来源:南方都市报 2025-04-02
去年7月,微软Windows系统大规模“蓝屏”事件造成约850万台计算机系统崩溃,外媒称之为“史上最大规模IT故障”。在数据处理活动日益频繁的当下,如何完善网络安全制度体系已成为一项重大时代课题。
2017年,我国《网络安全法》正式施行,其后几年互联网对经济社会的渗透改造不断加速,网络安全形势发生重大变化。为此,国家网信办会同相关部门起草《中华人民共和国网络安全法(修正草案再次征求意见稿)》(下称《征求意见稿》),于近日向社会公开征求意见,反馈截止日期为4月27日。
南都·隐私护卫队梳理发现,《征求意见稿》拟细化违反网络安全保护义务的行政处罚种类,并普遍提高罚款额度,进一步明确了违法行为与处罚力度的阶梯性。同时拟设转致条款,明确对违反个人信息保护、数据跨境流动等规定的行为,依照有关法律法规处理,加强了法律间衔接性;拟引入豁免机制,通过从轻、减轻、不予行政处罚等减轻运营者合规负担,提高参与网络安全治理的积极性。
“阶梯式”细化处罚标准,提高罚款额度
2022年9月,国家网信办曾发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,近日的《征求意见稿》系第二版。国家网信办在相关说明中提到了修改背景,称《网络安全法》需要适应形势,加强与新出台法律的衔接协调,对相关法律责任制度作出科学优化,进一步保障网络安全。
南都·隐私护卫队梳理发现,《征求意见稿》拟调整违反网络安全保护义务或者造成危害网络安全后果等情形的行政处罚种类和力度。
具体而言,针对不履行网络安全保护义务的一般网络运营者,从无罚款拟修改为可处1万元-5万元罚款;拒不改正或者导致危害网络安全等后果的,从原来的罚款1万元-10万元增加到5万-50万元;对直接负责人从罚款5000元-5万元增加到1万元-10万元。
针对关键信息基础设施运营者的处罚,一般情形下,由无罚款拟修改为可处5万元以上10万元以下罚款,拒不改正情形以及对直接负责人的罚款额度不变。
另外拟新增一种情形——造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,新增罚款标准50万元-200万元,对直接负责人等可处5万元-20万元罚款;造成关键信息基础设施丧失主要功能等特别严重后果的,新增罚款标准200万元-1000万元,对直接负责人员处20万元-100万元罚款。
上述变化基本可概括为,原法律规定的仅需受有关主管部门责令改正、警告的违法情形,拟修改为可处以罚款;原可处罚款的违法情形,罚款额度普遍提升了2-5倍。
北京理工大学智能科技法律研究中心研究员王磊向南都·隐私护卫队表示,上述规定细化了违法情节、损害后果与处罚力度之间的梯度对应关系,提升处罚裁量的科学性,推动企业在不同阶段采取差异化的安全投入。
在他看来,目前拟定的罚款额度合理。一方面,与《个人信息保护法》最高5000万元或者上一年度营业额5%以下的罚款标准相比,《征求意见稿》显得克制许多。另一方面,相较于国外对违反网络安全保护义务行为的处罚规定,如英国《在线安全法案》规定的1800万英镑或企业全球年收入10%的罚款标准相比,设置的处罚上限较为审慎。
北京高勤律师事务所合伙人王源结合立法背景谈到,《网络安全法》制定于2016年,当时的网络空间活动以及相应的商业形态远不及现在丰富。《数据安全法》《个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》均在其后制定,处罚额度均有大幅提升,《网络安全法》理应因时而变,通过提高处罚额度与其他法律、行政法规相衔接。
西南政法大学党委副书记、校长林维撰文指出,《征求意见稿》提升处置处罚精细化程度,将违法行为根据依据违法性质、主观恶性及危害后果划分为“一般违法”“拒不改正或者导致危害网络安全等后果”“严重危害网络安全后果”“特别严重危害网络安全后果”等,分别对应阶梯式处置处罚;提高罚款金额上限,进一步强化威慑,形成违法成本与社会危害程度成正比的惩戒梯度。
