来源:大成律师事务所
引言
在数字化浪潮席卷全球的当下,网络安全已成为关乎国家安全、经济发展与社会稳定的关键要素。2025年3月28日,国家互联网信息办公室就《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下简称《网安法修正草案二次征求意见稿》)再次向社会公开征求意见,意见反馈截止时间为4月27日。《网络安全法》自2017年6月1日起实施,与《数据安全法》《个人信息保护法》共同构成我国网络法领域的顶层设计,其内容涵盖网络信息安全、关键信息基础设施安全、数据安全和个人信息保护等,是相关领域立法的重要上位法依据。本次修改共涉及八条,对网络运行安全、关键信息基础设施安全和网络信息安全等方面的法律责任进行了调整。对于广大企业而言,深入剖析此次修正草案的内涵,准确把握其带来的影响,及时调整自身合规策略,不仅是应对法律要求的必然之举,更是在复杂多变的网络环境中稳健发展的关键所在。
一、草案主要修改内容及条款解读
(一)加大网络运行安全和关键信息基础设施安全的法律责任
本次修改对第五十九条进行了重要调整。第五十九条涉及网络运行安全义务的法律责任,包括一般义务和关键信息基础设施运营者的特殊义务,对应着第二十一条(网络安全等级保护制度)、第二十五条(网络运营者的应急处置措施)、第三十三条(关键信息基础设施建设的安全要求)、第三十四条(关键信息基础设施运营者的安全保护义务)、第三十六条(关键信息基础设施采购的安全保密义务)、第三十八条(关键信息基础设施的定期安全检测评估)。
一般性违法处罚力度加大,现行第五十九条对于一般性违法行为,先责令改正和给予警告,拒不改正或导致危害网络安全等后果才罚款。修改后,只要违反相关条款即可罚款。一般性罚款数额为一万元以上五万元以下,拒不改正或者导致危害网络安全等后果的为五万元以上五十万元以下(现行为一万元以上十万元以下),直接负责的主管人员为一万元以上十万元以下(现行为五千元以上五万元以下)。
新增严重危害后果的处罚,明确对造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,处二百万元以上一千万元以下罚款,并责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员处二十万元以上一百万元以下罚款。
(二)增加网络关键设备和安全专用产品相关法律责任
新增第六十一条规定,违反本法第二十三条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。第二十三条规定了网络关键设备和安全专用产品认证检测制度,此次修改明确了该制度对应的法律责任,提升了网络关键设备和安全专用产品的使用规范,保障了网络领域供应链安全。
(三)调整网络产品和服务提供者等行为的法律责任
新增第六十四条规定,有本法第六十条第一项、第二项和第六十三条行为,造成本法第五十九条第三款规定的后果的,依照该款规定处罚。第六十条第一项指“设置恶意程序的”,第二项指“对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的”;第六十三条指“从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的”。若这些行为造成第五十九条第三款规定的大量数据泄露、关键信息基础设施丧失局部/主要功能等后果,将按照第五十九条第三款更为严厉的处罚标准执行,包括除罚款外,还有暂停相关业务、停业整顿等处罚措施。
(四)修改关键信息基础设施运营者使用网络产品或服务的处罚措施
将第六十五条改为第六十七条,把现行“责令停止使用”的措施改为“责令限期改正、消除对国家安全的影响”。同时,对关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,除责令改正外,并处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。这一修改更加注重从消除安全隐患根源的角度出发,维护国家安全。
(五)统一和强化网络信息安全相关法律责任
将第六十八条、第六十九条第一项合并为第六十九条,统一了对第四十七条、第五十条以及第四十八条第二款规定的法律责任。第四十七条规定了网络运营者主动发现和处置违法信息的义务,第四十八条规定了电子信息发送服务提供者和应用软件下载服务提供者主动发现和处置违法信息的义务,第五十条规定了国家网信部门和有关部门发现违法信息后要求网络运营者进行处理的规定。修改后设置了阶梯式的处罚措施,对于单位的罚款上限由最高五十万元提升至最高一千万元,对于直接负责的主管人员和其他直接责任人员的罚款上限由最高十万元提升至最高一百万元,加大了对网络信息安全违法行为的打击力度。
