“如果可以定二級卻非要我們定三級，就要多花十來萬”，某一家教育機構(gòu)，旗下有面向C端和B端的兩個教育App。

2019年底，教育部發(fā)布《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》，規(guī)定教育移動應用提供者需于2020年1月31日前完成ICP備案和等保備案（“等保備案”是“網(wǎng)絡安全等級保護定級備案”的簡稱，分定級和備案兩個部分），最后在平臺上完成提供者備案。

但隨著截止日期越來越近，卻在教育App等保備案上犯難。負責等保備案的公安部門告訴他，企業(yè)提供的教育App定級統(tǒng)一為三級，但這和其他一些省份的要求有所出入。“這意味著企業(yè)要面臨更高的測評、整改成本，測評市場也跟著水漲船高”，一些機構(gòu)質(zhì)疑其定級的合理性，并認為此舉恐抬高市場準入門檻。

某要求三級的省公安廳網(wǎng)安部門相關(guān)工作人員向我們列出六點根據(jù)，并認為企業(yè)不應把守法“紅線”，偷換概念為“設置門檻”。

我們在采訪中發(fā)現(xiàn)，各地在落實上述政策時，出現(xiàn)執(zhí)行標準不一、不同部門對業(yè)務的理解各異等問題，除上述定級問題外，提供者備案需提交的材料各地要求也有出入。

教育部相關(guān)工作人員對此表示，定級為企業(yè)自主選擇，現(xiàn)階段教育App備案只要等保備案號，不需要提交等保備案證明。且考慮機構(gòu)整改等需要一定時間，目前沒有提交等保備案證明的時間表。同時，備案也無需提交測評報告，“定二級要拿了測評才給證，這和現(xiàn)行法律法規(guī)是沖突的”。另外，其強調(diào)，地方可根據(jù)實際情況提高相應標準，但不能違背中央政策。

統(tǒng)一要求定三級？企業(yè)在定級備案上犯難了

劉揚的公司業(yè)務主要涉足STEAM教育領域，分別有C端（學員）和面向B端（教培機構(gòu)）的兩款教育類App，截止2018年，機構(gòu)App端注冊用戶數(shù)超2000萬，合作機構(gòu)超1200家。

但在為這兩款App做等保備案時卻遇到問題。該公司的技術(shù)人員陳列告訴我們，自己在向省公安廳網(wǎng)安總隊咨詢時，被對方告知，教育App等保定級統(tǒng)一要求為三級。

這超出機構(gòu)的預料。陳列表示，據(jù)其參考相關(guān)規(guī)定，兩款App所依托的系統(tǒng)在遭到破壞時，并不涉及“社會秩序、公共利益”的嚴重損害以及國家安全層面的威脅，“自己評估頂多在二級”。劉揚表示，公司產(chǎn)品不進公立校，企業(yè)規(guī)模也不大，定三級既沒必要又增加機構(gòu)的經(jīng)營成本。

按相關(guān)規(guī)定，三級備案需提交相應的測評報告。由于劉揚公司的兩個App基于不同的系統(tǒng)，陳列說，按照當?shù)販y評機構(gòu)給出的價格，單個系統(tǒng)的測評價格是8萬，兩個就是16萬，同時需要在阿里云上就現(xiàn)有技術(shù)架構(gòu)增加安全產(chǎn)品，一年保守估計也要17萬，加起來一年要30多萬，這比二級的測評整改費用貴了近十來萬。

定了三級意味著每年都要測評，若因業(yè)務擴展增加了系統(tǒng)、App，測評成本將進一步上升。劉揚算了一筆賬：定級備案的成本一旦達到40萬，相當于“要做400萬營收（按每個學員半年課程收1千的價格來算），以10%凈利潤計算，公司要半年白服務4千個學員”。對初創(chuàng)企業(yè)來說，40萬則意味著兩個月的開支。

根據(jù)《信息安全等級保護管理辦法》，國家信息安全等級保護堅持自主定級、自主保護的原則，有教育機構(gòu)認為，統(tǒng)一定三級的要求或于法無據(jù)。

解釋定三級依據(jù)，公安廳與教育廳存異？

針對統(tǒng)一定三級的要求，我們先后兩次采訪該省公安廳相關(guān)工作人員，其表示，教育移動應用分學校提供和企業(yè)提供，等保定級的建議都在二級以上。

