网络「审查法」公布：几家欢喜几家愁

网信办于2017年2月4日公布了《网络产品和服务安全审查办法（征求意见稿）》并公开征求意见。纵观全文，十六个条款，简单得令人「发指」。然而就是如此简单的一个办法，兴许日后会对互联网界产生十分重要的影响。故形成文，谈谈自己的部分看法（杂而小的就不赘述了），并将在删整后抄送网信办邮箱「[email protected]」。

要注意的是，此次网信办公布的《网络产品和服务安全审查办法（征求意见稿）》，针对的不是网络内容审查，而仅是网络安全审查。所以，google退出中国事件，不会因此而再度出现，有网友因此而评论的“网络应当是干净的平台”简直是碰瓷式瞎捧。

文一

网络审查的法律依据何在？

很多人会认为，网信办对网络产品和服务审查，超越了法律规定，其本质实际上是一种行政许可，因为此法一出，将会产生权力灰地，很多网络产品和服务如果想获得更广的发展，必须“巴结”权力，才有可能进入安全产品服务目录中，而根据我们对权力的一般常识性判断，一定会有很多部门很多环节成为拦路虎，一定会填写大量的表格并提供大量的资料瞎折腾，这样的担心其实不无道理。

非常重要的一点是，网信办是挂在党组织下，其在国务院体系下的地位等同于国务院办事机构（办事机构是不享有行政执法权的，比如说不能进行行政处罚），根据国务院的授权（国务院有授权网信办）才享有的执法权，网信办除了拔你家网线，或向其它部门打小报告，除此外，网信办真没什么真权力。此次的审查办法，其效力等级极其低下，充其量只是规范性文件，连地方政府规章都不如，但就是这样低效力的文件，在其纯正血统影响下又能让一个国家所有部门为之打转，真是一种怪现状。

但网信办在一定程度上确实是可以立“法”的。《国家安全法》第五十九条规定：「国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的……网络信息技术产品和服务……进行国家安全审查」。 《网络安全法》第三十五条规定：「关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。」

大家须十分注意的是，对于「审查」这一动名词，《网络安全法》中仅仅出现过4次，而且基本仅针对「关键信息基础设施的运营者采购网络产品和服务」，这说明网信办其实只能对「关键信息基础设施的运营者采购网络产品和服务」进行网络安全审查，而无权限涉及其它任何主体，而审查办法扩大了网信办的审查范围（见下文）。

文二

网络审查是变相的行政许可？

网信办的审查从目前来看，并不属于行政许可。

我国《行政许可证》所称的行政许可，是指经依法审查后准予从事特定活动的行为。但是，在审查办法下，国家并没有说你没有经过审查，就不允许你从事网络产品和服务的经营，而是你没有通过审查，特定领域或行业你就不能进入。

所以，任何人都可以在没有审批的情况下，随意开发、经营网络产品和服务，只不过有些领域不能使用而已，这和行政许可还是有一定区别的，从这点来看，各大互联网产品和服务总归还是不用过于担心的。

但可以想象的是，以后的政府采购，可能都会加入限制性条件，即「网络产品和服务已通过国家安全审查」，这和采购条件中加入「注册资本须*千万元以上」该类条款没任何区别。

最为契合并用以解释的一部法律其实是《反不正当竞争法》，该法明确政府及其所属部门不得滥用行政权力，限定他人购买其指定的经营者的商品，限制外地商品进入本地市场「注：反法目前的征求意见稿中已删除此类表述」。只不过原反法制定的时期太过早期，以至于没有考虑到网络环境下可能已经不存在「外地」或「本地」的概念了。

文三

哪些网络产品和服务会被审查？

《网络产品和服务安全审查办法（征求意见稿）》对这个问题基本是散乱的， 主要体现在第二条、第九条、第十条和第十一条之中。即包括「关系国家安全和公共利益的信息系统使用的重要网络产品和服务」、「金融、电信、能源等重点行业主管部门“自有”网络产品和服务」、「党政部门及重点行业采购的网络产品和服务」以及「关键信息基础设施运营者采购的网络产品和服务」四类。

个人认为上述几类主体存在交叉性问题，导致含混不明。例如「金融、电信、能源等重点行业」和「党政部门及重点行业」均有「重点行业」之交叉表述；再如，根据《网络安全法》，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他事关国家安全、国计民生、公共利益的关键信息基础设施，均属于「关键信息基础设施」，其中就已经包括了审查办法中的「金融、电信、能源等重点行业」。

而法律专用名词的不明确，在实务中将给执法工作带来极大的可解释性，导致权力过度使用，故建议将以上各主体的表述方式及其对应的审查力度，应切实根据《网络安全法》进行分类，不可交叉含混。

所以，结合前文关于《网络安全法》授权审查的范围，个人认为《网络产品和服务安全审查办法（征求意见稿）》不应当另行创设其它法律名词，而应当紧扣《网络安全法》第三十五条，专注于「关键信息基础设施」，做两件事即可，一是由国务院明确何为「关键信息基础设施」（可以把目前审查办法中列明的主体都放进去）；二是再进一步明确何为「可能影响国家安全的」，以上两者明确后，审查目录（网络关键设备和网络安全专用产品目录）自然就呼之欲出了。

当然，国家组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准亦是非常重要的前提，否则让人家怎么去开发产品和服务。

文四

网络审查后时代，几家欢喜几家愁？

值得非常注意的是，审查办法似乎想从网络产品和服务的来源作为出发，对产品和服务进行分类。这个来源的区分就是「采购」还是「自有」。从这个角度来看，市场上将有非常多的互联网商业公司会受到万点伤害，反过来看，也将会有更多的优质公司脱颖而出，造成几家欢喜几家愁。

网络产品和服务，用户数量和质量必是最为重要的衡量因素，而在用户质量维度，政务系统、金融能源和民生领域都会是重点用户，也属头部用户，抓不住头部用户，也将失去市场。所以，在网络审查的后时代，互联网公司应再次重视网络安全的重要性，在产品开发、运营中都切实符合国家标准，否则一旦产品成型，却会发现自己的产品无法进入关键用户领域而死亡。

从某种意义上来看，网络安全技术及合规的成本将大幅度上升，对于中小型互联网公司而言，在融资时必须考虑到其产品中安全技术的投入成本，否则只有互联网寡头巨头才有能力对网络安全投入巨资，从而再次垄断市场，形成市场禁区。

例如新浪微博的政务认证，据人民日报和微博联合发布《2016年上半年人民日报?政务指数微博影响力报告》显示，政务微博开通数量已近16家。腾讯发布的《2015年度全国政务新媒体报告》显示，全国开通政务公众号的数量也已近10万家。这些领域日后都可能会被要求先行通过网络审查，否则不能提供政务开通功能。而尴尬的是，在刚刚落幕的新浪微博诉脉脉数据抓取一案中，虽然新浪基本胜诉，但法院也毫不留情地批评了新浪微博的安全漏洞问题，说明即使是国内一流网络运营商，也有可能存在非常大的安全问题。

===========================
网络法领域 深度观察的律界工匠
封面图片来源：CC0协议 或 网络图