(六)整合部分行为的法律责任规定
将第六十四条第一款(个人信息保护的法律责任)、第六十六条(关键信息基础设施数据跨境的法律责任)、第七十条(发布或者传输违法信息的法律责任)合并为第七十一条,统一对上述三类行为的处理、处罚作出规定,即转致有关法律、行政法规的规定。因为我国已出台《个人信息保护法》全面规定个人信息处理活动,出台《数据安全法》《个人信息保护法》《促进和规范数据跨境流动规定》及相关配套规定规范关键信息基础设施数据跨境问题,且《网络安全法》对违法信息未设置实质性法律责任,而是规定依照有关法律、行政法规处罚,此次整合符合实际法律适用情况。
(七)新增行政处罚裁量相关规定
增加第七十二条规定,网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。同时,有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权,使行政处罚更加合理、科学。
二、草案对司法实践的影响
(一)司法实践中责任认定更加严格
在司法实践中,对于企业违反网络安全相关规定的责任认定将随着此次修正草案的实施变得更加严格。以关键信息基础设施运营者为例,过去在认定是否存在安全管理失职时,可能会因标准不够细化导致责任判定存在一定模糊性。但此次修正草案明确了大量数据泄露、关键信息基础设施丧失局部或主要功能等具体危害后果对应的法律责任,司法机关在判定企业责任时将有更清晰的量化标准。例如,若企业作为关键信息基础设施运营者,因内部管理不善导致一次数据泄露事件中涉及超过一定数量(如百万级)的用户个人信息泄露,按照修正草案,极有可能被认定为造成严重危害网络安全后果,从而面临高额罚款以及其他严厉处罚措施。
(二)诉讼证据收集与举证责任变化
企业在涉及网络安全纠纷的诉讼中,证据收集和举证责任也将受到影响。一方面,由于法律对企业网络安全合规义务的强化,企业需要更加注重日常运营中的证据留存。例如,企业采购网络关键设备和网络安全专用产品时,需留存好产品的安全认证、检测报告等相关文件,以证明自身采购行为的合规性。若发生纠纷,这些将成为关键证据。另一方面,在一些情况下,举证责任可能会向企业倾斜。例如,当出现网络产品或服务存在安全缺陷引发的纠纷时,企业可能需要举证证明自己已按照规定对产品、服务存在的安全风险立即采取了补救措施,或已及时告知用户并向有关主管部门报告,否则将承担不利后果。
(三)跨法适用与法律衔接问题
在修正草案实施初期,必然会面临跨法适用的问题。对于在修正草案实施前发生,但在实施后才进入司法程序的网络安全案件,如何适用法律是司法实践中的一个难点。一般来说,会遵循从旧兼从轻原则,但由于此次修正草案加大了对网络安全违法行为的处罚力度,对于一些行为可能会出现适用旧法处罚过轻,而适用新法又不符合从旧兼从轻原则的困境。同时,修正草案在多处与《数据安全法》《个人信息保护法》等进行了衔接,在司法实践中,如何准确界定不同法律之间的适用范围,避免法律适用冲突,也是司法机关和企业都需要关注的问题。例如,在涉及个人信息保护的网络安全案件中,如何协调《网安法修正草案二次征求意见稿》与《个人信息保护法》中关于个人信息侵权责任的规定,确保法律适用的准确性和公正性。
三、企业面临的法律风险提示
(一)合规成本增加风险
安全措施升级成本:随着对网络运行安全和关键信息基础设施安全要求的提高,企业需要投入更多资金用于网络安全防护设备的采购、升级,以及安全技术研发、人员培训等方面,以满足更高标准的安全要求,如确保网络关键设备和网络安全专用产品通过安全认证和安全检测等。
法律责任风险成本:一旦企业违反相关规定,面临的罚款金额大幅提高,还可能面临责令暂停相关业务、停业整顿等严重后果,这将给企业带来巨大的经济损失和声誉损害。例如,关键信息基础设施运营者若因数据泄露等问题导致严重后果,可能面临高达一千万元的罚款以及吊销营业执照等处罚,企业前期投入的大量资源可能付诸东流,且重新恢复业务和声誉将面临极大困难。
(二)供应链安全风险
