网络「审查法」公布:几家欢喜几家愁
编者按:2月4日,国家网信办就《网络产品和服务安全审查办法(征求意见稿)》公开征求意见,这可能是对每个网民都会产生影响的规范。今天转载麻策律师对这一规范的分析。如果你对这一规范也有意见(条文附后),可以写出来寄送至zhangheng@cac.gov.cn。本文原载公号互联网法律匠(mclawman),感谢麻策律师授权转载。
作者 麻策 浙江腾智律师事务所律师
网信办于2017年2月4日公布了《(征求意见稿)》并公开征求意见。纵观全文,十六个条款,简单得令人「发指」。然而就是如此简单的一个办法,兴许日后会对互联网界产生十分重要的影响。故形成文,谈谈自己的部分看法(杂而小的就不赘述了),并将在删整后抄送网信办邮箱「zhangheng@cac.gov.cn」。
要注意的是,此次网信办公布的《网络产品和服务安全审查办法(征求意见稿)》,针对的不是网络内容审查,而仅是网络安全审查。所以,google退出中国事件,不会因此而再度出现,有网友因此而评论的“网络应当是干净的平台”简直是碰瓷式瞎捧。
网络审查的法律依据何在?
很多人会认为,网信办对网络产品和服务审查,超越了法律规定,其本质实际上是一种行政许可,因为此法一出,将会产生权力灰地,很多网络产品和服务如果想获得更广的发展,必须“巴结”权力,才有可能进入安全产品服务目录中,而根据我们对权力的一般常识性判断,一定会有很多部门很多环节成为拦路虎,一定会填写大量的表格并提供大量的资料瞎折腾,这样的担心其实不无道理。
非常重要的一点是,网信办是挂在党组织下,其在国务院体系下的地位等同于国务院办事机构(办事机构是不享有行政执法权的,比如说不能进行行政处罚),根据国务院的授权(国务院有授权网信办)才享有的执法权,网信办除了拔你家网线,或向其它部门打小报告,除此外,网信办真没什么真权力。此次的审查办法,其效力等级极其低下,充其量只是规范性文件,连地方政府规章都不如,但就是这样低效力的文件,在其纯正血统影响下又能让一个国家所有部门为之打转,真是一种怪现状。
但网信办在一定程度上确实是可以立“法”的。《国家安全法》第五十九条规定:「国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的……网络信息技术产品和服务……进行国家安全审查」。《网络安全法》第三十五条规定:「关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。」
大家须十分注意的是,对于「审查」这一动名词,《网络安全法》中仅仅出现过4次,而且基本仅针对「关键信息基础设施的运营者采购网络产品和服务」,这说明网信办其实只能对「关键信息基础设施的运营者采购网络产品和服务」进行网络安全审查,而无权限涉及其它任何主体,而审查办法扩大了网信办的审查范围(见下文)。
网络审查是变相的行政许可?
网信办的审查从目前来看,并不属于行政许可。
我国《行政许可证》所称的行政许可,是指经依法审查后准予从事特定活动的行为。但是,在审查办法下,国家并没有说你没有经过审查,就不允许你从事网络产品和服务的经营,而是你没有通过审查,特定领域或行业你就不能进入。
所以,任何人都可以在没有审批的情况下,随意开发、经营网络产品和服务,只不过有些领域不能使用而已,这和行政许可还是有一定区别的,从这点来看,各大互联网产品和服务总归还是不用过于担心的。
但可以想象的是,以后的政府采购,可能都会加入限制性条件,即「网络产品和服务已通过国家安全审查」,这和采购条件中加入「注册资本须*千万元以上」该类条款没任何区别。
最为契合并用以解释的一部法律其实是《反不正当竞争法》,该法明确政府及其所属部门不得滥用行政权力,限定他人购买其指定的经营者的商品,限制外地商品进入本地市场「注:反法目前的征求意见稿中已删除此类表述」。只不过原反法制定的时期太过早期,以至于没有考虑到网络环境下可能已经不存在「外地」或「本地」的概念了。
哪些网络产品和服务会被审查?
