《互聯網交互式服務安全管理要求》由公安部起草，2020年1月16日正式發布，2020年3月1日起開始實施，適用于互聯網交互式服務提供者落實互聯網安全管理制度和安全技術措施。該管理要求規定了互聯網交互式服務安全管理要求，囊括了“基本要求”和“具體服務類型中的要求”，具體服務如：“微博客服務”、“音視頻聊天室服務”、“即時通訊服務”、“論壇服務”、“移動應用軟件發布平臺”、“云服務”、“電子商務平臺”、“電子商務平臺”、“搜索服務”、“互聯網約車服務”和“互聯網短租房服務”，明確規定了互聯網交互式服務提供者的個人信息保護義務：制訂信息處理規則，明示收集與使用；限制收集和用戶明確授權原則；修改規則應告知用戶，并取得其同意；建立安全保護制度和技術措施；制定信息泄露事件的處理措施等。

安全管理制度

1.制度與規程

①互聯網交互式服務提供者應建立文件化的安全管理制度，安全管理制度文件應包括：

a） 安全責任制度；

b）安全崗位管理制度；

c） 安全培訓制度

d）人員管理制度

e） 安全運維管理制度

f） 安全評估報備制度

g） 用戶注冊制度；

h）信息發布審核制度；

i） 信息巡查制度；

j） 個人信息保護制度；

k） 用戶投訴舉報接收處理制度；

l） 安全事件監測、預警、通報及應急響應制度；

m）適用的現行法律、法規、規章、標準和行政審批文件。

②安全管理制度應經過管理層批準并發布執行。

③互聯網交互式服務提供者應建立與安全管理制度相配套的操作規程，包括但不限于：網絡與系統運行安全、數據安全和備份、日志與用戶數據記錄、信息發布審核、違法有害信息防范和處置、個人信息保護、破壞性程序防范、分包等。

2.文件控制

安全管理制度文件應予以保護和控制，包括但不限于：

a）按計劃的時間間隔或在發生重大的變化時評審安全管理制度文件，以確保文件是適當的；

b）確保在使用處獲得適用文件的最新授權版本；

c）確保文件的清晰、可識別；

d）確保對外來文件進行識別，并進行分發控制；

e）確保文件是現行有效的。

3.記錄控制

互聯網交互式服務提供者應保留安全管理制度的制定、變更、執行等過程中相關的記錄并加以保護與控制，防止未經授權的訪問或修改。

安全技術措施

1、網絡與系統運行安全

互聯網交互式服務提供者應綜合考慮系統的安全需求，制定整體的安全防護方案，落實安全防護措施，建立應急響應體系，包括但不限于：

a）重要系統和數據庫具備容災能力；

b）根據業務需求，及時進行補丁更新；

c）實施計算機病毒等惡意代碼的預防、檢測和系統被破壞后的恢復措施；

d）實施不間斷地網絡攻擊和網絡入侵行為的預防、檢測與響應措施；

e）適用時，對重要文件的完整性進行檢測，并具備文件完整性受到破壞后的恢復措施；

f）采取技術措施監測、記錄網絡運行狀態、信息安全事件和用戶活動行為等；

g）對系統的脆弱性進行評估，并采取適當的措施處理相關的風險。

注：系統脆弱性評估包括采用安全掃描、滲透測試等多種方式。

2、數據安全與備份

互聯網交互式服務提供者應對數據采取備份和保護等措施，保證數據的安全，包括但不限于：

a） 對數據進行分級分類

b）對重要數據的傳輸和存儲采取加密等安全保護措施；

c） 根據數據分類結果建立不同數據的備份策略，提供足夠的備份設施，確保必要的信息和軟件在災難或介質故障時可以恢復；

d）建立數據安全備份和恢復流程，必要時對備份和恢復過程進行演練，并對備份數據進行定期校驗。

3、日志與用戶數據記錄

①互聯網交互式服務提供者應記錄用戶注冊的相關信息，包括用戶唯一標識、用戶名稱及修改記錄、實名信息、注冊時間、IP地址及源端口、用戶備注信息等，其中實名信息可為姓名、證件類型、證件號碼、電子郵箱地址、手機號碼等。

