文 | 黄春林 汇业律师事务所 合伙人

2017年6月8日,工信部发布《互联网新业务安全评估管理办法(征求意见稿)》(下称“评估办法”),规定互联网公司上线新业务前须开展安全评估,否则监管机构将约谈公司主要负责人,并将采取警告、罚款及记入电信业务经营不良名单和失信名单。

本文中,汇业律师事务所黄春林律师将结合电信业务监管实践,详细分析评估办法的主要内容、影响及评价。

一、哪些互联网公司受限制?

评估办法第二条规定,“中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。”即,在中国境内的“电信业务经营者”受评估办法限制。

我国法律、法规无“电信业务经营者”的明确定义,但“电信业务经营者”的提法在《电信条例》、《电信业务经营许可管理办法》即有出现,主要指从事经营性基础电信业务和增值电信业务的主体。而根据《电信业务分类目录》,增值电信业务包括互联网接入服务、电子商务、信息服务(文字、视音频、游戏及软件等)等互联网公司开展的常见业务。

但是笔者注意到,《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》并未使用“电信业务经营者”统称经营性和非经营性互联网信息服务提供者,且《非经营性互联网信息服务备案管理办法》第八条和第十条明确区分了“电信业务经营者”和“非经营性互联网信息服务提供者”的提法。

所以,关于评估办法的适用对象理解,实践中可能确实会存在一定的困惑,即“电信业务经营者”是否仅指取得或者应当取得电信业务经营许可证(例如ICP/SP/EDI/IDC等)的互联网企业,还是包括全部互联网企业?综合前述分析及评估办法第三条新业务的界定,笔者认为第一种理解更妥。

二、哪些属于互联网新业务?

评估办法第三条界定了“互联网新业务”的定义,即“电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。”根据笔者的理解,这里主要包括两种可能被界定为“新业务”的情形:

(1)时间纵向的新业务,即电信业务经营者刚刚开业或者新产品首次上线的游戏、视频、电商等常规互联网业务。

(2)空间横向的新业务,即《电信业务分类目录》中未列明的新型电信业务。

事实上,实践中第2种情形影响较小。因为一方面,目前《电信业务分类目录》已经涵盖了市场中几乎所有的互联网业务(《电信业务分类目录》中的“电信业务”与实践中的“商业模式”可能会有差异,例如网络游戏、视音频、搜索引擎、应用商店等商业模式,在《电信业务分类目录》中统称为“信息服务”),极少类型的业务(主要也是个别基础电信业务)未列入《电信业务分类目录》;另一方面,根据《电信条例》第九条及工信部2013年发布的《试办新型电信业务管理办法(征求意见稿)》(后来怎么了?)规定,企业试办新型电信业务,本来就需要向工信部履行备案手续。

对行业影响最大的就是第1种情形。即,新设的互联网公司上线产品,或者已有的互联网公司上线新业务,均需要办理安全评估,这个将极大的增加互联网企业的合规成本。

但是,这一新规可能会在法律适用中带来极大的争议,即什么才属于“新业务”?所谓新业务,是参照《电信业务分类目录》的表述,跨大类开展新的类目(俗称“增项”,例如现在开展B25信息服务业务,新增开展B21在线交易与数据处理业务),又或是跨小类开展新的条目(例如现在开展信息发布平台业务,新增开展信息即时交互业务)?更极端的理解,是指互联网企业开发新的产品或商业模式?

三、未开展安全评估有何风险?

根据评估办法规定,互联网企业上线新业务应当办理安全评估,并应当按照评估办法的规定程序申报安全评估报告。未依法开展安全评估或依法申报安全评估报告的法律风险主要包括:

(1)根据评估办法第21条规定,监管机构可以约谈电信业务经营者的主要负责人。

(2)根据评估办法第27条规定,由监管机构责令限期改正,予以警告,可以处以一万元以上三万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。而根据工信部2017年4月发布的《电信业务经营许可管理办法(修订征求意见稿)》规定,监管机构对列入电信业务经营不良名单和失信名单的电信业务经营者实施重点监管。

(3)此外,根据笔者预测,后续电信业务经营许可证申办中,将极有可能新增一项材料,即业务安全评估报告。未提交安全评估报告的,申请材料可能会被退回或要求补正。

四、如何开展安全评估?

首先,关于安全评估的时点,根据评估办法第10条规定,应当在互联网新业务面向社会公众上线前完成。这里的“上线”,包含正式上线、合作推广、试点、商用试验等情形。

其次,关于安全评估的方法,根据评估办法第11条规定,可以采取自行评估的方式,也可以委托专业机构实施评估。这一点与数据出境评估、重要产品采购安全评估等制度不同,无主管部门评估。

再次,关于安全评估的内容,根据评估办法第9条规定,主要涉及用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面。此外,晚些时候,监管机构还会出台互联网新业务安全评估指导性标准。

最后,关于安全评估的报告,应当在互联网新业务面向社会公众上线后45日内,向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。书面评估报告则至少应当包括业务情况、技术实现方式、安全评估内容和结论、安全管理措施、安全责任人、应急联系人及其联系方式等内容。

五、评估办法评价

笔者认为,在网信办强势密集出台了一系列互联网监管新政的大背景下,评估办法的出台仅仅是工信部刷存在感的一种方式。评估办法确立的新业务安全评估制度,既无必要性,亦无可操作性,徒增部门利益冲突和创业合规风险。

从必要性分析,一方面,安全评估的主要内容为信息安全评估,刚刚生效的《网络安全法》已经建立了一套互相衔接的信息安全落地政策(其中无授权工信部制定落地政策的条款),能够有效的防止潜在的信息安全风险;另一方面,企业在申请电信业务经营许可证时,已经根据《电信业务经营许可管理办法》第8条要求,向工信部/通管局提交了业务与技术方案、服务质量保障措施、网络与信息安全保障措施、信息安全承诺函等材料,评估办法要求重复提交该等材料的意义不大。

从可操作性分析,前面提到,评估办法存在很多模糊不清的地方,将大大降低该法的适用性和操作性。例如,评估办法对适用主体未明确界定,对于何为“新业务”并没有清晰的解释。

在部门利益冲突方面,刚刚生效的《网络安全法》明确规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。”网信办近期也确实发布了大量的网络及信息安全落地政策。在这样的大背景下,工信部的评估办法横空出世,可能会导致“多头监管”,导致企业网络安全合规建设无所适从。

评估办法确立的新业务安全评估制度,以“评估”代“许可”(未评估的不得上线新业务),属于典型的变相增加许可事项,与国家倡导的“大众创业、万众创新”政策相违背,人为设置创业障碍、增加创业合规风险。

原文地址:http://www.huiyelaw.com/news-1119.html

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。