区块链和分布式记账技术 区块链监管平台接入管理要求 征求意见稿

1FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX区块链和分布式记账技术服务运营第3部分区块链监管平台接入管理要求本文件规定了区块链监管平台接入的程序和要求，包括意向申请、正式申请和受理、评审、接入许可与公布等内容（详细）。本文适用于接入区块链监管平台的区块链系统和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。《区块链信息服务管理规定》GB/T43572-2023区块链和分布式记账技术术语3术语和定义3.1监管方负责制定、实施区块链监管政策并运营区块链监管平台的政府部门或授权机构。3.2区块链监管平台监管方用于监督和管理区块链应用或系统的监管平台。3.3被监管方经过许可或备案，具备合法资格并申请接入区块链监管平台的机构。注：包括区块链系统运营商、应用开发者和数据服务提供商等。3.4区块链系统和应用基于区块链技术开发、运营或提供服务的系统和应用程序。3.5评审组由监管方秘书处指定的具备区块链技术和管理经验专家团队。4接入管理要求2FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX接入管理的流程包括提交申请、受理申请、技术评审、组建评审组、评审组评审、评审结果公示环节，如图1所示。图1接入管理流程图4.1提交申请4.1.1基础要求被监管方应符合以下要求：a)持有有效的企业法人资质证明；b)书面承诺其第三方区块链系统完全符合国家相关法律法规；c)申请接入区块链监管平台的区块链系统完成国家区块链信息服务备案或者证明区块链系统所承载的业务与区块链监管平台管辖的区块链业务和技术领域相关。3FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX4.2受理申请4.2.1申请材料审查监管方秘书处审查申被监管方提交的申请材料，将审查过程中发现的与接入条件不符合之处通知被监管方。申请接入单位自收到通知日起1个月内对提出的问题给予书面答复。无正当理由未回复，不予受理接入申请。被监管方在规定日期内答复后，若超过2个月仍不符合受理条件的，不予受理接入申请。4.2.2受理结果监管方秘书处确认被监管方符合受理要求，则正式受理，不符合审查要求的则不予受理，并告知被监管方结果。4.3技术评审4.3.1测评机构资质要求监管方秘书处正式受理被监管方的接入申请后，被监管方应进行第三方技术测评，第三方技术测评机构应符合以下要求：a)应具备国家级认证测评资质；b)应获得监管方技术测评授权。4.3.2时间要求被监管方应在收到正式受理接入申请的通知后，在监管方秘书处规定的期限内通过技术评审。如由于申请接入单位自身的原因，在限期内无法通过测评的，监管方有权不予通过本次申请。4.3.3技术评审结论技术评审结论通常分为以下三种：a)通过技术评审；b)部分通过技术评审，需整改；c)不通过技术评审。4.3.4整改监管方秘书处对申请接入单位的申请作出不予受理或不予通过的决定后，申请接入单位再次提交接入申请时，根据不同情况应分别符合以下要求：a)因申请接入单位提交的申请材料与事实不符，或提交的申请材料有不真实（这个如何核实和认定）的情况，或存在欺诈行为、隐瞒信息或故意违反接入要求，或不能遵守接入申请关于公正诚实、廉洁自律等承诺要求的原因不予受理接入申请的，监管链秘书处在作出不予受理决定24个月内不再接收该申请接入单位的申请；b)由于申请接入单位的接入平台管理与技术体系不符合接入要求或体系运行有效性存在问题不予受理接入申请的，申请接入单位在监管链秘书处作出不予受理决定6个月之后，可再次提交接入申请；4FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXXc)如在技术测评过程中，被发现申请接入单位在相关活动中存在违反国家有关法律法规或其它明显有损于监管链声誉和权益的情况，监管链秘书处可终止接入申请，并采取相应处理措施启动司法程序。二次提交申请要求.1技术评审结果为“部分通过需整改”再次提交接入申请要求如下：a)整改期限1)一般性问题，不影响区块链系统核心功能和安全性，通过优化和完善即可解决的技术或管理问题。30个工作日内完成整改；2)重大问题，影响区块链系统核心功能、数据安全、业务合规等方面，需要进行系统性改造或重大调整才能解决的问题，90个工作日内完成整改；3)特殊情况可申请延期，但最长不超过180个工作日。a)整改要求1)提交详细的整改方案，包含但不限于时间表和责任人；2)定期（每15个工作日）提交整改进度报告；3)整改完成后提交整改总结报告；4)接受测评机构的整改验证。b)再次测评要求1)整改完成后15个工作日内提交再测评申请；2)原则上应由原测评机构进行再测。.2技术评审结果为“不通过”再次提交接入申请要求如下：a)证明材料要求1)提供原申请被驳回的原因说明；2)提交针对驳回原因的整改报告；3)提供整改措施的实施证明材料；4)出具确保合规性的书面承诺。