《互聯(lián)網(wǎng)交互式服務(wù)安全管理要求》由公安部起草，2020年1月16日正式發(fā)布，2020年3月1日起開始實施，適用于互聯(lián)網(wǎng)交互式服務(wù)提供者落實互聯(lián)網(wǎng)安全管理制度和安全技術(shù)措施。該管理要求規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)安全管理要求，囊括了“基本要求”和“具體服務(wù)類型中的要求”，具體服務(wù)如：“微博客服務(wù)”、“音視頻聊天室服務(wù)”、“即時通訊服務(wù)”、“論壇服務(wù)”、“移動應用軟件發(fā)布平臺”、“云服務(wù)”、“電子商務(wù)平臺”、“電子商務(wù)平臺”、“搜索服務(wù)”、“互聯(lián)網(wǎng)約車服務(wù)”和“互聯(lián)網(wǎng)短租房服務(wù)”，明確規(guī)定了互聯(lián)網(wǎng)交互式服務(wù)提供者的個人信息保護義務(wù)：制訂信息處理規(guī)則，明示收集與使用；限制收集和用戶明確授權(quán)原則；修改規(guī)則應告知用戶，并取得其同意；建立安全保護制度和技術(shù)措施；制定信息泄露事件的處理措施等。

安全管理制度

1.制度與規(guī)程

①互聯(lián)網(wǎng)交互式服務(wù)提供者應建立文件化的安全管理制度，安全管理制度文件應包括：

a） 安全責任制度；

b）安全崗位管理制度；

c） 安全培訓制度

d）人員管理制度

e） 安全運維管理制度

f） 安全評估報備制度

g） 用戶注冊制度；

h）信息發(fā)布審核制度；

i） 信息巡查制度；

j） 個人信息保護制度；

k） 用戶投訴舉報接收處理制度；

l） 安全事件監(jiān)測、預警、通報及應急響應制度；

m）適用的現(xiàn)行法律、法規(guī)、規(guī)章、標準和行政審批文件。

②安全管理制度應經(jīng)過管理層批準并發(fā)布執(zhí)行。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應建立與安全管理制度相配套的操作規(guī)程，包括但不限于：網(wǎng)絡(luò)與系統(tǒng)運行安全、數(shù)據(jù)安全和備份、日志與用戶數(shù)據(jù)記錄、信息發(fā)布審核、違法有害信息防范和處置、個人信息保護、破壞性程序防范、分包等。

2.文件控制

安全管理制度文件應予以保護和控制，包括但不限于：

a）按計劃的時間間隔或在發(fā)生重大的變化時評審安全管理制度文件，以確保文件是適當?shù)模?

b）確保在使用處獲得適用文件的最新授權(quán)版本；

c）確保文件的清晰、可識別；

d）確保對外來文件進行識別，并進行分發(fā)控制；

e）確保文件是現(xiàn)行有效的。

3.記錄控制

互聯(lián)網(wǎng)交互式服務(wù)提供者應保留安全管理制度的制定、變更、執(zhí)行等過程中相關(guān)的記錄并加以保護與控制，防止未經(jīng)授權(quán)的訪問或修改。

安全技術(shù)措施

1、網(wǎng)絡(luò)與系統(tǒng)運行安全

互聯(lián)網(wǎng)交互式服務(wù)提供者應綜合考慮系統(tǒng)的安全需求，制定整體的安全防護方案，落實安全防護措施，建立應急響應體系，包括但不限于：

a）重要系統(tǒng)和數(shù)據(jù)庫具備容災能力；

b）根據(jù)業(yè)務(wù)需求，及時進行補丁更新；

c）實施計算機病毒等惡意代碼的預防、檢測和系統(tǒng)被破壞后的恢復措施；

d）實施不間斷地網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為的預防、檢測與響應措施；

e）適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復措施；

f）采取技術(shù)措施監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、信息安全事件和用戶活動行為等；

g）對系統(tǒng)的脆弱性進行評估，并采取適當?shù)拇胧┨幚硐嚓P(guān)的風險。

注：系統(tǒng)脆弱性評估包括采用安全掃描、滲透測試等多種方式。

2、數(shù)據(jù)安全與備份

互聯(lián)網(wǎng)交互式服務(wù)提供者應對數(shù)據(jù)采取備份和保護等措施，保證數(shù)據(jù)的安全，包括但不限于：

a） 對數(shù)據(jù)進行分級分類

b）對重要數(shù)據(jù)的傳輸和存儲采取加密等安全保護措施；

c） 根據(jù)數(shù)據(jù)分類結(jié)果建立不同數(shù)據(jù)的備份策略，提供足夠的備份設(shè)施，確保必要的信息和軟件在災難或介質(zhì)故障時可以恢復；

d）建立數(shù)據(jù)安全備份和恢復流程，必要時對備份和恢復過程進行演練，并對備份數(shù)據(jù)進行定期校驗。

3、日志與用戶數(shù)據(jù)記錄

①互聯(lián)網(wǎng)交互式服務(wù)提供者應記錄用戶注冊的相關(guān)信息，包括用戶唯一標識、用戶名稱及修改記錄、實名信息、注冊時間、IP地址及源端口、用戶備注信息等，其中實名信息可為姓名、證件類型、證件號碼、電子郵箱地址、手機號碼等。