②對于記錄的用戶活動日志，其內容應包括但不限于：

a）用戶的登錄日志，包括：

1）用戶唯一標識；

2）登錄時間；

3）退出時間；

4）IP地址及端口號。

b）用戶的信息發布日志，包括：

1）用戶唯一標識；

2）信息標識；

3）信息發布時間；

4）IP地址及端口號；

5）信息標題或摘要，包括圖片摘要。

c） 用戶的行為日志，包括：

1）發布、修改、刪除所發信息的行為；

2）上傳、下載文件的行為；

3）用戶自身屬性變更的行為。

d）匿名用戶行為，包括：

1）訪問時間；

2）來源IP地址。

適用時，應記錄使用客戶端終端設備的標識、位置。

③互聯網交互式服務提供者應確保日志內容的可溯源性，即可追溯到用戶ID、網絡地址和協議。涉及消息服務的，應能防范偽造、隱匿發送者真實標記的消息的措施；涉及地址轉換技術的服務，如移動上網、網絡代理、內容分發等，應記錄轉換前后的地址與端口信息；涉及短網址服務的，應記錄原始URL與短URL之間的映射關系。

④互聯網交互式服務提供者應確保日志與用戶數據記錄的時間由系統范圍內唯一確定的時鐘產生。

⑤互聯網交互式服務提供者應保護日志，確保無法單獨中斷審計進程，防止未授權的刪除、修改和覆蓋。

⑥互聯網交互式服務提供者應根據公安機關要求留存用戶訪問指定信息的日志。

⑦互聯網交互式服務提供者應留存相關的日志和用戶數據，具體保存周期要求如下：

a） 永久保留用戶注冊信息及歷史變更記錄；

b）留存網絡運行日志和系統維護日志不少于6個月；

c） 留存網絡安全事件日志不少于6個月；

d）留存用戶活動日志不少于6個月；

e） 留存用戶發布的信息內容不少于6個月。

業務安全

１、安全評估及報備

互聯網交互式服務者應在互聯網服務安全評估制度中明確互聯網新服務、新功能應在上線前進行安全評估，應制定信息網絡安全技術方案，并將安全風險評估結果向管轄地公安機關報備。

