來源:南方都市報 2025-04-02
去年7月,微軟Windows系統大規模“藍屏”事件造成約850萬臺計算機系統崩潰,外媒稱之為“史上最大規模IT故障”。在數據處理活動日益頻繁的當下,如何完善網絡安全制度體系已成為一項重大時代課題。
2017年,我國《網絡安全法》正式施行,其后幾年互聯網對經濟社會的滲透改造不斷加速,網絡安全形勢發生重大變化。為此,國家網信辦會同相關部門起草《中華人民共和國網絡安全法(修正草案再次征求意見稿)》(下稱《征求意見稿》),于近日向社會公開征求意見,反饋截止日期為4月27日。
南都·隱私護衛隊梳理發現,《征求意見稿》擬細化違反網絡安全保護義務的行政處罰種類,并普遍提高罰款額度,進一步明確了違法行為與處罰力度的階梯性。同時擬設轉致條款,明確對違反個人信息保護、數據跨境流動等規定的行為,依照有關法律法規處理,加強了法律間銜接性;擬引入豁免機制,通過從輕、減輕、不予行政處罰等減輕運營者合規負擔,提高參與網絡安全治理的積極性。
“階梯式”細化處罰標準,提高罰款額度
2022年9月,國家網信辦曾發布《關于修改〈中華人民共和國網絡安全法〉的決定(征求意見稿)》,近日的《征求意見稿》系第二版。國家網信辦在相關說明中提到了修改背景,稱《網絡安全法》需要適應形勢,加強與新出臺法律的銜接協調,對相關法律責任制度作出科學優化,進一步保障網絡安全。
南都·隱私護衛隊梳理發現,《征求意見稿》擬調整違反網絡安全保護義務或者造成危害網絡安全后果等情形的行政處罰種類和力度。
具體而言,針對不履行網絡安全保護義務的一般網絡運營者,從無罰款擬修改為可處1萬元-5萬元罰款;拒不改正或者導致危害網絡安全等后果的,從原來的罰款1萬元-10萬元增加到5萬-50萬元;對直接負責人從罰款5000元-5萬元增加到1萬元-10萬元。
針對關鍵信息基礎設施運營者的處罰,一般情形下,由無罰款擬修改為可處5萬元以上10萬元以下罰款,拒不改正情形以及對直接負責人的罰款額度不變。
另外擬新增一種情形——造成大量數據泄露、關鍵信息基礎設施喪失局部功能等嚴重危害網絡安全后果的,新增罰款標準50萬元-200萬元,對直接負責人等可處5萬元-20萬元罰款;造成關鍵信息基礎設施喪失主要功能等特別嚴重后果的,新增罰款標準200萬元-1000萬元,對直接負責人員處20萬元-100萬元罰款。
上述變化基本可概括為,原法律規定的僅需受有關主管部門責令改正、警告的違法情形,擬修改為可處以罰款;原可處罰款的違法情形,罰款額度普遍提升了2-5倍。
北京理工大學智能科技法律研究中心研究員王磊向南都·隱私護衛隊表示,上述規定細化了違法情節、損害后果與處罰力度之間的梯度對應關系,提升處罰裁量的科學性,推動企業在不同階段采取差異化的安全投入。
在他看來,目前擬定的罰款額度合理。一方面,與《個人信息保護法》最高5000萬元或者上一年度營業額5%以下的罰款標準相比,《征求意見稿》顯得克制許多。另一方面,相較于國外對違反網絡安全保護義務行為的處罰規定,如英國《在線安全法案》規定的1800萬英鎊或企業全球年收入10%的罰款標準相比,設置的處罰上限較為審慎。
北京高勤律師事務所合伙人王源結合立法背景談到,《網絡安全法》制定于2016年,當時的網絡空間活動以及相應的商業形態遠不及現在豐富。《數據安全法》《個人信息保護法》《網絡數據安全管理條例》《關鍵信息基礎設施安全保護條例》均在其后制定,處罰額度均有大幅提升,《網絡安全法》理應因時而變,通過提高處罰額度與其他法律、行政法規相銜接。
西南政法大學黨委副書記、校長林維撰文指出,《征求意見稿》提升處置處罰精細化程度,將違法行為根據依據違法性質、主觀惡性及危害后果劃分為“一般違法”“拒不改正或者導致危害網絡安全等后果”“嚴重危害網絡安全后果”“特別嚴重危害網絡安全后果”等,分別對應階梯式處置處罰;提高罰款金額上限,進一步強化威懾,形成違法成本與社會危害程度成正比的懲戒梯度。
關基設施“喪失主要功能”可能指什么情形?北京大成律師事務所高級合伙人肖颯舉例,某在全國有重要影響的金融機構如果因為系統漏洞,導致哪怕15分鐘左右的支付功能癱瘓,就可能歸為此類,最高或面臨千萬元罰款。
