“如果可以定二級卻非要我們定三級,就要多花十來萬”,劉揚在南方某省辦了一家教育機構,旗下有面向C端和B端的兩個教育App。
2019年底,教育部發布《教育移動互聯網應用程序備案管理辦法》,規定教育移動應用提供者需於2020年1月31日前完成ICP備案和等保備案(“等保備案”是“網絡安全等級保護定級備案”的簡稱,分定級和備案兩個部分),最後在平臺上完成提供者備案。
但隨著截止日期越來越近,劉揚卻在教育App等保備案上犯難。負責等保備案的公安部門告訴他,企業提供的教育App定級統一為三級,但這和其他一些省份的要求有所出入。“這意味著企業要面臨更高的測評、整改成本,測評市場也跟著水漲船高”,一些機構質疑其定級的合理性,並認為此舉恐抬高市場準入門檻。
某要求三級的省公安廳網安部門相關工作人員向芥末堆列出六點根據,並認為企業不應把守法“紅線”,偷換概念為“設置門檻”。
芥末堆在採訪中發現,各地在落實上述政策時,出現執行標準不一、不同部門對業務的理解各異等問題,除上述定級問題外,提供者備案需提交的材料各地要求也有出入。
教育部相關工作人員對此表示,定級為企業自主選擇,現階段教育App備案只要等保備案號,不需要提交等保備案證明。且考慮機構整改等需要一定時間,目前沒有提交等保備案證明的時間表。同時,備案也無需提交測評報告,“定二級要拿了測評才給證,這和現行法律法規是衝突的”。另外,其強調,地方可根據實際情況提高相應標準,但不能違背中央政策。
統一要求定三級?企業在定級備案上犯難了
劉揚的公司業務主要涉足STEAM教育領域,分別有C端(學員)和麵向B端(教培機構)的兩款教育類App,截止2018年,機構App端註冊用戶數超2000萬,合作機構超1200家。
但在為這兩款App做等保備案時卻遇到問題。該公司的技術人員陳列告訴芥末堆,自己在向省公安廳網安總隊諮詢時,被對方告知,教育App等保定級統一要求為三級。
這超出機構的預料。陳列表示,據其參考相關規定,兩款App所依託的系統在遭到破壞時,並不涉及“社會秩序、公共利益”的嚴重損害以及國家安全層面的威脅,“自己評估頂多在二級”。劉揚表示,公司產品不進公立校,企業規模也不大,定三級既沒必要又增加機構的經營成本。
按相關規定,三級備案需提交相應的測評報告。由於劉揚公司的兩個App基於不同的系統,陳列說,按照當地測評機構給出的價格,單個系統的測評價格是8萬,兩個就是16萬,同時需要在阿里雲上就現有技術架構增加安全產品,一年保守估計也要17萬,加起來一年要30多萬,這比二級的測評整改費用貴了近十來萬。
陳列統計的阿里雲三級等保合規方案官網價格表
定了三級意味著每年都要測評,若因業務擴展增加了系統、App,測評成本將進一步上升。劉揚算了一筆賬:定級備案的成本一旦達到40萬,相當於“要做400萬營收(按每個學員半年課程收1千的價格來算),以10%淨利潤計算,公司要半年白服務4千個學員”。對初創企業來說,40萬則意味著兩個月的開支。
根據《信息安全等級保護管理辦法》,國家信息安全等級保護堅持自主定級、自主保護的原則,有教育機構認為,統一定三級的要求或於法無據。
解釋定三級依據,公安廳與教育廳存異?
