《互聯(lián)網(wǎng)交互式服務(wù)安全管理要求》重點(diǎn)內(nèi)容宣貫講義

1、附件2 :互聯(lián)網(wǎng)交互式服務(wù)平安管理要求重點(diǎn)內(nèi)容宣貫講義一、管理要求的制定背景和基本框架GA 1277互聯(lián)網(wǎng)交互式服務(wù)平安管理要求按照GB/T 1. 12（）09給出的規(guī)那么起草，代替GA 1277-2015信息 平安技術(shù) 互聯(lián)網(wǎng)交互式服務(wù)平安保護(hù)要求，與GA 1277-2015相比有局部變化，主要適用于互聯(lián)網(wǎng)交互式服務(wù)提 供者落實(shí)互聯(lián)網(wǎng)平安管理制度和平安技術(shù)措施，幫助其細(xì)化明確法定責(zé)任義務(wù)，完善信息網(wǎng)絡(luò)平安管理制度，規(guī)范 互聯(lián)網(wǎng)信息服務(wù)活動(dòng)?；ヂ?lián)網(wǎng)交互式服務(wù)平安管理要求擬分成多個(gè)局部，包括基本要求和具體服務(wù)類(lèi)型中的要求，計(jì)劃發(fā)布的管 理內(nèi)容包括：基本要求、微博客服務(wù)、音視頻聊天室服務(wù)、即時(shí)通信

2、服務(wù)、論壇服務(wù)、移動(dòng)應(yīng)用軟件發(fā)布平臺(tái)、云 服務(wù)、電子商務(wù)平臺(tái)、搜索服務(wù)、互聯(lián)網(wǎng)約車(chē)服務(wù)和互聯(lián)網(wǎng)短租房服務(wù)。目前已由公安部信息系統(tǒng)平安標(biāo)準(zhǔn)化技術(shù) 委員會(huì)制定發(fā)布了基本要求、微博客服務(wù)、音視頻聊天室服務(wù)、即時(shí)通信服務(wù)、論壇服務(wù)等五個(gè)局部的強(qiáng)制性公共 平安行業(yè)標(biāo)準(zhǔn)，于2020年3月1日正式開(kāi)始實(shí)施。二、管理要求關(guān)鍵術(shù)語(yǔ)的概念定義2. 1 互聯(lián)網(wǎng)交互式服務(wù) internet interactive service通過(guò)互聯(lián)網(wǎng)為用戶(hù)提供向社會(huì)公眾發(fā)布信息以及基于信息交互提供的相關(guān)服務(wù)注1：交互形式包括文字、圖片、音視頻等。注2：包括但不限于論壇、社區(qū)、貼吧、文字或音視.頻聊天室、微博客、博客、即時(shí)通信、電

3、子商務(wù)平臺(tái)、搜索、互聯(lián)網(wǎng)約車(chē)、 互聯(lián)網(wǎng)短租房、移動(dòng)下栽、提供存儲(chǔ)、第三方支付、云服務(wù)等互聯(lián)網(wǎng)信息服務(wù)。2. 2 違法有害信息 illegal and harmful informeition違反國(guó)家法律、法規(guī)，危害國(guó)家平安、榮譽(yù)和利益、公共平安、社會(huì)公德、公序良俗、公民人身財(cái)產(chǎn)平安及合 法權(quán)益等的信息。2. 3 破壞性程序 destructive program具有對(duì)計(jì)算機(jī)信息系統(tǒng)的功能或存儲(chǔ)、處理及傳輸?shù)臄?shù)據(jù)進(jìn)行非授權(quán)獲取、刪除、增加、修改、干擾、破壞等 功能的程序。2. 4 關(guān)鍵崗位人員 personnel in key position在互聯(lián)網(wǎng)交互式服務(wù)提供者處從事與網(wǎng)絡(luò)與系統(tǒng)運(yùn)行平安、

