來源:南方都市報 2025-04-02
去年7月,微軟Windows系統(tǒng)大規(guī)?!八{屏”事件造成約850萬臺計算機系統(tǒng)崩潰,外媒稱之為“史上最大規(guī)模IT故障”。在數(shù)據(jù)處理活動日益頻繁的當下,如何完善網(wǎng)絡(luò)安全制度體系已成為一項重大時代課題。
2017年,我國《網(wǎng)絡(luò)安全法》正式施行,其后幾年互聯(lián)網(wǎng)對經(jīng)濟社會的滲透改造不斷加速,網(wǎng)絡(luò)安全形勢發(fā)生重大變化。為此,國家網(wǎng)信辦會同相關(guān)部門起草《中華人民共和國網(wǎng)絡(luò)安全法(修正草案再次征求意見稿)》(下稱《征求意見稿》),于近日向社會公開征求意見,反饋截止日期為4月27日。
南都·隱私護衛(wèi)隊梳理發(fā)現(xiàn),《征求意見稿》擬細化違反網(wǎng)絡(luò)安全保護義務(wù)的行政處罰種類,并普遍提高罰款額度,進一步明確了違法行為與處罰力度的階梯性。同時擬設(shè)轉(zhuǎn)致條款,明確對違反個人信息保護、數(shù)據(jù)跨境流動等規(guī)定的行為,依照有關(guān)法律法規(guī)處理,加強了法律間銜接性;擬引入豁免機制,通過從輕、減輕、不予行政處罰等減輕運營者合規(guī)負擔,提高參與網(wǎng)絡(luò)安全治理的積極性。
“階梯式”細化處罰標準,提高罰款額度
2022年9月,國家網(wǎng)信辦曾發(fā)布《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定(征求意見稿)》,近日的《征求意見稿》系第二版。國家網(wǎng)信辦在相關(guān)說明中提到了修改背景,稱《網(wǎng)絡(luò)安全法》需要適應(yīng)形勢,加強與新出臺法律的銜接協(xié)調(diào),對相關(guān)法律責任制度作出科學優(yōu)化,進一步保障網(wǎng)絡(luò)安全。
南都·隱私護衛(wèi)隊梳理發(fā)現(xiàn),《征求意見稿》擬調(diào)整違反網(wǎng)絡(luò)安全保護義務(wù)或者造成危害網(wǎng)絡(luò)安全后果等情形的行政處罰種類和力度。
具體而言,針對不履行網(wǎng)絡(luò)安全保護義務(wù)的一般網(wǎng)絡(luò)運營者,從無罰款擬修改為可處1萬元-5萬元罰款;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,從原來的罰款1萬元-10萬元增加到5萬-50萬元;對直接負責人從罰款5000元-5萬元增加到1萬元-10萬元。
針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的處罰,一般情形下,由無罰款擬修改為可處5萬元以上10萬元以下罰款,拒不改正情形以及對直接負責人的罰款額度不變。
另外擬新增一種情形——造成大量數(shù)據(jù)泄露、關(guān)鍵信息基礎(chǔ)設(shè)施喪失局部功能等嚴重危害網(wǎng)絡(luò)安全后果的,新增罰款標準50萬元-200萬元,對直接負責人等可處5萬元-20萬元罰款;造成關(guān)鍵信息基礎(chǔ)設(shè)施喪失主要功能等特別嚴重后果的,新增罰款標準200萬元-1000萬元,對直接負責人員處20萬元-100萬元罰款。
上述變化基本可概括為,原法律規(guī)定的僅需受有關(guān)主管部門責令改正、警告的違法情形,擬修改為可處以罰款;原可處罰款的違法情形,罰款額度普遍提升了2-5倍。
北京理工大學智能科技法律研究中心研究員王磊向南都·隱私護衛(wèi)隊表示,上述規(guī)定細化了違法情節(jié)、損害后果與處罰力度之間的梯度對應(yīng)關(guān)系,提升處罰裁量的科學性,推動企業(yè)在不同階段采取差異化的安全投入。
在他看來,目前擬定的罰款額度合理。一方面,與《個人信息保護法》最高5000萬元或者上一年度營業(yè)額5%以下的罰款標準相比,《征求意見稿》顯得克制許多。另一方面,相較于國外對違反網(wǎng)絡(luò)安全保護義務(wù)行為的處罰規(guī)定,如英國《在線安全法案》規(guī)定的1800萬英鎊或企業(yè)全球年收入10%的罰款標準相比,設(shè)置的處罰上限較為審慎。