“對于學校提供的，它是針對特定的群體，特定的業(yè)務，如果它數(shù)據(jù)的敏感性、重要程度不高，可以參照二級的標準。但對企業(yè)提供的、面向公眾或者是很多的學校、不特定群體，那么，它的安全防護的標準建議參照三級……可以說是要求他定三級”，該工作人員表示，“并不是說所有教育的移動應用都一刀切定成三級，它是分提供的主體、面向的對象、獲取數(shù)據(jù)的重要程度和敏感性”。

對企業(yè)提供的教育App等保要求為三級，上述工作人員給出六個依據(jù)。

• 一是有法可依，根據(jù)《網(wǎng)絡安全法》第21條等規(guī)定及國家網(wǎng)絡安全等級保護2.0標準。

• 二是備案的標準性。“市面上很多App非?；靵y，沒有門檻，魚龍混雜。教育部和幾個部委搞的備案，它具有一定的標準性”。 教育移動應用今后需要達到教育等部門依法明確的合規(guī)標準，取得備案后方可上線，它的重要性、準入地位有別于一般互聯(lián)網(wǎng)移動應用。

• 三是教育移動應用獲取的數(shù)據(jù)敏感。其獲取使用的數(shù)據(jù)涉及到學生等一些特殊群體，且大部分都是公民的個人信息。

• 四是考慮遭受攻擊破壞的帶來的危害和后果，如果平臺沒有落實到防護措施，遭到黑客攻擊、破壞，直接會侵害到公民的個人信息，甚至會引發(fā)學生個人信息被泄露，販賣到一些詐騙人員不法分子手里。會引發(fā)像“山東徐玉玉”類似案件，損害公民生命財產(chǎn)權(quán)益。

• 五是，教育App數(shù)據(jù)存在使用風險，今年我們已經(jīng)查處了多市多家教育培訓機構(gòu)，他們就是非法獲取、出售、向他人提供學生信息，然后用來推銷培訓業(yè)務。

• 六是有例可循。“我們省還有上海等地的一些教育行業(yè)，都已經(jīng)按照等保的三級要求開展工作了”。另外，參考交通部等部委，有關(guān)無車承運平臺等線上安全合規(guī)審核的規(guī)定，他們對相關(guān)申報備案平臺都按照等保三級要求開展工作。（不過，我們致電上海網(wǎng)安部門和教育部門后了解到，當?shù)夭⑽匆笃髽I(yè)提供的教育移動應用等保統(tǒng)一定為三級）

“任何網(wǎng)絡運營者，包括教育類移動應用這些運營使用單位在內(nèi)，不能將守法‘紅線’，偷換概念為‘設置門檻’”。該工作人員表示， “不能將用來安全生產(chǎn)運營的投入，偷換概念為霸王條款”。

而對于該公安廳的做法是否違背企業(yè)自主定級的原則，上述工作人員回應，“在去年的時候稍有變動，因為去年國家網(wǎng)絡安全等級保護2.0標準出來以后，就不單純是他的自主定級了”。

等保2.0標準系是今年5月13日，國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的網(wǎng)絡安全等級保護制度2.0標準，《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》、《信息安全技術(shù) 網(wǎng)絡安全等級保護測評要求》等多個國家標準正式發(fā)布，并于2019年12月1日開始實施。

其中，等保2.0標準對定級流程進行了調(diào)整。不再強調(diào)自主定級，而是要求系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案。這與《信息安全等級保護管理辦法》有所沖突，該辦法在專家評審上并無對所有等級進行強制要求，只“擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審”。

上述工作人員表示，即便是“關(guān)于等保的管理辦法中，企業(yè)、個人運營者是自主定級，但是如果定級不準的話，網(wǎng)絡安全監(jiān)管部門可以讓他改正”。

但公安部門的說明并未獲得教育部門的認同。我們從接近該省教育廳的渠道獲得一份由該省公安廳發(fā)給對方的文檔，這份《關(guān)于教育移動互聯(lián)網(wǎng)應用網(wǎng)絡安全備案審核內(nèi)容及流程說明》面向省內(nèi)教育移動應用提供者，涉及備案審核材料要求、定級說明、定級備案對象說明、測評說明、建設整改說明等內(nèi)容，并附上網(wǎng)絡安全等級保護相關(guān)法律規(guī)定。