4、數(shù)據(jù)平安、業(yè)務(wù)平安、個(gè)人信息平安等相關(guān)的人員。 注1：關(guān)鍵崗位人員包括但不限于系統(tǒng)管理員、平安管理員、審計(jì)管理員、數(shù)據(jù)管理員、內(nèi)容編輯與審核員。注2：關(guān)鍵崗位人員可以是互聯(lián)網(wǎng)交互式服務(wù)的主要負(fù)責(zé)人、網(wǎng)絡(luò)平安責(zé)任人、平安管理責(zé)任人及其他責(zé)任人員等。2. 5 個(gè)人信息 personal information以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況 的各種信息。注：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái) 產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。三、細(xì)化

5、了網(wǎng)絡(luò)平安管理制度要求互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立文件化的平安管理制度，平安管理制度文件應(yīng)包括：a）平安責(zé)任制度；b）平安崗位管理制度；c）平安培訓(xùn)制度；d）人員管理制度；e）平安運(yùn)維管理制度；f）平安評(píng)估報(bào)備制度；g）用戶(hù)注冊(cè)制度；h）信息發(fā)布審核制度；i）信息巡查制度；j）個(gè)人信息保護(hù)制度；k）用戶(hù)投訴舉報(bào)接收處理制度；1）平安事件監(jiān)測(cè)、預(yù)警、通報(bào)及應(yīng)急響應(yīng)制度；m）適用的現(xiàn)行法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和行政審批文件?；ヂ?lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立與平安管理制度相配套的操作規(guī)程，包括但不限于：網(wǎng)絡(luò)與系統(tǒng)運(yùn)行平安、數(shù) 據(jù)平安和備份、日志與用戶(hù)數(shù)據(jù)記錄、信息發(fā)布審核、違法有害信息防范和處置、個(gè)人信息

6、保護(hù)、破壞性程序防范、 分包等。同時(shí)，平安管理制度應(yīng)經(jīng)過(guò)管理層批準(zhǔn)并發(fā)布執(zhí)行。四、細(xì)化了網(wǎng)絡(luò)平安責(zé)任分配互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)在平安責(zé)任制度中明確主要負(fù)責(zé)人、網(wǎng)絡(luò)平安責(zé)任人、平安管理負(fù)賁人及其他責(zé)任 人員的責(zé)任?；ヂ?lián)網(wǎng)交互式服務(wù)提供者應(yīng)在平安崗位管理制度中明確關(guān)鍵崗位人員及其職責(zé)，其中職責(zé)應(yīng)包括保密管理職責(zé)。 五、細(xì)化了網(wǎng)絡(luò)平安防護(hù)措施要求5. 1網(wǎng)絡(luò)與系統(tǒng)運(yùn)行平安互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)綜合考慮系統(tǒng)的平安需求，制定整體的平安防護(hù)方案，落實(shí)平安防護(hù)措施，建立應(yīng) 急響應(yīng)體系，包括但不限于：a）重要系統(tǒng)和數(shù)據(jù)庫(kù)具備容災(zāi)能力；b）根據(jù)業(yè)務(wù)需求，及時(shí)進(jìn)行補(bǔ)丁更新；c）實(shí)施計(jì)算機(jī)病毒等惡意代碼的預(yù)防、

7、檢測(cè)和系統(tǒng)被破壞后的恢復(fù)措施；d）實(shí)施不間斷地網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為的預(yù)防、檢測(cè)與響應(yīng)措施；e）適用時(shí)，對(duì)重要文件的完整性進(jìn)行檢測(cè)，并具備文件完整性受到破壞后的恢復(fù)措施；f）采取技術(shù)措施監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、信息平安事件和用戶(hù)活動(dòng)行為等；g）對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┨幚硐嚓P(guān)的風(fēng)險(xiǎn)。注：系統(tǒng)脆弱性評(píng)估包括平安掃描、滲透測(cè)試等多種方式。5.2數(shù)據(jù)平安與備份、互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)對(duì)數(shù)據(jù)采取備份和保護(hù)等措施，保證數(shù)據(jù)的平安，包括但不限于：a）對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)；b）對(duì)重要數(shù)據(jù)的傳輸和存儲(chǔ)采取加密等平安保護(hù)措施；c）根據(jù)數(shù)據(jù)分類(lèi)結(jié)果建立不同數(shù)據(jù)的備份策略，提供足夠的備份設(shè)施，確保必