②對于記錄的用戶活動日志，其內(nèi)容應包括但不限于：

a）用戶的登錄日志，包括：

1）用戶唯一標識；

2）登錄時間；

3）退出時間；

4）IP地址及端口號。

b）用戶的信息發(fā)布日志，包括：

1）用戶唯一標識；

2）信息標識；

3）信息發(fā)布時間；

4）IP地址及端口號；

5）信息標題或摘要，包括圖片摘要。

c） 用戶的行為日志，包括：

1）發(fā)布、修改、刪除所發(fā)信息的行為；

2）上傳、下載文件的行為；

3）用戶自身屬性變更的行為。

d）匿名用戶行為，包括：

1）訪問時間；

2）來源IP地址。

適用時，應記錄使用客戶端終端設(shè)備的標識、位置。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應確保日志內(nèi)容的可溯源性，即可追溯到用戶ID、網(wǎng)絡(luò)地址和協(xié)議。涉及消息服務(wù)的，應能防范偽造、隱匿發(fā)送者真實標記的消息的措施；涉及地址轉(zhuǎn)換技術(shù)的服務(wù)，如移動上網(wǎng)、網(wǎng)絡(luò)代理、內(nèi)容分發(fā)等，應記錄轉(zhuǎn)換前后的地址與端口信息；涉及短網(wǎng)址服務(wù)的，應記錄原始URL與短URL之間的映射關(guān)系。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應確保日志與用戶數(shù)據(jù)記錄的時間由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生。

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應保護日志，確保無法單獨中斷審計進程，防止未授權(quán)的刪除、修改和覆蓋。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應根據(jù)公安機關(guān)要求留存用戶訪問指定信息的日志。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應留存相關(guān)的日志和用戶數(shù)據(jù)，具體保存周期要求如下：

a） 永久保留用戶注冊信息及歷史變更記錄；

b）留存網(wǎng)絡(luò)運行日志和系統(tǒng)維護日志不少于6個月；

c） 留存網(wǎng)絡(luò)安全事件日志不少于6個月；

d）留存用戶活動日志不少于6個月；

e） 留存用戶發(fā)布的信息內(nèi)容不少于6個月。

業(yè)務(wù)安全

１、安全評估及報備

互聯(lián)網(wǎng)交互式服務(wù)者應在互聯(lián)網(wǎng)服務(wù)安全評估制度中明確互聯(lián)網(wǎng)新服務(wù)、新功能應在上線前進行安全評估，應制定信息網(wǎng)絡(luò)安全技術(shù)方案，并將安全風險評估結(jié)果向管轄地公安機關(guān)報備。

２、用戶管理

①互聯(lián)網(wǎng)交互式服務(wù)提供者應在用戶注冊時，與用戶簽訂業(yè)務(wù)協(xié)議.告知相關(guān)權(quán)利義務(wù)及需承擔 的法律責任。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應建立用戶管理機制.包括但不限于：

ａ)對用戶真實身份信息進行有效核驗，有效核驗方法應能追溯到用戶登記的真實身份，如：

１）身份證與姓名的實名驗證服務(wù)；

２）有效的銀行卡；

３）合法、有效的數(shù)字證書；

４）已確認真實身份的網(wǎng)絡(luò)服務(wù)的注冊用戶；

５）經(jīng)電信運營商接入實名認證的用戶；

６）生物特征。

b）禁止匿名用戶的信息發(fā)布權(quán)限，僅提供基本的瀏覽、查看功能。

c）對用戶的賬號、昵稱、頭像和備注等信息進行審核，禁止使用以下內(nèi)容：

１）違反國家現(xiàn)行法律法規(guī)規(guī)定的；

２）違背社會公序良俗的；

３）容易引起公眾不良反應或誤解的。

ｄ）建立用戶黑名單制度，對互聯(lián)網(wǎng)交互式服務(wù)提供者自行發(fā)現(xiàn)以及公安機關(guān)通報的多次、大量發(fā)送傳播違法有害信息的用戶應納入黑名單管理。

注：如某網(wǎng)站采用已經(jīng)實名認證的第三方賬戶登錄，可認為該網(wǎng)站的用戶已進行有效核驗。

③當用戶利用互聯(lián)網(wǎng)從事的服務(wù)需要行政許可時，互聯(lián)網(wǎng)交互式服務(wù)提供者應查驗其合法資質(zhì)，查驗可以通過以下方法進行：