對于網(wǎng)絡安全等級保護需要提交的相關(guān)材料，文檔解釋，其主要內(nèi)容包括：網(wǎng)絡安全等級保護備案表、網(wǎng)絡安全等級保護三級備案證明、本年度網(wǎng)絡安全等級保護測評報告。并提到，教育移動應用提供者應當在辦理定級備案后，按照相關(guān)規(guī)定開展測評、整改等工作，測評報告附在整體合規(guī)申報材料內(nèi)。

文檔也在“定級說明”中提到，“對于由省公安廳網(wǎng)絡安全保衛(wèi)總隊負責備案審核的教育移動應用提供者，應當按照網(wǎng)絡安全等級保護三級要求開展定級備案、測評整改等工作”。而定級依據(jù)和上述工作人員所說基本一致。

據(jù)上述接近該省教育廳的人員介紹，教育廳嚴詞拒絕會簽公安廳的這份文檔。但我們連續(xù)多日致電該省教育廳辦公電話，均無人接聽。該省電化教育館工作人員回應，定級屬公安職責范圍，以公安的政策解讀為準，教育部門只認備案證明。對于公安廳所發(fā)文檔，該工作人員否認嚴詞拒簽一事，并表示“我們職責分工不同，不會把上述文檔發(fā)給所有的企業(yè)”。

有教育部門人士表示，對企業(yè)提供的教育移動應用等保統(tǒng)一要求為三級的做法，恐提高市場準入門檻，不利于營商環(huán)境的打造。

根據(jù)2019年10月份國務院發(fā)布的《優(yōu)化營商環(huán)境條例》規(guī)定，作為辦理行政審批條件的中介服務事項（以下稱法定行政審批中介服務）應當有法律、法規(guī)或者國務院決定依據(jù)；沒有依據(jù)的，不得作為辦理行政審批的條件。中介服務機構(gòu)應當明確辦理法定行政審批中介服務的條件、流程、時限、收費標準，并向社會公開。該條例于2020年1月1日正式實施。

不過，上述公安廳工作人員認為，創(chuàng)造良好“營商環(huán)境”，不等于贊同市場野蠻發(fā)展，讓“劣幣驅(qū)逐良幣”，甚至危害群眾利益?！皩τ谶@種應用在上線的時候，必須按照網(wǎng)絡安全法中法律規(guī)定要求，落實技術(shù)保護措施，不落實了，堅決不許上線”， 其表示，支持暫不符合條件的教育類移動應用運營者，待條件成熟后再開展備案申報。

規(guī)定：機構(gòu)堅持原定等級也可備案，但有后置條件

2019年11月13日，教育部辦公廳發(fā)布《教育移動互聯(lián)網(wǎng)應用程序備案管理辦法》，要求教育移動應用提供者需在2020年1月31日前完成ICP備案和等保備案。從2019年12月1日至2020年1月31日間為備案緩沖期，期間ICP備案和等保備案不作為提供者備案的前置條件。

等保備案主要分為定級與備案兩個部分，備案由公安部門負責。根據(jù)《信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。定級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

根據(jù)國家標準《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008），當?shù)燃壉Ｗo對象受到破壞后造成“公民、法人和其他組織的合法權(quán)益”嚴重損害和特別嚴重損害的，或造成“社會秩序、公共利益”一般損害的，定為二級；造成“社會秩序、公共利益”嚴重損害或國家安全一般損害的，定為三級。從一級到三級各自的監(jiān)管強度也分別由自主保護、指導上升再到監(jiān)督檢查。

但定級要素與安全保護等級的關(guān)系發(fā)生過調(diào)整。根據(jù)2017年由公安部發(fā)布的公共安全行業(yè)標準《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》（GA/T 1389—2017），“公民、法人和其他組織的合法權(quán)益”受到特別嚴重損害時，從原先的二級升到三級保護。這個調(diào)整也是2018年1月19日由全國信息安全標委會發(fā)布的國家標準《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》征求意見稿中的變化之一。不過，該指南目前仍處在修訂階段。

但無論是公安系統(tǒng)人員、相關(guān)測評機構(gòu)還是教育機構(gòu)，對于等保三級的理解各不相同，有的認為面對不特定群體，存儲用戶信息達5000條以上就要考慮定三級。有的則認為注冊用戶達十萬以上就要申請三級。上海市教委電教館一位工作人員向我們透露，首批通過提供者備案的上海教育企業(yè)的App在等保定級上都為三級，其中包括一起教育、流利說和學霸君等，這些企業(yè)的用戶規(guī)模以千萬到億計數(shù)。

