2017年2月4日，國家互聯網信息辦公室向社會公開征求對《網絡產品和服務安全審查辦法（征求意見稿）》（以下簡稱“審查辦法”）的意見。該征求意見稿受到了社會廣泛關注和熱議。本文將探討審查辦法第七條規定的“認定”是否屬于新設行政許可及第三方機構的性質等問題。

一、審查辦法無權新設行政許可

審查辦法第七條規定：國家統一認定網絡安全審查第三方機構，承擔網絡安全審查中的第三方評價工作。根據該規定，第三方機構由國家統一認定，在網絡安全審查中承擔第三方評價工作。經過梳理《國家安全法》和《網絡安全法》，未發現這兩部法律對網絡安全審查第三方機構進行規定。可以說，網絡安全審查第三方機構的法律依據是審查辦法。

根據《行政許可法》第十四條至第十七條規定，部門規章和規范性文件不可以設立行政許可項目。由于《國家安全法》和《網絡安全法》等法律未規定網絡安全審查第三方機構設立問題，審查辦法作為國家互聯網信息辦公室擬發布的規章或者規范性文件不可以就第三方機構設定行政許可項目。

二、審查辦法可以規定“認定”

由于《行政許可法》就行政許可項目的設立權限作了嚴格限制，審查辦法無權新設行政許可，但是否可以規定第三方機構的“認定”？

根據《行政許可法》第二條“本法所稱行政許可，是指行政機關根據公民、法人或者其他組織的申請，經依法審查，準予其從事特定活動的行為”的規定，行政許可是行政機關賦予特定主體從事特定活動的資格或者資質。未經行政機關審批同意而從事需要取得行政許可的活動的，屬于無證經營，應由相關主管部門取締或者查處。

具體到網絡安全審查第三方機構，筆者認為，由于審查對第三方機構開展工作的定位是“網絡安全審查中”的“評價工作”，且在網絡安全審查辦公室組織下開展工作（第七條、第八條），可以認為第三方機構開展的評價工作不具有獨立屬性，是網絡安全審查工作的組成部分。因此，第三方機構開展評價工作屬于輔助網絡安全審查辦公室開展審查，是受網絡安全審查辦公室委托開展工作的。

網絡安全審查辦公室委托第三方機構開展輔助性工作，當然可以就第三方機構的軟硬件等方面提出要求，并認定一批機構供后續選擇使用，而非可以任意委托，影響評價工作的權威性。第三方機構受網絡安全審查辦公室委托開展評價工作，意味著不可以接受網絡產品和服務提供者、采購者等直接委托開展網絡安全審查工作中的“評價工作”，更不可以向被審查者收取任何費用。如果第三方評價機構可以直接接受被審查者委托開展評價或者向其收取費用，則屬于設立了行政許可項目，即第三方機構因為國家認定而取得了開展評價工作的資格，可以向社會提供評價服務并收費，將嚴重影響審查辦法的合法性。這一點，是審查辦法后續制定活動中需要注意的問題。

簡言之，在《行政許可法》嚴格限制行政許可項目設立權限的制度背景下，審查辦法所規定的網絡安全審查第三方機構“認定”，屬于選擇并委托第三方機構開展網絡安全審查的輔助工作；相關評價工作產生的費用由委托機關承擔，屬于“政府購買服務”。

（作者許長帥 為中國信息通信研究院工業和信息化法律服務中心副主任）