芥末堆芥末堆

二级还是三级?教育App等保备案下的困扰与“商机”

作者:大卫 发布时间:

二级还是三级?教育App等保备案下的困扰与“商机”

作者:大卫 发布时间:

摘要:我应该定几级?我应该遵循什么?

WX20191226-050204_meitu_1.jpg

来源:图虫创意

“如果可以定二级却非要我们定三级,就要多花十来万”,刘扬在南方某省办了一家教育机构,旗下有面向C端和B端的两个教育App。

2019年底,教育部发布《教育移动互联网应用程序备案管理办法》,规定教育移动应用提供者需于2020年1月31日前完成ICP备案和等保备案(“等保备案”是“网络安全等级保护定级备案”的简称,分定级和备案两个部分),最后在平台上完成提供者备案。

但随着截止日期越来越近,刘扬却在教育App等保备案上犯难。负责等保备案的公安部门告诉他,企业提供的教育App定级统一为三级,但这和其他一些省份的要求有所出入。“这意味着企业要面临更高的测评、整改成本,测评市场也跟着水涨船高”,一些机构质疑其定级的合理性,并认为此举恐抬高市场准入门槛。

某要求三级的省公安厅网安部门相关工作人员向芥末堆列出六点根据,并认为企业不应把守法“红线”,偷换概念为“设置门槛”。

芥末堆在收集中发现,各地在落实上述政策时,出现执行标准不一、不同部门对业务的理解各异等问题,除上述定级问题外,提供者备案需提交的材料各地要求也有出入。

教育部相关工作人员对此表示,定级为企业自主选择,现阶段教育App备案只要等保备案号,不需要提交等保备案证明。且考虑机构整改等需要一定时间,目前没有提交等保备案证明的时间表。同时,备案也无需提交测评报告,“定二级要拿了测评才给证,这和现行法律法规是冲突的”。另外,其强调,地方可根据实际情况提高相应标准,但不能违背中央政策。

统一要求定三级?企业在定级备案上犯难了

刘扬的公司业务主要涉足STEAM教育领域,分别有C端(学员)和面向B端(教培机构)的两款教育类App,截止2018年,机构App端注册用户数超2000万,合作机构超1200家。

但在为这两款App做等保备案时却遇到问题。该公司的技术人员陈列告诉芥末堆,自己在向省公安厅网安总队咨询时,被对方告知,教育App等保定级统一要求为三级。

这超出机构的预料。陈列表示,据其参考相关规定,两款App所依托的系统在遭到破坏时,并不涉及“社会秩序、公共利益”的严重损害以及国家安全层面的威胁,“自己评估顶多在二级”。刘扬表示,公司产品不进公立校,企业规模也不大,定三级既没必要又增加机构的经营成本。

按相关规定,三级备案需提交相应的测评报告。由于刘扬公司的两个App基于不同的系统,陈列说,按照当地测评机构给出的价格,单个系统的测评价格是8万,两个就是16万,同时需要在阿里云上就现有技术架构增加安全产品,一年保守估计也要17万,加起来一年要30多万,这比二级的测评整改费用贵了近十来万。

屏幕快照 2019-12-26 下午2.54.17.png

陈列统计的阿里云三级等保合规方案官网价格表

定了三级意味着每年都要测评,若因业务扩展增加了系统、App,测评成本将进一步上升。刘扬算了一笔账:定级备案的成本一旦达到40万,相当于“要做400万营收(按每个学员半年课程收1千的价格来算),以10%净利润计算,公司要半年白服务4千个学员”。对初创企业来说,40万则意味着两个月的开支。

根据《信息安全等级保护管理办法》,国家信息安全等级保护坚持自主定级、自主保护的原则,有教育机构认为,统一定三级的要求或于法无据。

解释定三级依据,公安厅与教育厅存异?

针对统一定三级的要求,芥末堆先后两次收集上述省公安厅相关工作人员,其表示,教育移动应用分学校提供和企业提供,等保定级的建议都在二级以上。

“对于学校提供的,它是针对特定的群体,特定的业务,如果它数据的敏感性、重要程度不高,可以参照二级的标准。但对企业提供的、面向公众或者是很多的学校、不特定群体,那么,它的安全防护的标准建议参照三级……可以说是要求他定三级”,该工作人员表示,“并不是说所有教育的移动应用都一刀切定成三级,它是分提供的主体、面向的对象、获取数据的重要程度和敏感性”。

对企业提供的教育App等保要求为三级,上述工作人员给出六个依据。

一是有法可依,根据《网络安全法》第21条等规定及国家网络安全等级保护2.0标准。

二是备案的标准性。“市面上很多App非常混乱,没有门槛,鱼龙混杂。教育部和几个部委搞的备案,它具有一定的标准性”。教育移动应用今后需要达到教育等部门依法明确的合规标准,取得备案后方可上线,它的重要性、准入地位有别于一般互联网移动应用。