針對統一定三級的要求,芥末堆先後兩次採訪上述省公安廳相關工作人員,其表示,教育移動應用分學校提供和企業提供,等保定級的建議都在二級以上。
“對於學校提供的,它是針對特定的群體,特定的業務,如果它數據的敏感性、重要程度不高,可以參照二級的標準。但對企業提供的、面向公眾或者是很多的學校、不特定群體,那麼,它的安全防護的標準建議參照三級……可以說是要求他定三級”,該工作人員表示,“並不是說所有教育的移動應用都一刀切定成三級,它是分提供的主體、面向的對象、獲取數據的重要程度和敏感性”。
對企業提供的教育App等保要求為三級,上述工作人員給出六個依據。
一是有法可依,根據《網絡安全法》第21條等規定及國家網絡安全等級保護2.0標準。
二是備案的標準性。“市面上很多App非常混亂,沒有門檻,魚龍混雜。教育部和幾個部委搞的備案,它具有一定的標準性”。教育移動應用今後需要達到教育等部門依法明確的合規標準,取得備案後方可上線,它的重要性、准入地位有別於一般互聯網移動應用。
三是教育移動應用獲取的數據敏感。其獲取使用的數據涉及到學生等一些特殊群體,且大部分都是公民的個人信息。
四是考慮遭受攻擊破壞的帶來的危害和後果,如果平臺沒有落實到防護措施,遭到黑客攻擊、破壞,直接會侵害到公民的個人信息,甚至會引發學生個人信息被洩露,販賣到一些詐騙人員不法分子手裡。會引發像“山東徐玉玉”類似案件,損害公民生命財產權益。
五是,教育App數據存在使用風險,今年我們已經查處了多市多家教育培訓機構,他們就是非法獲取、出售、向他人提供學生信息,然後用來推銷培訓業務。
六是有例可循。“我們省還有上海等地的一些教育行業,都已經按照等保的三級要求開展工作了”。另外,參考交通部等部委,有關無車承運平臺等線上安全合規審核的規定,他們對相關申報備案平臺都按照等保三級要求開展工作。(不過,芥末堆致電上海網安部門和教育部門後瞭解到,當地並未要求企業提供的教育移動應用等保統一定為三級)
“任何網絡運營者,包括教育類移動應用這些運營使用單位在內,不能將守法‘紅線’,偷換概念為‘設置門檻’”。該工作人員表示, “不能將用來安全生產運營的投入,偷換概念為霸王條款”。
而對於該公安廳的做法是否違背企業自主定級的原則,上述工作人員回應,“在去年的時候稍有變動,因為去年國家網絡安全等級保護2.0標準出來以後,就不單純是他的自主定級了”。
等保2.0標準系是今年5月13日,國家市場監督管理總局、國家標準化管理委員會發佈的網絡安全等級保護制度2.0標準,《信息安全技術網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》等多個國家標準正式發佈,並於2019年12月1日開始實施。
其中,等保2.0標準對定級流程進行了調整。不再強調自主定級,而是要求系統定級必須經過專家評審和主管部門審核,才能到公安機關備案。這與《信息安全等級保護管理辦法》有所衝突,該辦法在專家評審上並無對所有等級進行強制要求,只“擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審”。
上述工作人員表示,即便是“關於等保的管理辦法中,企業、個人運營者是自主定級,但是如果定級不準的話,網絡安全監管部門可以讓他改正”。
但公安部門的說明並未獲得教育部門的認同。芥末堆從接近該省教育廳的渠道獲得一份由該省公安廳發給對方的文檔,這份《關於教育移動互聯網應用網絡安全備案審核內容及流程說明》面向省內教育移動應用提供者,涉及備案審核材料要求、定級說明、定級備案對象說明、測評說明、建設整改說明等內容,並附上網絡安全等級保護相關法律規定。
對於網絡安全等級保護需要提交的相關材料,文檔解釋,其主要內容包括:網絡安全等級保護備案表、網絡安全等級保護三級備案證明、本年度網絡安全等級保護測評報告。並提到,教育移動應用提供者應當在辦理定級備案後,按照相關規定開展測評、整改等工作,測評報告附在整體合規申報材料內。
文檔也在“定級說明”中提到,“對於由省公安廳網絡安全保衛總隊負責備案審核的教育移動應用提供者,應當按照網絡安全等級保護三級要求開展定級備案、測評整改等工作”。而定級依據和上述工作人員所說基本一致。
據上述接近該省教育廳的人員介紹,教育廳嚴詞拒絕會籤公安廳的這份文檔。但芥末堆連續多日致電該省教育廳辦公電話,均無人接聽。該省電化教育館工作人員回應,定級屬公安職責範圍,以公安的政策解讀為準,教育部門只認備案證明。對於公安廳所發文檔,該工作人員否認嚴詞拒籤一事,並表示“我們職責分工不同,不會把上述文檔發給所有的企業”。
有教育部門人士表示,對企業提供的教育移動應用等保統一要求為三級的做法,恐提高市場準入門檻,不利於營商環境的打造。