擬首次明確違反供應鏈安全要求法律責任
《網絡安全法》第二十三條規定,網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認,避免重復認證、檢測。
《征求意見稿》擬首次明確違法違規銷售或提供前述產品行為的法律責任。新增規定——銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的網絡關鍵設備和網絡安全專用產品的,由有關主管部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以并處三萬元以上十萬元以下罰款。
南都·隱私護衛隊注意到,隨著技術發展和設備更新,監管部門多次明確前述設備產品的具體范圍。2017年,國家網信辦等四部門發布《網絡關鍵設備和網絡安全專用產品目錄》,2023年又更新了該目錄(下稱《目錄》)。
強制性國家標準《網絡關鍵設備安全通用要求》規定,網絡關鍵設備是指支持聯網功能且具有較高性能的設備,通常用于重要網絡節點、重要部位或重要系統中,一旦遭到破壞,可能引發重大網絡安全風險。《目錄》明確了網絡關鍵設備包括路由器、交換機、服務器(機架式)、可編程邏輯控制器(PLC設備)。
網絡安全專用產品則指用于保護網絡安全的專用硬件和軟件產品。《目錄》明確列明了34種,如防火墻、入侵檢測系統(IDS)、網站數據恢復產品、病毒防治產品等。自2023年7月起,《目錄》中的網絡安全專用產品應當按相關國家標準的強制性要求,由具備資格的機構安全認證或者檢測符合要求后,方可銷售或者提供。
王磊指出,上述規定背后有多層考慮。首先,網絡關鍵設備和網絡安全專用產品作為網絡運行的底層基礎,其安全性關系到整個網絡系統的穩定性和可靠性。新增條款彌補了上位法的空白,通過明確銷售或提供不合格產品的法律責任,從源頭阻斷安全隱患,防止因設備漏洞引發大規模網絡安全事故。
其次,通過經濟懲戒機制倒逼企業主動履行安全認證和檢測義務,新增“沒一罰三”機制顯著提升企業違法成本,有效彌合了現行法律對相關違法行為處罰力度較低的制度不足。
壓實平臺內容安全治理責任,最高或罰千萬元
為防范新形勢下網絡信息內容安全風險對國家安全、政治安全帶來的風險挑戰,《征求意見稿》擬加大對信息內容安全的監管力度,重點壓實平臺治理責任。
首先,《征求意見稿》擬擴大網絡運營者的治理責任范圍。新增后的違法行為有“網絡運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄、向有關主管部門報告的”“違反本法第五十條規定,不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息停止傳輸、采取消除等處置措施、保存有關記錄的”。
在處罰方面,一般情況下,擬刪除現行規定中“責令改正但拒不改正”的前置條件,明確“違法即可處罰”,并由此前無罰款改為可處5萬元至50萬元罰款;拒不改正或者情節嚴重的,由處10萬元至50萬元罰款增加至可處50萬元至200萬元罰款;對直接負責人等從罰款1萬元至10萬元增加至5萬元至20萬元。罰款額度顯著提升。
此外,擬新增“造成特別嚴重后果”的情形。網絡運營者有前款規定的違法行為,造成特別嚴重影響和后果的,由有關主管部門處200萬元至1000萬元罰款,對直接負責人等處20萬元至100萬元罰款。電子信息發送服務提供者、應用軟件下載服務提供者,不履行相關安全管理義務的,依照前兩款規定處罰。
王磊表示,這意味著網絡信息安全監管更注重落實平臺整體責任,而非聚焦于個人責任承擔。具體而言,對一般違法行為不再以“拒不改正”為行政處罰要件,即企業存在違法行為就可能面臨罰款處罰,但一般不追究個人責任。只有在拒不改正,涉及關基設施、造成嚴重后果等特定情形下,才可能追究個人責任。
