网信办于2017年2月4日公布了《网络产品和服务安全审查办法(征求意见稿)》并公开征求意见。纵观全文,十六个条款,简单得令人「发指」。然而就是如此简单的一个办法,兴许日后会对互联网界产生十分重要的影响。故形成文,谈谈自己的部分看法(杂而小的就不赘述了),并将在删整后抄送网信办邮箱「zhangheng@cac.gov.cn」。
要注意的是,此次网信办公布的《网络产品和服务安全审查办法(征求意见稿)》,针对的不是网络内容审查,而仅是网络安全审查。所以,google退出中国事件,不会因此而再度出现,有网友因此而评论的“网络应当是干净的平台”简直是碰瓷式瞎捧。
文一
网络审查的法律依据何在?
很多人会认为,网信办对网络产品和服务审查,超越了法律规定,其本质实际上是一种行政许可,因为此法一出,将会产生权力灰地,很多网络产品和服务如果想获得更广的发展,必须“巴结”权力,才有可能进入安全产品服务目录中,而根据我们对权力的一般常识性判断,一定会有很多部门很多环节成为拦路虎,一定会填写大量的表格并提供大量的资料瞎折腾,这样的担心其实不无道理。
非常重要的一点是,网信办是挂在党组织下,其在国务院体系下的地位等同于国务院办事机构(办事机构是不享有行政执法权的,比如说不能进行行政处罚),根据国务院的授权(国务院有授权网信办)才享有的执法权,网信办除了拔你家网线,或向其它部门打小报告,除此外,网信办真没什么真权力。此次的审查办法,其效力等级极其低下,充其量只是规范性文件,连地方政府规章都不如,但就是这样低效力的文件,在其纯正血统影响下又能让一个国家所有部门为之打转,真是一种怪现状。
但网信办在一定程度上确实是可以立“法”的。《国家安全法》第五十九条规定:「国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的……网络信息技术产品和服务……进行国家安全审查」。 《网络安全法》第三十五条规定:「关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。」
大家须十分注意的是,对于「审查」这一动名词,《网络安全法》中仅仅出现过4次,而且基本仅针对「关键信息基础设施的运营者采购网络产品和服务」,这说明网信办其实只能对「关键信息基础设施的运营者采购网络产品和服务」进行网络安全审查,而无权限涉及其它任何主体,而审查办法扩大了网信办的审查范围(见下文)。
文二
网络审查是变相的行政许可?
网信办的审查从目前来看,并不属于行政许可。
我国《行政许可证》所称的行政许可,是指经依法审查后准予从事特定活动的行为。但是,在审查办法下,国家并没有说你没有经过审查,就不允许你从事网络产品和服务的经营,而是你没有通过审查,特定领域或行业你就不能进入。
所以,任何人都可以在没有审批的情况下,随意开发、经营网络产品和服务,只不过有些领域不能使用而已,这和行政许可还是有一定区别的,从这点来看,各大互联网产品和服务总归还是不用过于担心的。
但可以想象的是,以后的政府采购,可能都会加入限制性条件,即「网络产品和服务已通过国家安全审查」,这和采购条件中加入「注册资本须*千万元以上」该类条款没任何区别。
最为契合并用以解释的一部法律其实是《反不正当竞争法》,该法明确政府及其所属部门不得滥用行政权力,限定他人购买其指定的经营者的商品,限制外地商品进入本地市场「注:反法目前的征求意见稿中已删除此类表述」。只不过原反法制定的时期太过早期,以至于没有考虑到网络环境下可能已经不存在「外地」或「本地」的概念了。
文三
哪些网络产品和服务会被审查?
《网络产品和服务安全审查办法(征求意见稿)》对这个问题基本是散乱的, 主要体现在第二条、第九条、第十条和第十一条之中。即包括「关系国家安全和公共利益的信息系统使用的重要网络产品和服务」、「金融、电信、能源等重点行业主管部门“自有”网络产品和服务」、「党政部门及重点行业采购的网络产品和服务」以及「关键信息基础设施运营者采购的网络产品和服务」四类。
个人认为上述几类主体存在交叉性问题,导致含混不明。例如「金融、电信、能源等重点行业」和「党政部门及重点行业」均有「重点行业」之交叉表述;再如,根据《网络安全法》,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他事关国家安全、国计民生、公共利益的关键信息基础设施,均属于「关键信息基础设施」,其中就已经包括了审查办法中的「金融、电信、能源等重点行业」。
而法律专用名词的不明确,在实务中将给执法工作带来极大的可解释性,导致权力过度使用,故建议将以上各主体的表述方式及其对应的审查力度,应切实根据《网络安全法》进行分类,不可交叉含混。
所以,结合前文关于《网络安全法》授权审查的范围,个人认为《网络产品和服务安全审查办法(征求意见稿)》不应当另行创设其它法律名词,而应当紧扣《网络安全法》第三十五条,专注于「关键信息基础设施」,做两件事即可,一是由国务院明确何为「关键信息基础设施」(可以把目前审查办法中列明的主体都放进去);二是再进一步明确何为「可能影响国家安全的」,以上两者明确后,审查目录(网络关键设备和网络安全专用产品目录)自然就呼之欲出了。
当然,国家组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准亦是非常重要的前提,否则让人家怎么去开发产品和服务。
文四
网络审查后时代,几家欢喜几家愁?
值得非常注意的是,审查办法似乎想从网络产品和服务的来源作为出发,对产品和服务进行分类。这个来源的区分就是「采购」还是「自有」。从这个角度来看,市场上将有非常多的互联网商业公司会受到万点伤害,反过来看,也将会有更多的优质公司脱颖而出,造成几家欢喜几家愁。
网络产品和服务,用户数量和质量必是最为重要的衡量因素,而在用户质量维度,政务系统、金融能源和民生领域都会是重点用户,也属头部用户,抓不住头部用户,也将失去市场。所以,在网络审查的后时代,互联网公司应再次重视网络安全的重要性,在产品开发、运营中都切实符合国家标准,否则一旦产品成型,却会发现自己的产品无法进入关键用户领域而死亡。
从某种意义上来看,网络安全技术及合规的成本将大幅度上升,对于中小型互联网公司而言,在融资时必须考虑到其产品中安全技术的投入成本,否则只有互联网寡头巨头才有能力对网络安全投入巨资,从而再次垄断市场,形成市场禁区。
例如新浪微博的政务认证,据人民日报和微博联合发布《2016年上半年人民日报?政务指数微博影响力报告》显示,政务微博开通数量已近16家。腾讯发布的《2015年度全国政务新媒体报告》显示,全国开通政务公众号的数量也已近10万家。这些领域日后都可能会被要求先行通过网络审查,否则不能提供政务开通功能。而尴尬的是,在刚刚落幕的新浪微博诉脉脉数据抓取一案中,虽然新浪基本胜诉,但法院也毫不留情地批评了新浪微博的安全漏洞问题,说明即使是国内一流网络运营商,也有可能存在非常大的安全问题。
===========================
网络法领域 深度观察的律界工匠
封面图片来源:CC0协议 或 网络图