互聯網新聞信息服務安全評估框架研究

付敏 秦偉強 陳龍

1.四川省電子產品監督檢驗所 四川 成都 610100；

2.中國移動杭州研發中心 四川 成都 610000

引言

國家互聯網信息辦公室和公安部聯合發布《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》，明確要求為開辦博客、短視頻、公眾賬號、網絡直播、應用程序等互聯網信息服務提供者開展安全評估[1]。目前互聯網提供者自行實施或委托第三方安全評估機構實施安全評估，但未形成統一的互聯網新聞信息服務安全評估框架，為此本文根據《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》、《互聯網新聞信息服務新技術新應用安全評估管理規定》和《互聯網新聞信息服務安全評估報告模板》，提出互聯網新聞服務安全評估框架，主要從互聯網新聞服務基本情況、技術保障措施和用戶個人信息保護三個方面進行安全評估，并詳細闡述每個方面的評估內容與評估重點[1-2]。

1 互聯網新聞信息服務安全評估框架

互聯網新聞信息服務安全評估主要采用人員訪談、文檔審查、配置/功能檢查等評估方式，審查與評價信息安全管理制度和技術保障措施，主要包括基本情況審查、技術保障措施和用戶個人信息保護制度評估三個方面。

1.1 基本情況審查

審查互聯網新聞信息服務申請機構的安全管理負責人、信息審核人員或者建立安全管理機構的情況：①是否建立安全負責人聯系制度；②是否設立審核部門負責新聞內容的審核；③是否設立運營部門對新聞內容巡查；④是否設立運維管理部門負責日志保存、違法內容處理等工作；⑤了解專職新聞編輯人員、內容審核人員和技術保障人員基本情況。

審查互聯網新聞信息服務情況：①了解服務項目、服務范圍、業務形式、服務方式等；②了解服務的主要功能、業務流程和系統重要組成等；③確定評估內容是否適用于該新聞信息服務。

1.2 技術保障措施評估

技術保障措施評估主要包括信息源管理保障、內容審核與敏感信息管理、開放接口管理、用戶管理及違規處置、舉報機制、應急處置機制、日志留存管理七個評估內容，評估重點如下：

信息源管理保障：審查制度文檔是否包含對稿源建立白名單分級管理和審核制度；檢查服務是否具備稿源白名單分級管理和審核功能。

內容審核與敏感信息管理：審查制度文檔是否包含發布內容審核、發布內容檢測、敏感信息樣本庫管理、違法信息阻斷與處理制度；檢查服務是否具備發布內容審核、發布內容檢測、敏感信息樣本庫管理、違法信息阻斷與處理功能。

開放接口管理：審查安全管理制度文檔是否包含API接口服務形式、服務方法、權限管理和安全審計、合作對象審查等內容；檢查對發布到第三方的信息和數據是否具備審核功能。

用戶管理及違規處置：審查安全管理制度文檔是否包含用戶實名認證、用戶注冊/變更審核、用戶分級管理、用戶日志記錄、違規賬號處理等制度；檢查服務是否具備用戶實名認證、用戶注冊/變更審核、用戶分級管理、用戶日志記錄、違規賬號處理等功能。

舉報機制：審查安全管理制度文檔是否包含用戶舉報管理制度；檢查服務是否建立舉報機制，明確標識舉報入口和途徑，以及是否提供舉報信息處置與管理功能。

應急處置機制：審查安全管理制度文檔是否包含應急處置制度，以及是否具備應急處置預案；檢查服務是否具備違法/不良信息監測和處置、網絡安全事件分級管理和處置等功能。

日志留存管理：審查安全管理制度文檔是否包含日志留存管理制度；檢查服務是否具備信息發布、有害信息處置、違規賬號處理等日志管理功能，以及日志記錄內容是否完整和日志記錄保存期限是否合理。

1.3 用戶個人信息保護制度評估

用戶個人信息保護制度評估主要包括個人信息明示機制、個人信息安全防護技術措施、個人信息保護應急處置機制三個評估內容，評估重點如下：

個人信息明示機制：審查安全管理制度文檔是否包含個人信息明示制度；檢查服務功能是否提供隱私協議和用戶協議，并確認協議中是否明示收集、使用信息的目的、方式、范圍和規則，收集、使用、保護個人信息是否遵循法律、法規的規定和雙方的約定，并且是否在功能上限制必須經被收集者同意后才能收集和使用用戶個人信息。

個人信息安全防護技術措施：審查安全管理制度文檔是否包含個人信息安全防護制度；檢查用戶信息在收集、存儲、管理、使用環節服務是否提供個人信息安全防護功能，保障個人信息的保密性和完整性。

個人信息保護應急處置機制：審查安全管理制度文檔是否包含個人信息保護應急處置制度，以及是否具備個人信息保護應急處置預案；檢查服務是否提供個人信息保護應急處置功能（包括但不限于用戶操作權限鎖定、安全事件日志記錄、用戶個人信息備份與恢復等）。

2 結束語

為規范短視頻、公眾賬號、網絡直播、應用程序等網絡媒體的使用，我們必須加強具有輿論屬性或社會動員能力的互聯網信息服務的安全評估工作，并監督互聯網信息服務提供者對安全評估過程中發現的安全風險進行及時整改[1]。