三是教育移动应用获取的数据敏感。其获取使用的数据涉及到学生等一些特殊群体,且大部分都是公民的个人信息。

四是考虑遭受攻击破坏的带来的危害和后果,如果平台没有落实到防护措施,遭到黑客攻击、破坏,直接会侵害到公民的个人信息,甚至会引发学生个人信息被泄露,贩卖到一些诈骗人员不法分子手里。会引发像“山东徐玉玉”类似案件,损害公民生命财产权益。

五是,教育App数据存在使用风险,今年我们已经查处了多市多家教育培训机构,他们就是非法获取、出售、向他人提供学生信息,然后用来推销培训业务。

六是有例可循。“我们省还有上海等地的一些教育行业,都已经按照等保的三级要求开展工作了”。另外,参考交通部等部委,有关无车承运平台等线上安全合规审核的规定,他们对相关申报备案平台都按照等保三级要求开展工作。(不过,芥末堆致电上海网安部门和教育部门后了解到,当地并未要求企业提供的教育移动应用等保统一定为三级)

“任何网络运营者,包括教育类移动应用这些运营使用单位在内,不能将守法‘红线’,偷换概念为‘设置门槛’”。该工作人员表示, “不能将用来安全生产运营的投入,偷换概念为霸王条款”。

而对于该公安厅的做法是否违背企业自主定级的原则,上述工作人员回应,“在去年的时候稍有变动,因为去年国家网络安全等级保护2.0标准出来以后,就不单纯是他的自主定级了”。

等保2.0标准系是今年5月13日,国家市场监督管理总局、国家标准化管理委员会发布的网络安全等级保护制度2.0标准,《信息安全技术网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》等多个国家标准正式发布,并于2019年12月1日开始实施。

其中,等保2.0标准对定级流程进行了调整。不再强调自主定级,而是要求系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。这与《信息安全等级保护管理办法》有所冲突,该办法在专家评审上并无对所有等级进行强制要求,只“拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审”。

上述工作人员表示,即便是“关于等保的管理办法中,企业、个人运营者是自主定级,但是如果定级不准的话,网络安全监管部门可以让他改正”。

但公安部门的说明并未获得教育部门的认同。芥末堆从接近该省教育厅的渠道获得一份由该省公安厅发给对方的文档,这份《关于教育移动互联网应用网络安全备案审核内容及流程说明》面向省内教育移动应用提供者,涉及备案审核材料要求、定级说明、定级备案对象说明、测评说明、建设整改说明等内容,并附上网络安全等级保护相关法律规定。

对于网络安全等级保护需要提交的相关材料,文档解释,其主要内容包括:网络安全等级保护备案表、网络安全等级保护三级备案证明、本年度网络安全等级保护测评报告。并提到,教育移动应用提供者应当在办理定级备案后,按照相关规定开展测评、整改等工作,测评报告附在整体合规申报材料内。

文档也在“定级说明”中提到,“对于由省公安厅网络安全保卫总队负责备案审核的教育移动应用提供者,应当按照网络安全等级保护三级要求开展定级备案、测评整改等工作”。而定级依据和上述工作人员所说基本一致。

据上述接近该省教育厅的人员介绍,教育厅严词拒绝会签公安厅的这份文档。但芥末堆连续多日致电该省教育厅办公电话,均无人接听。该省电化教育馆工作人员回应,定级属公安职责范围,以公安的政策解读为准,教育部门只认备案证明。对于公安厅所发文档,该工作人员否认严词拒签一事,并表示“我们职责分工不同,不会把上述文档发给所有的企业”。

有教育部门人士表示,对企业提供的教育移动应用等保统一要求为三级的做法,恐提高市场准入门槛,不利于营商环境的打造。

根据2019年10月份国务院发布的《优化营商环境条例》规定,作为办理行政审批条件的中介服务事项(以下称法定行政审批中介服务)应当有法律、法规或者国务院决定依据;没有依据的,不得作为办理行政审批的条件。中介服务机构应当明确办理法定行政审批中介服务的条件、流程、时限、收费标准,并向社会公开。该条例于2020年1月1日正式实施。

不过,上述公安厅工作人员认为,创造良好“营商环境”,不等于赞同市场野蛮发展,让“劣币驱逐良币”,甚至危害群众利益。“对于这种应用在上线的时候,必须按照网络安全法中法律规定要求,落实技术保护措施,不落实了,坚决不许上线”, 其表示,支持暂不符合条件的教育类移动应用运营者,待条件成熟后再开展备案申报。