8、要的信息和軟件在災(zāi)難或介質(zhì)故 障時(shí)可以恢復(fù)；d）建立數(shù)據(jù)平安備份和恢復(fù)流程，必要時(shí)對(duì)備份和恢復(fù)過(guò)程進(jìn)行演練，并對(duì)備份數(shù)據(jù)進(jìn)行定期校驗(yàn)。六、細(xì)化了網(wǎng)絡(luò)日志留存期限要求互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)留存相關(guān)的日志和用戶(hù)數(shù)據(jù)，具體保存周期要求如下：a）永久保存用戶(hù)注冊(cè)信息及歷史變更信息；b）留存網(wǎng)絡(luò)運(yùn)行日志和系統(tǒng)維護(hù)日志不少于6個(gè)月；c）留存網(wǎng)絡(luò)平安事件日志不少于6個(gè)月；d）留存用戶(hù)活動(dòng)日志不少于6個(gè)月：e）留存用戶(hù)發(fā)布的信息內(nèi)容不少于6個(gè)月七、細(xì)化了網(wǎng)絡(luò)用戶(hù)實(shí)名注冊(cè)管理要求互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立用戶(hù)管理機(jī)制，包括但不限于：a）對(duì)用戶(hù)真實(shí)身份信息進(jìn)行有效核驗(yàn)，有效核驗(yàn)方法應(yīng)能追溯到用戶(hù)登記的真實(shí)身份

9、，如：1）身份證與姓名的實(shí)名驗(yàn)證服務(wù)；2）有效的銀行卡；3）合法、有效的數(shù)字證書(shū)；4）已確認(rèn)真實(shí)身份的網(wǎng)絡(luò)服務(wù)的注冊(cè)用戶(hù)；5）經(jīng)電信運(yùn)營(yíng)商接入實(shí)名認(rèn)證的用戶(hù)；6）生物特征。b）禁止匿名用戶(hù)的信息發(fā)布權(quán)限，僅提供基本的瀏覽、查看等功能。c）對(duì)用戶(hù)的賬號(hào)、昵稱(chēng)、頭像和備注等信息進(jìn)行審核，禁止使用以下內(nèi)容：1）違反國(guó)家現(xiàn)行法律法規(guī)規(guī)定的；2）違背社會(huì)公序良俗的；3）容易引起公眾不良反響或誤解的。d）建立用戶(hù)黑名單制度，對(duì)互聯(lián)網(wǎng)交互式服務(wù)提供者自行發(fā)現(xiàn)以及公安機(jī)關(guān)通報(bào)的屢次、大量發(fā)送傳播違法有 害信息的用戶(hù)應(yīng)納入黑名單管理。八、細(xì)化了防范違法有害信息擴(kuò)散傳播的措施要求互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措

10、施過(guò)濾違法有害信息，包括但不限于：a）基于關(guān)鍵詞的違法有害文字信息（支持文字的變種、混淆等）的屏蔽過(guò)濾；b）基于樣本數(shù)據(jù)特征值的違法有害音視頻、圖片的屏蔽過(guò)濾；c）基于違法有害外域鏈接的屏蔽過(guò)濾?；ヂ?lián)網(wǎng)交互式服務(wù)提供者應(yīng)采取技術(shù)措施對(duì)違法有害信息的來(lái)源實(shí)施控制，防止繼續(xù)傳播。違法有害信息來(lái)源 控制技術(shù)措施包括但不限于：封禁特定賬號(hào)、禁止新建賬號(hào)、禁止提供、禁止留言及回復(fù)、控制特定發(fā)布來(lái)源、控 制特定區(qū)域或指定IP賬號(hào)登錄、禁止客戶(hù)端推送、切斷與第三方應(yīng)用的互聯(lián)互通等。九、細(xì)化了配合公安機(jī)關(guān)開(kāi)展涉網(wǎng)違法犯罪案事件協(xié)查的措施要求互聯(lián)網(wǎng)交互式服務(wù)提供者應(yīng)建立涉嫌違法犯罪線(xiàn)、異常情況報(bào)告、平安提示和案