b)时间限制1)由于技术实现、系统性能或管理规范等方面不足导致的不符合要求（6个月后可重新申请2)系统在安全性、可靠性、数据完整性等关键指标存在重大缺陷（12个月后可重新申请）；3)存在故意隐瞒、提供虚假材料或违反国家法律法规等行为（24个月后可重新申请）。c)形式要求1)所有证明材料均需在申请提交前3个月内更新；2)整改报告需经法定代表人签字并加盖公章。d)申诉机制1)对测评结果有异议的，可在收到结果10个工作日内提出申诉；2)提供充分的证据支持申诉理由；3)申诉期间原测评结果维持有效；4)必要时可组织专家组进行论证；5)申诉结果为最终结果，不再接受再次申。5FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX4.4组建评审组为确保评审工作的规范、有效开展，应按本条规定组建评审组。a)监管方秘书处根据评审需要组建评审组，负责材料审查和现场评审；b)评审组成员应具备相关专业资质，且与被监管方无利益关联；c)评审组构成对被监管方保密。4.5评审组评审评审组评审流程包括预评审和现场评审两个主要流程，如图2所示。图2评审组评审流程6FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX4.5.1预评审预评审依据评审组依据监管平台的接入规范、政策及技术要求，对被监管方提供的文件资料进行线上评审预评审内容a)安全管理体系文件；b)产品技术体系文件；c)技术评审文件。预评审结果a)允许现场评审；b)整改后，现场评审；c)不予现场评审。4.5.2现场评审现场评审依据现场评审范围和方法a)评估区块链系统设计阶段的技术规划、架构合理性和预期目标；b)评审区块链系统开发和运行过程中的技术实施、数据管理和操作流程；c)检查区块链系统的维护、升级和退役计划，以及长期数据保存和可追溯性。注：现场评审方法可采用文档审查、现场检查、技术测试和访谈等方法。现场评审内容和要求a)技术层面，审查应包括但不限于系统架构、代码质量、算法效率、数据存储解决方案、共识机制和智能合约安全性等；b)业务层面，审查应涉及业务逻辑、合规性、用户隐私保护、交易处理流程和业务持续性计划c)其他层面，基于业务领域、敏感信息及数据，包括但不限于数据合规性、系统安全性等接入要求。注：评审组向被监管方提出改进意见，但无解释说明义务。评审组中止评审的情况a)材料与实际严重不符；b)不具备评审条件；c)不配合评审工作；d)技术领域与区块链不相关；e)存在违法违规行为。现场专家评审意见a)准予接入；b)整改后接入；c)不予接入。7FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX被监管方整改被监管方应在收到评审意见后2个月内完成整改并报告整改结果，评审组复审确认整改是否有效。评审报告和推荐意见提交评审结束后，评审组长提交最终评审结论和推荐意见，秘书处审核后正式递交给被监管方。4.6接入许可与公布4.6.1准予接入有效期监管链秘书处向获准接入的申请单位颁发准予接入证书，有效期为3年。接入证书到期前，若单位需继续保持接入，应在到期前1个月向监管链秘书处提交延续申请。4.6.2接入复审平台每年复审一次，决定是否延续接入资格。对于复审不合格的单位，将暂停数据对接，直至整改合格后恢复接入。注：下一次复审时间以整改合格后恢复接入的时间为基准计算。4.6.3换发准予接入证书监管链秘书处根据获准接入单位维持准予接入资格的意向，换发准予接入证书。4.6.4接入单位公布监管链秘书处负责公布获准接入单位的接入状态信息和基本信息并及时更新。4.7变更与终止出现下列情形之一的，监管方秘书处可变更或终止接入申请或接入结果：a)审核流程中，监管方发现申请接入单位存在违反国家有关法律法规或其它有损于监管方声誉和权益的情况；b)在接入后，监管方发现被监管方存在违反国家有关法律法规或其它有损于监管方声誉和权益的情况。5接入技术要求5.1技术基础要求a)被监管方的区块链系统和应用应符合以下要求：支持国产商用密码标准；b)具备持久化存储账本记录、多节点完整数据记录、自定义账本权限和节点数据一致性等功能；c)具备共识容错能力，少数节点失效时，系统和平台仍保持可用性；d)具备实名身份验证机制和用户权限管理机制；e)应符合《区块链信息服务管理规定》；f)根据监管方的要求提供相关接口，支持区块链监管平台访问被监管方的区块链平台和应用的数据和内容，可设置监管节点，支持同步数据到监管节点；8FORMTEXTGB/TFORMTEXTXXXXX—FORMTEXTXXXX5.2安全管理要求被监管方的区块链系统和应用符合以下安全管理要求：a)应具备智能合约安全管理机制，防止代码漏洞和恶意调用；b)共识算法应具备抗攻击能力和有效性验证机制，确保系统共识正确运行；c)支持对异常业务、日志、数据、故障、漏洞的识别、溯源、预警和处置；d)具备数据安全和隐私保护能力；a)具备网络安全防御机制。5.3数据管理要求被监管方的区块链系统和应用符合以下数据监管要求：e)具备敏感数据保护机制；f)确保监管数据与系统实际数据一致；g)明确数据来源和责任方，具备对违法内容处置能力；5.4互操作要求被监管方的系统和应用应符合以下互操作要求：a)具备与区块