《互聯(lián)網(wǎng)交互式服務(wù)安全管理要求》由公安部起草，2020年1月16日正式發(fā)布，2020年3月1日起開始實(shí)施，適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實(shí)互聯(lián)網(wǎng)安全管理制度和安全技術(shù)措施。該管理要求規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)安全管理要求，囊括了“基本要求”和“具體服務(wù)類型中的要求”，具體服務(wù)如：“微博客服務(wù)”、“音視頻聊天室服務(wù)”、“即時通訊服務(wù)”、“論壇服務(wù)”、“移動應(yīng)用軟件發(fā)布平臺”、“云服務(wù)”、“電子商務(wù)平臺”、“電子商務(wù)平臺”、“搜索服務(wù)”、“互聯(lián)網(wǎng)約車服務(wù)”和“互聯(lián)網(wǎng)短租房服務(wù)”，明確規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)提供者的個人信息保護(hù)義務(wù)：制訂信息處理規(guī)則，明示收集與使用；限制收集和用戶明確授權(quán)原則；修改規(guī)則應(yīng)告知用戶，并取得其同意；建立安全保護(hù)制度和技術(shù)措施；制定信息泄露事件的處理措施等。

安全管理制度

1.制度與規(guī)程

①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立文件化的安全管理制度，安全管理制度文件應(yīng)包括：

a） 安全責(zé)任制度；

b）安全崗位管理制度；

c） 安全培訓(xùn)制度

d）人員管理制度

e） 安全運(yùn)維管理制度

f） 安全評估報備制度

g） 用戶注冊制度；

h）信息發(fā)布審核制度；

i） 信息巡查制度；

j） 個人信息保護(hù)制度；

k） 用戶投訴舉報接收處理制度；

l） 安全事件監(jiān)測、預(yù)警、通報及應(yīng)急響應(yīng)制度；

m）適用的現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件。

②安全管理制度應(yīng)經(jīng)過管理層批準(zhǔn)并發(fā)布執(zhí)行。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立與安全管理制度相配套的操作規(guī)程，包括但不限于：網(wǎng)絡(luò)與系統(tǒng)運(yùn)行安全、數(shù)據(jù)安全和備份、日志與用戶數(shù)據(jù)記錄、信息發(fā)布審核、違法有害信息防范和處置、個人信息保護(hù)、破壞性程序防范、分包等。

2.文件控制

安全管理制度文件應(yīng)予以保護(hù)和控制，包括但不限于：

a）按計劃的時間間隔或在發(fā)生重大的變化時評審安全管理制度文件，以確保文件是適當(dāng)?shù)模?

b）確保在使用處獲得適用文件的最新授權(quán)版本；

c）確保文件的清晰、可識別；

d）確保對外來文件進(jìn)行識別，并進(jìn)行分發(fā)控制；

e）確保文件是現(xiàn)行有效的。

3.記錄控制

互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)保留安全管理制度的制定、變更、執(zhí)行等過程中相關(guān)的記錄并加以保護(hù)與控制，防止未經(jīng)授權(quán)的訪問或修改。

安全技術(shù)措施

1、網(wǎng)絡(luò)與系統(tǒng)運(yùn)行安全

互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)綜合考慮系統(tǒng)的安全需求，制定整體的安全防護(hù)方案，落實(shí)安全防護(hù)措施，建立應(yīng)急響應(yīng)體系，包括但不限于：

a）重要系統(tǒng)和數(shù)據(jù)庫具備容災(zāi)能力；

b）根據(jù)業(yè)務(wù)需求，及時進(jìn)行補(bǔ)丁更新；

c）實(shí)施計算機(jī)病毒等惡意代碼的預(yù)防、檢測和系統(tǒng)被破壞后的恢復(fù)措施；

d）實(shí)施不間斷地網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為的預(yù)防、檢測與響應(yīng)措施；

e）適用時，對重要文件的完整性進(jìn)行檢測，并具備文件完整性受到破壞后的恢復(fù)措施；

f）采取技術(shù)措施監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、信息安全事件和用戶活動行為等；

g）對系統(tǒng)的脆弱性進(jìn)行評估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險。

注：系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等多種方式。

2、數(shù)據(jù)安全與備份

互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)對數(shù)據(jù)采取備份和保護(hù)等措施，保證數(shù)據(jù)的安全，包括但不限于：

a） 對數(shù)據(jù)進(jìn)行分級分類

b）對重要數(shù)據(jù)的傳輸和存儲采取加密等安全保護(hù)措施；

c） 根據(jù)數(shù)據(jù)分類結(jié)果建立不同數(shù)據(jù)的備份策略，提供足夠的備份設(shè)施，確保必要的信息和軟件在災(zāi)難或介質(zhì)故障時可以恢復(fù)；

d）建立數(shù)據(jù)安全備份和恢復(fù)流程，必要時對備份和恢復(fù)過程進(jìn)行演練，并對備份數(shù)據(jù)進(jìn)行定期校驗(yàn)。

