引言
3月28日,国家互联网信息办公室就《中华人民共和国网络安全法(修正草案再次征求意见稿)》再次向社会公开征求意见,意见反馈截止时间为4月27日。此前,2022年9月,国家互联网信息办公室曾第一次就《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》(以下称“2022年修改稿”)向社会公开征求意见。
《网络安全法》出台于2016年,并于2017年6月1日起实施。其与《数据安全法》《个人信息保护法》一并构成我国网络法领域的顶层设计。《网络安全法》内容详实,涉及网络信息安全、关键信息基础设施安全、数据安全和个人信息保护等,是相关领域立法的起源和重要的上位法依据。本次修改共有八条,涉及网络运行安全、关键信息基础设施安全和网络信息安全等内容。
《网络安全法》是一部综合性、基础性、全面性的法律,对网络领域合规工作尤为重要。本次修改内容涉及诸多条款,且相互引用和转致,需要充分把握网络领域综合法律体系,全面认识和理解本次修改工作。通过本文的梳理,将帮助相关企业了解:①修改的主要内容;②修改的背景和定位;③对企业合规的启示意义。
一、网络运行安全和关键信息基础设施安全保护
本次修改对第五十九条进行了重要调整,加大了涉及网络运行安全和关键信息基础设施安全的法律责任。
第五十九条是关于网络运行安全义务的法律责任,涉及一般义务和关键信息基础设施运营者的特殊义务,对应的是第二十一条(网络安全等级保护制度)、第二十五条(网络运营者的应急处置措施)、第三十三条(关键信息基础设施建设的安全要求)、第三十四条(关键信息基础设施运营者的安全保护义务)、第三十六条(关键信息基础设施采购的安全保密义务)、第三十八条(关键信息基础设施的定期安全检测评估)。
本次修改加大了一般性违法的处罚力度,现行第五十九条对于一般性违法行为,首先是规定由有关主管部门责令改正和给予警告,只有拒不改正或者导致危害网络安全等后果的,才对单位和直接负责的主管人员罚款。修改后,只要违反相关条款,即可处以罚款,一般性罚款数额为一万元以上五万元以下,拒不改正或者导致危害网络安全等后果的为五万元以上五十万元以下(现行为一万元以上十万元以下),直接负责的主管人员为一万元以上十万元以下(现行为五千元以上五万元以下)。
本次修改增加了对造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的处罚,明确由有关主管部门处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款,并责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员处二十万元以上一百万元以下罚款。
二、网络关键设备和安全专用产品的认证
本次修改增加一条法律责任,即第六十一条:“违反本法第二十三条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。”
第二十三条是关于网络关键设备和安全专用产品认证检测的规定,工信部、公安部等对电信设备、网络专用产品等建立了安全认证和安全检测的制度,《网络安全法》在总结实践经验的基础上,对网络关键设备和网络安全专用产品安全认证、检测制度作了规定,但并未规定法律责任。本次修改专门增加了法律责任,明确了责任后果,从而能够提升网络关键设备和安全专用产品的使用规范,有效保障网络领域供应链安全。
三、网络产品和服务提供者的安全义务以及电子信息和应用软件的信息安全要求
本次修改新增一条法律责任,即第六十四条:“有本法第六十条第一项、第二项和第六十三条行为,造成本法第五十九条第三款规定的后果的,依照该款规定处罚。”
第六十条是对于违反第二十二条第一款、第二款和第四十八条第一款规定的法律责任,其中第一项是“设置恶意程序的”,第二项是“对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的”;第六十三条是对违反第二十七条规定的法律责任,是指“从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的”。