北京高勤律師事務(wù)所合伙人王源結(jié)合立法背景談到,《網(wǎng)絡(luò)安全法》制定于2016年,當時的網(wǎng)絡(luò)空間活動以及相應(yīng)的商業(yè)形態(tài)遠不及現(xiàn)在豐富?!稊?shù)據(jù)安全法》《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》均在其后制定,處罰額度均有大幅提升,《網(wǎng)絡(luò)安全法》理應(yīng)因時而變,通過提高處罰額度與其他法律、行政法規(guī)相銜接。
西南政法大學黨委副書記、校長林維撰文指出,《征求意見稿》提升處置處罰精細化程度,將違法行為根據(jù)依據(jù)違法性質(zhì)、主觀惡性及危害后果劃分為“一般違法”“拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果”“嚴重危害網(wǎng)絡(luò)安全后果”“特別嚴重危害網(wǎng)絡(luò)安全后果”等,分別對應(yīng)階梯式處置處罰;提高罰款金額上限,進一步強化威懾,形成違法成本與社會危害程度成正比的懲戒梯度。
關(guān)基設(shè)施“喪失主要功能”可能指什么情形?北京大成律師事務(wù)所高級合伙人肖颯舉例,某在全國有重要影響的金融機構(gòu)如果因為系統(tǒng)漏洞,導(dǎo)致哪怕15分鐘左右的支付功能癱瘓,就可能歸為此類,最高或面臨千萬元罰款。
擬首次明確違反供應(yīng)鏈安全要求法律責任
《網(wǎng)絡(luò)安全法》第二十三條規(guī)定,網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準的強制性要求,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動安全認證和安全檢測結(jié)果互認,避免重復(fù)認證、檢測。
《征求意見稿》擬首次明確違法違規(guī)銷售或提供前述產(chǎn)品行為的法律責任。新增規(guī)定——銷售或者提供未經(jīng)安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,由有關(guān)主管部門責令改正或者停止違法行為,給予警告,沒收違法產(chǎn)品和違法所得;違法所得十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以并處三萬元以上十萬元以下罰款。
南都·隱私護衛(wèi)隊注意到,隨著技術(shù)發(fā)展和設(shè)備更新,監(jiān)管部門多次明確前述設(shè)備產(chǎn)品的具體范圍。2017年,國家網(wǎng)信辦等四部門發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》,2023年又更新了該目錄(下稱《目錄》)。
強制性國家標準《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》規(guī)定,網(wǎng)絡(luò)關(guān)鍵設(shè)備是指支持聯(lián)網(wǎng)功能且具有較高性能的設(shè)備,通常用于重要網(wǎng)絡(luò)節(jié)點、重要部位或重要系統(tǒng)中,一旦遭到破壞,可能引發(fā)重大網(wǎng)絡(luò)安全風險?!赌夸洝访鞔_了網(wǎng)絡(luò)關(guān)鍵設(shè)備包括路由器、交換機、服務(wù)器(機架式)、可編程邏輯控制器(PLC設(shè)備)。
網(wǎng)絡(luò)安全專用產(chǎn)品則指用于保護網(wǎng)絡(luò)安全的專用硬件和軟件產(chǎn)品?!赌夸洝访鞔_列明了34種,如防火墻、入侵檢測系統(tǒng)(IDS)、網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品、病毒防治產(chǎn)品等。自2023年7月起,《目錄》中的網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按相關(guān)國家標準的強制性要求,由具備資格的機構(gòu)安全認證或者檢測符合要求后,方可銷售或者提供。
王磊指出,上述規(guī)定背后有多層考慮。首先,網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品作為網(wǎng)絡(luò)運行的底層基礎(chǔ),其安全性關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性。新增條款彌補了上位法的空白,通過明確銷售或提供不合格產(chǎn)品的法律責任,從源頭阻斷安全隱患,防止因設(shè)備漏洞引發(fā)大規(guī)模網(wǎng)絡(luò)安全事故。