根據2019年10月份國務院發佈的《優化營商環境條例》規定,作為辦理行政審批條件的中介服務事項(以下稱法定行政審批中介服務)應當有法律、法規或者國務院決定依據;沒有依據的,不得作為辦理行政審批的條件。中介服務機構應當明確辦理法定行政審批中介服務的條件、流程、時限、收費標準,並向社會公開。該條例於2020年1月1日正式實施。
不過,上述公安廳工作人員認為,創造良好“營商環境”,不等於贊同市場野蠻發展,讓“劣幣驅逐良幣”,甚至危害群眾利益。“對於這種應用在上線的時候,必須按照網絡安全法中法律規定要求,落實技術保護措施,不落實了,堅決不許上線”, 其表示,支持暫不符合條件的教育類移動應用運營者,待條件成熟後再開展備案申報。
規定:機構堅持原定等級也可備案,但有後置條件
2019年11月13日,教育部辦公廳發佈《教育移動互聯網應用程序備案管理辦法》,要求教育移動應用提供者需在2020年1月31日前完成ICP備案和等保備案。從2019年12月1日至2020年1月31日間為備案緩衝期,期間ICP備案和等保備案不作為提供者備案的前置條件。
等保備案主要分為定級與備案兩個部分,備案由公安部門負責。根據《信息安全等級保護管理辦法》規定,國家信息安全等級保護堅持自主定級、自主保護的原則。定級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
根據國家標準《信息安全技術信息系統安全等級保護定級指南》(GB/T 22240—2008),當等級保護對象受到破壞後造成“公民、法人和其他組織的合法權益”嚴重損害和特別嚴重損害的,或造成“社會秩序、公共利益”一般損害的,定為二級;造成“社會秩序、公共利益”嚴重損害或國家安全一般損害的,定為三級。從一級到三級各自的監管強度也分別由自主保護、指導上升再到監督檢查。
但定級要素與安全保護等級的關係發生過調整。根據2017年由公安部發布的公共安全行業標準《信息安全技術網絡安全等級保護定級指南》(GA/T 1389—2017),“公民、法人和其他組織的合法權益”受到特別嚴重損害時,從原先的二級升到三級保護。這個調整也是2018年1月19日由全國信息安全標委會發布的國家標準《信息安全技術網絡安全等級保護定級指南》徵求意見稿中的變化之一。不過,該指南目前仍處在修訂階段。
行標《指南》對損害程度做了解釋
但無論是公安系統人員、相關測評機構還是教育機構,對於等保三級的理解各不相同,有的認為面對不特定群體,存儲用戶信息達5000條以上就要考慮定三級。有的則認為註冊用戶達十萬以上就要申請三級。上海市教委電教館一位工作人員向芥末堆透露,首批通過提供者備案的上海教育企業的App在等保定級上都為三級,其中包括一起教育、流利說和學霸君等,這些企業的用戶規模以千萬到億計數。
定級流程
對於定級不準的,《信息安全等級保護備案實施細則》也做出相關規定:公安機關公共信息網絡安全監察部門對定級不準的備案單位,在通知整改的同時,應當建議備案單位組織專家進行重新定級評審,並報上級主管部門審批。備案單位仍然堅持原定等級的,公安機關公共信息網絡安全監察部門可以受理其備案,但應當書面告知其承擔由此引發的責任和後果,經上級公安機關公共信息網絡安全監察部門同意後,同時通報備案單位上級主管部門。
但上述公安廳工作人員解釋,後置條件的意思是“你不要把保護等級定低,然後不落實相應的保護措施”。
有法律研究者表示,無論是教育部門還是公安部門,只有備案了產品才能上市的行為屬於行政許可,行政許可的設定需要有法律依據;若不備案不涉及其是否可上市的問題,則不屬於行政許可,但若條文增加了公民、法人或其他組織的義務和行政機關的自我賦權,同樣需要法律依據。
該研究者表示,前述公安廳工作人員所提六項依據,除第一項外,其他5項並非法律依據。而第一項所提及的《網絡安全法》第二十一條等相關規定中,儘管規定了市場主體的義務,但這些義務並不包括必須進行三級備案的要求。
陳列告訴芥末堆,等保若定三級,各項技術資料也會增加不少。自己目前正在準備定級備案材料階段,公司也在猶豫要不要花這筆錢。
涉及不同部門的業務要求不一,教育部:可以有高要求但勿違背中央政策
不過,芥末堆從已通過備案的機構以及當地相關教育部門等處瞭解到,和江蘇公安廳對企業提供的教育APP等保統一定三級的要求不一樣的是,安徽、上海和廣東等地皆建議二級及以上。
廣東在線教育QQ群裡當地教育廳工作人員為企業答疑解惑
且各地對2020年1月31日前,教育App備案是否需要提交定級備案證明和測評報告要求也不一樣。
廣東省教育廳在《教育移動應用備案核驗流程、審查要點、常見問題及整改注意事項》的文檔中提到,核驗的資料包括網絡安全等保定級備案證明,須上傳截圖,但測評報告不用提交。上海市教委電教館的工作人員則告訴芥末堆,1月30日之前,不強制要求提交等保備案證明,目前“只有號也可以,但後面是要補(證)的”。