11、件調(diào)查配合機(jī)制，包括：a）對(duì)發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保存相關(guān)證據(jù)（包括用戶(hù)注冊(cè)信息、用戶(hù)登錄信息、用戶(hù)發(fā)布 信息等記錄），并向?qū)俚毓矙C(jī)關(guān)報(bào)告。b）對(duì)于煽動(dòng)非法聚集、籌劃恐怖互動(dòng)、揚(yáng)言實(shí)施個(gè)人極端行為等重要情況或重大緊急事件立即向?qū)俚毓矙C(jī)關(guān) 報(bào)告，同時(shí)配合公安機(jī)關(guān)做好調(diào)查取證工作。c）在不破壞數(shù)據(jù)完整性、有效性的前提下，將相關(guān)電子數(shù)據(jù)及時(shí)傳給屬地公安機(jī)關(guān)，通知相應(yīng)的公安機(jī)關(guān)進(jìn)行 現(xiàn)場(chǎng)處理?；ヂ?lián)網(wǎng)交互式服務(wù)提供者應(yīng)與公安機(jī)關(guān)建立全天候的違法有害信息快速處置工作機(jī)制，應(yīng)能及時(shí)刪除有明確 URL的單條違法有害信息，特定文本、圖片、視頻、鏈接等信息的源頭以及提供中的任一環(huán)節(jié)，相關(guān)的屏蔽

12、過(guò)濾措 施應(yīng)能及時(shí)生效。十、細(xì)化了個(gè)人信息平安保護(hù)的措施要求網(wǎng)絡(luò)交互式服務(wù)提供者應(yīng)建立覆蓋個(gè)人信息處理的各個(gè)環(huán)節(jié)的平安保護(hù)制度和技術(shù)措施，防止個(gè)人信息泄露、 損毀、喪失，包括：a）采用加密方式保存用戶(hù)密碼等重要信息；b）對(duì)內(nèi)部員工設(shè)計(jì)個(gè)人信息的所有操作進(jìn)行審計(jì)，并對(duì)審計(jì)結(jié)果進(jìn)行分析，預(yù)防內(nèi)部員工故意泄露；c）對(duì)個(gè)人信息的采集、存儲(chǔ)或傳輸行為進(jìn)行審計(jì)，作為信息是否泄露、毀損、喪失的查詢(xún)依據(jù)；d）建立程序來(lái)控制對(duì)涉及個(gè)人信息的系統(tǒng)和服務(wù)的訪(fǎng)問(wèn)權(quán)的分配，這些程序涵蓋用戶(hù)訪(fǎng)問(wèn)生存周期內(nèi)的各個(gè)階 段。十一、微博客服務(wù)：細(xì)化了對(duì)發(fā)布違法有害信息賬號(hào)的管控措施微博客服務(wù)提供商應(yīng)將制作、復(fù)制、發(fā)布、傳播違法有

13、害信息的、屢次被其他用戶(hù)舉報(bào)或投訴的以及公安機(jī)關(guān) 通報(bào)的涉嫌違法犯罪的用戶(hù)納入黑名單管理，并根據(jù)情節(jié)輕重，采取以下動(dòng)態(tài)管理控制措施：a）封禁其賬號(hào)或限制其賬號(hào)功能；b）控制其微博客功能，直至關(guān)閉所有功能；c）控制其微博客的粉絲數(shù)量，直至關(guān)閉粉絲關(guān)注功能；d）對(duì)其微博客發(fā)布內(nèi)容實(shí)施先審后發(fā)措施：。）限制其微博客信息發(fā)布頻率；f）控制其微博客內(nèi)容被轉(zhuǎn)載范圍；g）控制其微博客只能給其自身的粉絲用戶(hù)發(fā)送私信；h）控制其微博客內(nèi)容只能被其自身的粉絲用戶(hù)評(píng)論；i）控制其微博客推薦給他人或其他用戶(hù)檢索；j）控制其在其他用戶(hù)或熱門(mén)事件微博客下進(jìn)行評(píng)論。十二、微博客服務(wù)：細(xì)化了對(duì)微博客群組的管控措施微博客服務(wù)提

