汇业评论 | 网络安全审查的行政法律性质与救济路径
导读
《网络安全审查办法》经国家网信办等十二部委于近日颁布后,将于今年6月1日起正式施行。该办法依据《网络安全法》的相关规定,对关键信息基础设施运营者采购影响或可能影响国家安全的网络产品和服务,作出了细化具体的审查规定。网络安全审查制度的实施具体包括申请、审查及许可等流程。在网络安全审查制度中,运营商及提供方可对安全审查未通过结论、责令停止使用及罚款行为采取相应的行政救济措施。
一、网络安全审查制度的设立
根据《行政许可法》第十二条第(一)项、第(六)项的规定,直接涉及国家安全、公共安全等特定活动,需要按照法定条件予以批准的事项,以及法律、行政法规规定可以设定行政许可的其他事项,可以设定行政许可。
网络安全审查的目的在于确保供应链安全,维护国家安全,具体表现为采购准入模式,是一种典型的行政许可行为。该许可是由《网络安全法》第三十五条所设立的。该条规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。而基于《网络安全审查办法》的规章属性,该办法只能对既有许可的实施进行具体操作上和程序上规定。
二、网络安全审查制度的实施
网络安全审查制度遵循“申请—审查—许可”的实施模式。
首先,运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险,影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查;
其次,网络安全审查办公室应当在收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者;
再次,网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日;
最后,网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见,网络安全审查工作机制成员单位,相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者。
另,若意见不一致的,按照特别审查程序处理,并通知运营者。按照特别程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
值得注意的是,虽然《网络安全审查办法》本身对于运营者的权利没有进行具体规定,但基于网络安全审查是一种行政许可行为,因此其具体审查过程仍然应当符合《行政许可法》中对于申请人、利害关系人的权利保护要求,具体包括申请人的陈述、申辩权,审查机关作出不利决定前听取申请人或利害关系人意见及重大行政许可事项应当举行听证等。
三、网络安全审查制度中的行政救济
根据《网络安全法》第六十五条及《网络安全审查办法》第十九条的规定,关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
那么,运营者如何对前述安全审查未通过结论、责令停止使用或罚款行为采取救济?
首先,安全审查未通过结论即相当于《行政许可法》中的不予许可决定,对未通过结论,运营者作为申请人可提起行政复议或者行政诉讼。要注意的是,依据《网络安全法》的规定,网络安全审查的职责对外全部归口于国务院网信办,国务院网信办虽然在法律地位上是国务院办事机构,但在具体实务中亦被作为国务院的组成部门对待,越来越趋向于部委化,因此提起诉讼或复议的被告或被申请人应当为国务院网信办。同时,基于网信办的国务院部委地位,如对其申请行政复议,复议机关应当也是该部门,即“同级复议”(类似于对证监会、银保监会决定的复议)。由于“同级复议”的成功率极低,我们建议一旦申请不通过如要采取法律救济,诉讼相对于复议而言,是更优选的渠道。
其次,责令停止使用属于责令型行政决定,目前理论和实践尚未对责令型行政决定的性质作出确定的结论。就《网络安全法》及《网络安全审查办法》中所规定的责令停止使用而言,应当是行政机关在行政管理过程中,为制止违法行为,避免危害发生,控制危险扩大的控制行为,属于行政强制措施。因此,有关主管部门依据办法第十九条对运营者作出责令停止使用及罚款的行政决定时,须遵循《行政强制法》对于行政强制措施的一般规定。故而,如对责令停止使用某产品或服务的强制措施不服的,可以以其为行政强制措施为由提起相应救济。
最后,产品和服务提供者属于网络安全审查中的利害关系人。在实际操作过程中,关键信息基础设施运营者会在与产品和服务提供方正式签署合同前申报网络安全审查,如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因没有通过网络安全审查而造成损失。当然,产品和服务提供者在特定情形下亦能对审查未通过的结论或责令停止使用等决定提起救济。这种救济是以利害关系人的角度提起的,比如行政机关的责令停止使用行为直接对产品服务提供者产生了侵害可能性等。
结论
关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要,建立网络安全审查制度的目的在于通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,从而维护国家安全。网络安全审查作为典型的行政许可行为,需遵循《行政许可法》关于申请人陈述、申辩、听证等程序规定,从而维护运营商的合法权益,规范行使行政权力。同时,对于未经许可的责令停止使用、罚款的行政决定如有争议的,运营者或特定情形下的服务、产品提供者,亦均可采取相应的行政救济措施。
曹竹平
汇业律师事务所高级合伙人
caozhuping@huiyelaw.com
往期文章推荐: