来源： 数据法盟  原创 王源

一、修订沿革

2021年1月8日，国家互联网信息办公室就《互联网信息服务管理办法（修订草案征求意见稿）》公开征求意见。该办法最早由国务院于2000年9月25日公布实施（国务院令第292号），在实施3个月左右之后，国务院于2011年1月8日对办法进行了修改（国务院令第588号）。2011年的修改仅为形式上的修改，具体体现为：其一，将第14条“用户帐号”修改为“用户账号”；其二，将第20条“治安管理处罚条例”修改为“治安管理处罚法”。除此之外，没有任何改动。为行文方便，本文将2011年办法引述为“旧办法”，2021年办法引述为“新办法”。

二、重点内容

1. 立法目的从“规范”和“促进”修改为“促进”、“保护”和“维护”

新办法希望从产业发展、市场主体利益和国家与公共利益三个角度达到立法目的，关键词为“促进”、“保护”和“维护”互联网信息服务。新办法第1条规定“为了促进互联网信息服务健康有序发展，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益，制定本办法。”与旧办法立法目的“规范互联网信息服务活动，促进互联网信息服务健康有序发展”相比，体现了更多的产业促进意图，对各主体利益的考量维度更加立体。

2. 适用范围从“中国境内”服务扩展至“境内外”服务

新办法和旧办法一样，原则上仅适用于在中国境内从事互联网信息服务，但新办法扩增了办法的域外适用效力。具体体现为：第2条规定新办法适用于“[中国]境内的任何组织和个人利用境内外网络资源向境内用户提供互联网信息服务。”；新办法第3条规定国家可以监管“境内外的互联网信息服务”，如果构成“危害国家网络空间安全和秩序，侵害中国公民合法权益的违法犯罪活动”。旧办法中没有新办法中关于域外适用效力的规定。

3.主管部门从“电信管理”机构扩展为“国家网信部门”、“国务院电信主管部门”、“国务院公安部门”等

新办法新增第5条专门规定“国家网信部门”、“国务院电信主管部门”、“国务院公安部门”、“国务院其他有关部门”以及“地方”在各自的职责范围内，对互联网信息服务进行监管管理。与旧办法仅出现“电信管理机构”和“国务院信息产业主管部门”相比，增加了行政主管部门。

4.明确“互联网信息服务提供者”以及为其提供服务的“互联网网络接入服务提供者”和“域名注册和解析等互联网服务提供者”的地位及网络安全和数据保护等义务

旧办法仅在第14条提及互联网网络接入服务提供者，规定互联网接入服务提供者有义务记录上网用户相关信息且留存备份60日。新办法关于互联网网络接入服务提供者的规定为：1.新办法第8条明确规定“申请从事互联网信息服务备案的，应当通过互联网网络接入服务提供者向电信主管部门提交[材料]”,旧办法没有明确规定是否需要通过互联网网络接入服务提供者进行申报，虽然实践中往往如此操作；2.新办法第13条规定互联网网络接入服务提供者“应当要求互联网信息服务提供者提供相应许可证件或者备案编号”并“查验”，旧办法对此没有规定；3.新办法第16条规定互联网网络接入服务提供者“应当建立网络安全与信息安全管理制度、用户信息保护制度，采取安全防范措施，加强公共信息巡查。”，旧办法对此没有规定；4.新办法第18条和19条加强了“真实身份查验要求”，规定互联网网络接入服务提供者签署服务协议时，应确保“组织机构代码证书信息等必要的真实身份信息一致，并记录相关信息”，且“应当在提供服务期间同步保存，并在停止服务后保存至少两年以上。”旧办法对此没有规定；5.新办法第20条规定互联网网络接入服务提供者“应当记录并留存网络日志信息，并保存不少于6个月”，与旧办法相比将网络日志的留存时间从60日延长至6个月；5.新办法第21条和第22条明确规定互联网网络接入服务提供者有义务协助处理网络违法犯罪，包括“保存有关记录”、“向[主管机关]报告”、“提供技术支持和协助”、“提供必要的数据支持和相关配合”，旧办法对此没有规定；6.新办法第23条规定互联网网络接入服务提供者有义务确保“个人信息安全”，防止收集和使用的“身份信息、日志信息泄露、损毁、丢失”，并且建立投诉举报机制，旧办法对此没有规定；7.新办法第27条规定互联网网络接入服务提供者发现违法犯罪内容，有义务“停止传输，采取消除等处置措施，防止信息扩散，保存有关记录，并向网信部门、电信主管部门、公安机关报告。”，与旧办法的规定一致；8.新办法第29条规定互联网网络接入服务提供者有义务建立“应急机制”，旧办法对此没有规定；9.新办法对于互联网网络接入服务提供者违反上述规定应当承担的法律后果进行了明确细化规定。

上述第2点（新办法第13条）、第3点（新办法第16条）、第4点（新办法第18条、第19条）、第5点（新办法第21条、第22条）、第6点（新办法第23条）、第7点（新办法第27条）和第8点（新办法第29条）的规定同样适用于“互联网信息服务提供者”自身。

上述第4点（新办法第18条、第19条）和第5点（新办法第21条、第22条）还适用于“域名注册和解析等互联网服务提供者”。

5.细化“互联网信息服务提供者”的许可和备案要求

新办法第7条基本沿用了旧办法的规定，即对互联网信息服务提供者通过两种路径进行监管：其一，对于许可类互联网信息服务通过实质审批进行管理；其二，对于备案类互联网信息服务通过形式审查进行管理。新办法第7条规定“从事互联网信息服务，属于经营电信业务的，应当取得电信主管部门电信业务经营许可；不属于经营电信业务的，应当在电信主管部门备案。”

新办法增加了互联网信息服务提供者停止服务时主动申请注销牌照的要求，第11条规定“互联网信息服务提供者不再从事互联网信息服务的，应主动注销相关许可和备案。”，旧办法没有关于牌照注销的规定，虽然按照《电信业务经营许可管理办法》的规定，牌照有效期一般为5年。

6.强调“任何组织和个人”合法利用互联网信息服务的义务

新办法第15条增加规定任何组织和个人“不得设立用于实施违法犯罪的网站、通信群组、网络账号、移动智能终端应用，不得开办用于实施违法犯罪的互联网服务。”，“不得明知他人利用互联网信息服务实施违法犯罪而为其提供技术支持、广告推广、支付结算、代办网络服务等帮助。”，“不得倒卖移动电话卡、上网卡、物联网卡。用户将已依法办理真实身份信息登记的移动电话卡、上网卡、物联网卡转让给他人使用的，应当依法办理过户手续。”旧办法对此没有规定。

7. 明确“互联网新业务安全评估”

新办法第17条增加规定互联网信息服务提供者应当“建立互联网新业务安全评估制度，对其通过互联网新开展并取得经营许可的互联网信息服务业务进行安全评估，并将有关评估结果向网信部门、电信主管部门、公安机关报告。”旧办法对此没有规定，但早在2017年工信部即出台《互联网新业务安全评估管理办法（征求意见稿）》，主要规定对未列入《电信业务分类目录》的新型电信业务的安全评估要求。

8.细化违法行为的行政处罚规定

因为新办法增加了“互联网信息服务提供者”以及为其提供服务的“互联网网络接入服务提供者”和“域名注册和解析等互联网服务提供者”的义务，因此专设第四章“监督检查”，通过第30条至第51条细化违反办法的相应责任及处罚规定。例如，根据违法程度不同，可分别被处以1万、10万、50万、100万以内罚款。

9.增加主管部门的职责规定

旧办法仅在第25条规定主管部门及其工作人员因“玩忽职守、滥用职权、徇私舞弊，疏于对互联网信息服务的监督管理”导致的刑事责任和行政处分。新办法增加了主管部门的职责规定，包括：1.新办法第21条规定主管部门发现“违反真实身份查验要求或者网络违法犯罪”，“应当要求互联网信息服务提供者采取消除、制止等处置措施，停止相关服务，保存有关记录，并向网信部门、电信主管部门、公安机关报告。”；2.新办法第24条增加规定主管部门及其工作人员信息安全及保密义务；3.新办法第31条增加规定进行监督检查时“应当由两名以上执法人员实施。执法人员应当具有执法资格，执法时应当主动出示执法证件，并记录监督检查等执法情况。”；新办法第33条增加规定进行监督检查时“信息共享和信息通报制度，加强沟通和协作配合。”等。

三、适用难点

1.什么是互联网信息服务

旧办法的规定相对比较简单，将互联网信息服务定义为“通过互联网向上网用户提供信息的服务活动”，新办法对互联网信息服务进行了列举，包括“为用户提供互联网信息发布和应用平台，包括但不限于互联网新闻信息服务、搜索引擎、即时通讯、交互式信息服务、网络直播、网络支付、广告推广、网络存储、网络购物、网络预约、应用软件下载等互联网服务。”

新办法的规定实际上参考了电信业务领域广泛适用的《电信业务分类目录》（“目录”）的规定，目录B25（信息服务业务）对信息服务业务的解释为“信息服务业务是指通过信息采集、开发、处理和信息平台的建设，通过公用通信网或互联网向用户提供信息服务的业务。信息服务的类型按照信息组织、传递等技术服务方式，主要包括信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务、信息即时交互服务、信息保护和处理服务等。”