现行第六十条和第六十三条的处罚措施包括警告、罚款、拘留和没收违法所得,其中对单位的罚款幅度为五万元以上五十万元以下,对直接负责的主管人员的罚款幅度为一万元以上十万元以下。修改后,如果构成第五十九条第三款规定的后果的,按照该款规定处罚。第五十九条第三款为本次修改新增的条款,即造成大量数据泄露、关键信息基础上设施丧失局部/主要功能等后果,其法律责任包括多种处罚种类,除了罚款以外,还包括暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,而对单位的罚款幅度为五十万元以上二百万元以下二百万元以上一千万元以下,对直接负责的主管人员和其他直接责任人员的罚款幅度为五万元以上二十万元以下/二十万元以上一百万元以下。
四、关键信息基础设施采购国家安全审查规定
本次修改将第六十五条改为第六十七条,将现行“责令停止使用”的措施改为了“责令限期改正、消除对国家安全的影响”。
五、网络信息安全
本次修改将第六十八条、第六十九条第一项合并,作为第六十九条。现行第六十八条和第六十九条第一项是关于网络信息安全的法律责任,涉及第四十七条、第四十八条第二款和第五十条。修改后,统一了对第四十七条和第五十条规定的法律责任。现行第四十七条是关于网络运营者主动发现和处置违法信息的义务,第四十八条是关于电子信息发送服务提供者和应用软件下载服务提供者主动发现和处置违法信息的义务,第五十条则是关于国家网信部门和有关部门发现违法信息,可以要求网络运营者进行处理的规定。现行《网络安全法》对此分别对此规定了不同的法律责任,修改后予以统一,并设置了阶梯式的处罚措施,对于单位的罚款上限由最高五十万元,提升至最高一千万元,对于直接负责的主管人员和其他直接责任人员的罚款上限由最高十万元,提升至最高一百万元。
六、个人信息保护
本次修改将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条。第六十四条第一款是关于个人信息保护的法律责任,第六十六条是关于关键信息基础设施数据跨境的法律责任,第七十条是关于发布或者传输违法信息的法律责任。修改后的第七十一条统一对上述三类行为的处理、处罚作出了规定,即转致有关法律、行政法规的规定。
对于个人信息保护,我国已经于2021年出台并实施了《个人信息保护法》,对个人信息处理活动进行了全面的规定,从实质效果上已经替代了《网络安全法》有关个人信息保护的规定;对于关键信息基础设施数据跨境问题,我国陆续出台了《数据安全法》《个人信息保护法》《促进和规范数据跨境流动规定》以及相关配套,对于关键信息基础设施运营者以及关键信息基础设施运营者以外的数据跨境流动活动进行了全面、细致的规定,从实质效果上也已经替代了《网络安全法》第三十七条的规定;对于违法信息,《网络安全法》第十二条第二款规定了一般性禁止性要求,但并未设置实质性的法律责任,而是规定“依照有关法律、行政法规的规定处罚”,实践中具体指向哪些法律、行政法规还有待进一步观察。
七、从轻、减轻或者不予行政处罚的情形
本次修改新增一条作为第七十二条:“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。
有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。”
《行政处罚法》(2021年修改)第三十二条、第三十三条规定了从轻或者减轻行政处罚、“首违不罚”的要求;第三十四条明确了行政机关可以依法制定行政处罚裁量基准,规范行使行政处罚裁量权。本次修改后,相信负有网络安全监管职责的部门会根据修改后的内容,以及《行政处罚法》的规定,明确相应的行政处罚裁量基准,为企业合规提供更为清晰的指导。
八、对企业合规的启示
《网络安全法》是我国网络领域最早、最重要的法律之一,其修改工作将对网络领域执法实践和合规工作产生深远影响。从其修改内容来看,相关内容更为科学、制度安排更为精细、法律责任更为明确,对企业合规具有重要指导意义。总体来看,本次修改提升了相应的法律责任,增加了处罚手段,突出表现为几个方面。
(一)修改工作有望大幅提速
《网络安全法》自2017年实施以来,网络社会及技术发展发生了很大的变化,网络安全的内涵和外延不断丰富,网络安全风险也呈现新的态势。同时,《数据安全法》《个人信息保护法》相继构建了完整的数据安全、个人信息保护法律体系,数据跨境流动管理法律体系也日趋完善。修改《网络安全法》是适应新形势和强化法律体系衔接协调的必然要求。2023年9月,《十四届全国人大常委会立法规划》发布,明确将“网络安全法(修改)”列入了“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”。2025年3月,《全国人民代表大会常务委员会工作报告》将修改网络安全法列入2025年的立法工作任务。综合来看,《网络安全法》修改工作属于今年最为重要的立法项目,有望在短时间内完成修改工作。
