孤立的新规——互联网新业务安全评估管理办法(征求意见稿)

一、背景

6月8日下午,工信部就《互联网新业务安全评估管理办法(征求意见稿)》(简称“管理办法”)公开征求意见,值得注意的是,虽然征求意见的管理办法是在《网络安全法》正式施行以后,但该管理办法在第一条立法目的中并未援引《网络安全法》,也没有网信部门的参与,该管理办完全是由工信部所主导。

该管理办法的适用范围非常宽泛,只要电信业务经营者开展新的在线业务,就需要进行安全评估。而电信业务的范围非常宽泛,尤其是在《电信业务分类目录》B25类“信息服务业务”下,囊括了绝大多数的互联网服务类型,而且因为电信管理机构负责网站备案,所以可能会涉及能否顺利备案问题。

二、内容及其影响

安全评估涉及以下内容:

  • 用户个人信息保护
  • 网络安全防护
  • 网络信息安全
  • 管理制度

在管理办法中,对电信业务经营者提出了大量的义务:

电信业务经营者的身份在很大程度上是与《网络安全法》中“网络运营者”的身份是重合的。单从义务上来看,管理办法与《网络安全法》中的义务并没有太多的差别,似乎不会有太多的影响,但问题在于管理办法对企业而言意味着多了一道程序,所以管理办法一旦正式施行,无疑会加重相关互联网企业在网络安全方面的合规成本,原先不必考虑的安全评估成为了业务上线前几年不可避免的流程,这无疑会增加互联网企业的时间成本与经济成本,而对于分秒必争的互联网行业,这可能是致命的。

更加重企业负担的是,根据管理办法第二十九条、第三十条的规定,企业的互联网新业务需要在开展三年内每六个月进行一次评估,也就是说任何一项新的互联网业务,需要至少经历六次评估。更可怕的是,技术实现的方式、业务功能或用户规模有了较大变化,即业务有了突破或是取得了用户的认可,一旦可能存在网络安全风险,就需要进行评估。这样的评估会对互联网企业的效率会有着致命的影响。“安全”是加重企业经营负担的最好理由,繁复的程序难免会存在利益寻租的空间,工信部的新规,看上去似乎是不甘心被排除在《网络安全法》的框架之外的赌气之举。

更加吊诡的是,在管理办法的最后一条,一旦管理办法正式实施,《工业和信息化部关于印发<互联网新技术新业务信息安全评估管理办法(试行)>的通知》(工信部保〔2012〕117号)将同时废止,但我在官方的法规数据库中并没有找到这份“工信部保〔2012〕117号”文件,我原先还打算对新老规定进行一番比较,而这样的结果实在是令人匪夷所思。

三、对接

因为在《网络安全法》中没有新产品上线评估的规定,所以该管理办法无法与《网络安全法》或其他部门的规章形成对接。但管理办法的第八条自我授权可以制定评估标准,早在2016年工信部就制订了通信行业推荐标准《互联网新技术业务安全评估指南》(YD/T3160-2016)。

综合来看,在《网络安全法》作为网络安全领域根本大法的情况下,工信部征求意见的管理办法貌似是来凑热闹,但实则犹如孤岛,游离于《网络安全法》的框架之外,无助于《网络安全法》的落实。

文/史宇航