仔细分析新办法和目录的规定，可以发现二者所列举的互联网信息服务的类别有一致之处，也有不一致之处。对于二者一致和不一致之处可以做如下拆分理解：1.字面上一致或者相同的规定以及依靠常识能够判断“说的是一回事儿”。例如信息发布的平台、搜索业务、即时通讯、交互式信息服务，在新办法和目录中均有规定；2.虽然有所不同但是从常识理解应当属于互联网信息服务。例如新闻信息服务、网络直播、广告推广，仅可见于新办法，但适用上不太容易产生疑问；3.字面上不一致同时无法从常识区别异同，包括两种情况：（1）“新办法中有的目录中没有”。例如网络支付、网络存储、网络购物、网络预约、应用软件下载仅见于新办法，该等服务类型是否属于提供“信息服务”在目录下并不确定。例如，“网络存储”含义是否与目录B11（互联网数据中心业务）重叠并不明确，“网络购物”是否与目录B21（在线数据处理与交易处理业务）中的电子商务业务重叠也不明确；（2）“目录中有的新办法中没有”。例如目录下的“信息保护和处理服务”，并未在新办法下列举，其是否属于新办法下“信息服务”也就不确定。

实际上目录B25（信息服务业务）长久以来是作为“兜底”增值电信服务条目存在的，其概念本身具有延展性，且和目录其他类别的条目有时候会发生重叠，例如“信息保护和处理服务”有时也可以被归于B21（在线数据处理与交易业务）。其区分的意义在于互联网信息服务提供者是否需要获得互联网信息服务牌照（一般称为ICP牌照），需要获得哪种牌照（是否ICP牌照就足够，还是需要获得诸如在线数据处理与交易业务类牌照）。

新办法中涉及的“互联网网络接入服务提供者”和“域名注册和解析等互联网服务提供者”的概念也需要参考目录的规定，但其概念相对明确不易发生混淆，实践中有时候同一个服务提供者兼具二种资质。

2.从事互联网信息服务需要取得何种资质

根据工业和信息化部《电信业务经营许可管理办法》和旧办法，互联网信息服务一直以来具体可区分为经营性互联网信息服务和非经营性互联网信息服务两类，实践中经营性和非经营性一般以提供产品或者服务是否向用户收取费用为标准，收取费用的为经营性服务，不收取费用的为非经营性服务，经营性服务需要满足更加严格的实质审核条件获得许可，非经营性服务仅需要满足形式审核条件进行备案。

新办法沿用许可和备案管理思路，但是区分标准文字上发生了变化。按照旧办法收费的“经营性”网络服务需要获得许可，不收费的“非经营性”网络服务仅需要进行备案；按照新办法“经营电信业务的”需要获得许可，“非经营电信业务的”仅需要进行备案。新办法似乎修改了旧办法“是否收费”的区分标准，取而代之以使用“是否为电信业务”的区分标准。追索到上位法国务院《电信条例》第80条，互联网信息服务属于电信业务的一种，也即所有互联网信息服务均属于电信业务，不存在不属于电信业务的互联网信息服务。

3.如何与互联网信息服务的具体单项规定进行衔接

新办法和旧办法均提及属于互联网信息服务的某些具体行业领域的具体制度，包括新闻、文化、出版、视听、教育、医疗保健、药品和医疗器械，这些行业基本上有“自己”的主管部门，且有相关单项规定。例如《互联网文化管理暂行规定》（2011），《网络出版服务管理规定》（2016），《互联网新闻信息服务管理规定》及其实施细则（2017）等等。

按照旧办法的规定存在“双重审批”问题。一方面需要向互联网信息服务的主管部门工业和信息化部申请许可或者进行备案，另一方面需要获得行业主管部门批复。旧办法行文亦如此，“依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。”，但是新办法明确了“单一审批”原则，即仅规定应当获得“有关部门许可”，“许可结果报国家网信部门备案。”

虽然新办法在条文表述上没有将具体行业主管部门的许可设置为获得互联网信息服务许可的条件，但是具体行业主管部门的许可和互联网信息服务的许可条件并不一样，所依据法律规定设置的实质性条件也有所不同。因此，实践中在获得具体行业主管部门许可和获得互联网信息服务许可的先后顺序及审查条件上，仍然需要调试衔接。

4.互联网信息服务的监管部门有哪些

旧办法的制定机关为国务院，属于行政法规，效力层级较高，仅次于全国人大及常委制定或者修改的法律。新办法为国家互联网信息办公室会同工业和信息化部、公安部起草，按照国家机关职权层级划分，最多有权制定部门规章，效力层级低于国务院制定的行政法规。新办法如果最终由国务院发布，程序将更加严格，如果最终由起草修订部门发布，其效力等级又会降低。