其次,通過經(jīng)濟懲戒機制倒逼企業(yè)主動履行安全認證和檢測義務(wù),新增“沒一罰三”機制顯著提升企業(yè)違法成本,有效彌合了現(xiàn)行法律對相關(guān)違法行為處罰力度較低的制度不足。
壓實平臺內(nèi)容安全治理責任,最高或罰千萬元
為防范新形勢下網(wǎng)絡(luò)信息內(nèi)容安全風險對國家安全、政治安全帶來的風險挑戰(zhàn),《征求意見稿》擬加大對信息內(nèi)容安全的監(jiān)管力度,重點壓實平臺治理責任。
首先,《征求意見稿》擬擴大網(wǎng)絡(luò)運營者的治理責任范圍。新增后的違法行為有“網(wǎng)絡(luò)運營者違反本法第四十七條規(guī)定,對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑽赐V箓鬏敗⒉扇∠忍幹么胧?、保存有關(guān)記錄、向有關(guān)主管部門報告的”“違反本法第五十條規(guī)定,不按照有關(guān)部門的要求對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⑼V箓鬏敗⒉扇∠忍幹么胧?、保存有關(guān)記錄的”。
在處罰方面,一般情況下,擬刪除現(xiàn)行規(guī)定中“責令改正但拒不改正”的前置條件,明確“違法即可處罰”,并由此前無罰款改為可處5萬元至50萬元罰款;拒不改正或者情節(jié)嚴重的,由處10萬元至50萬元罰款增加至可處50萬元至200萬元罰款;對直接負責人等從罰款1萬元至10萬元增加至5萬元至20萬元。罰款額度顯著提升。
此外,擬新增“造成特別嚴重后果”的情形。網(wǎng)絡(luò)運營者有前款規(guī)定的違法行為,造成特別嚴重影響和后果的,由有關(guān)主管部門處200萬元至1000萬元罰款,對直接負責人等處20萬元至100萬元罰款。電子信息發(fā)送服務(wù)提供者、應(yīng)用軟件下載服務(wù)提供者,不履行相關(guān)安全管理義務(wù)的,依照前兩款規(guī)定處罰。
王磊表示,這意味著網(wǎng)絡(luò)信息安全監(jiān)管更注重落實平臺整體責任,而非聚焦于個人責任承擔。具體而言,對一般違法行為不再以“拒不改正”為行政處罰要件,即企業(yè)存在違法行為就可能面臨罰款處罰,但一般不追究個人責任。只有在拒不改正,涉及關(guān)基設(shè)施、造成嚴重后果等特定情形下,才可能追究個人責任。
王源認為,如今網(wǎng)絡(luò)安全和個人信息保護、數(shù)據(jù)安全已經(jīng)密不可分,《征求意見稿》與《數(shù)據(jù)安全法》最高處罰額度1000萬元保持一致等,確保了立法邏輯合理性,“網(wǎng)絡(luò)信息安全的監(jiān)管策略和邏輯沒有發(fā)生實質(zhì)性轉(zhuǎn)變,平臺責任并沒有因為《網(wǎng)絡(luò)安全法》的修改而加重。”
談及對平臺的具體影響,肖颯表示可能導(dǎo)致運營成本產(chǎn)生質(zhì)變。一方面為應(yīng)對千萬級罰款風險,頭部平臺年度內(nèi)容安全投入占比可能大幅增加,中小平臺可能需支付第三方合規(guī)服務(wù)費。另一方面涉及商業(yè)模式的修正,依賴UGC內(nèi)容分發(fā)的平臺需重構(gòu)算法推薦邏輯,增設(shè)敏感詞庫更新頻率,加強內(nèi)容審核力度。
值得一提的是,對關(guān)基運營者的責任義務(wù)作出細分和明確,也是《征求意見稿》的一個亮點。對于關(guān)基運營者違法使用網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的行為,新增“責令限期改正、消除對國家安全的影響”要求,并處采購金額一倍以上十倍以下罰款,對直接負責人等處1萬元至10萬元罰款。
擬設(shè)轉(zhuǎn)致條款,加強法律間銜接性
《網(wǎng)絡(luò)安全法》出臺時間相對較早,涉及數(shù)據(jù)與個人信息保護的條款多分散于網(wǎng)絡(luò)安全管理框架內(nèi),加強法律之間的銜接,形成制度合力勢在必行。
《征求意見稿》擬將網(wǎng)安法第六十四條第一款、第六十六條、第七十條所指向的三種違法行為——即侵害個人信息依法得到保護的權(quán)利、關(guān)鍵信息基礎(chǔ)設(shè)施運營者在境外存儲或者向境外提供個人信息和重要數(shù)據(jù)、發(fā)布或者傳輸法律法規(guī)所禁止信息的相關(guān)規(guī)定,合并為一條,并明確“依照有關(guān)法律、行政法規(guī)的規(guī)定處理、處罰”。
