从滴滴事件至今，很多法律专人人士都对《网络安全审查办法》（征求意见稿）（以下称“网络安全审查办法”）进行解读，对比其历次修订的条款，以及实施后产生的影响。本文试图从立法技术层面对本次修订进行探讨。

 

一、网络安全审查办法的法律效力？

网络安全审查办法是部门规章。虽然很多规定、办法都出自国务院各部委办局，但是很多实际上属于“其他规范性文件”，效力较低。部门规章相较规范性文件法律位阶更高，制定的流程也更严格。对于规章的制定程序，《立法法》和《规章制定程序条例》均有相应的规定。简单的分辨规章和规范性文件，可以看是否由部门首长签署命令予以公布。国务院各部委办局制定的规范性文件通常是以该部门或者该部门的办公厅签发，不是以部门首长令的形式签发。

现行有效的《网络安全审查办法》是由网信办等12个国务院部门首长联名签署命令发布，使用的文号是网信办公告第6号。这与《规章制定程序条例》的规定相符，即“部门联合规章由联合制定的部门首长共同署名公布，使用主办机关的命令序号。”

 

二、部门规章与其他规范性文件的效力区别在哪里？对于企业而言（在行政法中称为相对人，即被管理的对象），无论是规章还是规范性文件都是监管机关的规定，都需要遵守。那么部门规章与规范性文件法律效力区别在哪里？

首先，规章的法律位阶更高，属于上位法。根据法律的位阶，上位法优于下位法，规章的效力高于规范性文件，即两者相冲突时，应以规章的规定为准。我国的行政机关是积极作为的，其他规范性文件出台的频率高、程序相对简单，难免会出现相互之间矛盾，或者与上位法冲突的情况，比如与法律、行政法规和规章的规定不一致，在这种情况下，根据法律位阶原则，与上位法相冲突的其他规范性文件中的规定是无效的。

其次，其他规范性文件一律不能设立行政许可和行政处罚，规章可以在有上位法依据的前提下，在上位法的范围和幅度内对行政许可和行政处罚做出具体规定，设定警告、通报批评或者罚款的行政处罚。

根据2019年修订后的《行政许可法》的规定，规章可以在上位法设定的行政许可事项范围内，对实施该行政许可作出具体规定，法规、规章对实施上位法设定的行政许可作出的具体规定，不得增设行政许可，对行政许可条件作出的具体规定，不得增设违反上位法的其他条件。其他规范性文件一律不得设定行政许可。

同样，修订后的《行政处罚法》已于2021年7月15日生效，根据该法的规定，国务院部门规章可以在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内作出具体规定。尚未制定法律、行政法规的，国务院部门规章对违反行政管理秩序的行为，可以设定警告、通报批评或者一定数额罚款的行政处罚。罚款的限额由国务院规定。除法律、法规、规章外，其他规范性文件不得设定行政处罚。

最后，对于规章以下的规范性文件，当事人在对具体行政行为提起行政诉讼或行政复议时，可以请求一并审查其合法性。根据《行政诉讼法》、《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》和《行政复议法》，公民、法人或者其他组织在对具体行政行为提起诉讼或行政复议时，可以一并请求对所依据的规章以下的规范性文件进行审查。

网络安全审查办法的实施涉及到重大利益调整，以规章的形式而不是其他规范性文件的形式制订，体现了法律的严肃性。

 

三、《网络安全审查办法》的上位法依据是什么？

根据《立法法》第八十条第一款的规定，国务院各部、委和直属机构可以根据法律和国务院的行政法规、决定、命令，在本部门的权限范围内，制定规章。因此，制订部门规章一是要有法律或者行政法规、决定、命令作为依据，二是要在本部门的权限范围内。同时，《立法法》第八十条第二款进一步规定，部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。没有法律或者国务院的行政法规、决定、命令的依据，部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范，不得增加本部门的权力或者减少本部门的法定职责。可见，网络安全审查办法作为部门规章，如果设定减损公民、法人权利或者增加公民、法人义务的规范，需要有上位法的明确依据，而且不能超越上位法规定的范围。

网络安全审查办法第一条、第二条规定，实施网络安全审查的目的是确保关键信息基础设施供应链安全，维护国家安全，依据是《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，实施对象和范围是对于关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全的。

 

作为法律依据的条文有：

 

《国家安全法》

第五十九条 国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

笔者理解，在《国家安全法》层面，以列举的方式规定了对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查，但根据该法第五条的规定，中央国家安全领导机构负责国家安全工作的决策和议事协调，因此，从出台部门规章层面，该法只是提供了概括性的授权。

 

《网络安全法》

第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

笔者理解，《网络安全法》在《国家安全法》概括授权的基础上，不仅明确了网络安全审查的具体对象、审查内容，以及授权由国家网信部门会同国务院有关部门组织安全审查。因此，《网络安全法》为网络安全审查办法提供了明确具体的依据，同时，2020年4月13日网信办公告第6号发布的现行有效的《网络安全审查办法》第二条即按照《网络安全法》的依据，定义了网络安全审查的范围即“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

 

《数据安全法》

第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

笔者理解，网络安全审查办法第二条虽然将“数据处理者开展数据处理活动，影响或可能影响国家安全”一并纳入网络安全审查的范围，但是不是数据安全审查制度的具体落地，还有待进一步观察。《数据安全法》第二十四条并没有明确授权数据安全审查制度的制订部门，而且根据该法第五条，中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，其次，《数据安全法》规定的“数据安全审查制度”是“一裁终局”，即数据安全审查决定是最终决定，而《网络安全法》对于网络安全审查决定并没有类似表述，理论上不排除复议或诉讼，因此数据安全审查和网络安全审查在立法技术上应该区分开，或者对《网络安全法》进行修订，最后，数据安全审查制度与数据分类分级保护制度、数据安全风险评估、数据出境制度，如何衔接，也需要在立法时一并考虑。