规定:机构坚持原定等级也可备案,但有后置条件

2019年11月13日,教育部办公厅发布《教育移动互联网应用程序备案管理办法》,要求教育移动应用提供者需在2020年1月31日前完成ICP备案和等保备案。从2019年12月1日至2020年1月31日间为备案缓冲期,期间ICP备案和等保备案不作为提供者备案的前置条件。

等保备案主要分为定级与备案两个部分,备案由公安部门负责。根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。定级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

根据国家标准《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008),当等级保护对象受到破坏后造成“公民、法人和其他组织的合法权益”严重损害和特别严重损害的,或造成“社会秩序、公共利益”一般损害的,定为二级;造成“社会秩序、公共利益”严重损害或国家安全一般损害的,定为三级。从一级到三级各自的监管强度也分别由自主保护、指导上升再到监督检查。

但定级要素与安全保护等级的关系发生过调整。根据2017年由公安部发布的公共安全行业标准《信息安全技术网络安全等级保护定级指南》(GA/T 1389—2017),“公民、法人和其他组织的合法权益”受到特别严重损害时,从原先的二级升到三级保护。这个调整也是2018年1月19日由全国信息安全标委会发布的国家标准《信息安全技术网络安全等级保护定级指南》征求意见稿中的变化之一。不过,该指南目前仍处在修订阶段。

屏幕快照 2019-12-27 下午8.43.17_meitu_1.jpg

WX20191227-204938_meitu_2.jpg

行标《指南》对损害程度做了解释

但无论是公安系统人员、相关测评机构还是教育机构,对于等保三级的理解各不相同,有的认为面对不特定群体,存储用户信息达5000条以上就要考虑定三级。有的则认为注册用户达十万以上就要申请三级。上海市教委电教馆一位工作人员向芥末堆透露,首批通过提供者备案的上海教育企业的App在等保定级上都为三级,其中包括一起教育流利说学霸君等,这些企业的用户规模以千万到亿计数。

WX20191227-213355.png

定级流程

对于定级不准的,《信息安全等级保护备案实施细则》也做出相关规定:公安机关公共信息网络安全监察部门对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关公共信息网络安全监察部门可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关公共信息网络安全监察部门同意后,同时通报备案单位上级主管部门。

但上述公安厅工作人员解释,后置条件的意思是“你不要把保护等级定低,然后不落实相应的保护措施”。

有法律研究者表示,无论是教育部门还是公安部门,只有备案了产品才能上市的行为属于行政许可,行政许可的设定需要有法律依据;若不备案不涉及其是否可上市的问题,则不属于行政许可,但若条文增加了公民、法人或其他组织的义务和行政机关的自我赋权,同样需要法律依据。

该研究者表示,前述公安厅工作人员所提六项依据,除第一项外,其他5项并非法律依据。而第一项所提及的《网络安全法》第二十一条等相关规定中,尽管规定了市场主体的义务,但这些义务并不包括必须进行三级备案的要求。

陈列告诉芥末堆,等保若定三级,各项技术资料也会增加不少。自己目前正在准备定级备案材料阶段,公司也在犹豫要不要花这笔钱。

涉及不同部门的业务要求不一,教育部:可以有高要求但勿违背中央政策

不过,芥末堆从已通过备案的机构以及当地相关教育部门等处了解到,和江苏公安厅对企业提供的教育APP等保统一定三级的要求不一样的是,安徽、上海和广东等地皆建议二级及以上。

屏幕快照 2019-12-25 上午11.48.49.png

广东在线教育QQ群里当地教育厅工作人员为企业答疑解惑

且各地对2020年1月31日前,教育App备案是否需要提交定级备案证明和测评报告要求也不一样。

广东省教育厅在《教育移动应用备案核验流程、审查要点、常见问题及整改注意事项》的文档中提到,核验的资料包括网络安全等保定级备案证明,须上传截图,但测评报告不用提交。上海市教委电教馆的工作人员则告诉芥末堆,1月30日之前,不强制要求提交等保备案证明,目前“只有号也可以,但后面是要补(证)的”。

不过,据芥末堆了解到,在部分省份,即便定级后可以拿到备案号,但二级不做测评的话,审核也过不了。但据芥末堆此前报道,等保二级做了测评才能备案的正当性存疑。一位在安徽通过等保二级备案的机构负责人告诉芥末堆,自己在今年9月做等保二级时,网安部门人员告诉他,二级不需要找测评机构,最后根据网安部门的相关要求填完资料,“没花一分钱”。

教育部相关工作人员表示,等保政策由公安机关制定,各省有不同的政策解读,并根据实际情况去落实。但根据相关法规,教育企业可自主定级,“没有说一定要定三级,这不符合等保备案的基本原则”。此外,目前政策也没要求提交测评报告,而选择定三级的企业本身就要提交测评报告作为备案资料,“我们只需要获得号就可以了,不需要有证,不做测评坚决不给号的地方,做法和现有规章制度是违背的”,该人员表示。

