網路安全審查第三方機構“認定”行為的性質探討

2017年2月4日，國家網際網路資訊辦公室向社會公開徵求對《網路產品和服務安全審查辦法（徵求意見稿）》（以下簡稱“審查辦法”）的意見。該徵求意見稿受到了社會廣泛關注和熱議。本文將探討審查辦法第七條規定的“認定”是否屬於新設行政許可及第三方機構的性質等問題。

一、審查辦法無權新設行政許可

審查辦法第七條規定：國家統一認定網路安全審查第三方機構，承擔網路安全審查中的第三方評價工作。根據該規定，第三方機構由國家統一認定，在網路安全審查中承擔第三方評價工作。經過梳理《國家安全法》和《網路安全法》，未發現這兩部法律對網路安全審查第三方機構進行規定。可以說，網路安全審查第三方機構的法律依據是審查辦法。

根據《行政許可法》第十四條至第十七條規定，部門規章和規範性檔案不可以設立行政許可專案。由於《國家安全法》和《網路安全法》等法律未規定網路安全審查第三方機構設立問題，審查辦法作為國家網際網路資訊辦公室擬釋出的規章或者規範性檔案不可以就第三方機構設定行政許可專案。

二、審查辦法可以規定“認定”

由於《行政許可法》就行政許可專案的設立許可權作了嚴格限制，審查辦法無權新設行政許可，但是否可以規定第三方機構的“認定”？

根據《行政許可法》第二條“本法所稱行政許可，是指行政機關根據公民、法人或者其他組織的申請，經依法審查，准予其從事特定活動的行為”的規定，行政許可是行政機關賦予特定主體從事特定活動的資格或者資質。未經行政機關審批同意而從事需要取得行政許可的活動的，屬於無證經營，應由相關主管部門取締或者查處。

具體到網路安全審查第三方機構，筆者認為，由於審查對第三方機構開展工作的定位是“網路安全審查中”的“評價工作”，且在網路安全審查辦公室組織下開展工作（第七條、第八條），可以認為第三方機構開展的評價工作不具有獨立屬性，是網路安全審查工作的組成部分。因此，第三方機構開展評價工作屬於輔助網路安全審查辦公室開展審查，是受網路安全審查辦公室委託開展工作的。

網路安全審查辦公室委託第三方機構開展輔助性工作，當然可以就第三方機構的軟硬體等方面提出要求，並認定一批機構供後續選擇使用，而非可以任意委託，影響評價工作的權威性。第三方機構受網路安全審查辦公室委託開展評價工作，意味著不可以接受網路產品和服務提供者、採購者等直接委託開展網路安全審查工作中的“評價工作”，更不可以向被審查者收取任何費用。如果第三方評價機構可以直接接受被審查者委託開展評價或者向其收取費用，則屬於設立了行政許可專案，即第三方機構因為國家認定而取得了開展評價工作的資格，可以向社會提供評價服務並收費，將嚴重影響審查辦法的合法性。這一點，是審查辦法後續制定活動中需要注意的問題。

簡言之，在《行政許可法》嚴格限制行政許可專案設立許可權的制度背景下，審查辦法所規定的網路安全審查第三方機構“認定”，屬於選擇並委託第三方機構開展網路安全審查的輔助工作；相關評價工作產生的費用由委託機關承擔，屬於“政府購買服務”。

本文轉自d1net（轉載）