(二)宽严并济精准提升法律责任
本次修改以问题为导向,重点强化网络安全法律责任,加大对违法行为处罚力度,对网络运行安全、网络信息安全等的法律责任进行了全面修改完善。相较于现行《网络安全法》,罚款上限由最高一百万元,提升至一千万元,增加了处罚的阶梯情形,丰富了处罚措施种类(如通报批评、关闭应用程序等)。但是相较于“2022年修改稿”,处罚力度有所缓和也更为科学,如“2022年修改稿”中罚款上限多为五千万元或上一年度营业额百分之五,虽然与《个人信息保护法》持平,但是与网络安全领域违法活动的特定、性质等匹配度不够精确。个人信息处理活动本身以批量化、大规模为特点,个人信息滥用、泄露等安全事件往往容易涉及海量的个人信息,给个人造成难以消除的、持续性的损害或影响,因此需要设置较高的处罚数额。相对而言,网络安全领域则通常以规范网络运营者的网络运行活动为目标,虽然也可能造成大规模的危害影响,但不必然以规模性、群体性为特点,因而设置较低档的法律责任更为妥合理。不过,从合规的角度需要注意的是,本次修改虽然下调了罚款上限,也规定了免除、减轻处罚的要求,但是增加了处罚的适用场景,从而将现行仅为“责令改正”的一些活动直接纳入了处罚范围,而对于企业而言,行政处罚不仅是罚款数额的高低,也涉及信用记录、市场信誉等综合因素,需要对此格外注意。
(三)突出内容管理要求
《网络安全法》是我国内容管理的最顶层立法,是内容管理相关行政法规、部门规章和规范性文件的主要上位法依据。新形势下网络信息内容安全风险对国家安全、政治安全带来新的风险挑战,亟需积极应对防范。本次修订意味着我国将对网络内容安全加大处罚力度,规范网络空间信息服务活动,这对于ICP、网络直播、短视频、社交平台等企业来说尤其值得关注,宜提前梳理内容安全风险,规范内容合规工作,及时和定期开展内容合规培训。
(四)强化供应链安全管理
网络领域的供应链安全涉及网络产品和服务的采购、开发、使用和管理等过程,确保供应链安全可靠,能够有效防范网络安全风险,同时也是网络安全管理中的关键环节之一。本次修改对销售或者提供网络关键设备和网络安全专用产品、关键信息基础设施运营者使用网络产品或者服务的安全审查等进行了重点规定,强化了处置处罚措施,以充分保障网络领域供应链安全。
(五)明确数据泄露法律责任
本次修改中,第五十九条是重点内容之一,修改稿专门增加了大量数据泄露的情形,明确了相关处罚规定,且将因恶意程序、安全缺陷、漏洞等导致的数据泄露后果转致第五十九条的法律责任,充分表明了立法机关和监管机构对数据泄露的关注和监管态度。值得注意的是,2023年12月,国家网信办就向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》的意见,我国亦通过长期的法治努力构建了一整套的数据泄露防治体系,开展了一系列针对数据泄露或隐患的执法活动。但是,数据泄露仍在部分领域存在高发态势,损害了国家安全、数据安全和个人利益,也对企业经营和合规造成负面影响,亟需从合规层面补全落实,相关企业宜建立相应的应急管理机制,并开展必要的应急演练活动,及时识别和防范数据泄露风险。
(六)网络领域综合合规体系
随着网络领域的法律体系不断完善,执法实践不断丰富,网络领域合规日益呈现结构化、精细化的趋势,逐渐形成了网络安全、内容安全、数据安全和个人信息保护的总体框架和具体规则。《网络安全法》修改出台后,也预示着网络领域合规将走向纵深实施阶段,从合规的角度宜注重体系搭建、制度规范、培训考核和应急管理等综合维度,从而有效防范合规风险,创造合规价值。
来源:金杜研究院,https://www.kwm.com/cn/zh/home.html
作者:
- 宁宣凤,金杜律师事务所合规业务部合伙人;业务领域:反垄断与反不正当竞争,以及网络安全与数据合规;联系方式:susan.ning@cn.kwm.com
- 吴涵,金杜律师事务所合规业务部合伙人;业务领域:网络安全、数据合规与治理;联系方式:wuhan@cn.kwm.com
- 方禹,金杜律师事务所合规业务部顾问
特别声明:本篇文章的所有内容仅供参考与交流,不代表金杜律师事务所的法律意见以及对法律的解读。