返回研究

《网络安全法》征求意见稿之要点简析

  发布时间:2022-09-19

2022年9月14日,国家互联网信息办公室(以下简称“国家网信办”)发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《征求意见稿》)意见的通知 ,意见反馈截止时间为2022年9月29日。
现行《网络安全法》于2017年施行以来,《数据安全法》和《个人信息保护法》相继出台,《行政处罚法》等法律也进一步修订完善。为了适应立法新形势,吸纳网络安全保护的实践经验,做好《网络安全法》与新实施或修订的法律之间的相互衔接,完善法律责任制度,进一步保障网络安全,开展了此次修订工作。
此次修订的重点可以概括为,对于违反网络运行安全、关键信息基础设施安全保护、网络信息安全等制度的行为加大了处罚力度,具体体现在罚金上限大幅调整、引入从业禁止措施、增加行政处罚种类等方面。
下文我们将简要介绍此次《网络安全法》修订的重点内容。

一、 完善违反网络运行安全一般规定的法律责任制度

(一) 化零为整,整合统一相关法律责任制度

现行《网络安全法》中,网络运营者、关键信息基础设施的运营者(以下简称“CIIO”)违反网络运行安全保护义务、导致危害网络运行安全后果的法律责任,分散规定于第五十九条至第六十三条以及第六十七条中。其中,违反网络运行安全保护义务主要是指违反网络安全等级保护制度、网络运营者的应急处置措施、关键信息基础设施建设的安全要求、CIIO的安全保护义务等相关义务(详见下表);危害网络运行安全的行为则包括从事危害网络安全的活动、提供专门用于从事危害网络安全活动的程序或工具、为他人从事危害网络安全的活动提供帮助、设立用于实施违法犯罪活动的网站或通讯群组、利用网络发布涉及实施违法犯罪活动的信息。
《征求意见稿》将以上两类法律责任进行了整合,统一了处罚标准,提升了处罚上限,并拉大了罚金区间,在提高了对网络安全违法行为的震慑力的同时,也为主管部门提供了更为明晰的执法依据和更高的执法灵活度。

(二) 严惩违法行为,加大对违反网络运行安全义务的处罚力度

通过观察下文对比示例表格可以发现,《征求意见稿》将多种违反网络运行安全义务的行为进行整合后,处罚幅度从高调整,企业违法行为可能面临“天价”处罚。
具体而言,《征求意见稿》增加了“情节特别严重”的处罚标准,对单位的罚金上限由此前的一百万元增加至五千万元,并且引入了上一年度营业额百分之五以下处罚机制,罚金上限大幅增加;对于直接负责的主管人员和其他直接责任人员的罚金上限由十万增加至一百万,并吸收了《个人信息保护法》中对直接负责人的从业禁止的措施,即可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

(三) 吸纳实践经验,增加行政处罚种类

在网络数据安全的执法实践中,“通报批评”已经成为一种常见的处理措施,网络安全主管部门对于未落实网络安全防护管理责任、存在网络安全隐患等行为可进行通报。但在现行的《网络安全法》中仅有责令整改、给予警告的处理措施,对于“通报批评”缺乏明文依据,此次修订将“通报批评”写入法条,为该项处理措施提供明文依据。“通报批评”今后是否可能被主管部门作为一种常态处理措施,值得进一步观察。
 
《网络安全法》 《征求意见稿》
第五十九条:
网络运营者违反第二十一条(网络安全等级保护制度)、二十五条(网络运营者的应急处置措施)。
法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
CIIO违反第三十三条(关键信息基础设施建设的安全要求)、第三十四条(CIIO的安全保护义务)、第三十六条(CIIO采购网络产品和服务的安全保密义务)、第三十八条(CIIO的定期安全监测评估义务)。
法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
违反本法第二十一条、第二十二条第一款和第二款、第二十三条(网络关键设备和安全专用产品应经过认证、检测)、第二十四条第一款、第二十五条、第二十六条、第二十八条(网络运营者为公安机关和国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助)、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果。
法律责任:由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
第六十条:
违反第二十二条第一款、第二款(网络产品和服务提供者的安全义务)和第四十八条第一款(电子信息和应用软件的信息安全要求)。
法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十一条:
网络运营者违反二十四条第一款(网络用户实名认证制度)。
法律责任:由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十二条:
违反第二十六条(开展网络安全认证等活动和发布网络安全信息应遵守国家规定)应承担的法律责任。
法律责任:由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

二、 修改关键信息基础设施安全保护的法律责任制度
 
对于CIIO使用未经安全审查或者安全审查未通过的网络产品或者服务的,《征求意见稿》将罚金上限调整为“上一年度营业额的百分之五”。对于CIIO违反规定,将数据存储至境外或者向境外传输网络数据的,《征求意见稿》修改为转致性规定,此处的“法律、行政法规”指向包括《数据安全法》第四十六条及《个人信息保护法》第六十六条,处罚上限大幅增加,并且,该修改使得《网络安全法》与《数据安全法》及《个人信息保护法》更好衔接。
 
《征求意见稿》 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。
《数据安全法》 第四十六条:
违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款
《个人信息保护法》 第六十六条:
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

三、 调整网络信息安全法律责任制度
 
为了适应网络信息安全工作实际,《征求意见稿》对违反网络信息安全义务行为的法律责任进行整合,整合了对“不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施”的法律责任规定。与违反网络运行安全一般规定的法律责任制度的修改相同,本处也加大了行政处罚幅度并增加了从业禁止措施。

《网络安全法》 《征求意见稿》
第六十八条:
网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作
第六十九条:
网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
第七十条:
发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的……(同第六十四条)

四、 修改个人信息保护法律责任制度
 
随着《个人信息保护法》的实施与生效,我国对个人信息保护法律责任制度有了全面的规定,《征求意见稿》将现行《网络安全法》中有关个人信息保护的法律责任修改为转致性规定,指向《个人信息保护法》第六十六条(违法处理个人信息的行政处罚),以厘清《网络安全法》《个人信息保护法》的关系。
 
综合而言,此次《网络安全法》修订集中在法律责任的统一、加大违法行为的处罚力度以及促使不同法律之间保持一致性上,反映了主管部门对于维护国家安全和公共利益及保护个人、组织在网络空间的合法权益的重视。
对于相关企业而言,我们建议应及时开展网络安全合规体检,做好网络安全风险自评估,建立健全企业内部网络安全保护及管理机制,以行稳致远。

作者简介:



特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

 

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号