２、用戶管理

①互聯網交互式服務提供者應在用戶注冊時，與用戶簽訂業務協議.告知相關權利義務及需承擔 的法律責任。

②互聯網交互式服務提供者應建立用戶管理機制.包括但不限于：

ａ)對用戶真實身份信息進行有效核驗，有效核驗方法應能追溯到用戶登記的真實身份，如：

１）身份證與姓名的實名驗證服務；

２）有效的銀行卡；

３）合法、有效的數字證書；

４）已確認真實身份的網絡服務的注冊用戶；

５）經電信運營商接入實名認證的用戶；

６）生物特征。

b）禁止匿名用戶的信息發布權限，僅提供基本的瀏覽、查看功能。

c）對用戶的賬號、昵稱、頭像和備注等信息進行審核，禁止使用以下內容：

１）違反國家現行法律法規規定的；

２）違背社會公序良俗的；

３）容易引起公眾不良反應或誤解的。

ｄ）建立用戶黑名單制度，對互聯網交互式服務提供者自行發現以及公安機關通報的多次、大量發送傳播違法有害信息的用戶應納入黑名單管理。

注：如某網站采用已經實名認證的第三方賬戶登錄，可認為該網站的用戶已進行有效核驗。

③當用戶利用互聯網從事的服務需要行政許可時，互聯網交互式服務提供者應查驗其合法資質，查驗可以通過以下方法進行：

ａ）通過核對行政許可文件查驗；

ｂ）通過行政許可主管部門的公開信息查驗；

ｃ）通過行政許可主管部門的驗證電話、驗證平臺查驗。

３、違法有害信息防范和處置

①互聯網交互式服務提供者應建立與交互式服務特點相符的信息巡查制度，及時發現并處置違法 有害信息。

②互聯網交互式服務提供者應采取管理與技術措施，及時發現并停止違法有害信息的發布。

③互聯網交互式服務提供者應采用人工或自動化方式，對發布的信息進行審核或過濾。

④互聯網交互式服務提供者應采取技術措施過濾違法有害信息，包括但不限于：

a） 基于關鍵詞的違法有害文字信息（支持文字的變種、混淆等）的屏蔽過濾；

b）基于樣本數據特征值的違法有害音視頻、圖片的屏蔽過濾；

c） 基于違法有害外域鏈接的屏蔽過濾；

⑤互聯網交互式服務提供者應采取技術措施對違法有害信息的來源實施控制，防止繼續傳播。違法有害信息來源控制技術措施包括但不限于：封禁特定帳號、禁止新建帳號、禁止分享、禁止留言及回復、控制特定發布來源、控制特定地區或指定IP帳號登陸、禁止客戶端推送、切斷與第三方應用的互聯互通等。

⑥互聯網交互式服務提供者應建立涉嫌違法犯罪線索、異常情況報告、安全提示和案件調查配合 機制，包括：

a）對發現的違法有害信息，立即停止發布傳輸，保留相關證據（包括用戶注冊信息、用戶登錄信息、用戶發布信息等記錄），并向屬地公安機關報告；

b）對于煽動非法聚集、策劃恐怖活動、揚言實施個人極端行為等重要情況或重大緊急事件立即向屬地公安機關報告，同時配合公安機關做好調查取證工作；

c）在不破壞數據完整性、有效性的前提下將相關電子數據及時傳給屬地公安機關，通知相應的公 安機關進行現場處理。

⑦互聯網交互式服務提供者應與公安機關建立全天候的違法有害信息快速處置工作機制，應能及 時刪除有明確URL的單條違法有害信息，特定文本、圖片、視頻、鏈接等信息的源頭以及分享中的任一 環節，相關的屏蔽過濾措施應能及時生效。

４、破壞性程序防范

①互聯網交互式服務提供者應能發現破壞性程序并采取措施立即停止發布，同時保留發現的破壞 性程序的相關證據。

②對軟件下載服務提供者（包括應用軟件商店），其應檢查用戶發布的軟件是否含有計算機病毒等惡意代碼。

個人信息保護

１、處理規則

a）網絡交互式服務提供者應在個人信息保護制度中明確個人信息收集、使用、處理規則，并在顯 著位置予以公示。在用戶注冊時，應在與用戶簽訂服務協議中明示收集、使用、處理個人信息的目的、范圍與方式。

b）網絡交互式服務提供者僅收集為實現正當商業目的和提供網絡服務所必需的個人信息；收集 個人信息時，應取得用戶明確授權同意;將個人信息交給第三方處理時，處理方應符合本部分要求，并取 得用戶明確授權同意；法律、行政法規另有規定的，從其規定。

c）修改個人信息處理規則時，網絡交互式服務提供者應告知用戶，并取得其同意。

2、技術措施

網絡交互式服務提供者應建立覆蓋個人信息處理的各個環節的安全保護制度和技術措施，防止個 人信息泄露、損毀、丟失，包括：

a）釆用加密方式保存用戶密碼等重要信息；

b）對內部員工涉及個人信息的所有操作進行審計，并對審計結果進行分析，預防內部員工故意 泄露；

c）對個人信息的采集、存儲或傳輸行為進行審計，作為信息是否泄露、毀損、丟失的查詢依據；

d）建立程序來控制對涉及個人信息的系統和服務的訪問權的分配，這些程序涵蓋用戶訪問生存 周期內的各個階段。

3、個人信息安全事件應急處置

對于個人信息安全事件安全事件，互聯網交互式服務提供者應具備以下能力：

a）發現并識別個人信息安全事件，同時保留原始記錄；

b）立即采取補救措施，防止信息安全事件繼續發生；

c）及時告知用戶，并立即報告屬地公安機關。