對于定級不準的，《信息安全等級保護備案實施細則》也做出相關(guān)規(guī)定：公安機關(guān)公共信息網(wǎng)絡安全監(jiān)察部門對定級不準的備案單位，在通知整改的同時，應當建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。備案單位仍然堅持原定等級的，公安機關(guān)公共信息網(wǎng)絡安全監(jiān)察部門可以受理其備案，但應當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關(guān)公共信息網(wǎng)絡安全監(jiān)察部門同意后，同時通報備案單位上級主管部門。

但上述公安廳工作人員解釋，后置條件的意思是“你不要把保護等級定低，然后不落實相應的保護措施”。

有法律研究者表示，無論是教育部門還是公安部門，只有備案了產(chǎn)品才能上市的行為屬于行政許可，行政許可的設定需要有法律依據(jù)；若不備案不涉及其是否可上市的問題，則不屬于行政許可，但若條文增加了公民、法人或其他組織的義務和行政機關(guān)的自我賦權(quán)，同樣需要法律依據(jù)。

該研究者表示，前述公安廳工作人員所提六項依據(jù)，除第一項外，其他5項并非法律依據(jù)。而第一項所提及的《網(wǎng)絡安全法》第二十一條等相關(guān)規(guī)定中，盡管規(guī)定了市場主體的義務，但這些義務并不包括必須進行三級備案的要求。

陳列告訴我們，等保若定三級，各項技術(shù)資料也會增加不少。自己目前正在準備定級備案材料階段，公司也在猶豫要不要花這筆錢。

涉及不同部門的業(yè)務要求不一，教育部：可以有高要求但勿違背中央政策

不過，我們從已通過備案的機構(gòu)以及當?shù)叵嚓P(guān)教育部門等處了解到，和該省公安廳要求不一樣的是，安徽、上海和廣東等地對企業(yè)提供的教育App等保定級皆建議二級及以上。

且各地對2020年1月31日前，教育App備案是否需要提交定級備案證明和測評報告要求也不一樣。

廣東省教育廳在《教育移動應用備案核驗流程、審查要點、常見問題及整改注意事項》的文檔中提到，核驗的資料包括網(wǎng)絡安全等保定級備案證明，須上傳截圖，但測評報告不用提交。上海市教委電教館的工作人員則告訴我們，1月30日之前，不強制要求提交等保備案證明，目前“只有號也可以，但后面是要補（證）的”。

不過，據(jù)我們了解到，在部分省份，即便定級后可以拿到備案號，但二級不做測評的話，審核也過不了。但據(jù)我們此前報道，等保二級做了測評才能備案的正當性存疑。一位在安徽通過等保二級備案的機構(gòu)負責人告訴我們，自己在今年9月做等保二級時，網(wǎng)安部門人員告訴他，二級不需要找測評機構(gòu)，最后根據(jù)網(wǎng)安部門的相關(guān)要求填完資料，“沒花一分錢”。

教育部相關(guān)工作人員表示，等保政策由公安機關(guān)制定，各省有不同的政策解讀，并根據(jù)實際情況去落實。但根據(jù)相關(guān)法規(guī)，教育企業(yè)可自主定級，“沒有說一定要定三級，這不符合等保備案的基本原則”。此外，目前政策也沒要求提交測評報告，而選擇定三級的企業(yè)本身就要提交測評報告作為備案資料，“我們只需要獲得號就可以了，不需要有證，不做測評堅決不給號的地方，做法和現(xiàn)有規(guī)章制度是違背的”，該人員表示。

不過，上述公安廳工作人員并不贊同拿了號就讓教育App貿(mào)然上線。其認為，即便拿到備案證明（號），也并不意味著“你什么環(huán)節(jié)都很合規(guī)”，“不能讓所有的網(wǎng)絡運營者不裝剎車開上路”。

上述教育部相關(guān)工作人員透露，考慮到一些企業(yè)定級備案要涉及整改等各種問題，目前也沒有關(guān)于要證的時間表?！皞浒敢?guī)則是全國統(tǒng)一的。各個地方部署當?shù)乇镜貐^(qū)的工作……如果地方希望提更高的要求，我們也尊重他們的意見，但總體的原則是不能跟中央的政策相違背”。