不过,上述公安厅工作人员并不赞同拿了号就让教育App贸然上线。其认为,即便拿到备案证明(号),也并不意味着“你什么环节都很合规”,“不能让所有的网络运营者不装刹车开上路”。

上述教育部相关工作人员透露,考虑到一些企业定级备案要涉及整改等各种问题,目前也没有关于要证的时间表。“备案规则是全国统一的。各个地方部署当地本地区的工作……如果地方希望提更高的要求,我们也尊重他们的意见,但总体的原则是不能跟中央的政策相违背”。

该工作人员介绍,此前公布的首批通过备案的教育App大部分定了三级,主要因为首批都是大型企业,但也并非全部都做了三级等保备案,其认为,“现在大部分系统还到不了三级这个地步”。

测评机构涨价?询价从3.8万到80万

临近的截止期、测评需求的增强、以及信息的不对称,导致部分测评机构甚至趁此涨价。

芥末堆咨询了北京一家测评机构,业务人员透露,因为网络安全等级保护2.0标准于12月1日正式实施,测评的工作量增加导致测评价格上涨。定为三级的机构其测评单价(一个系统)在12月1日后上涨了四分之一达到15万,同时还要购买15万左右的阿里云安全产品。

深圳一家知名集成商(备案+测评+整改+安全产品)则表示,因为安全产品双十二打6.5折,二级测评价格甚至比12月1日前更便宜。即便这样,二级测评服务费+安全产品也要12万左右;三级落地大概16万。“要看所在云平台对应的安全产品费用以及在各个平台的商务情况,费用大家都差不多,关键还是看服务”。

WX20191226-151841.png

上述集成商给出的三级报价服务内容

在广东在线教育的qq群内,芥末堆看到各教育机构从各自渠道了解的二级测评的价格差距巨大,报价从3.8万到80万—200万。也有一些机构以团购促销为名形成社群,并通过告知截止日期、迟早要交测评报告等希望客户尽早购买产品服务。但有机构人士在群内吐槽,创业公司产品还没发展起来就要收费十几万,“你们报价太多了,付完我就倒闭了”。也有业者建议,为了更快地通过测评整改,做好等保备案,最好找公安部门推荐的测评机构。

信息和政策掌握不到位的情况下,谣言也不胫而走。有北京代理商表示,2019年12月1日后,北京的教育App都要做三级备案,具体要等相关政策出台。但芥末堆拨打北京市公安局网安总队电话未获回复。北京市教委教育信息化处工作人员则表示,该说法并不属实,“目前等保备案二级或三级都可以”。几家北京测评机构则告诉芥末堆,称近期教育App在北京做三级的比较多,但也有做二级的,“各区可能要求也不一样”。

刘扬担心,如果定二级可以却非要定三级,最终可能养肥了一堆人,但让中小机构平添负担。目前,很多教育机构一边询问,一边准备材料,还有的则像刘扬的公司一样,在定级问题上犹豫着、观望着。

备案和等保皆必须,政策需更明晰严防“变形变质”

从长期来看,规范和监管,对市场良性发展及终端用户的利益保障尤为必要。但因要求和具体执行的差异,很多教育机构感到迷茫——我应该定几级?我应该遵循什么?同时,有代理商在此中“浑水摸鱼”,进一步加大企业成本。

有业内人士指出,过去教培行业的实施主要以线下为主,涉及教育资质和经营资质问题,同时接受多个管理部门监管。而互联网(在线)教育则是新物种,主要以互联网或移动互联网为载体。所以,一方面它既要遵循互联网也要遵循教育的相关管理办法。

这对政策制定者、实施者和执行主体多方而言,是共同的挑战。也对教育的治理体系与治理能力,提出了更高的要求,“教育服务产业是教育行业很重要的组成部分,建立长效、完善和健康发展的治理机制是核心”。而对产业从业者而言,如何去理解和落实政策,并和行政部门做好沟通,也是更高的要求。“出现问题,如何沟通与达成共识,最终能实现教育多方协作向前进,这是一个时代阶段内,所有主体共同的任务和挑战”。

(应收集对象要求,刘扬和陈列皆为化名)

1、本文是 芥末堆网原创文章,转载可点击 芥末堆内容合作 了解详情,未经授权拒绝一切形式转载,违者必究;
2、芥末堆不接受通过公关费、车马费等任何形式发布失实文章,只呈现有价值的内容给读者;
3、如果你也从事教育,并希望被芥末堆报道,请您 填写信息告诉我们。
来源: 芥末堆
芥末堆商务合作:王老师 18710003484
  • 二级还是三级?教育App等保备案下的困扰与“商机”分享二维码