2017年2月4日,国家互联网信息办公室向社会公开征求对《网络产品和服务安全审查办法(征求意见稿)》(以下简称“审查办法”)的意见。该征求意见稿受到了社会广泛关注和热议。本文将探讨审查办法第七条规定的“认定”是否属于新设行政许可及第三方机构的性质等问题。
一、审查办法无权新设行政许可
审查办法第七条规定:国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。根据该规定,第三方机构由国家统一认定,在网络安全审查中承担第三方评价工作。经过梳理《国家安全法》和《网络安全法》,未发现这两部法律对网络安全审查第三方机构进行规定。可以说,网络安全审查第三方机构的法律依据是审查办法。
根据《行政许可法》第十四条至第十七条规定,部门规章和规范性文件不可以设立行政许可项目。由于《国家安全法》和《网络安全法》等法律未规定网络安全审查第三方机构设立问题,审查办法作为国家互联网信息办公室拟发布的规章或者规范性文件不可以就第三方机构设定行政许可项目。
二、审查办法可以规定“认定”
由于《行政许可法》就行政许可项目的设立权限作了严格限制,审查办法无权新设行政许可,但是否可以规定第三方机构的“认定”?
根据《行政许可法》第二条“本法所称行政许可,是指行政机关根据公民、法人或者其他组织的申请,经依法审查,准予其从事特定活动的行为”的规定,行政许可是行政机关赋予特定主体从事特定活动的资格或者资质。未经行政机关审批同意而从事需要取得行政许可的活动的,属于无证经营,应由相关主管部门取缔或者查处。
具体到网络安全审查第三方机构,笔者认为,由于审查对第三方机构开展工作的定位是“网络安全审查中”的“评价工作”,且在网络安全审查办公室组织下开展工作(第七条、第八条),可以认为第三方机构开展的评价工作不具有独立属性,是网络安全审查工作的组成部分。因此,第三方机构开展评价工作属于辅助网络安全审查办公室开展审查,是受网络安全审查办公室委托开展工作的。
网络安全审查办公室委托第三方机构开展辅助性工作,当然可以就第三方机构的软硬件等方面提出要求,并认定一批机构供后续选择使用,而非可以任意委托,影响评价工作的权威性。第三方机构受网络安全审查办公室委托开展评价工作,意味着不可以接受网络产品和服务提供者、采购者等直接委托开展网络安全审查工作中的“评价工作”,更不可以向被审查者收取任何费用。如果第三方评价机构可以直接接受被审查者委托开展评价或者向其收取费用,则属于设立了行政许可项目,即第三方机构因为国家认定而取得了开展评价工作的资格,可以向社会提供评价服务并收费,将严重影响审查办法的合法性。这一点,是审查办法后续制定活动中需要注意的问题。
简言之,在《行政许可法》严格限制行政许可项目设立权限的制度背景下,审查办法所规定的网络安全审查第三方机构“认定”,属于选择并委托第三方机构开展网络安全审查的辅助工作;相关评价工作产生的费用由委托机关承担,属于“政府购买服务”。(作者为中国信息通信研究院工业和信息化法律服务中心副主任)