不過,據芥末堆了解到,在部分省份,即便定級後可以拿到備案號,但二級不做測評的話,審核也過不了。但據芥末堆此前報道,等保二級做了測評才能備案的正當性存疑。一位在安徽通過等保二級備案的機構負責人告訴芥末堆,自己在今年9月做等保二級時,網安部門人員告訴他,二級不需要找測評機構,最後根據網安部門的相關要求填完資料,“沒花一分錢”。
教育部相關工作人員表示,等保政策由公安機關制定,各省有不同的政策解讀,並根據實際情況去落實。但根據相關法規,教育企業可自主定級,“沒有說一定要定三級,這不符合等保備案的基本原則”。此外,目前政策也沒要求提交測評報告,而選擇定三級的企業本身就要提交測評報告作為備案資料,“我們只需要獲得號就可以了,不需要有證,不做測評堅決不給號的地方,做法和現有規章制度是違背的”,該人員表示。
不過,上述公安廳工作人員並不贊同拿了號就讓教育App貿然上線。其認為,即便拿到備案證明(號),也並不意味著“你什麼環節都很合規”,“不能讓所有的網絡運營者不裝剎車開上路”。
上述教育部相關工作人員透露,考慮到一些企業定級備案要涉及整改等各種問題,目前也沒有關於要證的時間表。“備案規則是全國統一的。各個地方部署當地本地區的工作……如果地方希望提更高的要求,我們也尊重他們的意見,但總體的原則是不能跟中央的政策相違背”。
該工作人員介紹,此前公佈的首批通過備案的教育App大部分定了三級,主要因為首批都是大型企業,但也並非全部都做了三級等保備案,其認為,“現在大部分系統還到不了三級這個地步”。
測評機構漲價?詢價從3.8萬到80萬
臨近的截止期、測評需求的增強、以及信息的不對稱,導致部分測評機構甚至趁此漲價。
芥末堆諮詢了北京一家測評機構,業務人員透露,因為網絡安全等級保護2.0標準於12月1日正式實施,測評的工作量增加導致測評價格上漲。定為三級的機構其測評單價(一個系統)在12月1日後上漲了四分之一達到15萬,同時還要購買15萬左右的阿里雲安全產品。
深圳一家知名集成商(備案+測評+整改+安全產品)則表示,因為安全產品雙十二打6.5折,二級測評價格甚至比12月1日前更便宜。即便這樣,二級測評服務費+安全產品也要12萬左右;三級落地大概16萬。“要看所在雲平臺對應的安全產品費用以及在各個平臺的商務情況,費用大家都差不多,關鍵還是看服務”。
上述集成商給出的三級報價服務內容
在廣東在線教育的qq群內,芥末堆看到各教育機構從各自渠道瞭解的二級測評的價格差距巨大,報價從3.8萬到80萬—200萬。也有一些機構以團購促銷為名形成社群,並通過告知截止日期、遲早要交測評報告等希望客戶儘早購買產品服務。但有機構人士在群內吐槽,創業公司產品還沒發展起來就要收費十幾萬,“你們報價太多了,付完我就倒閉了”。也有業者建議,為了更快地通過測評整改,做好等保備案,最好找公安部門推薦的測評機構。
信息和政策掌握不到位的情況下,謠言也不脛而走。有北京代理商表示,2019年12月1日後,北京的教育App都要做三級備案,具體要等相關政策出臺。但芥末堆撥打北京市公安局網安總隊電話未獲回覆。北京市教委教育信息化處工作人員則表示,該說法並不屬實,“目前等保備案二級或三級都可以”。幾家北京測評機構則告訴芥末堆,稱近期教育App在北京做三級的比較多,但也有做二級的,“各區可能要求也不一樣”。
劉揚擔心,如果定二級可以卻非要定三級,最終可能養肥了一堆人,但讓中小機構平添負擔。目前,很多教育機構一邊詢問,一邊準備材料,還有的則像劉揚的公司一樣,在定級問題上猶豫著、觀望著。
備案和等保皆必須,政策需更明晰嚴防“變形變質”
從長期來看,規範和監管,對市場良性發展及終端用戶的利益保障尤為必要。但因要求和具體執行的差異,很多教育機構感到迷茫——我應該定幾級?我應該遵循什麼?同時,有代理商在此中“渾水摸魚”,進一步加大企業成本。
有業內人士指出,過去教培行業的實施主要以線下為主,涉及教育資質和經營資質問題,同時接受多個管理部門監管。而互聯網(在線)教育則是新物種,主要以互聯網或移動互聯網為載體。所以,一方面它既要遵循互聯網也要遵循教育的相關管理辦法。
這對政策制定者、實施者和執行主體多方而言,是共同的挑戰。也對教育的治理體系與治理能力,提出了更高的要求,“教育服務產業是教育行業很重要的組成部分,建立長效、完善和健康發展的治理機制是核心”。而對產業從業者而言,如何去理解和落實政策,並和行政部門做好溝通,也是更高的要求。“出現問題,如何溝通與達成共識,最終能實現教育多方協作向前進,這是一個時代階段內,所有主體共同的任務和挑戰”。
(應採訪對象要求,劉揚和陳列皆為化名)
閱讀更多 芥末堆看教育 的文章