企业在采购网络关键设备和网络安全专用产品时,如果供应商提供的产品未经安全认证、安全检测或者认证不合格、检测不符合要求,企业可能面临法律责任。例如,企业采购的防火墙等安全设备未通过相关安全检测,一旦因此引发网络安全问题,企业不仅可能遭受网络攻击带来的直接损失,还将因违反《网安法修正草案二次征求意见稿》第六十一条规定而被处罚。此外,若企业作为网络产品和服务提供者,对自身产品、服务存在的安全缺陷、漏洞等风险未及时处理和报告,也将面临严重的法律责任,这可能影响企业在供应链中的信誉和合作关系。
(三)数据安全风险
数据泄露风险责任加重:企业若发生大量数据泄露事件,将面临更严厉的法律制裁。这要求企业必须加强数据安全管理,完善数据加密、访问控制、数据备份等措施,防止数据泄露事件的发生。一旦发生数据泄露,企业需要及时采取补救措施,并向相关部门报告,否则将承担更严重的法律后果。
数据跨境风险:对于关键信息基础设施运营者,修正草案明确规定关键信息基础设施运营者在境外存储或者向境外提供个人信息和重要数据应通过国家网信办的安全评估,否则将面临处罚。相关企业若涉及相关数据跨境业务,需要重新评估业务模式的合规性,否则将面临法律风险。
四、企业应对建议
(一)完善企业内部网络安全合规体系
建立合规制度:制定完善的网络安全管理制度,明确各部门和人员在网络安全管理中的职责,确保网络安全工作有章可循。例如,规定网络安全部门负责定期对企业网络进行安全检测和评估,及时发现和修复安全漏洞;业务部门在开展业务过程中需遵守数据安全保护规定,不得违规处理个人信息和重要数据等。
开展合规培训:定期对员工进行网络安全合规培训,提高员工的网络安全意识和合规意识。培训内容可包括网络安全法律法规解读、企业内部网络安全制度讲解、常见网络安全风险及防范措施等,确保员工在日常工作中能够自觉遵守相关规定。
(二)强化供应链安全管理
供应商审查:在采购网络关键设备和网络安全专用产品前,对供应商进行严格审查,确保其产品具备相应的安全认证和检测报告。同时,在采购合同中明确产品质量和安全责任条款,一旦产品出现安全问题,可依据合同追究供应商责任。
自身产品服务安全管理:作为网络产品和服务提供者,企业应建立健全产品和服务的安全监测机制,及时发现并处理安全缺陷和漏洞,按照规定及时告知用户并向有关主管部门报告,维护自身在供应链中的良好形象和信誉。
(三)加强数据安全保护
数据分类分级管理:对企业数据进行分类分级,明确不同类别和级别的数据保护要求。例如,将个人信息、重要业务数据等列为重点保护对象,采取更高级别的加密、访问控制等安全措施。
数据跨境合规评估:涉及数据跨境业务的企业,尤其是关键信息基础设施运营者,需对数据跨境活动进行全面合规评估,确保相关法律法规的规定。若无法满足合规要求,需调整业务模式或寻求合法的跨境数据传输途径,如通过国家认可的安全评估、签订标准合同等方式。
随着《网安法修正草案二次征求意见稿》的发布,企业面临的网络安全法律环境日益严格。企业应高度重视此次法律修订带来的影响,积极识别法律风险,采取有效应对措施,完善网络安全合规体系,以保障企业在合法合规的轨道上稳健发展,避免因违法违规行为遭受重大损失。
结语
《网安法修正草案二次征求意见稿》的发布,为我国网络安全法治建设注入了新的活力,也为企业的网络安全管理带来了全新的挑战与机遇。从条款修订的具体内容来看,无论是加大法律责任力度,还是完善网络产品和服务提供者的义务及责任,都彰显了国家强化网络安全监管的决心。在实务层面,司法实践中责任认定的严格化、诉讼证据规则的变化以及跨法适用和法律衔接的复杂性,都要求企业在日常运营中更加严谨细致,时刻保持对法律风险的警惕。而企业面临的合规成本增加、供应链安全隐患以及数据安全风险等问题,更凸显出建立健全网络安全合规体系的紧迫性。对于企业来说,积极应对此次法律修订是当务之急。通过完善内部合规制度、强化供应链安全管理、加强数据安全保护等措施,企业不仅能够有效防范法律风险,避免因违法违规行为遭受巨大损失,还能借此机会提升自身的网络安全防护能力,增强市场竞争力。随着网络技术的持续创新和网络环境的不断变化,网络安全法律体系也将持续演进。企业应秉持前瞻思维,密切关注法律动态,持续优化自身的网络安全管理策略,确保在合法合规的轨道上稳健前行,为我国网络安全事业的发展贡献力量,共同营造安全、稳定、有序的网络空间。
(原标题:大成研究 | 陈福:网安法新修正草案对网络安全和数据合规带来新的挑战与机遇)
作者:陈褔,大成律师事务所北京高级合伙人;专业领域:公司与并购重组、知识产权与科技创新争议解决、刑事;联系方式:fu.chen@dentons.cn
特别声明:大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。