按照新办法的规定，互联网信息服务的主管部门主要有三个，国家互联网信息办公室、工业和信息化部、公安部，其中国家互联网信息办公室处于统筹协调的地位。与旧办法仅规定工业和信息化部为主管部门相比较，增加了两个监管部门。由于新办法在传统互联网信息服务的基础上，增加了许多互联网信息服务提供者等的网络安全及数据保护义务的规定，而网络安全和数据保护监管职责近年大多由国家互联网信息办公室统筹协调和监督执法，因此新办法也顺应了这一趋势。简单理解，国家互联网信息办公室既对网络安全和数据保护承担监管职责，又对信息服务内容承担监管职责，该趋势在新办法中进一步得到验证和明确。

5.通过设置在境外的服务器提供网络服务是否受到中国法律监管

按照旧办法及过往实践，设置在境外的服务器并不受中国法律管辖，早些年间不少企业正是通过在境外设置服务器向中国境内提供网络服务来规避中国关于互联网信息服务牌照的要求，新办法并未导致该操作完全违法，但确实增加了违法概率。

根据新办法，主管部门可以根据“属人”原则和“效果”原则对境外互联网信息服务进行监管。根据“属人”原则，只要组织或者个人位于中国境内（对于企业而言，一般理解为在中国注册的公司或者在中国有主要经营机构。在国外注册并且运营的公司“讨论起来意义不大”，因为即使理论上可以监管但实际无法实施监管行为。），如果利用了新办法规定的境外“网络资源”向境内用户提供网络信息服务，则主管机关可以依照新办法进行监管。按照该原则，对于设置在境外的服务器，如果通过该服务器向境内提供网络服务，主管机关也可以“名正言顺”地进行监管。

根据“效果”原则，无论组织或者个人位于境内还是境外，也无论网络服务是否针对境内或者境外用户，只要危害到中国网络主权或者构成刑事犯罪，则主管部门可以依据新办法进行监管。在具体适用时，需要区分危害中国网络主权和刑事犯罪两种情况，危害中国网络主权的解释相对更加灵活，在此不做分析；刑事犯罪需要同时满足中国《刑法》关于管辖和刑期等的相关规定，也即并非所有违反新办法的刑事犯罪行为均一概适用包括新办法在内的中国法律。

四、总结观察

《互联网信息服务管理办法（修订草案征求意见稿）》的内容丰富，既涉及传统的增值电信业务，也涉及近年新兴的网络安全和数据保护问题；既涉及互联网内容监管，又涉及承载内容的网络问题。《互联网信息服务管理办法（修订草案征求意见稿）》创新性地以“促进发展”为立法目的，扩大域外适用效力，明确网信部门、电信部门、公安部门等对互联网信息服务的协同监管职责。

《互联网信息服务管理办法（修订草案征求意见稿）》主要由国家互联网信息办公室对国务院的行政法规进行修改，最终发布机关及法律规定位阶效力衔接上有待观察，效力衔接将影响各规定冲突时的适用。旧办法与电信领域“基本法”《电信条例》同出自于国务院，关于互联网信息服务的具体规定如果与旧办法冲突，旧办法将优先适用；而新办法如果直接由国家互联网信息办公室颁布，其效力与其他部门关于互联网信息服务的具体规章或者规范性文件将等同，法理上无法优先适用。

《互联网信息服务管理办法（修订草案征求意见稿）》扩大了域外适用效力，但其上位法《电信条例》的适用效力仍然为“在中华人民共和国境内从事电信活动或者与电信有关的活动，必须遵守本条例。”因此，单就新办法而言，具有“试点”性质，“域外效力”最终在适用时有可能与《电信条例》冲突。

《互联网信息服务管理办法（修订草案征求意见稿）》对“互联网信息服务”进行了列举性规定，尽管包括概括性“等”字，仍然与电信行业内长期适用的《电信业务分类目录》的列举项目有所不同，容易造成适用上的冲突。是否仅进行概括性规定或者尽量与《电信业务分类目录》保持趋同（“模糊也尽量在一个地方模糊”），需要考虑，因为将实质性影响到互联网信息服务提供者“需要拿几个增值电信牌照”才可以合法经营，例如新办法列举的“网络存储”、“网络购物”有可能同时属于其他牌照类增值电信业务。

《互联网信息服务管理办法（修订草案征求意见稿）》对于获得许可或者进行备案的条件区分为“经营电信业务”和“非经营电信业务”，不同于旧办法“经营性”和“非经营性”互联网信息服务，亟待明确是否对区分标准进行实质性修改。我们理解，不应该将旧办法“是否向用户收费”的标准实质性地修改为“是否属于电信业务”，因为根据《电信条例》，所有互联网信息服务均属于电信业务。

作者：王源，北京高勤律师事务所律师 联系方式：joan.wang@gaoqinlaw.com