多位專家告訴南都·隱私護衛(wèi)隊,這是一條明確轉(zhuǎn)致適用的規(guī)定。王磊表示,一方面能避免重復(fù)立法和法律交叉適用產(chǎn)生新的法律問題,將個人信息保護、數(shù)據(jù)跨境等領(lǐng)域的法律責任統(tǒng)一指向?qū)iT法,解決了現(xiàn)行《網(wǎng)絡(luò)安全法》與后續(xù)出臺的《數(shù)據(jù)安全法》《個人信息保護法》之間的重復(fù)規(guī)定問題,有利于法律體系的穩(wěn)定統(tǒng)一。
另一方面。轉(zhuǎn)致條款厘清了不同法律的適用范圍,在實踐中明確了上位法法律依據(jù)。例如,關(guān)基運營者數(shù)據(jù)出境的處罰不再由網(wǎng)安法單獨規(guī)定,而是依據(jù)數(shù)安法第四十六條(最高罰款1000萬元)或《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等配套法規(guī)執(zhí)行,減少了執(zhí)法中的法律選擇爭議。
由此類推,理論上《網(wǎng)絡(luò)安全法》的罰款上限或同步升格至《個人信息保護法》5000萬元或“5%營業(yè)額”標準。
值得注意的是,王源指出,《征求意見稿》擬將現(xiàn)行法第六十六條中關(guān)基運營者在境外存儲或提供的“網(wǎng)絡(luò)數(shù)據(jù)”修改為“個人信息”和“重要數(shù)據(jù)”。
她解釋,一方面這和《網(wǎng)絡(luò)安全法》原本第三十七條規(guī)定的表述保持一致,規(guī)制對象更加具體;另一方面也體現(xiàn)了“抓大放小”,即“個人信息”和“重要數(shù)據(jù)”之外的一般網(wǎng)絡(luò)數(shù)據(jù)出境并不受到嚴監(jiān)管,這和今年1月1日生效的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》的立法取向是一致的。
在王源看來,從《征求意見稿》還可推斷出我國數(shù)據(jù)出境的基本規(guī)制思路。無論是關(guān)基運營者,還是一般網(wǎng)絡(luò)運營者,個人數(shù)據(jù)和重要數(shù)據(jù)出境需要遵守現(xiàn)有法律限制性要求,但未對一般網(wǎng)絡(luò)數(shù)據(jù)作限制性規(guī)定。
中國政法大學法治政府研究院院長、教授趙鵬撰文提到,網(wǎng)絡(luò)安全總是相對的。在不少情況下,相關(guān)企業(yè)自身也是網(wǎng)絡(luò)安全事故的受害者。
《征求意見稿》另外一大亮點是擬引入豁免機制。新增規(guī)定“網(wǎng)絡(luò)運營者存在主動消除或者減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的,依照《中華人民共和國行政處罰法》的規(guī)定從輕、減輕或者不予行政處罰。有關(guān)主管部門依據(jù)職責制定相應(yīng)的行政處罰裁量基準,規(guī)范行使行政處罰裁量權(quán)?!?
趙鵬文中提到,根據(jù)具體案件中相關(guān)主體的過錯程度來認定法律責任,防止“小過重罰”,既可以構(gòu)建包容審慎的監(jiān)管框架,為企業(yè)的創(chuàng)新、發(fā)展創(chuàng)造足夠的激勵;也可以將執(zhí)法資源聚焦于解決系統(tǒng)性、結(jié)構(gòu)性的問題,實現(xiàn)網(wǎng)絡(luò)安全領(lǐng)域執(zhí)法工作的精細化、精準化。
肖颯指出,通過“主動消除危害后果可免罰”條款,引導(dǎo)企業(yè)建立網(wǎng)絡(luò)安全事件快速響應(yīng)機制;“及時報告減免處罰”規(guī)則破解“瞞報博弈”,使監(jiān)管部門能更早介入處置。在王源看來,新規(guī)體現(xiàn)出對“初次違法”的一種包容態(tài)度,還與《刑法》中拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪相銜接——出現(xiàn)相關(guān)違法行為時,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正的,才構(gòu)成犯罪。
采寫:南都記者 樊文揚
閱讀全文