王源認為,如今網絡安全和個人信息保護、數據安全已經密不可分,《征求意見稿》與《數據安全法》最高處罰額度1000萬元保持一致等,確保了立法邏輯合理性,“網絡信息安全的監管策略和邏輯沒有發生實質性轉變,平臺責任并沒有因為《網絡安全法》的修改而加重。”
談及對平臺的具體影響,肖颯表示可能導致運營成本產生質變。一方面為應對千萬級罰款風險,頭部平臺年度內容安全投入占比可能大幅增加,中小平臺可能需支付第三方合規服務費。另一方面涉及商業模式的修正,依賴UGC內容分發的平臺需重構算法推薦邏輯,增設敏感詞庫更新頻率,加強內容審核力度。
值得一提的是,對關基運營者的責任義務作出細分和明確,也是《征求意見稿》的一個亮點。對于關基運營者違法使用網絡產品或者服務的行為,新增“責令限期改正、消除對國家安全的影響”要求,并處采購金額一倍以上十倍以下罰款,對直接負責人等處1萬元至10萬元罰款。
擬設轉致條款,加強法律間銜接性
《網絡安全法》出臺時間相對較早,涉及數據與個人信息保護的條款多分散于網絡安全管理框架內,加強法律之間的銜接,形成制度合力勢在必行。
《征求意見稿》擬將網安法第六十四條第一款、第六十六條、第七十條所指向的三種違法行為——即侵害個人信息依法得到保護的權利、關鍵信息基礎設施運營者在境外存儲或者向境外提供個人信息和重要數據、發布或者傳輸法律法規所禁止信息的相關規定,合并為一條,并明確“依照有關法律、行政法規的規定處理、處罰”。
多位專家告訴南都·隱私護衛隊,這是一條明確轉致適用的規定。王磊表示,一方面能避免重復立法和法律交叉適用產生新的法律問題,將個人信息保護、數據跨境等領域的法律責任統一指向專門法,解決了現行《網絡安全法》與后續出臺的《數據安全法》《個人信息保護法》之間的重復規定問題,有利于法律體系的穩定統一。
另一方面。轉致條款厘清了不同法律的適用范圍,在實踐中明確了上位法法律依據。例如,關基運營者數據出境的處罰不再由網安法單獨規定,而是依據數安法第四十六條(最高罰款1000萬元)或《網絡數據安全管理條例》等配套法規執行,減少了執法中的法律選擇爭議。
由此類推,理論上《網絡安全法》的罰款上限或同步升格至《個人信息保護法》5000萬元或“5%營業額”標準。
值得注意的是,王源指出,《征求意見稿》擬將現行法第六十六條中關基運營者在境外存儲或提供的“網絡數據”修改為“個人信息”和“重要數據”。
她解釋,一方面這和《網絡安全法》原本第三十七條規定的表述保持一致,規制對象更加具體;另一方面也體現了“抓大放小”,即“個人信息”和“重要數據”之外的一般網絡數據出境并不受到嚴監管,這和今年1月1日生效的《網絡數據安全管理條例》的立法取向是一致的。
在王源看來,從《征求意見稿》還可推斷出我國數據出境的基本規制思路。無論是關基運營者,還是一般網絡運營者,個人數據和重要數據出境需要遵守現有法律限制性要求,但未對一般網絡數據作限制性規定。
中國政法大學法治政府研究院院長、教授趙鵬撰文提到,網絡安全總是相對的。在不少情況下,相關企業自身也是網絡安全事故的受害者。
《征求意見稿》另外一大亮點是擬引入豁免機制。新增規定“網絡運營者存在主動消除或者減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的,依照《中華人民共和國行政處罰法》的規定從輕、減輕或者不予行政處罰。有關主管部門依據職責制定相應的行政處罰裁量基準,規范行使行政處罰裁量權。”
趙鵬文中提到,根據具體案件中相關主體的過錯程度來認定法律責任,防止“小過重罰”,既可以構建包容審慎的監管框架,為企業的創新、發展創造足夠的激勵;也可以將執法資源聚焦于解決系統性、結構性的問題,實現網絡安全領域執法工作的精細化、精準化。
肖颯指出,通過“主動消除危害后果可免罰”條款,引導企業建立網絡安全事件快速響應機制;“及時報告減免處罰”規則破解“瞞報博弈”,使監管部門能更早介入處置。在王源看來,新規體現出對“初次違法”的一種包容態度,還與《刑法》中拒不履行信息網絡安全管理義務罪相銜接——出現相關違法行為時,經監管部門責令采取改正措施而拒不改正的,才構成犯罪。
采寫:南都記者 樊文揚
閱讀全文
