“信息安全技术”条例家族即将再添一员,从中国实践到中国经验

数字经济快速发展,除了以内容为本的新闻媒体机构,消费、金融、教育、旅游、电商、共享经济等行业都有极大可能触碰到信息内容安全违规风险。相比之下, 《通用要求》更加关注企业差异化。互联网信息服务提供者可自行添加组件并定义安全要求。

如今,随着移动网络和互联网设备的普及,内容像自来水一样唾手可得。在算法推荐技术的加持下,新闻平台、购物平台、短视频平台、社交平台持续拥抱内容生态,鼓励用户创作图文、短视频、直播等内容。

鉴于科技发展和信息安全之间的平衡,历时近1年,全国信息安全标准化技术委员会推出了国家标准《信息安全技术 互联网信息服务安全通用要求》(报批稿)(下称《通用要求》),计划为条例家族添新丁。


2020年10月10日,《通用要求》应用试点启动会在北京召开,标志着该国家标准正式进入首批企业试点阶段,为后续的标准推广和互联网信息内容安全保护工作打好基础。

此次试点计划由“自评估+现场核实+专家评判”3个环节组成,涉及互联网信息服务运营单位、试点工作组成员单位、专家组3方,预计持续近2个月。


经过遴选,网易易盾成为首批15家试点单位之一。经过20多年的内容安全积累,网易内部搭建了成熟的内容安全保障体系。作为网易内部信息安全保障方,自商业化以来,易盾在内容安全方面领跑业界,持续投资大数据和人工智能技术,为我们的客户提供信息安全服务,减少商业经营风险。

1.《通用要求》是什么?

《通用要求》从安全技术、安全保障、服务形式三方面出发,兼顾实用性、科学性、合理性,将信息服务的安全要求提升至另一个层级,为跨国界的信息服务商业经营提供参考标准。


预计,《通用要求》将适用于所有在中国设立的、从事信息服务的组织机构。在中国之外,将适用于所有在中国成立的出海企业,旨在指导互联网信息服务提供者开展安全建设和安全评估。

在安全保障方面,《通用要求》提到了管理制度、组织机构和人员管理、业务连续性、运营和维护等四个维度。

在安全技术方面,《通用要求》从信息生成、信息处理、信息发布、信息传播、信息存储、信息销毁六个生命阶段出发,要求技术能够覆盖内容经营的整个生命周期,技术必须全面性。

在服务形式方面,归纳了信息发布、评论评价、信息分享、推荐推送、内容搜索、通讯群组、网络直播、内容存储等多种服务形式。

基于这三方面,该标准做出了更多细分要求:

拿用户注册来说,要求企业对新增和存量注册用户采取身份证号码、手机号码、统一社会信用代码、生物特征识别等方式中的一种或多种进行真实身份信息认证;

拿信息分级来说,要求企业具备对信息内容实行分级分类的能力,具备信息内容分级审核的能力,具备关联信息内容与用户群体的相关技术能力;

拿信息储存来说,要求企业对互联网信息服务中业务信息相关个人敏感信息应采用加密等安全措施,保证个人敏感信息安全。

在数字经济快速发展的当下,《通用要求》与企业和个人息息相关。举例来说,除了以内容为本的新闻媒体机构,消费、金融、教育、旅游、电商、共享经济等行业都有极大可能触碰到信息内容安全违规风险。对于企业而言,无论身在哪个行业,都不能掉以轻心。

2.企业如何对信息进行完全管理?

《通用要求》关注互联网内容安全,包括任何互联网信息服务的活动,涉及发布、记录、保存、下载、改变或分享等环节。

互联网信息服务,是指基于信息发布、交互、传播等相关技术和功能属性,通过互联网面向社会公众提供的具有开放性、交互性、动员力等特征的信息服务,主要包括信息发布、评论评价、信息分享、推荐推送、内容搜索、通讯群组、网络直播、内容存储等形式

此外,互联网信息服务在市场上呈现为多种互联网产品形态,都在此次《通用要求》指定的评估范围内,包括网站、应用程序、聊天室、公众账号、即时通信工具、论坛、博客、微博客、短视频、小程序等


以“微博客”产品为例,此类产品涉及5类服务形式:信息发布、评论评价、信息分享、推荐推送、内容搜索,应满足增强级要求。

这也体现了《通用要求》的一大亮点--模块化,即针对安全要求设置了“自定义组件”。互联网信息服务提供者可自行添加组件并定义安全要求。与之前的信息安全指令相比, 《通用要求》更加关注企业差异化。

标准要求,互联网信息服务提供者应对拟提供的互联网信息服务所属产品形态、业务范围和用户规模等属性进行分析,选择相应的安全要求开展安全建设和评估活动。

3.国际瞩目的信息安全

近年来,各个国家和地区相继出台通用保护条例,以保障本国及本地区公民的合法权益。

为了构建国家信息安全保障体系,美国联邦政府出台了一系列的政策政令,包括《信息自由法》、《个人隐私法》、《反腐败行径法》、《伪造访问设备法》、《计算机安全法》、《正当通信法》、《反黑客法》等。为了更好地保护个人数据安全,欧盟在2018年推出最严“通用数据保护条例GDPR”,要求商业组织具备相关隐私合规操作,合理使用个人数据。


恒大智库报告显示,互联网人均消费不断上涨。网络游戏、网络动漫、网络新闻、网络文学、网络视频……庞大的人口数量铸就了广阔的信息消费市场,中国的信息产业蓬勃发展。许多内容巨头迅速崛起,甚至出海,让全球瞩目。

过去几十年来,伴随着中国互联网的发展,信息安全相关的法律法规陆续到位。专家组在试点启动会上表示,发展到今天,《通用要求》呼之欲出,在互联网信息服务方面,发挥中国式信息安全经验可以说是水到渠成。

专家组认为,《通用要求》不仅是规范企业在国内的信息服务安全,而且也让企业在涉足境外业务时有据可依,为我国企业走出去或者在对外服务的时候提供一种保障。


据悉,中国科学院信息工程研究所、国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息安全测评中心、中国电子技术标准化研究院、中国通信研究院、中国电子科技集团公司第十五研究所等多家单位参与《通用要求》制作。

值得注意的是,《通用要求》意味着众多改变,各行各业又有所不同,广泛执行并非易事。后期,信息安全保护重在执行,旨在形成更统一的执行规则,由此试点工作应运而生。

试点工作的目标是在标准正式发布之前,对标准中各项要求的可行性、合理性、完备性和科学性进行验证,通过试点形成标准应用,探索相应技术工具。启动会指出,在试点阶段,各级组织还将从多方面听取反馈,借鉴网络安全等级保护工作的成功经验,希望使《通用标准》得到业内的广泛认同。

4.总结

信息安全保障体系是一个系统工程,它不仅涉及到信息安全技术本身,还包括有信息安全的政策方针、法律法规、组织机构、管理标准以及人才培养和国际合作保障体系。

多年以来,网易易盾持续关注互联网内容安全行业的发展,先后联合中国电子学会发布《互联网内容审核职业技能等级标准》和配套课程,推广教育部“1+X“体系下的互联网内容审核职业技能等级证书。

在法律合规专家、技术专家、策略运营专家的支持下,易盾提供信息安全方面的治理能力,设立紧跟态势的行业标准,确保我们的信息安全框架符合《通用要求》倡导的义务。