2017年10月30日,《互联网新闻信息服务新技术新应用安全评估管理规定》(以下简称《规定》)由国家互联网信息办公室正式公布,其宗旨正是规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益。
《规定》作为《网络安全法》和《互联网新闻信息服务管理规定》等规范性政策文件的配套规定,落实了《互联网新闻信息服务管理规定》第十二条关于互联网新闻信息服务提供者应健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,并建立安全可控的技术保障措施的要求;落实了《互联网新闻信息服务管理规定》第十七条关于互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行安全评估的要求,具有重要的现实意义。
一、《规定》将产生重要的制度价值
当下互联网创新图景中,以大数据、人工智能、虚拟现实、万物互联为代表的新一代信息技术不断催生着新的应用形态,这也为网络安全和在线内容治理带来了巨大的挑战。《规定》的出台从多个维度构建并完善了互联网新技术新应用法律治理体系的核心环节。
从网络安全法律体系来看,《规定》适时填补了在线内容安全治理环节面对新技术新应用时的规范空白。《规定》依据《网络安全法》与《互联网新闻信息服务管理规定》相关条文精神,建构对当下用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术进行安全评估的工作体制,注重根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息安全风险等诸多因素确定评估等级,审查评价其信息安全管理制度和技术保障措施。以目前信息通信技术加速迭代更新、新应用频出的态势来看,对新技术新应用开展安全评估可谓意义重大。近期域外有关公共安全事件已经表明,以人工智能、大数据技术为代表的新技术如被用于非法的目的,实施恶意新闻精准推送,进行舆论误导,将会造成极具影响力的危害后果。而《规定》的出台,意味着将类似新技术在互联网新闻信息服务中的应用适时纳入治理体系,通过事先审查与上线后持续巡查相结合的方式,引导新技术以有益于公众和社会的方式进行应用,完善了互联网在线内容治理的体系建设。
从另一层面来看,工业和信息化部于2017年6月8日发布《互联网新业务安全评估管理办法(征求意见稿)》(以下简称《办法》),规定了对电信业务经营者开展互联网新业务的安全评估方案。该《办法》规定的新业务评估机制已在电信业务中实践多年,积累了丰富的安全评估素材,能够与互联网新闻信息服务新技术新应用的安全评估形成良好的制度互动。将来《规定》与前述《办法》举措并行,一道完善以新技术新应用安全风险为对象的法律监管体系,通过延伸覆盖互联网信息服务各个领域的治理格局,共同实现对网络信息安全风险的动态感知并主动应对的目标要求,积极适应互联网新技术新业务安全形势新变化,强化制度、机制建设,提升安全风险预防和处置水平。
二、《规定》设计了全面的主体责任
毋庸置疑,《规定》重要的制度亮点之一在于规定了全面的主体责任。一方面,《规定》指出,国家互联网信息办公室负责全国新技术新应用的安全评估工作,省、自治区、直辖市互联网信息办公室负责本行政区域内新技术新应用的评估工作,两者可以委托第三方机构承担安全评估的具体实施工作。主管单位还应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。
同时,《规定》总体上采取互联网新闻信息服务提供者自评估和主管单位评估相结合的方式。互联网新闻信息服务提供者对符合《规定》第七条规定情形的新技术新应用先自行组织开展评估,然后报请相关互联网信息办公室,由其再行评估。在此过程中,如报请评估单位不属于地方新闻单位或者地方新闻宣传部门主管的单位的,在报请所在地省、自治区、直辖市互联网信息办公室评估后,还应报国家互联网信息办公室审核后方可形成安全评估报告。
另一方面,《规定》明确要求互联网新闻信息服务提供者应以信息安全管理制度与安全可控的技术保障措施为出发点,建立健全新技术新应用安全评估管理制度和保障制度,按照《规定》要求自行组织开展安全评估,并且为主管单位组织开展安全评估提供必要的配合,及时完成整改。
此外,《规定》还鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业的规范发展。
三、《规定》勾勒出明确的适用指向
《互联网新闻信息服务管理规定》清晰界定了有关“互联网新闻信息服务”的内涵外延,将论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式纳入到了规范体系之中,对应互联网新闻信息采编发布服务、转载服务和传播平台服务三种服务类型。
如此丰富的产品类型、应用场景以及纷繁的产品数量无疑增加了新技术和新应用的安全评估情景。因此《规定》在制度设计考虑时须关注,一项技术可能会同时催生数量众多的应用形式,如人工智能技术在互联网新闻信息服务方面的应用,已经催生出如用户标签、内容语义分析以及虚假欺诈在线治理等衍生应用形态。《规定》需要统筹把握应当进行评估的新技术新应用的范围;需要重点把握对已有技术的审核尺度,例如在此之前已经广泛使用但尚未经过评估的技术和应用是否需要纳入安全评估范围;需要平衡把握技术发展脉搏和提高安全审核效率间的平衡。
《规定》第七条明确新技术与新应用安全评估的情形主要是指:1、应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;2、新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大改变的。以上条文从技术实现效果及实现方式的角度对规范适用情境做了界定,可以认为规范意图重在对新技术新应用的全面把握。
值得期待的是,《规定》指出国家互联网信息办公室会适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者参考。当然,企业如何适用该安全评估目录需要在实践中进一步探索明确。值得注意的是,如果以目录形式明确列出新技术新应用的评估范围,还需要考虑企业在实际操作中是否会仅以目录为限进行评估,而降低对目录之外的新技术新应用的安全评估主动性的问题。
不难发现,《规定》在将新技术新应用及时纳入治理体系的同时,也适度给予了互联网新闻信息服务提供者相当的主动权,显示了平衡网络安全保障、避免非理性监管阻碍技术创新的规范立场。作为创新性的管理方法,《规定》并未对新技术新应用的安全评估组织实施做出过多的规范限制,以利于各方在实践探索中积累更为理性的经验,最大限度避免给互联网新闻信息服务提供者带来安全评估难以落地或者新技术新应用难以发展的困难。
总体而言,《规定》作为对互联网新闻信息服务领域新技术新应用规范治理的重大尝试,体现了安全与发展并重的平衡监管思路,是具有积极重大意义的管理制度创新,应予肯定与支持。(吴沈括北京师范大学刑事法律科学研究院暨法学院副教授、硕士生导师,中国互联网协会研究中心秘书长,最高人民法院咨询监督专家,中共北京市委政法委法学专家库专家,联合国网络安全与网络犯罪问题高级顾问。主要从事网络与信息安全、数据安全治理、网络犯罪等有关议题研究。)