14、供商應(yīng)對(duì)微博客群組進(jìn)行管理，并滿(mǎn)足以下要求：a）能夠根據(jù)公安機(jī)關(guān)的要求設(shè)定微博客群組人數(shù)上限；b）微博客群組創(chuàng)立者、管理員需經(jīng)實(shí)名認(rèn)證；c）群組頭像、群組公告以及群組內(nèi)發(fā)布文件不得包含違法有害信息；d）所有群組名稱(chēng)均可被搜索；e）至少每90天對(duì)群組發(fā)布信息進(jìn)行一次巡查。十三、微博客服務(wù)：細(xì)化了對(duì)微博客用戶(hù)發(fā)布信息的平安審核措施微博客服務(wù)提供商應(yīng)具備微博客信息的發(fā)布控制功能，并滿(mǎn)足以下要求：a）對(duì)特定區(qū)域、特定IP用戶(hù)發(fā)布的微博客信息（包含文本、圖片、音視頻、鏈接等信息）進(jìn)行審核控制，實(shí) 行先審后發(fā)措施；b）對(duì)網(wǎng)頁(yè)、客戶(hù)端等微博客發(fā)布源進(jìn)行審核控制，具備切斷一項(xiàng)甚至多項(xiàng)微博客信息發(fā)布來(lái)源的功能。

15、十四、音視頻聊天室服務(wù)：細(xì)化了對(duì)發(fā)布違法有害信息賬號(hào)的管控措施音視頻聊天室服務(wù)提供商應(yīng)將制作、復(fù)制、發(fā)布，傳播違法有害信息的、屢次被其他用戶(hù)舉報(bào)或投訴的以及公 安機(jī)關(guān)通報(bào)的涉嫌違法犯罪的用戶(hù)納入黑名單管理，并根據(jù)情節(jié)輕重，采取以下動(dòng)態(tài)管理控制措施：a）控制其聊天室賬號(hào)推薦給他人或其他用戶(hù)檢索；b）對(duì)其發(fā)布內(nèi)容實(shí)行先審后發(fā)措施；c）限制其信息發(fā)布頻率；d）控制其聊天室內(nèi)容被轉(zhuǎn)載范圍；e）控制其音視頻聊天功能和粉絲數(shù)量；f）停止服務(wù)，封停賬號(hào)；g）禁止該身份信息再次注冊(cè)新賬號(hào)。十五、音視頻聊天室服務(wù)：細(xì)化了對(duì)音視頻聊天室的管控措施應(yīng)對(duì)音視頻聊天室進(jìn)行管理，并滿(mǎn)足一下要求：a）能夠根據(jù)需要設(shè)定音視頻

16、聊天室人數(shù)上限；b）音視頻聊天室所有者、管理員實(shí)名認(rèn)證；c）對(duì)音視頻聊天室的房間名稱(chēng)、頻道進(jìn)行審核，并滿(mǎn)足GA 1277. 1-2020 9. 2.2 c）的要求；d）所有音視頻聊天室名稱(chēng)均可被搜索；e）定期對(duì)音視頻聊天室內(nèi)發(fā)布信息進(jìn)行巡查。十六、音視頻聊天室服務(wù)：細(xì)化了對(duì)音視頻聊天室用戶(hù)發(fā)布短視頻或直播的平安審核措施音視頻聊天室服務(wù)提供商應(yīng)具備對(duì)音視頻直播內(nèi)容的實(shí)時(shí)監(jiān)看措施。對(duì)同時(shí)在線(xiàn)人數(shù)超過(guò)500人的音視頻聊天 室和粉絲數(shù)量超過(guò)1萬(wàn)人的頻道主持開(kāi)設(shè)的音視頻頻道，應(yīng)以不少于5秒/幀的頻次進(jìn)行視頻監(jiān)看。音視頻聊天室服務(wù)提供商應(yīng)審核用戶(hù)發(fā)布信息、評(píng)論信息等是否包含違法有害信息。音視頻聊天室服務(wù)提

