习近平总书记在十九大报告中指出,过去五年经济建设取得重大成就,数字经济等新兴产业蓬勃发展。从“互联网+”到新业态新模式到数字经济,建立在信息化水平不断提升基础上的新产业模式不断形成和发展。

  2016年,习近平总书记在网络安全和信息化工作座谈会上,对安全与发展的关系作出精辟阐述,指出网络安全形势复杂严峻,我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。如何在实践中贯彻落实习近平总书记提出的安全与发展同步推进的重要要求,需要创新思路,适应新技术新应用发展的新需求。

  新技术新应用的使用和普及是新业态发展的典型体现,新业态往往充满活力但一般又处于孕育和初创期,需要以包容审慎的态度为其营造宽松的环境。然而,一些新技术新应用又可能存在一些安全上的问题和风险,在初期阶段又难以充分暴露和显现,如果完全放任发展,难免给发展中后期带来安全隐患,损害公民利益、社会公共利益和国家利益。这是实践中不得不面对的实际矛盾。国家互联网信息办公室2017年10月30日公布了《互联网新闻信息服务新技术新应用安全评估管理规定》(以下简称《规定》),体现了在互联网新闻信息服务领域运用安全评估管理,探索解决矛盾的新思路。

  平衡各种矛盾的有效之策

  互联网新闻信息服务提供者提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术,由《规定》来进行规范,也就是需要进行安全评估。《规定》明确,新技术新应用安全评估是对新技术新应用的新闻舆论属性、社会动员能力等评估,确定可能产生的信息内容安全风险等级,并对互联网信息服务提供者本身的信息安全管理制度和技术保障措施进行审查评价。

  《规定》要求了两种评估,一种是自评估,适用于两种情形,简单来说就是在提供互联网新闻信息服务时应用了新技术、增设了新功能,或者新技术、新功能的运用情况发生了重大变化,此时互联网新闻信息服务提供者需要按照要求自行组织安全评估,编制书面安全评估报告。另一种是官方评估,互联网新闻信息服务提供者完成自评估后,应当在10个工作日以内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估,申请官方评估时就需要提交自评估的书面报告以及《规定》要求的其他相关材料。国家和省、自治区、直辖市互联网信息办公室通过组织书面确认、实地核查、网络监测等方式对报请材料进行核实,完成安全评估工作,编制形成安全评估报告。

  安全评估报告中会载明新技术新应用存在的信息安全风险隐患,互联网新闻信息服务提供者需要按照报告意见进行整改,以排除相关安全隐患。这种安全评估的方式并非互联网新闻信息服务领域原创,在《网络安全法》、电信条例等法律法规中都有相似的制度。

  互联网新闻信息服务是互联网信息服务领域的重要部分,新技术新应用比较活跃,对其管理的思路创新尤为必要。通过安全评估的方式,既能促进新技术新应用的开发使用普及,也能及时发现、预测安全风险,及时消除安全隐患。从制度本身的设计思路来看,较之传统的行业准入类的刚性管理方式更具灵活性,在很大程度上适应了创新发展的需要。实际上,互联网具有虚拟性的特点,一点接入全网覆盖,安全问题谁也不能给出标准答案,网络安全问题隐蔽性强、爆发速度快,事后弥补的效果远不及事先预防。理论上讲,安全评估的管理方式不失为一种平衡各种矛盾的有效之策。

  确保符合相关规定和要求

  针对自评估情形的,理论上由企业结合自身业务情况具体掌握评估内容,以规避信息内容安全风险为目的,确保国家安全和公共利益以及公民、法人和其他组织的合法权益不受侵害。同时,《规定》也明确国家互联网信息办公室将进一步发布新技术新应用安全评估目录,为互联网新闻信息服务提供者自评估提供参考。针对官方评估情形的,从《规定》要求的报请材料来看,大致包括两个方面:一是服务的总体情况,比如服务方案、主要功能和主要业务流程等;二是具体的信息安全管理制度和技术保障措施。此外官方评估也会对互联网新闻信息服务提供者的自评估报告进行核实。

  不管是自评估还是官方评估,《规定》第十三条实际上已经指明,安全评估就是要确保新技术新应用符合法律法规规章等相关规定和国家强制性标准相关要求。如果不符合相关要求,就需要整改,在完成整改前,拟调整增设的新技术新应用不能马上用于提供互联网新闻信息服务。

    最后,《规定》的出台为拟申请互联网新闻信息服务的企业提供了一些指导。国家互联网信息办公室公布了《互联网新闻信息服务管理规定》并于2017年6月1日起施行,其中规定申请互联网新闻信息服务应当提交的材料包括“互联网新闻信息服务安全评估报告”。《互联网新闻信息服务许可管理实施细则》中进一步明确“互联网新闻信息服务安全评估报告”是指由有关部门或具有相关资质的机构出具的,对于申请者信息安全管理制度和技术保障措施的安全评估报告。而《互联网新闻信息服务新技术新应用安全评估管理规定》指出,申请提供互联网新闻信息服务,报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估的,参照适用本规定。(方禹:中国信息通信研究院互联网法律研究中心副主任)