2022年9月14日,国家互联网信息办公室(以下简称“国家网信办”)发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称《征求意见稿》)意见的通知,意见反馈截止时间为2022年9月29日。
现行《网络安全法》于2017年施行以来,《数据安全法》和《个人信息保护法》相继出台,《行政处罚法》等法律也进一步修订完善。为了适应立法新形势,吸纳网络安全保护的实践经验,做好《网络安全法》与新实施或修订的法律之间的相互衔接,完善法律责任制度,进一步保障网络安全,开展了此次修订工作。
下文我们将简要介绍此次《网络安全法》修订的重点内容。
一、 完善违反网络运行安全一般规定的法律责任制度
(一) 化零为整,整合统一相关法律责任制度
现行《网络安全法》中,网络运营者、关键信息基础设施的运营者(以下简称“CIIO”)违反网络运行安全保护义务、导致危害网络运行安全后果的法律责任,分散规定于第五十九条至第六十三条以及第六十七条中。其中,违反网络运行安全保护义务主要是指违反网络安全等级保护制度、网络运营者的应急处置措施、关键信息基础设施建设的安全要求、CIIO的安全保护义务等相关义务(详见下表);危害网络运行安全的行为则包括从事危害网络安全的活动、提供专门用于从事危害网络安全活动的程序或工具、为他人从事危害网络安全的活动提供帮助、设立用于实施违法犯罪活动的网站或通讯群组、利用网络发布涉及实施违法犯罪活动的信息。
(二) 严惩违法行为,加大对违反网络运行安全义务的处罚力度
通过观察下文对比示例表格可以发现,《征求意见稿》将多种违反网络运行安全义务的行为进行整合后,处罚幅度从高调整,企业违法行为可能面临“天价”处罚。
(三) 吸纳实践经验,增加行政处罚种类
在网络数据安全的执法实践中,“通报批评”已经成为一种常见的处理措施,网络安全主管部门对于未落实网络安全防护管理责任、存在网络安全隐患等行为可进行通报。但在现行的《网络安全法》中仅有责令整改、给予警告的处理措施,对于“通报批评”缺乏明文依据,此次修订将“通报批评”写入法条,为该项处理措施提供明文依据。“通报批评”今后是否可能被主管部门作为一种常态处理措施,值得进一步观察。
二、 修改关键信息基础设施安全保护的法律责任制度
对于CIIO使用未经安全审查或者安全审查未通过的网络产品或者服务的,《征求意见稿》将罚金上限调整为“上一年度营业额的百分之五”。对于CIIO违反规定,将数据存储至境外或者向境外传输网络数据的,《征求意见稿》修改为转致性规定,此处的“法律、行政法规”指向包括《数据安全法》第四十六条及《个人信息保护法》第六十六条,处罚上限大幅增加,并且,该修改使得《网络安全法》与《数据安全法》及《个人信息保护法》更好衔接。
为了适应网络信息安全工作实际,《征求意见稿》对违反网络信息安全义务行为的法律责任进行整合,整合了对“不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施”的法律责任规定。与违反网络运行安全一般规定的法律责任制度的修改相同,本处也加大了行政处罚幅度并增加了从业禁止措施。
四、 修改个人信息保护法律责任制度
随着《个人信息保护法》的实施与生效,我国对个人信息保护法律责任制度有了全面的规定,《征求意见稿》将现行《网络安全法》中有关个人信息保护的法律责任修改为转致性规定,指向《个人信息保护法》第六十六条(违法处理个人信息的行政处罚),以厘清《网络安全法》《个人信息保护法》的关系。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