該工作人員介紹，此前公布的首批通過備案的教育App大部分定了三級，主要因為首批都是大型企業(yè)，但也并非全部都做了三級等保備案，其認為，“現(xiàn)在大部分系統(tǒng)還到不了三級這個地步”。

測評機構(gòu)漲價？詢價從3.8萬到80萬

臨近的截止期、測評需求的增強、以及信息的不對稱，導致部分測評機構(gòu)甚至趁此漲價。

我們咨詢了北京一家測評機構(gòu)，業(yè)務人員透露，因為網(wǎng)絡安全等級保護2.0標準于12月1日正式實施，測評的工作量增加導致測評價格上漲。定為三級的機構(gòu)其測評單價（一個系統(tǒng)）在12月1日后上漲了四分之一達到15萬，同時還要購買15萬左右的阿里云安全產(chǎn)品。

深圳一家知名集成商（備案+測評+整改+安全產(chǎn)品）則表示，因為安全產(chǎn)品雙十二打6.5折，二級測評價格甚至比12月1日前更便宜。即便這樣，二級測評服務費+安全產(chǎn)品也要12萬左右；三級落地大概16萬?！耙此谠破脚_對應的安全產(chǎn)品費用以及在各個平臺的商務情況，費用大家都差不多，關(guān)鍵還是看服務”。

在廣東在線教育的qq群內(nèi)，我們看到各教育機構(gòu)從各自渠道了解的二級測評的價格差距巨大，報價從3.8萬到80萬—200萬。也有一些機構(gòu)以團購促銷為名形成社群，并通過告知截止日期、遲早要交測評報告等希望客戶盡早購買產(chǎn)品服務。但有機構(gòu)人士在群內(nèi)吐槽，創(chuàng)業(yè)公司產(chǎn)品還沒發(fā)展起來就要收費十幾萬，“你們報價太多了，付完我就倒閉了”。也有業(yè)者建議，為了更快地通過測評整改，做好等保備案，最好找公安部門推薦的測評機構(gòu)。

信息和政策掌握不到位的情況下，謠言也不脛而走。有北京代理商表示，2019年12月1日后，北京的教育App都要做三級備案，具體要等相關(guān)政策出臺。但我們撥打北京市公安局網(wǎng)安總隊電話未獲回復。北京市教委教育信息化處工作人員則表示，該說法并不屬實，“目前等保備案二級或三級都可以”。幾家北京測評機構(gòu)則告訴我們，稱近期教育App在北京做三級的比較多，但也有做二級的，“各區(qū)可能要求也不一樣”。

劉揚擔心，如果定二級可以卻非要定三級，最終可能養(yǎng)肥了一堆人，但讓中小機構(gòu)平添負擔。目前，很多教育機構(gòu)一邊詢問，一邊準備材料，還有的則像劉揚的公司一樣，在定級問題上猶豫著、觀望著。

備案和等保皆必須，政策需更明晰嚴防“變形變質(zhì)”

從長期來看，規(guī)范和監(jiān)管，對市場良性發(fā)展及終端用戶的利益保障尤為必要。但因要求和具體執(zhí)行的差異，很多教育機構(gòu)感到迷茫——我應該定幾級？我應該遵循什么？同時，有代理商在此中“渾水摸魚”，進一步加大企業(yè)成本。

有業(yè)內(nèi)人士指出，過去教培行業(yè)的實施主要以線下為主，涉及教育資質(zhì)和經(jīng)營資質(zhì)問題，同時接受多個管理部門監(jiān)管。而互聯(lián)網(wǎng)（在線）教育則是新物種，主要以互聯(lián)網(wǎng)或移動互聯(lián)網(wǎng)為載體。所以，一方面它既要遵循互聯(lián)網(wǎng)也要遵循教育的相關(guān)管理辦法。

這對政策制定者、實施者和執(zhí)行主體多方而言，是共同的挑戰(zhàn)。也對教育的治理體系與治理能力，提出了更高的要求，“教育服務產(chǎn)業(yè)是教育行業(yè)很重要的組成部分，建立長效、完善和健康發(fā)展的治理機制是核心”。而對產(chǎn)業(yè)從業(yè)者而言，如何去理解和落實政策，并和行政部門做好溝通，也是更高的要求?！俺霈F(xiàn)問題，如何溝通與達成共識，最終能實現(xiàn)教育多方協(xié)作向前進，這是一個時代階段內(nèi)，所有主體共同的任務和挑戰(zhàn)”。