤互联网交互式服务提供者应保护日志,确保无法单独中断审计进程,防止未授权的删除、修改和覆盖。
⑥互联网交互式服务提供者应根据公安机关要求留存用户访问指定信息的日志。
⑦互联网交互式服务提供者应留存相关的日志和用户数据,具体保存周期要求如下:
a) 永久保留用户注册信息及历史变更记录;
b)留存网络运行日志和系统维护日志不少于6个月;
c) 留存网络安全事件日志不少于6个月;
d)留存用户活动日志不少于6个月;
e) 留存用户发布的信息内容不少于6个月。
业务安全
1、安全评估及报备
互联网交互式服务者应在互联网服务安全评估制度中明确互联网新服务、新功能应在上线前进行安全评估,应制定信息网络安全技术方案,并将安全风险评估结果向管辖地公安机关报备。
2、用户管理
①互联网交互式服务提供者应在用户注册时,与用户签订业务协议.告知相关权利义务及需承担 的法律责任。
②互联网交互式服务提供者应建立用户管理机制.包括但不限于:
a)对用户真实身份信息进行有效核验,有效核验方法应能追溯到用户登记的真实身份,如:
1)身份证与姓名的实名验证服务;
2)有效的银行卡;
3)合法、有效的数字证书;
4)已确认真实身份的网络服务的注册用户;
5)经电信运营商接入实名认证的用户;
6)生物特征。
b)禁止匿名用户的信息发布权限,仅提供基本的浏览、查看功能。
c)对用户的账号、昵称、头像和备注等信息进行审核,禁止使用以下内容:
1)违反国家现行法律法规规定的;
2)违背社会公序良俗的;
3)容易引起公众不良反应或误解的。
d)建立用户黑名单制度,对互联网交互式服务提供者自行发现以及公安机关通报的多次、大量发送传播违法有害信息的用户应纳入黑名单管理。
注:如某网站采用已经实名认证的第三方账户登录,可认为该网站的用户已进行有效核验。
③当用户利用互联网从事的服务需要行政许可时,互联网交互式服务提供者应查验其合法资质,查验可以通过以下方法进行:
a)通过核对行政许可文件查验;
b)通过行政许可主管部门的公开信息查验;
c)通过行政许可主管部门的验证电话、验证平台查验。
3、违法有害信息防范和处置
①互联网交互式服务提供者应建立与交互式服务特点相符的信息巡查制度,及时发现并处置违法 有害信息。
②互联网交互式服务提供者应采取管理与技术措施,及时发现并停止违法有害信息的发布。
③互联网交互式服务提供者应采用人工或自动化方式,对发布的信息进行审核或过滤。
④互联网交互式服务提供者应采取技术措施过滤违法有害信息,包括但不限于:
a) 基于关键词的违法有害文字信息(支持文字的变种、混淆等)的屏蔽过滤;
b)基于样本数据特征值的违法有害音视频、图片的屏蔽过滤;
c) 基于违法有害外域链接的屏蔽过濾;
⑤互联网交互式服务提供者应采取技术措施对违法有害信息的来源实施控制,防止继续传播。违法有害信息来源控制技术措施包括但不限于:封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。
⑥互联网交互式服务提供者应建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调查配合 机制,包括:
a)对发现的违法有害信息,立即停止发布传输,保留相关证据(包括用户注册信息、用户登录信息、用户发布信息等记录),并向属地公安机关报告;
b)对于煽动非法聚集、策划恐怖活动、扬言实施个人极端行为等重要情况或重大紧急事件立即向属地公安机关报告,同时配合公安机关做好调查取证工作;
c)在不破坏数据完整性、有效性的前提下将相关电子数据及时传给属地公安机关,通知相应的公 安机关进行现场处理。
⑦互联网交互式服务提供者应与公安机关建立全天候的违法有害信息快速处置工作机制,应能及 时删除有明确URL的单条违法有害信息,特定文本、图片、视频、链接等信息的源头以及分享中的任一 环节,相关的屏蔽过滤措施应能及时生效。
4、破坏性程序防范
①互联网交互式服务提供者应能发现破坏性程序并采取措施立即停止发布,同时保留发现的破坏 性程序的相关证据。
②对软件下载服务提供者(包括应用软件商店),其应检查用户发布的软件是否含有计算机病毒等恶意代码。
个人信息保护
1、处理规则
a)网络交互式服务提供者应在个人信息保护制度中明确个人信息收集、使用、处理规则,并在显 著位置予以公示。在用户注册时,应在与用户签订服务协议中明示收集、使用、处理个人信息的目的、范围与方式。
b)网络交互式服务提供者仅收集为实现正当商业目的和提供网络服务所必需的个人信息;收集 个人信息时,应取得用户明确授权同意;将个人信息交给第三方处理时,处理方应符合本部分要求,并取 得用户明确授权同意;法律、行政法规另有规定的,从其规定。
c)修改个人信息处理规则时,网络交互式服务提供者应告知用户,并取得其同意。
2、技术措施
网络交互式服务提供者应建立覆盖个人信息处理的各个环节的安全保护制度和技术措施,防止个 人信息泄露、损毁、丢失,包括:
a)釆用加密方式保存用户密码等重要信息;
b)对内部员工涉及个人信息的所有操作进行审计,并对审计结果进行分析,预防内部员工故意 泄露;
c)对个人信息的采集、存储或传输行为进行审计,作为信息是否泄露、毁损、丢失的查询依据;
d)建立程序来控制对涉及个人信息的系统和服务的访问权的分配,这些程序涵盖用户访问生存 周期内的各个阶段。
3、个人信息安全事件应急处置
对于个人信息安全事件安全事件,互联网交互式服务提供者应具备以下能力:
a)发现并识別个人信息安全事件,同时保留原始记录;
b)立即采取补救措施,防止信息安全事件继续发生;
c)及时告知用户,并立即报告属地公安机关。