17、供商可采取人工監(jiān)督看與音視頻技術(shù)識(shí)別、分析或掃描等相結(jié)合的方法進(jìn)行平安審核，并 滿(mǎn)足以下要求：a）非實(shí)時(shí)直播內(nèi)容實(shí)行先審后發(fā)措施：b）實(shí)時(shí)交互和直播內(nèi)容應(yīng)采用平安管理員視頻監(jiān)看審核措施。十七、即時(shí)通信服務(wù)：細(xì)化了對(duì)發(fā)布違法有害信息賬號(hào)的管控措施即時(shí)通信服務(wù)提供者應(yīng)將制作、復(fù)制、發(fā)布、傳播違法有害信息，屢次被其他用戶(hù)舉報(bào)或投訴的以及公安機(jī)關(guān) 通報(bào)的涉嫌違法犯罪的用戶(hù)納入黑名單管理，并根據(jù)情節(jié)輕重，采取以下動(dòng)態(tài)管理控制措施：a）控制其消息發(fā)送頻率；b）控制其消息發(fā)送功能；c）控制該賬號(hào)功能、好友數(shù)量、加入或創(chuàng)立的群組數(shù)量：d）控制其IM賬號(hào)對(duì)其他用戶(hù)課件或被其他用戶(hù)檢索；e）強(qiáng)制賬號(hào)下線(xiàn)，停止服務(wù)

18、；f）封停賬號(hào)；g）禁止該身份信息再次注冊(cè)新賬號(hào)。十八、即時(shí)通信服務(wù)：細(xì)化了對(duì)即時(shí)通信群組的管控措施即時(shí)通信服務(wù)提供者應(yīng)對(duì)群組進(jìn)行管理，并滿(mǎn)足以下要求：a）對(duì)即時(shí)通信群組名稱(chēng)進(jìn)行審核，禁止使用以下昵稱(chēng)：違反國(guó)家現(xiàn)行法律法規(guī)規(guī)定的、違背社會(huì)公序良俗的、 容易引起公眾不良反響或誤解的；b）對(duì)每個(gè)用戶(hù)可以參加的群組數(shù)量設(shè)置上限；c）能夠根據(jù)公安機(jī)關(guān)的要求設(shè)定群組人數(shù)上限；d）對(duì)規(guī)模超過(guò)500人的大型群組進(jìn)行專(zhuān)項(xiàng)認(rèn)證和備案管理，大型群組的群主、管理員應(yīng)提供有效證件的復(fù)印件 和真實(shí)可達(dá)的聯(lián)系方式，并由運(yùn)營(yíng)商對(duì)此信息的真實(shí)性進(jìn)行核驗(yàn)；大型群組的群組標(biāo)識(shí)、群組名稱(chēng)、群組類(lèi)型、群 組管理機(jī)構(gòu)、群組成員列表、群組創(chuàng)立時(shí)間、創(chuàng)立地1P、終端類(lèi)型等信息需在運(yùn)營(yíng)商處備案；e）所有群組名稱(chēng)和群組標(biāo)識(shí)均可被搜索；f）至少每90天對(duì)群組內(nèi)的文字、圖像、聲音等信息進(jìn)行一次巡查。十九、論壇服務(wù)：細(xì)化了對(duì)發(fā)布違法有害信息賬號(hào)的管控措施論壇服務(wù)提供商應(yīng)將制作、復(fù)制、發(fā)布，傳播違法有害信息的、屢次被其他用戶(hù)舉