从行政相对人的视角看网络产品和服务的安全审查
一、计算机安全专用产品销售许可证与本办法的关系问题
《计算机信息系统安全专用产品检测和销售许可证管理办法》第三条规定:中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》。
《网络产品和服务安全审查办法(试行)》第二条规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。
上述两个文件,一个是国家互联网信息办公室发布,一个是公安部发布,作为行政相对人,肯定要遵照这两个文件执行。也就是说,作为行政相对人,有可能在获得公安部公共信息网络安全监察局发放的计算机安全专用产品销售许可证的情况下,还需要获得网络安全审查办公室的核准,否则,就有可能构成违法。因此,这两个规章之间,如何协调关系,是行政相对人非常关注的问题。
二、网络服务的安全审查程序如何进行
《中华人民共和国网络安全法》第二十二条对网络服务的问题有相关规定:第一,网络服务应当符合相关国家标准的强制性要求;第二,网络服务的提供者不得设置恶意程序;第三,发现其网络服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;第四,网络服务的提供者应当为其服务持续提供安全维护;第五,在规定或者当事人约定的期限内,不得终止提供安全维护;第六,网络服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
但上述规定毕竟不等同于网络服务的安全审查,对于网络服务的安全审查应该如何进行,行政相对人应该如何操作,向谁申请,需要提供什么材料等等,《网络产品和服务安全审查办法(试行)》并没有明确规定。
三、网络服务安全审查的管理和执法主体问题
在网络服务的安全审查过程中,行政管理管理主体到底是谁,执法主体又是谁,一旦遇到安全审查通不过,行政相对人该起诉什么行政机关,这一点,《网络产品和服务安全审查办法(试行)》并不明确。该办法第五条第二款规定,由网络安全审查办公室具体组织实施网络安全审查,具体并未明确负责安全审查的行政管理机关和执法主体。因此,一旦行政相对人做出的网络服务没有得到由网络安全审查办公室组织实施的网络安全审查的,行政相对人该以谁为行政诉讼被告,将很难确定。
四、网络服务的安全审查标准问题
虽然《中华人民共和国网络安全法》第二十二条做出了网络服务应当符合相关国家标准的强制性要求的规定,但毕竟网络服务不同于网络产品。网络服务的外延和内涵是什么,何为网络服务,国家标准是什么,质量标准是什么,如何进行网络服务的安全审查,等等,都没有一个明确的定义和规定。《网络产品和服务安全审查办法(试行)》也仅仅是对网络服务做出了对其安全性、可控性进行审查的原则性规定,其中并未就何为安全性、可控性的安全标准做出明确说明。因此,安全审查结论如何作出,依据是什么,是行政相对人特别关心的问题。
五、如何平衡安全审查和维护市场公平竞争的问题
虽然《网络产品和服务安全审查办法(试行)》做出了有关“坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查”的规定,但毕竟在安全审查尤其是网络服务的安全审查问题上存在依据不具体、不明确的问题。为此,如何保证网络服务市场的公平竞争,如何在安全审查过程中充分体现《国务院关于促进市场公平竞争维护市场正常秩序的若干意见》(国发【2014】20号)的精神,这将是行政相对人非常关心的问题。
六、第三方机构与现有相关检测机构的关系问题
根据《网络产品和服务安全审查办法(试行)》的规定,将由国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。但从目前实际工作来看,公安部门有专门的检验机构,质检部门也有专门的用于网络产品质量监督检验机构,现在又有网络安全审查第三方机构,在司法案件中,还有司法鉴定机构。因此,类似这样的机构是越来越多,作为行政相对人,为了产品或服务能够尽快用于市场,将必定要面临越来越多的第三方机构,届时,运行成本、时间和工作量势必会增加。
七、行政机关的行政责任不明
由于安全审查将是网络产品和服务进入市场的一个重要工作节点,因此,不论是根据《行政许可法》还是其他相关法律法规,有关做出安全审查决定的行政机关,都必须要承担相应的行政责任。但是,在《网络产品和服务安全审查办法(试行)》里,不仅没有明确安全审查的行政机关(网络安全审查办公室也仅仅是组织实施相关工作),而且,相关责任的规定也仅仅是针对第三方机构,不包含行政管理机构,因此,从行政管理的角度来说,一旦做出的安全审查决定错误,哪一个行政机关来承担责任,完全不清晰。
综上,虽然《网络产品和服务安全审查办法(试行)》仅仅是一个规章,但由于是国家互联网信息办公室发布,并且是针对安全审查的,因此,意义重大。但在依法行政的大环境下,该办法有可能产生的法律问题需要引起注意,更需要进行合法处理。