2017.08.07 张岳 郝丹阳 余灵翎
2017年7月20日,民政部发布《慈善组织互联网公开募捐信息平台基本管理规范》(标准编号为MZ/T 088-2017,以下简称“《管理规范》”)和《慈善组织互联网公开募捐信息平台基本技术规范》(标准编号为MZ/T 087-2017,以下简称“《技术规范》”)两项推荐性行业标准的正式稿(第406号公告),自2017年8月1日正式实施。与民政部于2017年6月2日公布的征求意见稿相比,正式实施的文本强化了平台信用要求和事中事后监管,增加了与《网络安全法》相关的个人信息保护及信息安全等级保护要求,并简化了一些平台内部管理和功能要求。
一、正式稿对征求意见稿的主要修改
(一)《管理规范》
《管理规范》适用于慈善组织互联网公开募捐信息平台(以下简称“平台”)的指定与监管,以及平台自身建设与运营。与征求意见稿相比,《管理规范》正式稿的主要修改包括:
1、新增平台申报方条件要求。要求平台申报方在互联网公益领域或所在行业有较大的社会影响力或代表性,符合《技术规范》及相关标准和规范要求,且无不良信用记录。
2、新增个人信息保护管理要求。要求平台采取措施确保所收集的个人信息安全,在发生或者可能发生个人信息安全事件时,应立即采取补救措施,并按规定及时告知用户并向有关主管部门报告。
3、删除内部管理要求。不再要求平台管理纳入平台主办机构的高层决策议事范畴,也不再要求平台具有互联网公开募捐信息服务的专职部门或专门团队。
4、删除纠纷解决机制要求。不再要求平台建立及时启动的纠纷解决及个案危机应对机制。
5、增加平台退出情形。增加“1年内考核不达标或违规处理累计2次”或“出现重大网络安全事故的”作为取消平台指定的情形,且禁止该平台在2年之内重新提出申报。
(二)《技术规范》
《技术规范》适用于平台的设计、开发、改造,以及遴选指定、日常运维。与征求意见稿相比,《技术规范》正式稿的主要修改包括:
1、新增信息安全等保要求。要求平台信息系统的安全保护等级不低于《信息安全等级保护管理办法》规定的第三级,并取得有权机关出具的备案证明。
2、修改举报处理方式。不再要求平台在举报属实的情况下立即下线活动,而仅要求平台具有技术能力配合有权机关进行暂停募捐活动、下线募捐活动、通知捐款人及相关方等处理措施。
3、降低后台信息查询要求。仅要求平台具备查看捐款详情的技术,不再要求平台为慈善组织提供每一笔支付记录的查看、捐款详情的导出以及管理或导出捐款拨付、使用情况的功能。
二、简评
如我们此前文章中所分析(http://www.junhe.com/law-reviews/655),两项标准的正式出台进一步明确和规范了对慈善组织互联网公开募捐信息平台的监管要求,并对平台公开捐助信息发布活动设立了普遍的可操作的行业标准。《慈善法》的实施未满一年,公开募捐的实践经验尚未成熟,网络作为当下公开募捐最主要的媒介之一,极易出现鱼龙混杂的局面。两项标准的相关规定,例如明确个人求助、网络互助信息属性、禁止竞价排名、禁止插入商业广告等等要求,将促使已设立或拟设立的互联网公开募捐信息平台严格按照行业标准规范自身行为,有利于网民区分合法合规的公开募捐信息和其他未经证实的求助信息或非法的募捐行为甚至欺诈活动,促进了互联网公开募捐活动的进一步有序发展。
同时,基于《网络安全法》已正式实施的背景,两项标准对平台的个人信息保护和信息安全管理提出了进一步的要求。其中,《技术规范》明确规定,平台的信息安全等保应不低于第三级。该等级意味着,如平台受到破坏,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。根据我们的实践经验,信息安全等保三级已属较高的安全标准,基本达到了一般银行金融机构的核心系统的安全等保要求。在向相关公安部门申请信息安全等保备案前,平台一般需要聘请专门的测评机构,对平台的信息安全等保状况进行系统设计、整改和测评,在运行期间也需要定期进行测评和自查等工作,并受到公安等部门的监督和检查。互联网公开募捐信息平台在实际运行中有可能汇聚大量的个人信息和募捐记录等重要数据,该项规定在很大程度上强化了平台的安全性,有利于防范平台遭受网络攻击、网络侵入而可能产生的潜在风险。