3、日志與用戶數(shù)據(jù)記錄

①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)記錄用戶注冊的相關(guān)信息，包括用戶唯一標(biāo)識、用戶名稱及修改記錄、實(shí)名信息、注冊時間、IP地址及源端口、用戶備注信息等，其中實(shí)名信息可為姓名、證件類型、證件號碼、電子郵箱地址、手機(jī)號碼等。

②對于記錄的用戶活動日志，其內(nèi)容應(yīng)包括但不限于：

a）用戶的登錄日志，包括：

1）用戶唯一標(biāo)識；

2）登錄時間；

3）退出時間；

4）IP地址及端口號。

b）用戶的信息發(fā)布日志，包括：

1）用戶唯一標(biāo)識；

2）信息標(biāo)識；

3）信息發(fā)布時間；

4）IP地址及端口號；

5）信息標(biāo)題或摘要，包括圖片摘要。

c） 用戶的行為日志，包括：

1）發(fā)布、修改、刪除所發(fā)信息的行為；

2）上傳、下載文件的行為；

3）用戶自身屬性變更的行為。

d）匿名用戶行為，包括：

1）訪問時間；

2）來源IP地址。

適用時，應(yīng)記錄使用客戶端終端設(shè)備的標(biāo)識、位置。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)確保日志內(nèi)容的可溯源性，即可追溯到用戶ID、網(wǎng)絡(luò)地址和協(xié)議。涉及消息服務(wù)的，應(yīng)能防范偽造、隱匿發(fā)送者真實(shí)標(biāo)記的消息的措施；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等，應(yīng)記錄轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的，應(yīng)記錄原始URL與短URL之間的映射關(guān)系。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)確保日志與用戶數(shù)據(jù)記錄的時間由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生。

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)保護(hù)日志，確保無法單獨(dú)中斷審計進(jìn)程，防止未授權(quán)的刪除、修改和覆蓋。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)根據(jù)公安機(jī)關(guān)要求留存用戶訪問指定信息的日志。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)留存相關(guān)的日志和用戶數(shù)據(jù)，具體保存周期要求如下：

a） 永久保留用戶注冊信息及歷史變更記錄；

b）留存網(wǎng)絡(luò)運(yùn)行日志和系統(tǒng)維護(hù)日志不少于6個月；

c） 留存網(wǎng)絡(luò)安全事件日志不少于6個月；

d）留存用戶活動日志不少于6個月；

e） 留存用戶發(fā)布的信息內(nèi)容不少于6個月。

業(yè)務(wù)安全

１、安全評估及報備

互聯(lián)網(wǎng)交互式服務(wù)者應(yīng)在互聯(lián)網(wǎng)服務(wù)安全評估制度中明確互聯(lián)網(wǎng)新服務(wù)、新功能應(yīng)在上線前進(jìn)行安全評估，應(yīng)制定信息網(wǎng)絡(luò)安全技術(shù)方案，并將安全風(fēng)險評估結(jié)果向管轄地公安機(jī)關(guān)報備。

２、用戶管理

①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)在用戶注冊時，與用戶簽訂業(yè)務(wù)協(xié)議.告知相關(guān)權(quán)利義務(wù)及需承擔(dān) 的法律責(zé)任。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立用戶管理機(jī)制.包括但不限于：

ａ)對用戶真實(shí)身份信息進(jìn)行有效核驗(yàn)，有效核驗(yàn)方法應(yīng)能追溯到用戶登記的真實(shí)身份，如：

１）身份證與姓名的實(shí)名驗(yàn)證服務(wù)；

２）有效的銀行卡；

３）合法、有效的數(shù)字證書；

４）已確認(rèn)真實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊用戶；

５）經(jīng)電信運(yùn)營商接入實(shí)名認(rèn)證的用戶；

６）生物特征。

b）禁止匿名用戶的信息發(fā)布權(quán)限，僅提供基本的瀏覽、查看功能。

c）對用戶的賬號、昵稱、頭像和備注等信息進(jìn)行審核，禁止使用以下內(nèi)容：

１）違反國家現(xiàn)行法律法規(guī)規(guī)定的；

２）違背社會公序良俗的；

３）容易引起公眾不良反應(yīng)或誤解的。

ｄ）建立用戶黑名單制度，對互聯(lián)網(wǎng)交互式服務(wù)提供者自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶應(yīng)納入黑名單管理。