ａ）通過核對行政許可文件查驗；

ｂ）通過行政許可主管部門的公開信息查驗；

ｃ）通過行政許可主管部門的驗證電話、驗證平臺查驗。

３、違法有害信息防范和處置

①互聯(lián)網(wǎng)交互式服務(wù)提供者應建立與交互式服務(wù)特點相符的信息巡查制度，及時發(fā)現(xiàn)并處置違法 有害信息。

②互聯(lián)網(wǎng)交互式服務(wù)提供者應采取管理與技術(shù)措施，及時發(fā)現(xiàn)并停止違法有害信息的發(fā)布。

③互聯(lián)網(wǎng)交互式服務(wù)提供者應采用人工或自動化方式，對發(fā)布的信息進行審核或過濾。

④互聯(lián)網(wǎng)交互式服務(wù)提供者應采取技術(shù)措施過濾違法有害信息，包括但不限于：

a） 基于關(guān)鍵詞的違法有害文字信息（支持文字的變種、混淆等）的屏蔽過濾；

b）基于樣本數(shù)據(jù)特征值的違法有害音視頻、圖片的屏蔽過濾；

c） 基于違法有害外域鏈接的屏蔽過濾；

⑤互聯(lián)網(wǎng)交互式服務(wù)提供者應采取技術(shù)措施對違法有害信息的來源實施控制，防止繼續(xù)傳播。違法有害信息來源控制技術(shù)措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發(fā)布來源、控制特定地區(qū)或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯(lián)互通等。

⑥互聯(lián)網(wǎng)交互式服務(wù)提供者應建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調(diào)查配合 機制，包括：

a）對發(fā)現(xiàn)的違法有害信息，立即停止發(fā)布傳輸，保留相關(guān)證據(jù)（包括用戶注冊信息、用戶登錄信息、用戶發(fā)布信息等記錄），并向?qū)俚毓矙C關(guān)報告；

b）對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端行為等重要情況或重大緊急事件立即向?qū)俚毓矙C關(guān)報告，同時配合公安機關(guān)做好調(diào)查取證工作；

c）在不破壞數(shù)據(jù)完整性、有效性的前提下將相關(guān)電子數(shù)據(jù)及時傳給屬地公安機關(guān)，通知相應的公 安機關(guān)進行現(xiàn)場處理。

⑦互聯(lián)網(wǎng)交互式服務(wù)提供者應與公安機關(guān)建立全天候的違法有害信息快速處置工作機制，應能及 時刪除有明確URL的單條違法有害信息，特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一 環(huán)節(jié)，相關(guān)的屏蔽過濾措施應能及時生效。

４、破壞性程序防范

①互聯(lián)網(wǎng)交互式服務(wù)提供者應能發(fā)現(xiàn)破壞性程序并采取措施立即停止發(fā)布，同時保留發(fā)現(xiàn)的破壞 性程序的相關(guān)證據(jù)。

②對軟件下載服務(wù)提供者（包括應用軟件商店），其應檢查用戶發(fā)布的軟件是否含有計算機病毒等惡意代碼。

個人信息保護

１、處理規(guī)則

a）網(wǎng)絡(luò)交互式服務(wù)提供者應在個人信息保護制度中明確個人信息收集、使用、處理規(guī)則，并在顯 著位置予以公示。在用戶注冊時，應在與用戶簽訂服務(wù)協(xié)議中明示收集、使用、處理個人信息的目的、范圍與方式。

b）網(wǎng)絡(luò)交互式服務(wù)提供者僅收集為實現(xiàn)正當商業(yè)目的和提供網(wǎng)絡(luò)服務(wù)所必需的個人信息；收集 個人信息時，應取得用戶明確授權(quán)同意;將個人信息交給第三方處理時，處理方應符合本部分要求，并取 得用戶明確授權(quán)同意；法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。

c）修改個人信息處理規(guī)則時，網(wǎng)絡(luò)交互式服務(wù)提供者應告知用戶，并取得其同意。

2、技術(shù)措施

網(wǎng)絡(luò)交互式服務(wù)提供者應建立覆蓋個人信息處理的各個環(huán)節(jié)的安全保護制度和技術(shù)措施，防止個 人信息泄露、損毀、丟失，包括：

a）釆用加密方式保存用戶密碼等重要信息；

b）對內(nèi)部員工涉及個人信息的所有操作進行審計，并對審計結(jié)果進行分析，預防內(nèi)部員工故意 泄露；

c）對個人信息的采集、存儲或傳輸行為進行審計，作為信息是否泄露、毀損、丟失的查詢依據(jù)；

d）建立程序來控制對涉及個人信息的系統(tǒng)和服務(wù)的訪問權(quán)的分配，這些程序涵蓋用戶訪問生存 周期內(nèi)的各個階段。

3、個人信息安全事件應急處置

對于個人信息安全事件安全事件，互聯(lián)網(wǎng)交互式服務(wù)提供者應具備以下能力：

a）發(fā)現(xiàn)并識別個人信息安全事件，同時保留原始記錄；

b）立即采取補救措施，防止信息安全事件繼續(xù)發(fā)生；

c）及時告知用戶，并立即報告屬地公安機關(guān)。