《网络产品和服务安全审查办法(征求意见稿)》对这个问题基本是散乱的,主要体现在第二条、第九条、第十条和第十一条之中。即包括「关系国家安全和公共利益的信息系统使用的重要网络产品和服务」、「金融、电信、能源等重点行业主管部门“自有”网络产品和服务」、「党政部门及重点行业采购的网络产品和服务」以及「关键信息基础设施运营者采购的网络产品和服务」四类。
个人认为上述几类主体存在交叉性问题,导致含混不明。例如「金融、电信、能源等重点行业」和「党政部门及重点行业」均有「重点行业」之交叉表述;再如,根据《网络安全法》,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他事关国家安全、国计民生、公共利益的关键信息基础设施,均属于「关键信息基础设施」,其中就已经包括了审查办法中的「金融、电信、能源等重点行业」。
而法律专用名词的不明确,在实务中将给执法工作带来极大的可解释性,导致权力过度使用,故建议将以上各主体的表述方式及其对应的审查力度,应切实根据《网络安全法》进行分类,不可交叉含混。
所以,结合前文关于《网络安全法》授权审查的范围,个人认为《网络产品和服务安全审查办法(征求意见稿)》不应当另行创设其它法律名词,而应当紧扣《网络安全法》第三十五条,专注于「关键信息基础设施」,做两件事即可,一是由国务院明确何为「关键信息基础设施」(可以把目前审查办法中列明的主体都放进去);二是再进一步明确何为「可能影响国家安全的」,以上两者明确后,审查目录(网络关键设备和网络安全专用产品目录)自然就呼之欲出了。
当然,国家组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准亦是非常重要的前提,否则让人家怎么去开发产品和服务。
网络审查后时代,几家欢喜几家愁?
值得非常注意的是,审查办法似乎想从网络产品和服务的来源作为出发,对产品和服务进行分类。这个来源的区分就是「采购」还是「自有」。从这个角度来看,市场上将有非常多的互联网商业公司会受到万点伤害,反过来看,也将会有更多的优质公司脱颖而出,造成几家欢喜几家愁。
网络产品和服务,用户数量和质量必是最为重要的衡量因素,而在用户质量维度,政务系统、金融能源和民生领域都会是重点用户,也属头部用户,抓不信头部用户,也将失去市场。所以,在网络审查的后时代,互联网公司应再次重视网络安全的重要性,在产品开发、运营中都切实符合国家标准,否则一旦产品成型,却会发现自己的产品无法进入关键用户领域而死亡。
从某种意义上来看,网络安全技术及合规的成本将大幅度上升,对于中小型互联网公司而言,在融资时必须考虑到其产品中安全技术的投入成本,否则只有互联网寡头巨头才有能力对网络安全投入巨资,从而再次垄断市场,形成市场禁区。
例如新浪微博的政务认证,据人民日报和微博联合发布《2016年上半年人民日报?政务指数微博影响力报告》显示,政务微博开通数量已近16家。腾讯发布的《2015年度全国政务新媒体报告》显示,全国开通政务公众号的数量也已近10万家。这些领域日后都可能会被要求先行通过网络审查,否则不能提供政务开通功能。而尴尬的是,在刚刚落幕的新浪微博诉脉脉数据抓取一案中,虽然新浪基本胜诉,但法院也毫不留情地批评了新浪微博的安全漏洞问题,说明即使是国内一流网络运营商,也有可能存在非常大的安全问题。
国家互联网信息办公室关于《网络产品和服务安全审查办法(征求意见稿)》公开征求意见的通知
为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国网络安全法》,国家互联网信息办公室起草了《网络产品和服务安全审查办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2017年3月4日前,通过以下方式提出意见:
一、通过信函方式将意见寄至:北京市东城区朝阳门内大街225号国家互联网信息办公室网络安全协调局,邮编:100010,并在信封上注明“征求意见”。
二、通过电子邮件方式发送至:zhangheng@cac.gov.cn
附件:网络产品和服务安全审查办法(征求意见稿)
网络产品和服务安全审查办法
(征求意见稿)
第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
第三条 坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。
第四条 重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。
第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。
第九条 金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
第十条 党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
第十一条 关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。
关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
第十二条 承担网络安全审查的第三方机构,应坚持客观、公正、公平的原则,参照有关标准,重点从可控性、透明性、可信性等方面,对网络产品和服务及提供者进行评价,并对评价结果负责。
第十三条 网络产品和服务提供者应对网络安全审查工作予以配合。
第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
第十四条 网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。
第十五条 本办法由国家互联网信息办公室负责解释。
第十六条 本办法自2017年 月 日起实施。
编辑:易水寒天,Zeal,墨汁,一西,一希