 

四、部门规章需要经历怎样的制定程序？

根据《立法法》和国务院制定的《规章制定程序条例》，部门规章需要经立项、起草、审查和决定发布四个阶段。

部门规章立项制：国务院部门内设机构或者其他机构认为需要制定部门规章的，应当向该部门报请立项。报送制定规章的立项申请，应当对制定规章的必要性、所要解决的主要问题、拟确立的主要制度等作出说明。国务院部门法制机构，应当对制定规章的立项申请和公开征集的规章制定项目建议进行评估论证，拟订本部门、本级人民政府年度规章制定工作计划，报本部门、本级人民政府批准后向社会公布。

起草规章应当广泛向社会征求意见：1.除依法需要保密的外，应当将规章草案及其说明等向社会公布，征求意见。向社会公布征求意见的期限一般不少于30日；2. 起草专业性较强的规章，可以吸收相关领域的专家参与起草工作，或者委托有关专家、教学科研单位、社会组织起草；3. 涉及社会公众普遍关注的热点难点问题和经济社会发展遇到的突出矛盾，减损公民、法人和其他组织权利或者增加其义务，对社会公众有重要影响等重大利益调整事项的，起草单位应当进行论证咨询，广泛听取有关方面的意见。起草的规章涉及重大利益调整或者存在重大意见分歧，对公民、法人或者其他组织的权利义务有较大影响，人民群众普遍关注，需要进行听证的，起草单位应当举行听证会听取意见；4. 起草部门规章，涉及国务院其他部门的职责或者与国务院其他部门关系紧密的，起草单位应当充分征求国务院其他部门的意见。

广泛征求意见后形成送审材料。报送审查的送审材料包含内容：规章送审稿及其说明、对规章送审稿主要问题的不同意见和其他有关材料按规定报送审查。规章送审稿的说明应当对制定规章的必要性、规定的主要措施、有关方面的意见及其协调处理情况等作出说明。有关材料主要包括所规范领域的实际情况和相关数据、实践中存在的主要问题、汇总的意见、听证会笔录、调研报告、国内外有关立法资料等。

送审后，由法制机构统一审查、征求意见，与起草单位协商后，对规章送审稿进行修改，形成规章草案和对草案的说明后，提请审议，最后经部务会议或者委员会会议通过审议。

可见，规章的制定和修改程序比较严格，目前，网信办公布的网络安全审查办法征求意见截止日期2021年7月25日已经届满，下一步可能召开听证会听取意见，征求国务院其他部门意见，后形成送审材料报送法制部门。

 

五、网络安全审查办法与《行政处罚法》、《行政许可法》等行政法的衔接？

网络安全审查办法规定，运营者违反该办法规定的，依照《网络安全法》《数据安全法》的规定处理。《网络安全法》第六十五条规定，关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。《数据安全法》没有直接对违反数据安全审查制度的行为设定专门的法律责任条款，笔者理解主要是在《数据安全法》没有明确数据安全审查的内涵和外延的情况下，不适宜以法律直接设立行政处罚，目前情况下，监管机构可以适用该法第四十四条，对涉案当事人进行约谈、要求整改、消除隐患，同时，如果在数据安全审查程序中，发现数据处理者有其他违法行为，如违反国家核心数据管理制度、违反重要数据出境安全管理制度、窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的行为，可以依照《数据安全法》和有关法律、行政法规的规定处罚。

需要注意的是，新修订的《行政处罚法》于2021年7月15日开始实施，根据修订后增加的条款“行政处罚是指行政机关依法对违反行政管理秩序的公民、法人或者其他组织，以减损权益或者增加义务的方式予以惩戒的行为”，对于网络和数据安全审查行为本身，以及可能引起的法律后果也需要进一步探讨。

首先，《网络安全法》第六十五条明确设定了行政处罚，那么如果监管机构依据该条对关键信息基础设施运营者（下文称“当事人”）进行处罚，应当依据《行政处罚法》告知当事人拟作出的行政处罚内容及事实、理由、依据，并告知当事人依法享有的陈述、申辩、要求听证等权利，网络安全审查办法设计中应考虑《行政处罚法》的程序性规定。

其次，涉及对《数据安全法》第四十四条规定的“约谈并要求整改、消除隐患”的监管措施的理解问题，如果认为上述监管措施具有惩戒性质，同时减损当事人权益或者增加当事人义务，则上述行政监管措施亦有可能被认为是行政处罚，监管机构同样在进行数据安全审查时需要考虑与《行政处罚法》的衔接。

再次，网络安全审查办法中提到的对于“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，笔者认为何种行为可能影响国家安全，应纳入网络和数据安全审查的范围，是行政立法自由裁量范围，但如果经审查后，监管机构实质上做出了批准或不批准上市的决定，就可能被认为是新设行政许可，需要考虑与《行政许可法》的衔接问题，根据《行政许可法》直接涉及国家安全的特定活动，法律可以设定行政许可。尚未制定法律的，行政法规可以设定行政许可。必要时，国务院可以采用发布决定的方式设定行政许可。从立法技术上讲，如何设立境外上市的前置审批，以修订法律或者由国务院以行政法规的形式立法更为适宜。

最后，由于《数据安全法》中没有规定数据活动国家安全审查制度的具体内容，也没有设立违反该制度的处罚，如果此次网络安全审查办法将数据安全审查一并纳入，则可以考虑对违反该制度的行为，设定警告、通报批评或者一定数额罚款的行政处罚，或者暂不将数据安全审查纳入此次网络安全审查办法的范围，下步由国务院以行政法规的形式制订数据安全审查的实施办法。