注：如某網(wǎng)站采用已經(jīng)實(shí)名認(rèn)證的第三方賬戶登錄，可認(rèn)為該網(wǎng)站的用戶已進(jìn)行有效核驗(yàn)。

③當(dāng)用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時，互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)查驗(yàn)其合法資質(zhì)，查驗(yàn)可以通過以下方法進(jìn)行：

ａ）通過核對行政許可文件查驗(yàn)；

ｂ）通過行政許可主管部門的公開信息查驗(yàn)；

ｃ）通過行政許可主管部門的驗(yàn)證電話、驗(yàn)證平臺查驗(yàn)。

３、違法有害信息防范和處置

①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立與交互式服務(wù)特點(diǎn)相符的信息巡查制度，及時發(fā)現(xiàn)并處置違法 有害信息。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取管理與技術(shù)措施，及時發(fā)現(xiàn)并停止違法有害信息的發(fā)布。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采用人工或自動化方式，對發(fā)布的信息進(jìn)行審核或過濾。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措施過濾違法有害信息，包括但不限于：

a） 基于關(guān)鍵詞的違法有害文字信息（支持文字的變種、混淆等）的屏蔽過濾；

b）基于樣本數(shù)據(jù)特征值的違法有害音視頻、圖片的屏蔽過濾；

c） 基于違法有害外域鏈接的屏蔽過濾；

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措施對違法有害信息的來源實(shí)施控制，防止繼續(xù)傳播。違法有害信息來源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復(fù)、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)查配合 機(jī)制，包括：

a）對發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報告；

b）對于煽動非法聚集、策劃恐怖活動、揚(yáng)言實(shí)施個人極端行為等重要情況或重大緊急事件立即向?qū)俚毓矙C(jī)關(guān)報告，同時配合公安機(jī)關(guān)做好調(diào)查取證工作；

c）在不破壞數(shù)據(jù)完整性、有效性的前提下將相關(guān)電子數(shù)據(jù)及時傳給屬地公安機(jī)關(guān)，通知相應(yīng)的公 安機(jī)關(guān)進(jìn)行現(xiàn)場處理。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)與公安機(jī)關(guān)建立全天候的違法有害信息快速處置工作機(jī)制，應(yīng)能及 時刪除有明確URL的單條違法有害信息，特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一 環(huán)節(jié)，相關(guān)的屏蔽過濾措施應(yīng)能及時生效。

４、破壞性程序防范

①互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)能發(fā)現(xiàn)破壞性程序并采取措施立即停止發(fā)布，同時保留發(fā)現(xiàn)的破壞 性程序的相關(guān)證據(jù)。

②對軟件下載服務(wù)提供者（包括應(yīng)用軟件商店），其應(yīng)檢查用戶發(fā)布的軟件是否含有計算機(jī)病毒等惡意代碼。

個人信息保護(hù)

１、處理規(guī)則

a）網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)在個人信息保護(hù)制度中明確個人信息收集、使用、處理規(guī)則，并在顯 著位置予以公示。在用戶注冊時，應(yīng)在與用戶簽訂服務(wù)協(xié)議中明示收集、使用、處理個人信息的目的、范圍與方式。

b）網(wǎng)絡(luò)交互式服務(wù)提供者僅收集為實(shí)現(xiàn)正當(dāng)商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息；收集 個人信息時，應(yīng)取得用戶明確授權(quán)同意;將個人信息交給第三方處理時，處理方應(yīng)符合本部分要求，并取 得用戶明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

c）修改個人信息處理規(guī)則時，網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)告知用戶，并取得其同意。

2、技術(shù)措施

網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)建立覆蓋個人信息處理的各個環(huán)節(jié)的安全保護(hù)制度和技術(shù)措施，防止個 人信息泄露、損毀、丟失，包括：

a）釆用加密方式保存用戶密碼等重要信息；

b）對內(nèi)部員工涉及個人信息的所有操作進(jìn)行審計，并對審計結(jié)果進(jìn)行分析，預(yù)防內(nèi)部員工故意 泄露；

c）對個人信息的采集、存儲或傳輸行為進(jìn)行審計，作為信息是否泄露、毀損、丟失的查詢依據(jù)；

d）建立程序來控制對涉及個人信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配，這些程序涵蓋用戶訪問生存 周期內(nèi)的各個階段。

3、個人信息安全事件應(yīng)急處置

對于個人信息安全事件安全事件，互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)具備以下能力：

a）發(fā)現(xiàn)并識別個人信息安全事件，同時保留原始記錄；

b）立即采取補(bǔ)救措施，防止信息安全事件繼續(xù)發(fā)生；

c）及時告知用戶，并立即報告屬地公安機(jī)關(guān)。