关基设施“丧失主要功能”可能指什么情形?北京大成律师事务所高级合伙人肖飒举例,某在全国有重要影响的金融机构如果因为系统漏洞,导致哪怕15分钟左右的支付功能瘫痪,就可能归为此类,最高或面临千万元罚款。
拟首次明确违反供应链安全要求法律责任
《网络安全法》第二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
《征求意见稿》拟首次明确违法违规销售或提供前述产品行为的法律责任。新增规定——销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
南都·隐私护卫队注意到,随着技术发展和设备更新,监管部门多次明确前述设备产品的具体范围。2017年,国家网信办等四部门发布《网络关键设备和网络安全专用产品目录》,2023年又更新了该目录(下称《目录》)。
强制性国家标准《网络关键设备安全通用要求》规定,网络关键设备是指支持联网功能且具有较高性能的设备,通常用于重要网络节点、重要部位或重要系统中,一旦遭到破坏,可能引发重大网络安全风险。《目录》明确了网络关键设备包括路由器、交换机、服务器(机架式)、可编程逻辑控制器(PLC设备)。
网络安全专用产品则指用于保护网络安全的专用硬件和软件产品。《目录》明确列明了34种,如防火墙、入侵检测系统(IDS)、网站数据恢复产品、病毒防治产品等。自2023年7月起,《目录》中的网络安全专用产品应当按相关国家标准的强制性要求,由具备资格的机构安全认证或者检测符合要求后,方可销售或者提供。
王磊指出,上述规定背后有多层考虑。首先,网络关键设备和网络安全专用产品作为网络运行的底层基础,其安全性关系到整个网络系统的稳定性和可靠性。新增条款弥补了上位法的空白,通过明确销售或提供不合格产品的法律责任,从源头阻断安全隐患,防止因设备漏洞引发大规模网络安全事故。
其次,通过经济惩戒机制倒逼企业主动履行安全认证和检测义务,新增“没一罚三”机制显著提升企业违法成本,有效弥合了现行法律对相关违法行为处罚力度较低的制度不足。
压实平台内容安全治理责任,最高或罚千万元
为防范新形势下网络信息内容安全风险对国家安全、政治安全带来的风险挑战,《征求意见稿》拟加大对信息内容安全的监管力度,重点压实平台治理责任。
首先,《征求意见稿》拟扩大网络运营者的治理责任范围。新增后的违法行为有“网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告的”“违反本法第五十条规定,不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的”。
在处罚方面,一般情况下,拟删除现行规定中“责令改正但拒不改正”的前置条件,明确“违法即可处罚”,并由此前无罚款改为可处5万元至50万元罚款;拒不改正或者情节严重的,由处10万元至50万元罚款增加至可处50万元至200万元罚款;对直接负责人等从罚款1万元至10万元增加至5万元至20万元。罚款额度显著提升。
此外,拟新增“造成特别严重后果”的情形。网络运营者有前款规定的违法行为,造成特别严重影响和后果的,由有关主管部门处200万元至1000万元罚款,对直接负责人等处20万元至100万元罚款。电子信息发送服务提供者、应用软件下载服务提供者,不履行相关安全管理义务的,依照前两款规定处罚。
王磊表示,这意味着网络信息安全监管更注重落实平台整体责任,而非聚焦于个人责任承担。具体而言,对一般违法行为不再以“拒不改正”为行政处罚要件,即企业存在违法行为就可能面临罚款处罚,但一般不追究个人责任。只有在拒不改正,涉及关基设施、造成严重后果等特定情形下,才可能追究个人责任。
王源认为,如今网络安全和个人信息保护、数据安全已经密不可分,《征求意见稿》与《数据安全法》最高处罚额度1000万元保持一致等,确保了立法逻辑合理性,“网络信息安全的监管策略和逻辑没有发生实质性转变,平台责任并没有因为《网络安全法》的修改而加重。”
谈及对平台的具体影响,肖飒表示可能导致运营成本产生质变。一方面为应对千万级罚款风险,头部平台年度内容安全投入占比可能大幅增加,中小平台可能需支付第三方合规服务费。另一方面涉及商业模式的修正,依赖UGC内容分发的平台需重构算法推荐逻辑,增设敏感词库更新频率,加强内容审核力度。
值得一提的是,对关基运营者的责任义务作出细分和明确,也是《征求意见稿》的一个亮点。对于关基运营者违法使用网络产品或者服务的行为,新增“责令限期改正、消除对国家安全的影响”要求,并处采购金额一倍以上十倍以下罚款,对直接负责人等处1万元至10万元罚款。
拟设转致条款,加强法律间衔接性
《网络安全法》出台时间相对较早,涉及数据与个人信息保护的条款多分散于网络安全管理框架内,加强法律之间的衔接,形成制度合力势在必行。
《征求意见稿》拟将网安法第六十四条第一款、第六十六条、第七十条所指向的三种违法行为——即侵害个人信息依法得到保护的权利、关键信息基础设施运营者在境外存储或者向境外提供个人信息和重要数据、发布或者传输法律法规所禁止信息的相关规定,合并为一条,并明确“依照有关法律、行政法规的规定处理、处罚”。
多位专家告诉南都·隐私护卫队,这是一条明确转致适用的规定。王磊表示,一方面能避免重复立法和法律交叉适用产生新的法律问题,将个人信息保护、数据跨境等领域的法律责任统一指向专门法,解决了现行《网络安全法》与后续出台的《数据安全法》《个人信息保护法》之间的重复规定问题,有利于法律体系的稳定统一。
另一方面。转致条款厘清了不同法律的适用范围,在实践中明确了上位法法律依据。例如,关基运营者数据出境的处罚不再由网安法单独规定,而是依据数安法第四十六条(最高罚款1000万元)或《网络数据安全管理条例》等配套法规执行,减少了执法中的法律选择争议。
由此类推,理论上《网络安全法》的罚款上限或同步升格至《个人信息保护法》5000万元或“5%营业额”标准。
值得注意的是,王源指出,《征求意见稿》拟将现行法第六十六条中关基运营者在境外存储或提供的“网络数据”修改为“个人信息”和“重要数据”。
她解释,一方面这和《网络安全法》原本第三十七条规定的表述保持一致,规制对象更加具体;另一方面也体现了“抓大放小”,即“个人信息”和“重要数据”之外的一般网络数据出境并不受到严监管,这和今年1月1日生效的《网络数据安全管理条例》的立法取向是一致的。
在王源看来,从《征求意见稿》还可推断出我国数据出境的基本规制思路。无论是关基运营者,还是一般网络运营者,个人数据和重要数据出境需要遵守现有法律限制性要求,但未对一般网络数据作限制性规定。
中国政法大学法治政府研究院院长、教授赵鹏撰文提到,网络安全总是相对的。在不少情况下,相关企业自身也是网络安全事故的受害者。
《征求意见稿》另外一大亮点是拟引入豁免机制。新增规定“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。”
赵鹏文中提到,根据具体案件中相关主体的过错程度来认定法律责任,防止“小过重罚”,既可以构建包容审慎的监管框架,为企业的创新、发展创造足够的激励;也可以将执法资源聚焦于解决系统性、结构性的问题,实现网络安全领域执法工作的精细化、精准化。
肖飒指出,通过“主动消除危害后果可免罚”条款,引导企业建立网络安全事件快速响应机制;“及时报告减免处罚”规则破解“瞒报博弈”,使监管部门能更早介入处置。在王源看来,新规体现出对“初次违法”的一种包容态度,还与《刑法》中拒不履行信息网络安全管理义务罪相衔接——出现相关违法行为时,经监管部门责令采取改正措施而拒不改正的,才构成犯罪。
采写:南都记者 樊文扬
阅读全文
